Délibération n° 2024‑170 du 11 septembre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion d'un registre des bénéficiaires effectifs des sociétés commerciales, groupements d'intérêt économique et sociétés civiles de droit monégasque », dénommé « Registre des bénéficiaires effectifs - sociétés et GIE », exploité par la Direction du Développement Économique (DDE) présentée par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 797 du 18 février 1966 relative aux sociétés civiles ;
Vu la loi n° 879 du 26 février 1970 relative aux groupements d’intérêt économique ;
Vu la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, modifiée ;
Vu l’Ordonnance Souveraine n° 3.573 du 11 mai 1966 portant application de la loi n° 797 du 18 février 1966 relative aux sociétés civiles ;
Vu l’Ordonnance Souveraine n° 4.528 du 10 août 1970 portant application de la loi n° 879 du 26 février 1970 relative aux groupements d’intérêt économique ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique ;
Vu la délibération n° 2011‑82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;
Vu la délibération n° 2018‑175 du 21 novembre 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion d’un registre des bénéficiaires effectifs des sociétés commerciales, groupements d’intérêt économique et sociétés civiles de droit monégasque » présenté par le Ministre d’État ;
Vu la délibération n° 2019‑70 du 15 mai 2019 de la Commission de Contrôle des Informations Nominatives portant avis défavorable à la mise en œuvre de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion et suivi des sociétés civiles de droit monégasque par la Direction de l’Expansion Économique, la Direction des Services Fiscaux et l’IMSEE » présentée par le Ministre d’État ;
Vu la demande d’avis déposée par le Ministre d’État, le 5 juin 2024, concernant la mise en œuvre de la modification d’un traitement automatisé ayant pour finalité la « Gestion d’un registre des bénéficiaires effectifs des sociétés commerciales, groupements d’intérêt économique et sociétés civiles de droit monégasque » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 2 août 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 11 septembre 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Par délibération n° 2018‑175 du 21 novembre 2018, la Commission a émis un avis favorable à la mise en œuvre du traitement ayant pour finalité « Gestion d’un registre des bénéficiaires effectifs des sociétés commerciales, groupements d’intérêt économique et sociétés civiles de droit monégasque », registre dont la tenue était requise par les dispositions de la loi n° 1.362, susvisée, et de son texte d’application.
Le nom de Direction de l’Expansion Économique ayant changé, la gestion dudit registre est opérée aujourd’hui par la Direction du Développement Économique, qui doit mettre en œuvre les évolutions des textes précités qui renforcent le dispositif en matière de lutte contre le blanchiment de capitaux, le financement du terrorisme et la prolifération des armes de destruction.
Aussi, conformément aux dispositions de l’article 9 de la loi n° 1.165 du 23 décembre 1993 modifiée, le Ministre d’État soumet à l’avis de la Commission la modification du traitement ayant pour finalité « Gestion d’un registre des bénéficiaires effectifs des sociétés commerciales, groupements d’intérêt économique et sociétés civiles de droit monégasque ».
I. Sur la finalité et les fonctionnalités du traitement
La finalité du traitement demeure inchangée. Le responsable de traitement indique en outre qu’il a désormais pour dénomination « Registre des bénéficiaires effectifs - Sociétés et GIE ».
Il concerne les assujettis à l’inscription au registre, les agents des entités habilitées à avoir accès au registre, ainsi que les agents de la DDE. La Commission relève que le traitement concerne également les responsables des informations sur les bénéficiaires effectifs, les représentants légaux ou les personnes investies du pouvoir de représenter la société ou le groupement d’intérêt économique qui procèdent au dépôt du formulaire, ainsi que les personnes effectuant une demande de communication d’informations issues du registre dont s’agit.
