Délibération n° 2024‑36 du 21 février 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du registre des comptes bancaires et coffres-forts monégasque » dénommé « FICOBAM » présentée par l'Autorité Monégasque de Sécurité Financière (AMSF).
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 2.318 du 3 août 2009 fixant les conditions d’application de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, modifiée ;
Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la délibération n° 2021‑200 du 15 septembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis sur la consultation du Ministre d’État relative aux projets d’Ordonnances Souveraines :
- portant modification de l’Ordonnance Souveraine n° 2.318 du 3 août 2009 fixant les conditions d’applications de la loi n° 1.362 du 3 août 2009, modifiée, relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, modifiée ;
- portant application de la loi n° 214 du 27 février 1936 portant révision de la loi n° 207 du 12 juillet 1935 sur les trusts, modifiée ;
Vu la demande d’avis déposée par l’Autorité Monégasque de Sécurité Financière, le 10 novembre 2023, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la « Gestion du registre des comptes bancaires et coffres-forts monégasque » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 8 janvier 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 février 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le traitement doit permettre à l’Autorité Monégasque de Sécurité Financière, instituée en tant qu’Autorité Administrative Indépendante par la loi n° 1.549 du 6 juillet 2023, « d’assurer la gestion du fichier des comptes bancaires et coffres-forts (FICOBAM) en application des articles 64‑1 et suivants de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption ».
La Commission constate que le présent traitement lui a été présenté comme relevant de l’article 11 de la loi n° 1.165, car il aurait pour objet « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ».
Elle estime toutefois que si le FICOBAM est un nouvel outil revêtant une utilité toute particulière au regard des objectifs de la loi n° 1.362, il permet surtout aux acteurs légalement habilités de la Place d’améliorer la transparence et la connaissance des clients des assujettis pour que l’AMSF dispose d’informations utiles à ses missions.
Il ne devrait dès lors pas relever des dispositions de l’article 11 et du régime y associé, au titre duquel seul le sens de l’avis de la CCIN est publié. Cela est d’autant plus vrai que les personnes disposent, en application de la loi n° 1.362, susvisée, d’un droit d’accès direct aux informations les concernant, et non d’un droit d’accès indirect comme le prévoient les dispositions qui s’infèrent de l’application de l’article 11 de la loi n° 1.165 relative à la protection des informations nominatives.
Aussi, la Commission s’estime légitime à rendre un avis en application de l’article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion du registre des comptes bancaires et coffres-forts monégasque » et est dénommé « FICOBAM ».
Il concerne les clients des établissements bancaires, les tuteurs et curateurs des titulaires de comptes le cas échéant, les bénéficiaires effectifs des comptes, le cas échéant le mandataire, le settlor, le trustee, le bénéficiaire du trust, ainsi que les agents et fonctionnaires de l’AMSF et les personnes habilitées à avoir accès au FICOBAM.
Les fonctionnalités du traitement sont :
- création d’un accès pour les entités visées à l’article 1er chiffre 1 et 2 de la loi n° 1.362 ;
- création du registre avec intégration des déclarations des entités concernées ;
- gestion de l’intégrité des fichiers et de la cohérence des données ;
- consultation du registre dans le cadre des missions de l’AMSF ;
- identification des personnes habilitées par les autorités listées à l’article 54‑3 de l’Ordonnance Souveraine n° 2.318 du 3 août 2009, modifiée ;
- consultation du registre par les autorités publiques compétentes, en application de l’article 64‑2 de la loi n° 1.362 ;
- établissement de statistiques et de tableaux de bord génériques (non nominatifs).
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public, en précisant qu’il s’inscrit dans le cadre « des dispositions de la cinquième directive (UE) transposées en droit interne dans la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption en ses articles 64‑1 et suivant (…) ».
À cet égard, la Commission relève que la loi susvisée contient un chapitre X intitulé « Du registre des comptes bancaires et des coffres-forts ». L’article 64‑1 prévoit les déclarations que doivent effectuer les personnes visées aux chiffres 1°) et 2°) de l’article premier de la loi n° 1.362 à l’AMSF.
L’article 64‑2 dispose quant à lui que :
« Ces déclarations font l’objet d’un traitement informatisé dénommé « registre des comptes bancaires et des coffres-forts » qui recense les comptes existants et les coffres-forts ouverts. Ce registre est tenu par le service exerçant la fonction de renseignement financier de l’Autorité.
Les informations contenues dans ce registre sont directement accessibles de manière immédiate et sans sélection aux autorités publiques compétentes suivantes :
• les agents habilités de l’Autorité monégasque de sécurité financière ;
• les personnels habilités des autorités judiciaires ;
• les officiers de police judiciaire de la Direction de la Sûreté Publique agissant sur réquisition du Procureur Général ou sur délégation d’un juge d’instruction ;
• les agents habilités du service de gestion des avoirs saisis ou confisqués relevant de la Direction des Services Judiciaires.
