icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2022-89 du 22 juin 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Assistance aux utilisateurs de la plateforme EAI » exploité par la Direction des Services Fiscaux présenté par le Ministre d'État.

  • No. Journal 8598
  • Date of publication 08/07/2022
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.436  du 2 décembre 2016 portant approbation de ratification de la Convention concernant l’assistance administrative mutuelle en matière fiscale ;

Vu la loi n° 1.437 du 2 décembre 2016 portant approbation de ratification de l’Accord multilatéral entre les autorités compétentes concernant l’échange automatique de renseignements relatifs aux comptes financiers ;

Vu la loi n° 1.438 du 2 décembre 2016 portant approbation de ratification du Protocole de modification de l’Accord entre la Principauté de Monaco et la Communauté européenne prévoyant des mesures équivalentes à celles que porte la directive 2003/48/CE du Conseil ;

Vu la loi n° 1.444 du 19 décembre 2016 portant diverses mesures en matière de protection des informations nominatives et de confidentialité dans le cadre de l’échange automatique de renseignements en matière fiscale ;

Vu la loi n° 1.445 du 19 décembre 2016 portant diverses mesures relatives à la prescription et aux sanctions pénales applicables en matière d’échange automatique de renseignements en matière fiscale ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.085 du 25 septembre 1945 relative aux droits et devoirs des agents des services fiscaux ;

Vu l’Ordonnance Souveraine n° 6.208 du 20 décembre 2016 portant application de la Convention concernant l’assistance administrative mutuelle en matière fiscale, de l’Accord multilatéral entre autorités compétentes concernant l’échange automatique de renseignements relatifs aux comptes financiers et du Protocole de modification de l’accord entre la Communauté Européenne et la Principauté de Monaco prévoyant des mesures équivalentes à celles que porte la Directive 2003/48/CE ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;

Vu la délibération n° 2018-2 du 17 janvier 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Collecte d’informations nominatives et financières, dans le cadre de l’obligation d’échange automatique d’informations à des fins fiscales » et dénommé « Enregistrement et réception des déclarations des IFMD » de la Direction des Services Fiscaux ;

Vu la délibération n° 2018-83 du 20 juin 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Échange automatique d’informations à des fins fiscales entre Monaco et les juridictions soumises à déclaration » dénommé « Échange automatique d’informations en matière fiscale » de la Direction des Services Fiscaux ;

Vu la délibération n° 2018-178 du 21 novembre 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des demandes d’échange d’informations vers un autre État sur le fondement d’un accord international d’échange sur demande » exploité par le Département des Finances et de l’Économie et de la Direction des Services Fiscaux, présenté par le Ministre d’État ;

Vu la délibération n° 2019-52 du 17 avril 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des accès à la plateforme dédiée pour le dépôt de la déclaration pays par pays (action 13 BEPS) » et dénommé « Enregistrement et connexion des utilisateurs des entités déclarantes » de la Direction des Services Fiscaux, présenté par le Ministre d’État ;

Vu la délibération n° 2019-53 du 17 avril 2019 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des échanges spontanés de renseignements à des fins fiscales dans le cadre de l’action 5 du BEPS » de la Direction des Services Fiscaux, présenté par le Ministre d’État ;

Vu la demande d’avis déposée par le Ministre d’État, le 25 février 2022, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Assistance aux utilisateurs de la plateforme EAI » ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 22 juin 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La Direction des Services Fiscaux est amenée à répondre à diverses questions techniques et pratiques avec les établissements bancaires concernés par l’échange automatique d’informations (EAI), mais également avec les juridictions partenaires.

Pour se faire, elle entend centraliser le traitement de ces demandes au sein d’un outil unique permettant d’effectuer un suivi de tickets.

Conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, le Ministre d’État soumet ainsi, à l’avis de la Commission, le traitement y afférent.

I. Sur la finalité et les fonctionnalités du traitement

Ce traitement a pour finalité « Assistance aux utilisateurs de la plateforme EAI ».

Il concerne les utilisateurs de la plateforme EAI, le personnel de la Direction des Services Fiscaux, le personnel du Département des Finances, ainsi que les prestataires du Gouvernement.