Les fonctionnalités sont modifiées comme suit :
- gestion des documents et informations nécessaires à l’identification des bénéficiaires effectifs ;
- tenue du registre des bénéficiaires effectifs ;
- identification du responsable des informations sur les bénéficiaires effectifs ;
- identification des personnes qui conservent les informations et pièces sur les bénéficiaires effectifs ;
- gestion des accès au registre des bénéficiaires effectifs par les tiers autorisés ;
- gestion des demandes d’accès au registre des bénéficiaires effectifs ;
- gestion des correspondances avec les assujettis, leurs représentants légaux ou les personnes investies du pouvoir de représenter l’entité légale ;
- annuaire des contacts professionnels en lien avec le registre des bénéficiaires effectifs ;
- analyse des données.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public et par une obligation légale à laquelle il est soumis.
À titre liminaire, la Commission constate que l’obligation légale soulevée en l’espèce correspond aux textes imposant à la DDE ses missions. Elle estime donc que l’obligation légale s’analyse en l’espèce comme un motif d’intérêt public.
Elle relève en outre que la justification du présent traitement n’a pas évolué depuis l’avis favorable objet de la délibération n° 2018‑175 du 21 novembre 2018, précitée, même si les textes en référence ont fait l’objet de modifications.
La Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Le responsable de traitement indique que les informations nominatives traitées sur les bénéficiaires effectifs sont :
- identité : nom, nom d’usage, surnom ou pseudonyme, prénoms, date et lieu de naissance, nationalités ;
- informations concernant l’entité légale : dénomination ou raison sociale, numéro de registre (RCI-RSSC), forme juridique, adresse du siège ;
- coordonnées : adresse personnelle du bénéficiaire effectif ;
- contrôle sur l’entité légale : modalités du contrôle exercé et étendue du contrôle, date de la dernière modification des modalités de contrôle ;
- qualité de bénéficiaire effectif : date à laquelle la personne est devenue bénéficiaire effectif ;
- pièces justificatives : toutes les pièces justificatives propres à établir l’exactitude des déclarations ;
- inscription liée à la fiche de la personne dans le registre : date de création, date des évènements enregistrés sur la fiche, date de radiation ;
- observations : observations sur le suivi du dossier ;
- mentions particulières : restriction d’accès, date de la décision, date de levée de restriction.
De plus, en ce qui concerne « les personnes, autres que les bénéficiaires effectifs figurant dans les documents (signature de la déclaration) », sont collectées les informations suivantes :
- identité : nom, prénom, signature, mandat (ex. représentant légal ou de la personne investie du pouvoir de représenter l’entité légale).
En outre, sont collectées les informations suivantes relativement aux « responsables des informations des bénéficiaires effectifs » (si ce responsable est une personne physique ou pour chaque personne ayant qualité pour agir pour le compte de la personne morale si ce responsable est une personne morale) :
- identité : nom, prénoms, date et lieu de naissance, nationalités, signature ;
- adresse : adresse du domicile personnel, téléphone, email ;
- vie professionnelle : qualité ou fonction ;
- identité de la personne morale désignée responsable des informations sur les bénéficiaires effectifs, le cas échéant : adresse du siège social, numéro d’immatriculation ;
- identité de la personne à contacter : nom, prénom, téléphone, email, adresse.
Par ailleurs, les informations nominatives des agents de la DDE en charge des dossiers sont :
- identité : nom, prénom, matricule ;
- vie professionnelle : fonction, profil utilisateur ;
- données d’identification électronique : login, mot de passe ;
- log de connexion à l’application : données de connexion, données d’horodatage et actions effectuées.
Les informations nominatives collectées sur « les personnes disposant d’un accès autres que les agents de la DDE » sont :
- identité : nom, prénom, matricule, courriel ;
- vie professionnelle : organisme de rattachement, fonction, numéro de poste de travail ;
- fondement de l’accès : texte ou cadre de l’autorisation d’accès ;
- type d’accès : droit(s) ouvert(s), rôle(s) attribué(s) ;
- données de connexion ou journalisation : pour chaque connexion : éléments d’identification de l’auteur, références du dossier consulté, date et heure de consultation.
