Délibération n° 2019-52 du 17 avril 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès à la plateforme dédiée pour le dépôt de la déclaration pays par pays (action 13 BEPS) » et dénommé « Enregistrement et connexion des utilisateurs des entités déclarantes » de la Direction des Services Fiscaux, présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, et son Protocole additionnel ;
Vu la Convention concernant l'assistance administrative mutuelle en matière fiscale de l'O.C.D.E. signée par la Principauté de Monaco le 13 octobre 2014 et entrée en vigueur le 1er avril 2017 rendue exécutoire par Ordonnance Souveraine n° 6.208 du 20 décembre 2016 ;
Vu l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays signé le 2 novembre 2017 ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.436 du 2 décembre 2016 portant approbation de ratification de la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
Vu l'Ordonnance Souveraine n° 3.085 du 25 septembre 1945 relative aux droits et devoirs des agents des services fiscaux ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré ;
Vu l'Ordonnance Souveraine n° 6.205 du 16 décembre 2016 rendant exécutoire la Convention concernant l'assistance administrative mutuelle en matière fiscale ;
Vu l'Ordonnance Souveraine n° 6.712 du 14 décembre 2017 rendant exécutoire l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays, et son annexe ;
Vu l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017 portant application de l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays ;
Vu l'arrêté ministériel n° 2019-37 du 14 janvier 2019 portant application de l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017 portant application de l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays ;
Vu la demande d'avis déposée par le Ministre d'État, le 2 janvier 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Échange automatique d'informations à des fins fiscales entre Monaco et les juridictions du cadre inclusif BEPS » ;
Vu la demande d'autorisation de transfert déposée par le Ministre d'État, le 25 janvier 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Transmission d'informations à des fins fiscales entre Monaco et les juridictions du cadre inclusif BEPS » ;
Vu la demande d'avis déposée par le Ministre d'État, le 2 janvier 2019, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Collecte d'informations nominatives et financières, dans le cadre de l'obligation d'échange automatique d'informations à des fins fiscales » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 28 février 2019, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 avril 2019 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Conformément à l'article 3 de l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017 portant application de l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays, « toute Entité déclarante, résidente fiscale de Monaco, est tenue de transmettre à la Direction des Services Fiscaux une Déclaration pays par pays portant sur son exercice fiscal déclarable conformément aux dispositions des articles 5 et 6 » dans les délais mentionnés à l'article 4 de celle-ci.
Afin d'organiser la collecte de ces déclarations qui elles-mêmes ne contiennent pas d'informations nominatives, la Direction des Services Fiscaux (DSF) s'appuie sur la plateforme technique dénommée « Portail d'Échange Automatique d'Informations » accessible à l'adresse https://eai.gouv.mc, permettant aux Entités déclarantes d'effectuer la déclaration visée à l'article 3 de l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017.
À cet égard, l'article premier de l'arrêté ministériel n° 2019‑37 du 14 janvier 2019 portant application de l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017 portant application de l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays dispose qu'« il est ajouté une fonctionnalité au téléservice mis en œuvre par la Direction des Services Fiscaux conformément à l'article 42 de l'Ordonnance Souveraine n° 3.413 du 29 août 2011, susvisée, intitulée « Portail d'Échange Automatique d'Informations » accessible à l'adresse https://eai.gouv.mc, permettant aux Entités déclarantes d'effectuer la déclaration visée à l'article 3 de l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017, susvisée ».
Ainsi, le traitement automatisé d'informations nominatives dont s'agit est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Collecte d'informations nominatives et financières, dans le cadre de l'obligation d'échange automatique d'informations à des fins fiscales ». Il est dénommé : « Enregistrement et connexion des utilisateurs des entités déclarantes ».
Le responsable de traitement indique qu'il concerne « les personnes dûment habilitées (utilisateurs) ».
À l'examen du dossier, la Commission considère que « les agents de la DSF [dûment habilités qui] contrôlent la recevabilité des informations renseignées par l'utilisateur primaire, ainsi que les documents fournis, puis approuvent l'enregistrement via la plateforme » sont également des personnes concernées.
Le traitement a pour fonctionnalités :
« Le traitement de collecte d'informations nominatives et financières se fait au travers de la plateforme EAI (Échange Automatique d'Informations).
L'accès à la plateforme EAI se fait via le Portail EAI (Échange Automatique d'Informations) : application web accessible via internet aux utilisateurs des entités déclarantes qui devront effectuer des déclarations à destination d'autres juridictions du cadre inclusif BEPS.
Fonctionnalités : enregistrement et/ou modification et connexion des utilisateurs d'une entité déclarante (MNE) ;
Étape 1 : Soumission du formulaire d'enregistrement (préalablement à la première connexion) ;
Étape 2 : Délivrance de l'accusé d'enregistrement et délivrance des accès par la DSF ;
Étape 3 : Connexion des utilisateurs (primaires ou secondaires) d'une entité déclarante ».
À l'examen du dossier, la Commission constate que le traitement dont s'agit a également pour fonctionnalité d'identifier l'Institution Financière déclarante et les utilisateurs, et pour ces derniers, notamment au moyen de la collecte de la copie d'un document officiel (pièce d'identité ou passeport en cours de validité) barré et en noir et blanc et d'un document d'habilitation.
À cet égard, elle rappelle que l'exploitation de ces documents doit être conforme à sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
Aussi, la Commission relève que le traitement dont s'agit lui a été soumis sous la finalité « Collecte d'informations nominatives et financières, dans le cadre de l'obligation d'échange automatique d'informations à des fins fiscales ».