Les fonctionnalités associées au présent traitement sont :

-  centralisation des demandes et questions des utilisateurs de la plateforme EAI par la transformation de mails en tickets d’assistance ;

-  traitement et suivi des demandes et questions des utilisateurs de la plateforme EAI (typologie de problème, affectation, urgence, résolution) au sein de la plateforme d’assistance ;

-  établissement de statistiques non nominatives ;

-  établissement de tableaux de bord non nominatifs.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Par délibération n° 2018-2 du 17 janvier 2018, le Ministre d’État a reçu un avis favorable de la Commission à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Collecte d’informations nominatives et financières, dans le cadre de l’obligation d’échange automatique d’informations à des fins fiscales » et dénommé « Enregistrement et réception des déclarations des IFMD » de la Direction des Services Fiscaux ».

Puis, par délibération n° 2018-83 du 20 juin 2018, le Ministre d’État a reçu un avis favorable de la Commission à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Échange automatique d’informations à des fins fiscales entre Monaco et les juridictions soumises à déclaration », dénommé « Échange automatique d’informations en matière fiscale ».

Afin de suivre les demandes de résolutions des difficultés rencontrées par les IFMD et les juridictions partenaires, le responsable de traitement indique qu’il est de son intérêt légitime de « rationaliser le traitement des échanges Emails de type help desk pour la plateforme EAI entre les banques, les juridictions partenaires et l’administration fiscale de Monaco », étant précisé que « les Emails susceptibles d’être échangés avec des juridictions partenaires hors UE ne contiennent pas de données personnelles ».

Concernant les modalités de résolutions des problèmes, la Commission relève que les catégories de personnes habilitées relativement au présent traitement diffèrent de celles mentionnées dans le traitement automatisé d’informations nominatives ayant pour finalité « Échange automatique d’informations à des fins fiscales entre Monaco et les juridictions soumises à déclaration » et celui ayant pour finalité « Collecte d’informations nominatives et financières, dans le cadre de l’obligation d’échange automatique d’informations à des fins fiscales » et dénommé « Enregistrement et réception des déclarations des IFMD ».

Toutefois, lesdites résolutions de problématiques ne nécessitent pas que les catégories de personnes habilitées indiquées uniquement dans le présent traitement d’assistance aux utilisateurs disposent d’accès aux informations nominatives présentes dans les deux traitements précités. Aussi, la Commission prend acte qu’il n’y a pas d’extension des droits d’accès aux informations nominatives en lien avec l’EAI.

Ainsi, elle considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations nominatives exploitées aux fins du présent traitement sont :

• En ce qui concerne les agents de la plateforme Help Desk :

-  identité : civilité, nom, prénom ;

-  adresse email : adresse email ;

-  numéro de ticket : numéro du ticket créé par la demande ;

-  horodatage du ticket : date et heure de création/modification/clôture du ticket ;

-  journaux de connexion : source (ticket ou système), ID de la demande, date, service (ticket ou connexion), identifiant et adresse IP de la personne qui s’est connectée au système, durée de connexion, actions réalisées (création, mise à jour, etc.).

• En ce qui concerne les utilisateurs de la plateforme ou les juridictions partenaires :

-  identité : civilité, nom, prénom ;

-  adresse email : adresse email ;

-  fonction : fonction dans l’entreprise ;

-  numéro de téléphone : numéro de téléphone ;

-  numéro de ticket : numéro du ticket généré à l’arrivée de la demande.

• En ce qui concerne les administrateurs de la solution :

-  numéro de ticket : numéro du ticket créé par la demande ;

-  horodatage du ticket : date et heure de création/modification/clôture du ticket ;

-  journaux de connexion : source (ticket ou système), ID de la demande, date, service (ticket ou connexion), identifiant et adresse IP de la personne qui s’est connectée au système, durée de connexion, actions réalisées (création, mise à jour, etc.).

Le responsable de traitement indique que les données ont pour origine le système s’agissant des informations relatives aux horodatages de tickets, aux journaux de connexion, aux logs de connexion. En ce qui concerne les autres informations relatives aux agents de la plateforme Help Desk, elles sont renseignées par la DSI tandis que les informations relatives aux utilisateurs/juridictions partenaires proviennent d’échanges de mails.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée :

-  « Pour les internes, par l’inscription du traitement sur la liste des traitements mis en œuvre par la Direction des systèmes d’information diffusée sur l’Intranet du Gouvernement, soit l’outil de communication interne de l’Administration pour les documents se rapportant au fonctionnement de l’Administration » ;

-  « Pour les externes par l’inscription d’un message en pied de mail et d’invitation à une réunion Teams (…) ».

Seule est jointe au dossier la mention figurant en pied de mail, qui est conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.

