icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024‑215 du 13 novembre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du contrôle de l'activité des entreprises », exploité par la Direction du Développement Économique (DDE) présenté par le Ministre d'État.

  • N° journal 8723
  • Date de publication 29/11/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.144 du 26 juillet 1991 concernant l’exercice de certaines activités économiques et juridiques, modifiée ;

Vu la loi n° 767 du 8 juillet 1964 relative à la révocation des autorisations de constitution des sociétés anonymes et en commandite par actions ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;

Vu la demande d’avis déposée par le Ministre d’État, le 15 juillet 2024, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la « Gestion du contrôle de l’activité des entreprises » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 13 septembre 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 13 novembre 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le responsable de traitement indique que « De manière aléatoire, sur une alerte d’un usager, en cas d’identification d’incohérence par les agents d’autres divisions (…) la DCAE [Division du contrôle de l’activité des entreprises de la DDE] organise le contrôle des acteurs économiques ».

Il précise que « Les missions de la Division de Contrôle des Activités Économiques (DCAE) de la DDE portent au principal sur :

-    la vérification du respect de l’objet social, soit la cohérence avec les actions réalisées par les entités légales et celles décrites dans leurs déclarations ou autorisations, aboutissant parfois sur le constat d’un dépassement d’objet social ;

-    le contrôle de l’affichage des prix ;

-    le contrôle de l’activité d’une entreprise qui commence son activité avant d’avoir achevé les formalités de déclaration ou d’avoir reçu l’autorisation d’exercer, selon le cas ;

-    la vérification de la qualité du dossier de l’entité : BE déclarés, anomalie dans le dossier, comptes déposés, déclarations quinquennales à jour … ».

Aussi, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, le Ministre d’État soumet à l’avis de la Commission le traitement ayant pour finalité « Gestion du contrôle de l’activité des entreprises ».

I.   Sur la finalité et les fonctionnalités du traitement

Le traitement a pour finalité « Gestion du contrôle de l’activité des entreprises ».

Il concerne les gérants ou représentants des entités légales ayant une activité économique en Principauté de Monaco, les personnes rencontrées lors des contrôles des activités économiques, les usagers alertant la DDE sur l’activité d’une entreprise et les agents de la DDE intervenant dans le cadre des contrôles de ces activités.

Les fonctionnalités sont :

-    organisation des contrôles : identification des entités à contrôler, affectation des contrôles aux agents, planification des contrôles ;

-    élaboration des documents préparatoires aux contrôles sur pièces ou sur place ;

-    rédaction des notes, comptes rendus et rapports afférant aux contrôles ;

-    suivi des correspondances avec les entités légales contrôlées et leurs représentants ;

-    enregistrement des doléances ou informations concernant les entités légales exerçant une activité en Principauté ;

-    suivi des décisions du Directeur de la DDE ;

-    préparation des Commissions de révocation des activités économiques ;

-    établissement de statistiques.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public.

Il précise ainsi que « Le présent traitement permet l’exécution de missions relevant de l’exercice de l’autorité publique incombant à la DDE par le biais, plus spécifiquement, de la division du contrôle de l’activité des entreprises, relevant du pôle conformité, contrôle et enregistrement de la DDE ».

L’article 2 de l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique indique que ladite Direction « est organisée autour de plusieurs pôles de compétences » dont « Le Pôle Conformité, Contrôle et Enregistrement composé de : la division du Contrôle de l’Activité des Entreprises (…) ». Elle est chargée au titre de l’article 3 « du contrôle et de la conformité de l’activité des entreprises ».

Le responsable de traitement précise que « La DCAE se fonde, de manière générale, sur la loi n° 1.144, la loi n° 767, le Code Civil et le Code du Commerce afin d’organiser les contrôles, ainsi que, le cas échéant, sur les textes encadrant les activités contrôlées (…) ». À cet égard, les articles 18 et suivants de la loi n° 1.144 du 26 juillet 1991 concernant l’exercice de certaines activités économiques et juridiques, modifiée, viennent encadrer le déroulé d’un contrôle et permettre la collecte des documents et justifications nécessaires.

La Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165, modifiée.

III.   Sur les informations traitées

Les informations collectées sur les personnes rencontrées lors des contrôles sont :

-    identité : nom, prénoms, date et lieu de naissance, nationalités, signature ;

-    fonction : titre ou fonction dans l’entité ;

-    informations concernant l’entité légale : dénomination ou raison sociale, numéro de registre, forme juridique, adresse du siège ;

-    coordonnées : adresse personnelle ;

-    bilan des échanges : pièces vérifiées, résumé des échanges au cours du contrôle.

Le responsable de traitement indique qu’en ce qui concerne les bénéficiaires effectifs objet d’un contrôle de cohérence entre la réalité et la déclaration au Registre, les informations collectées sont :

-    identité : nom, prénom (raison sociale si personne morale) ;

-    contrôle de l’entité : type de contrôle de l’entité par le BE.

En outre, les informations nominatives des agents de la DDE en charge des contrôles sont :

-    identité : nom, prénom, initiales ;

-    données d’identification électronique : login, mot de passe ;

-    log de connexion à l’application : données de connexion, données d’horodatage et actions effectuées.

Il précise enfin que sont collectées des « informations générales sur les contrôles » :

-    données temporelles : date du contrôle ;

-    pièces justificatives/documents communiqués : toutes les pièces justificatives communiquées lors des contrôles ;

-    notes et commentaires : notes et commentaires des agents, analyse de l’activité et de la conformité/cohérence ;

-    décision à la suite du contrôle : décision du Directeur de la DDE.

En ce qui concerne les commentaires, qui ne doivent pas contenir d’informations sensibles au sens de l’article 12 de la loi n° 1.165, modifiée, la Commission rappelle leur nécessaire adéquation aux objectifs recherchés.

L’origine des informations n’appelle pas d’observation.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

>   Sur l’information préalable des personnes concernées

Les personnes concernées sont informées de leurs droits par le biais d’une mention intégrée dans un document remis à l’intéressé et d’un document spécifique à l’intention des agents.

Concernant l’information des personnes contrôlées, une mention d’information jointe au dossier est insérée dans la lettre de mission.

Les agents de la DDE et les personnes tierces autorisées sont quant à eux informés par une note de service adressée par mail. Pour les agents de la DDE, cette note est affichée dans un espace commun et est jointe au dossier.

Les mentions d’informations précitées sont conformes aux exigences légales.

>   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale auprès de la Direction du Développement Économique.

La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

>   Sur les destinataires

Le responsable de traitement indique que les informations en lien avec un contrôle sont, en cas de dépassement d’objet social, communiquées aux membres de la Commission de révocation et au Ministre d’État.

>   Sur les accès

Les accès sont définis comme suit :

-    les agents habilités de la DCAE : tous droits dans le cadre de leurs missions ;

-    les agents habilités de la DDE : accès aux dossiers papiers des entités légales - seul le rapport final est archivé dans le dossier de l’entité ;

-    la Direction de la DDE, uniquement lorsque sa signature est requise sur les rapports ;

-    les personnels de la Direction des Systèmes d’Information (DSI) : pas d’accès sauf nécessité de service après demande du métier.

En ce qui concerne les potentiels tiers intervenant pour le compte de la DSI, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Sous cette réserve, la Commission considère que ces accès sont justifiés au regard du traitement.