Or, considérant que la finalité doit être déterminée, explicite et légitime, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993, elle modifie la finalité ainsi qu'il suit : « Gestion des accès à la plateforme dédiée pour le dépôt de la déclaration pays par pays (action 13 BEPS) ».
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d'une obligation légale à laquelle est soumis le responsable de traitement ou son représentant.
À cet égard, les textes visés figurent dans les visas et le préambule de la présente délibération.
Aussi, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité : nom, prénom ;
- adresses et coordonnées : adresse email, numéro de téléphone portable ;
- diplômes – vie professionnelle : fonction exercée au sein de l'entité déclarante ;
- autres documents collectés : document d'identité (copie de la pièce d'identité ou du passeport en cours de validité, en noir et blanc et barrée), document d'habilitation (lettre d'autorisation signée par la direction de l'entité déclarante) ;
- logs de connexion : enregistrement des logs de connexion.
À l'exception des logs de connexion qui sont générés par le système, les informations ont pour origine la personne concernée et leur collecte est prévue par l'article 5 de l'arrêté ministériel n° 2019-37 du 14 janvier 2019 portant application de l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017 portant application de l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays.
Par ailleurs, la Commission constate que, conformément à l'article 3 de l'arrêté ministériel n° 2019-37 susmentionné, « aux fins de leur identification, les Entités déclarantes doivent renseigner les éléments d'identification obligatoires suivants : [nom de l'Entité, type d'entité, adresse] ».
Aussi, elle considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
Le responsable de traitement indique que l'information préalable des personnes concernées est effectuée par le biais d'une mention sur la plateforme informatique de collecte, jointe au dossier.
À la lecture du document joint, la Commission observe que la finalité à laquelle il est fait référence se rapporte uniquement aux obligations déclaratives liées à l'échange automatique d'informations en matière fiscale.
En conséquence, elle demande que celle-ci soit complétée par la finalité du traitement dont s'agit.
Par ailleurs, constatant que les agents de la Direction des Services Fiscaux sont également des personnes concernées par le traitement, la Commission demande que le responsable de traitement s'assure de leur information préalable, conformément à l'article 14 de la loi n° 1.165 du 23 décembre 1993\.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé sur place à la Direction des Services Fiscaux ou par un accès en ligne à son dossier après authentification.
Les droits de rectification, de suppression et de mise à jour des données sont réalisés suivant les mêmes modalités.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
Le responsable de traitement indique que les catégories de personnes habilitées à avoir accès aux informations sont :
- la Direction des Services Fiscaux : réception et consultation des informations nominatives des utilisateurs pour approbation d'enregistrement sur la plateforme ;
- la Direction des Réseaux et Systèmes d'Information : accès pour la maintenance, modification d'un utilisateur primaire d'une MNE (accès aux données nominatives sous une gouvernance préétablie avec accord préalable) ;
- les prestataires externes : accès pour la maintenance, modification d'un utilisateur primaire d'une MNE (accès aux données nominatives sous une gouvernance préétablie avec accord préalable).
À cet égard, la Commission rappelle que ces accès doivent être limités aux seuls personnels dûment habilités de la Direction des Services Fiscaux et de la Direction des Réseaux et Systèmes d'Information.
Par ailleurs, la Commission constate que, conformément à l'article 4 de l'arrêté ministériel n° 2019-37 du 14 janvier 2019 portant application de l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017 portant application de l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays, « l'utilisateur primaire du compte de chaque Entité déclarante, mentionné à l'article 2, a accès, pour celle-ci, à l'ensemble des services proposés par la fonctionnalité liée à la déclaration pays par pays, à savoir en particulier, la création, l'affichage, la modification, le téléchargement, la soumission d'une déclaration, la création et la gestion d'utilisateurs secondaires ».
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le responsable de traitement indique le traitement dont s'agit n'est l'objet d'aucun rapprochement ni d'aucune interconnexion.
La Commission en prend donc acte.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations nominatives sont conservées pour « la durée de l'habilitation plus 3 ans (dès lors que le profil devient inactif) ». Les logs sont conservés 1 an.
La Commission constate que ces durées de conservation sont en adéquation avec le dernier alinéa de l'article 5 de l'arrêté ministériel n° 2019-37 du 14 janvier 2019 portant application de l'Ordonnance Souveraine n° 6.713 du 14 décembre 2017 portant application de l'Accord multilatéral entre autorités compétentes portant sur l'échange des déclarations pays par pays.
Aussi, elle considère que ces durées ne sont pas excessives au sens de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
Après en avoir délibéré, la Commission :
Modifie la finalité ainsi qu'il suit : « Gestion des accès à la plateforme dédiée pour le dépôt de la déclaration pays par pays (action 13 BEPS) ».
Considère que les agents de la Direction des Services Fiscaux sont également des personnes concernées.
Rappelle que :
- l'exploitation des copies de documents d'identité officiels doit être conforme à sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels ;
- les accès au présent traitement doivent être limités aux seuls personnels dûment habilités de la Direction des Services Fiscaux et de la Direction des Réseaux et Systèmes d'Information ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Demande que :
- l'information des personnes concernées soit complétée par la finalité du présent traitement ;
- le responsable de traitement s'assure de l'information préalable des agents de la Direction des Services Fiscaux.
À la condition de la prise en compte des éléments qui précèdent,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des accès à la plateforme dédiée pour le dépôt de la déclaration pays par pays (action 13 BEPS) » de la Direction des Services Fiscaux.
Le Président de la Commission de Contrôle des Informations Nominatives.