Enfin, les informations nominatives collectées sur « les personnes demandant des informations issues du registre en application des articles 22‑6 et 22‑7 de la loi n° 1.362 » sont :
- identité du demandeur personne physique ou signataire de la demande effectuée par une personne morale : nom, nom d’usage, surnom ou pseudonyme, prénoms, date et lieu de naissance, nationalités, adresse personnelle, pour les accès article 22‑7, le cas échéant son numéro et son lieu d’immatriculation dans un registre public ;
- identité du demandeur personne morale : forme juridique, dénomination ou raison sociale, siège social, numéro d’immatriculation, date d’immatriculation ;
- objet de la demande : entité légale concernée : forme juridique, la dénomination ou raison sociale et le numéro d’immatriculation de la société ou du groupement d’intérêt économique ;
- motif de la demande en application de l’article 22‑6 de la loi n° 1.362 : confirmation que la demande intervient dans le cadre de la mise en œuvre des mesures de vigilance l’égard d’une relation d’affaires ;
- motif de la demande en application de l’article 22‑7 de la loi n° 1.362 : énoncé des motifs de la demande en lien avec la lutte et la prévention du blanchiment de capitaux et du financement du terrorisme et de la prolifération des armes de destruction massive ;
- pièces justificatives : copie d’une pièce d’identité en cours de validité du signataire ; pour une demande article 22‑7 : confirmation que la personne requérante appartient à l’un des organismes et des personnes visés à l’article premier et 2 de la loi n° 1.362, justification de l’information portée à la connaissance de la personne morale concernée ou de la personne désignée responsable des informations élémentaires et des informations sur les bénéficiaires effectifs ;
- suivi des procédures préalables à la réponse de demande d’accès : (demande article 22‑7) date de notification aux personnes intéressées, date de retour des personnes intéressées et contenu, date de la consultation ;
- informations administratives : date et numéro d’arrivée de la demande à la DDE, état de la demande.
La Commission relève l’existence d’une rubrique « remarques » dans l’outil d’enregistrement des éléments se rapportant à une demande d’accès au registre objet du traitement. Elle rappelle au responsable de traitement qu’il doit s’assurer de la qualité de celles-ci, qui ne doivent pas contrevenir aux dispositions légales et notamment contenir des informations sensibles au sens de l’article 12 de la loi n° 1.165.
L’origine des informations n’appelle pas d’observation.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
> Sur l’information préalable des personnes concernées
Les personnes concernées sont informées de leurs droits par le biais d’une mention sur le document de collecte, d’un document spécifique à l’intention des agents ainsi que par le biais d’un e-mail adressé aux personnes habilitées à avoir accès au registre.
Ainsi, « Pour les assujettis, l’information des personnes concernées est délivrée par une mention figurant sur les documents de collecte, soit sur les formulaires ». L’information par formulaire concerne les assujettis, les déclarants, les personnes effectuant une demande de communications d’informations, celles effectuant une demande de restriction et le responsable des informations sur les bénéficiaires effectifs.
Les agents de la DDE et les personnes tierces autorisées sont quant à eux informés par une note de service adressée par e-mail. Pour les agents de la DDE, cette note est affichée dans un espace commun.
Les personnes tierces à la DDE sont en outre informées spécifiquement par e-mail de la traçabilité de leurs actions.
Cette dernière, jointe au dossier, est conforme à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
Les mentions d’informations précitées sont conformes aux exigences légales.
> Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale auprès de la Direction du Développement Économique.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
> Sur les destinataires
Le responsable de traitement indique qu’en « application de la réglementation, sont destinataires d’informations figurant au registre des bénéficiaires effectifs :
- La fonction de supervision de l’AMSF en application de l’article 53‑5 de la loi n° 1.362 ;
- La personne morale concernée, sous la forme d’un duplicata de récépissé d’enregistrement ou d’extrait du registre ;
- Sous la forme d’un extrait (article 22‑6 de la loi n° 1.362) :
• Les organismes et les personnes visés aux articles premier et 2 de la loi n° 1.362, sous la forme d’un extrait demandé avant d’établir une relation d’affaires en application des articles 4‑1 et 22‑2 de la loi n° 1.362 ;
• Les personnes morales assujetties à l’obtention et à la conservation d’informations sur leurs bénéficiaires effectifs pour les seules informations qu’elles ont déclarées ;
• Les organismes et les personnes assujettis à la loi n° 1.362 dans le cadre des mesures de vigilance à l’égard de leur clientèle, avec l’information concomitante de la personne morale concernée ou de la personne désignée responsable des informations élémentaires et des informations sur les bénéficiaires effectifs ;
• Les personnes désignées responsables des informations élémentaires et des informations sur les bénéficiaires effectifs pour les seules informations déclarées par les personnes qui les ont désignées.
- Sous la forme d’une consultation sur place :
• Aux personnes invoquant un lien avec la lutte et la prévention du blanchiment de capitaux et du financement du terrorisme et de la prolifération des armes de destruction massive ;
- Les autorités compétentes prévues par les textes (article 20 de la loi n° 721) ont accès aux informations figurant au registre des bénéficiaires effectifs au moyen d’un accès direct (…). ».
> Sur les accès
- Les accès sont définis comme suit :
• les personnels de la Direction du Développement Économique : tous droits dans le cadre de leurs missions pour la section RCI, en lecture pour certaines Sections/divisions/cellules/la Direction, en lecture/modification pour les agents de la Division du contrôle de l’activité des entreprises ;
• les personnels de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après demande écrite du métier ;
• les personnels de la Direction des Services Numériques (DSN) ou tiers intervenant pour son compte : dans le cadre d’un rôle d’assistance à maîtrise d’ouvrage, des missions de maintenance, de développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après demande du métier ;
- les agents autorisés des Autorités ayant besoin d’en connaître.
En ce qui concerne les tiers intervenant pour le compte de la DSI et de la DSN, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
En outre, il est indiqué qu’a accès en lecture le Département des Finances et de l’Économie.
À cet égard, la Commission avait au sein de sa délibération n° 2018‑175 du 21 novembre 2018, relative au présent traitement, invité « le responsable de traitement à s’assurer que l’accès au registre des bénéficiaires effectifs par les agents habilités du Département des Finances et de l’Économie est conforme aux dispositions légales ».
Par délibération n° 2019‑70 du 15 mai 2019 portant avis défavorable à la mise en œuvre de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion et suivi des sociétés civiles de droit monégasque par la Direction de l’Expansion Économique, la Direction des Services Fiscaux et l’IMSEE », elle avait précisé que « S’agissant de l’accès audit traitement par le Département des Finances et de l’Économie, elle considère que le fait d’exercer la tutelle de la Direction de l’Expansion Économique ne lui permet pas de disposer d’un accès direct aux traitements exploités par celle‑ci ».
En 2024, concernant cette problématique, la Commission avait, dans ses délibérations relatives aux traitements de la DDE, demandé à ce que le responsable de traitement lui revienne pour justifier de ces accès afin de pouvoir en apprécier l’opportunité, dans la mesure où sortent du cade prévu par les dispositions légales et réglementaires.
Depuis, la Commission a reçu une première justification reposant sur les missions dévolues à ce Département par les différents textes, et la supervision qu’il exerce sur la DDE. Toutefois, la Commission estime que ce rôle ne saurait justifier à lui seul d’accès directs au présent traitement. Elle considère donc que cet accès, en l’état des explications avancées jusqu’ici, doit être supprimé.