En ce qui concerne l’information des « internes », la Commission rappelle que ces derniers doivent aussi être informés de manière conforme aux dispositions de l’article 14 de la loi n° 1.165. Ils doivent également avoir été mis en mesure de prendre connaissance de la mention d’information. Celle-ci, qui ne se trouve accessible que depuis l’intranet et peut dès lors ne pas être connue de la personne concernée, doit faire l’objet d’une information individuelle des personnels afin qu’ils puissent valablement la consulter.

  •   Sur l’exercice du droit d’accès

Le droit d’accès s’exerce par voie postale auprès de la Direction des Services Fiscaux.

À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les personnes ayant accès au traitement

Le responsable de traitement indique que les personnes ayant accès au traitement sont :

-  les utilisateurs de la Direction des Services Fiscaux en lecture, création, modification, suppression, afin de répondre aux demandes reçues ;

-  les utilisateurs du Département des Finances pour la gestion des échanges avec les juridictions partenaires et l’OCDE ;

-  les administrateurs supports de la Direction des Systèmes d’Information, à des fins d’administration fonctionnelle (Gestion des accès, création des groupes. Sans accès aux données métier) ;

-  le prestataire uniquement à des fins d’assistance technique et fonctionnelle et d’assistance aux utilisateurs.

Concernant ce dernier, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Considérant les attributions de chacune de ces personnes et, eu égard à la finalité du traitement, les accès susvisés sont justifiés.

VI.   Sur les interconnexions

Le responsable de traitement indique que le présent traitement est interconnecté avec les traitements légalement mis en œuvre par l’État ayant pour finalités :

-  « Gestion de la messagerie professionnelle », afin de permettre aux acteurs du traitement de pouvoir échanger ;

-  « Gestion des habilitations et des accès au Système d’information », afin de disposer des éléments permettant de créer un compte aux utilisateurs ;

-  « Assistance aux utilisateurs par le centre de Service de la DSI », afin de permettre, d’une part, aux demandeurs de suivre l’évolution du traitement de leur demande et, d’autre part, aux intervenants d’intervenir le moment venu dans la procédure ;

-  « Gestion du parc informatique », afin de s’assurer que les versions des logiciels installés sur le serveur sont conformes ;

-  « Gestion des accès dédiés au système d’information », à des fins de sécurité ;

-  « Gestion et analyse des évènements du système d’information », à des fins de sécurité.

La Commission considère que ces interconnexions sont conformes aux exigences légales.

En outre, elle constate que le prestataire visé au point V de la délibération est amené, afin de résoudre les tickets dont il est saisi, à opérer sur la plateforme EAI qui contient les traitements listés dans les visas de la présente délibération.

Il est ainsi précisé que ce dernier peut, de manière occasionnelle en cas de nécessité, accéder à des informations nominatives « sous une gouvernance préétablie avec accord préalable ».

La Commission constate que cet accès n’est pas prévu dans les délibérations susmentionnées. Elle prend acte de la modification des accès sur l’ensemble des traitements contenus sur la plateforme EAI.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle néanmoins que, conformément à l’article 17 de la loi n° 1.165, modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par celui-ci et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations sont conservées 5 ans à compter de la clôture du ticket, exceptées celles relatives :

-  aux fichiers journaux qui sont effacées après 12 mois ;

-  aux logs de connexion des utilisateurs qui sont conservées entre chaque connexion et, pour la dernière connexion, 3 mois après la suppression du compte.

La Commission considère que ces durées de conservation sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Constate que le prestataire dispose d’un accès uniquement pour assistance technique et fonctionnelle et assistance aux utilisateurs sur la plateforme EAI et que sont ainsi modifiés relativement à ce point les traitements suivants :

-  « Collecte d’informations nominatives et financières, dans le cadre de l’obligation d’échange automatique d’informations à des fins fiscales » ;

-  « Échange automatique d’informations à des fins fiscales entre Monaco et les juridictions soumises à déclaration » ;

-  « Gestion des demandes d’échange d’informations vers un autre État sur le fondement d’un accord international d’échange sur demande » ;

-  « Gestion des accès à la plateforme dédiée pour le dépôt de la déclaration pays par pays (action 13 BEPS) » ;

-  « Gestion des échanges spontanés de renseignements à des fins fiscales dans le cadre de l’action 5 du BEPS ».

Rappelle que :

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-  les personnels placés sous la responsabilité de l’Administration doivent être informés conformément aux dispositions de l’article 14 de la loi n° 1.165 et doivent être mis en mesure de prendre connaissance de cette mention d’information.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Assistance aux utilisateurs de la plateforme EAI ».

Le Président de la Commission de
Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14