VI.   Sur les rapprochements et les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre ayant pour finalité :

-    « Gestion des habilitations et des accès au Système d’information », afin permettre l’accès aux environnements de travail ;

-    « Gestion et analyse des évènements du système d’information » à des fins de traçabilité et de sécurité ;

-    « Traçabilité des évènements d’annuaire et des accès aux ressources associées » ;

-    « Tenue du Registre des Professions et du Registre des Artisans », afin que la DCAE puisse identifier la mise en place d’un contrôle et avoir accès en lecture aux informations concernant l’entité contrôlée ;

-    « Gestion du Répertoire du Commerce et de l’Industrie », afin que la DCAE puisse identifier en back office la mise en place d’un contrôle et avoir accès en lecture aux informations concernant l’entité contrôlée.

Il est également rapproché des traitements légalement mis en œuvre suivants :

-    « Assistance aux utilisateurs par le Centre de Service de la DSI », afin de permettre de répondre aux demandes des utilisateurs en cas de difficulté dans leur utilisation de la solution, « et de traiter le sujet soulevé selon les procédures d’escalade en place » ;

-    « Gestion de la messagerie professionnelle », afin de permettre les échanges entre les agents et avec les usagers ;

-    « Gestion des techniques automatisées de communication », afin de permettre « la conservation des correspondances dans la base courriers » et d’avoir « accès en consultation aux courriers de la DDE associés à l’activité contrôle » ;

-    « Gestion d’un outil de partage de documents sécurisé avec des partenaires internes et externes à l’Administration monégasque », afin de « conserver et de partager les documents de manière sécurisée, notamment lorsqu’ils sont considérés comme sensibles/confidentiels par le service que ce soit pour les échanges avec les Services de l’Administration ou avec les usagers » ;

-    « Gestion du Registre Spécial des Sociétés Civiles » pour comprendre l’organisation d’une entité contrôlée et les liens pouvant exister entre les acteurs économiques (mais la DCAE ne contrôle pas les sociétés civiles) ;

-    « Gestion des outils de travail collaboratif », afin de permettre aux utilisateurs de pouvoir échanger de manière plus pro-active avec leurs collègues ou au sein de l’Administration.

La Commission considère que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les dossiers concernant les contrôles sont conservés :

-    10 ans après la date de liquidation ou de radiation de l’entité légale ;

-    puis restriction des accès au responsable du Pôle Conformité, Contrôle et Enregistrement et au Directeur de la DDE à des fins historiques, statistiques ou scientifiques en lien avec le SCADA (Service Central des Archives et de la Documentation Administrative) et la MPAN (Mission de Préfiguration des Archives Nationales).

Il précise que « Cette durée de conservation est nécessaire car elle permet dans le temps, par exemple :

-    De suivre le respect de la réglementation par une entité légale ou ses représentants successifs dans le temps ;

-    D’éviter que par différents montages juridiques, une personne ne tente de créer une activité alors que cette activité a fait l’objet d’un refus d’autorisation ou d’une révocation ;

-    De s’assurer qu’une personne contrôlée en dépassement d’objet social ne tente par ailleurs d’être autorisée à exercer une activité similaire, potentiellement révocable car en dépassement d’objet ».

La Commission relève toutefois que les durées de conservation évoquées sont trop longues eu égard aux justifications avancées, s’alignant sans justification à la durée d’existence de l’entité objet de la vérification (ou de la vérification de son bénéficiaire effectif), et donc sans lien avec le contrôle opéré.

Elle fixe donc la durée de conservation, si les informations ne sont pas anonymisées à plus brève échéance, à 5 ans à compter de la clôture définitive du dossier.

Par ailleurs, les données d’identification électronique sont conservées « tant que la personne est habilitée à avoir accès + 3 mois » et les logs de connexion « 24 mois glissant pour les accès aux registres de la DDE ».

Sous les réserves sus-évoquées, la Commission considère que ces durées de conservation sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que le responsable de traitement doit veiller à la qualité des informations qui peuvent être renseignées dans les commentaires.

Fixe la durée de conservation, si les informations ne sont pas anonymisées à plus brève échéance, à 5 ans à compter de la clôture définitive du dossier.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du contrôle de l’activité des entreprises ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14