Enfin, elle relève que l’article 22 de la loi n° 1.362 dispose que « les personnes morales visées au troisième alinéa de l’article précédent, à l’exception des fondations, des associations et des fédérations d’associations, communiquent, lors de leur immatriculation puis régulièrement afin de les tenir à jour, les informations sur leurs bénéficiaires effectifs à la Direction du Développement Économique, aux fins d’inscription sur un répertoire spécifique intitulé « registre des bénéficiaires effectifs - sociétés et GIE - », annexé au répertoire du commerce et de l’industrie ». La Commission s’interroge donc sur l’étendue des accès dévolus aux entités légalement habilitées et estime qu’ils devraient être limités aux seules informations relatives aux bénéficiaires effectifs.
Sous ces réserves, la Commission considère que ces accès sont justifiés au regard du traitement.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre ayant pour finalités :
- « Gestion des habilitations et des accès au Système d’information », afin de gérer les accès selon les profils accordés aux utilisateurs et « veiller à la qualité des accès à la solution » ;
- « Gestion et analyse des évènements du système d’information » à des fins de traçabilité et de sécurité ;
- « Gestion des accès dédiés au Système d’Information du Gouvernement », afin d’assurer la sécurité des accès au SI par les administrateurs système ;
- « Gestion du Répertoire du Commerce et de l’Industrie », dont le présent traitement en est légalement une annexe.
Il est également rapproché des traitements légalement mis en œuvre suivants :
- « Assistance aux utilisateurs par le Centre de Service de la DSI », afin de permettre de répondre aux demandes des utilisateurs en cas de difficulté dans leur utilisation de la solution, étant précisé que le Centre de Service ne dispose pas d’accès à la solution ;
- « Gestion de la messagerie professionnelle », afin de permettre aux acteurs du traitement de pouvoir échanger, afficher et synchroniser les calendriers, gérer les contacts si l’utilisateur a paramétré ces options ;
- « Workflow interne à l’administration d’instruction des demandes de création d’activités », pour « permettre la vérification d’informations soumises par les assujettis au fur et à mesure de l’évolution de la procédure de création des activités et veiller à la cohérence des données ».
En outre, il est rapproché ou interconnecté avec les traitements « en cours d’élaboration » suivants :
- « Facturation et gestion de la comptabilité de la DDE » pour enregistrer des paiements des droits perçus par la DDE dans le cadre de ses missions notamment pour le RCI ;
- « Gestion des contrôles de la DDE », notamment pour le suivi des contrôles des assujettis, des manquements à la loi ;
- « Gestion du registre des trusts », « notamment lorsque les bénéficiaires effectifs d’une entité légale inscrite au RCI ou au RSSC sont déduits des rôles qui sont les leurs dans le ou les trusts ou structures juridiques similaires détenant au moins 25 % du capital et/ou des droits de vote. Dans ce cas, la DDE inscrit dans le présent traitement les informations des personnes dont les fonctions sont listées dans l’OS n° 2.318 ».
La Commission relève que ces trois derniers traitements ont été soumis à formalité et sont en cours d’analyse.
En ce qui concerne le rapprochement avec le registre des trusts, la Commission estime que si la DDE procède à l’inscription de certains bénéficiaires effectifs de trusts au sein du présent traitement, c’est pour respecter les dispositions de l’article 14 de l’Ordonnance Souveraine n° 2.318 qui dispose en son alinéa 3 que « Lorsqu’un trust détient ou contrôle directement ou indirectement au moins 25 % du capital ou des droits de vote de la personne morale, il faut entendre par bénéficiaire effectif les personnes visées à l’article 15 ». Ledit article 15 qualifie les bénéficiaires effectifs des trusts et autres structures juridiques similaires.
L’article 4‑1 de la loi n° 1.362 dispose quant à lui qu’« Avant d’établir une relation d’affaires avec une société, une fondation, une association ou une autre entité juridique, un trust ou une construction juridique présentant une structure ou des fonctions similaires à celles d’un trust, pour lesquels des informations sur les bénéficiaires effectifs doivent être enregistrées au « registre des bénéficiaires effectifs - sociétés et GIE - » en application de l’article 22 ou au registre des trusts en application de l’article 11 de la loi n° 214 du 27 février 1936, modifiée, ils doivent recueillir un extrait de l’inscription au registre concerné ».
La Commission estime ainsi que le rapprochement entre ces deux traitements est légitime. Elle s’interroge toutefois sur l’inscription automatique des bénéficiaires effectifs de trusts au sein du présent traitement par la DDE, ou si le rapprochement devrait uniquement permettre une analyse de cohérence par la DDE, avec tout le régime d’injonctions des assujettis en cas de différence. Outre le fait que cela fait peser sur les agents de la DDE un risque d’erreur de ressaisie, si le registre des trusts comporte des erreurs, elles seront nécessairement reportées au sein du présent traitement. Aussi, la Commission demande au responsable de traitement de lui revenir afin de justifier de la nécessité de cette ressaisie, pour qu’elle dispose de tous les éléments d’appréciation nécessaire.
Enfin, le responsable de traitement précise, « concernant les documents type bureautique », qu’ils font l’objet de mises en relation « pour la consultation de données sous l’ancienne base Notes et la gestion des documents de type bureautique » avec les traitements ayant pour finalité :
- « Gestion d’un outil de partage et de conservation sécurisés de documents » ;
- « Gestion des techniques automatisées de communication » ;
- « Traçabilité des évènements d’annuaires et des accès aux ressources associées ».
Elle en prend acte.
Aussi, sous la réserve évoquée supra, elle considère que ces interconnexions et rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
De plus, il convient de préciser que les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées « 10 ans à compter de la date de dissolution ou de liquidation de l’entité légale », excepté :
- en ce qui concerne les agents de la DDE en charge des dossiers, « tant que la personne est habilitée à gérer les dossiers + 2 ans » « en lien avec la durée de conservation des traces fixée par l’article 1er de l’Ordonnance Souveraine n° 3.573 du 11 mai 1966 » pour l’identité et la vie professionnelle ; « tant que la personne est habilitée à avoir accès + 3 mois » en ce qui concerne leurs données d’identification électronique ; 24 mois glissants pour les logs de connexion « en lien avec la durée de conservation des traces fixée par l’article 1er de l’Ordonnance Souveraine n° 3.573 du 11 mai 1966 » ;
- en ce qui concerne les personnes disposant d’un accès autre que les agents de la DDE, 2 ans après la fin des droits et 24 mois glissants pour les logs de connexion « en lien avec la durée de conservation des traces fixée par l’article 1er de l’Ordonnance Souveraine n° 3.573 du 11 mai 1966 ».
Il est de plus précisé qu’une fois ledit délai de 10 ans écoulé, il est mis en œuvre une « restriction des accès au responsable de la section RCI et au directeur de la DDE à des fins historiques, statistiques ou scientifiques en lien avec le SCADA (Service Central Des Archives et de la Documentation Administrative) et la MPAN (Mission de Préfiguration des Archives Nationales) ». La Commission en prend acte.
À titre liminaire, la Commission relève que cette durée de « 10 ans à compter de la date de dissolution ou de liquidation de l’entité légale » est légalement prévue pour le RCI et le RSSC, mais les textes sont silencieux sur la durée de conservation du présent registre, annexé au RCI. Elle estime néanmoins que cette durée de conservation est cohérente avec les autres dispositions, et les durées de conservation imposées aux entités relativement à leurs bénéficiaires effectifs.
Elle souhaite néanmoins appeler l’attention sur la situation des bénéficiaires effectifs qui perdent cette qualité et dont les informations demeurent conservées sans lien avec la finalité initiale pour cette durée de 10 ans après la dissolution de l’entité légale. Par délibération n° 2020‑113 portant avis sur la consultation du Ministre d’État relative au projet de loi renforçant le dispositif de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption il avait été relevé que « Par ailleurs, la Commission constate que rien ne vient encadrer les durées de conservations des données relatives à un bénéficiaire économique effectif qui perd cette qualité et souligne qu’une durée de conservation spécifique à ce cas d’espèce devrait être prévue ». Elle relève que la durée est justifiée au sein du dossier, le responsable de traitement indiquant qu’il « est nécessaire de pouvoir identifier tous les mouvements se rapportant aux personnes en lien avec les bénéficiaires effectifs et l’entité légale tout au long de la vie de cette entité, puis pendant les années suivant sa dissolution ou sa radiation. Certains de ces mouvements peuvent, par exemple, révéler une organisation, une stratégie de blanchiment ou de dissimulation du véritable BE ». La Commission en prend acte mais relève que la durée de vie d’une entité légale peut être bien supérieure à toute prescription, voire à l’espérance de vie des personnes concernées, conduisant à des durées de rétention sans lien avec l’objectif recherché.
Il convient également de relever des captures d’écran portées au dossier qu’un bénéficiaire effectif peut être écarté d’une telle qualification par la DDE, notamment au motif d’une « incompréhension notion BE ». La Commission demande que ces personnes bénéficient d’une durée de conservation proportionnée.
En outre, la Commission relève que les responsables des informations des bénéficiaires effectifs devraient être traités spécifiquement, notamment en ce qui concerne leurs durées de conservation, leur insertion dans le registre n’étant prévue qu’au niveau de l’Ordonnance Souveraine n° 2.318. L’article 22 de la loi n° 1.362 dispose quant à lui clairement que « les personnes morales visées au troisième alinéa de l’article précédent, à l’exception des fondations, des associations et des fédérations d’associations, communiquent, lors de leur immatriculation puis régulièrement afin de les tenir à jour, les informations sur leurs bénéficiaires effectifs à la Direction du Développement Économique, aux fins d’inscription sur un répertoire spécifique intitulé « registre des bénéficiaires effectifs - sociétés et GIE - », annexé au répertoire du commerce et de l’industrie ».
En conséquence elle fixe la durée de conservation des informations relatives aux responsables des informations des bénéficiaires effectifs à 5 ans en archive intermédiaire à compter de la perte de cette qualité, avant suppression définitive.
La Commission relève également que les informations des autres personnes concernées listées au point I de la présente délibération sont conservées 10 ans à compter de la date de dissolution ou de liquidation de l’entité légale, tels que les documents d’identité des personnels d’établissements bancaires effectuant une demande. Cette durée est justifiée par le responsable de traitement, car, selon lui, « il est important de pouvoir, par exemple, identifier, le cas échéant, une demande à laquelle la DDE aurait donné suite sur la base d’une fausse déclaration du requérant ». La Commission relève que la durée de conservation est disproportionnée eu égard à la justification avancée et la fixe à 3 ans à compter de la demande.
Après en avoir délibéré, la Commission :
Demande que :
- les accès dévolus au Département des Finances et de l’Économie soient supprimés ;
- le responsable de traitement justifie de l’insertion automatique des bénéficiaires effectifs de trusts éligibles à figurer au sein du présent traitement ;
- les bénéficiaires effectifs perdant cette qualité, ou dont la qualification est écartée par la DDE, bénéficient d’une durée de conservation proportionnée.
Rappelle que :
- le responsable de traitement doit veiller à la qualité des informations qui peuvent être renseignées dans les champs libres (remarques/observations) ;
- les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Estime que les accès des agents autres que ceux de la DDE devraient être limités aux seules informations des bénéficiaires effectifs, en application de l’article 22 de la loi n° 1.362.
Fixe la durée de conservation :
- des informations relatives aux personnes responsables des informations des bénéficiaires effectifs à 5 ans en archive intermédiaire à compter de la perte de cette qualité, avant suppression définitive ;
- des informations relatives aux demandes d’accès à 3 ans à compter de leur soumission.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion d’un registre des bénéficiaires effectifs des sociétés commerciales, groupements d’intérêt économique et sociétés civiles de droit monégasque ».
Le Président de la Commission
de Contrôle des Informations Nominatives.