Ces informations sont également directement accessibles et de manière immédiate, sans sélection, aux autorités publiques compétentes suivantes pour les besoins de l’accomplissement de leurs missions dans le cadre de la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, y compris pour la mise en œuvre des procédures de gel des fonds et des ressources économiques :
• les officiers de police ayant au moins le grade de capitaine, individuellement et spécialement habilités par le Directeur de la Sûreté Publique ;
• les agents habilités de la Direction du Budget et du Trésor ;
• les agents habilités de la Direction des Services Fiscaux ;
• les agents habilités de la Direction du Développement Économique ;
• les agents habilités de la Commission de Contrôle des Activités Financières.
Les conditions d’accès au registre, ainsi que les dispositifs permettant d’assurer la traçabilité des consultations effectuées par les personnes habilitées sont définies par ordonnance souveraine ».
L’Ordonnance Souveraine n° 2.318, modifiée, susvisée, contient un Chapitre XVI bis intitulé « Du Registre des Comptes de paiement, des comptes bancaires et des coffres-forts ».
Ce chapitre contient les trois articles suivants :
• Article 54‑1
« En application des dispositions de l’article 64‑3 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, les déclarations d’ouverture, de clôture ou de modification de comptes ou contrats mentionnées à l’article 64‑1 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, doivent comporter les renseignements suivants :
- la désignation et l’adresse de l’établissement qui gère le compte ou a signé un contrat de location d’un coffre-fort ;
- la désignation du compte (numéro IBAN, nature, type et caractéristique) ou du coffre-fort loué ainsi que, pour cette dernière, la durée de la période de location ;
- la date et la nature de l’opération déclarée : ouverture, clôture ou modification ;
- lorsque le titulaire du compte ou le locataire du coffre-fort ou toute personne prétendant agir en son nom, ses mandataires ou ses bénéficiaires effectifs est une personne physique : les nom, prénoms, date et lieu de naissance, adresse et numéro du répertoire du commerce et de l’industrie pour les entrepreneurs individuels ;
- lorsque le titulaire du compte ou le locataire du coffre-fort ou toute personne prétendant agir en son nom, ses mandataires ou ses bénéficiaires effectifs est une personne morale, un trust, une entité juridique, une association ou une fondation : leur dénomination ou raison sociale, forme juridique, numéro du répertoire du commerce et de l’industrie ou du répertoire spécial des sociétés civiles et adresse.
Ces données sont conservées dix ans révolus après l’enregistrement de la clôture du compte que le titulaire soit une personne physique, une personne morale, un trust, toute entité juridique, une association ou une fondation. Ce délai de conservation peut être prorogé à l’initiative du Service exerçant la fonction de renseignement financier pour les besoins de ses missions ».
• Article 54‑2
« Les déclarations prévues par l’article 64‑1 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, doivent être établies par les assujettis selon un modèle de fichier défini par le Service exerçant la fonction de renseignement financier de l’Autorité et mis à leur disposition par tous moyens. Elles sont déposées sur un environnement informatique sécurisé conforme à l’état de l’art.
Un identifiant est attribué à chaque personne physique ou morale lors du dépôt de la déclaration ».
• Article 54‑3
« I. En application des deuxième et troisième alinéas de l’article 64‑2 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, ont accès aux informations contenues dans le registre mentionné au premier alinéa dudit article, les agents et personnels des autorités compétentes qui sont individuellement désignés et spécialement habilités :
- concernant les agents de l’Autorité monégasque de sécurité financière, par le Directeur de cette Autorité ;
- concernant le personnel des autorités judiciaires, par le Secrétaire d’État à la Justice, Directeur des Services Judiciaires ;
- concernant les officiers de police judiciaire de la Direction de la Sûreté Publique, par le Directeur de la Sûreté Publique ;
- concernant les agents du service de gestion des avoirs saisis ou confisqués, par le Directeur de ce Service.
Pour les besoins exclusifs des missions qui leurs sont confiées en matière de lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, y compris pour la mise en œuvre des procédures de gel des fonds et des ressources économiques, ont également accès à ces informations les agents des Autorités compétentes qui sont individuellement désignés et spécialement habilités :
- concernant les officiers de police ayant au moins le grade de capitaine, par le Directeur de la Sûreté Publique ;
- concernant les agents de la Direction du Budget et du Trésor, par le Directeur du Budget et du Trésor ;
- concernant les agents de la Direction des Services Fiscaux, par le Directeur des Services Fiscaux ;
- concernant les agents de la Direction du Développement Économique, par le Directeur du Développement Économique ;
- concernant les agents de la Commission de Contrôle des Activités Financières, par le Secrétaire Général de la Commission de Contrôle des Activités Financières.
Les personnes qui délivrent ces habilitations tiennent une liste des personnes qu’elles ont habilitées. Elles communiquent cette liste de manière sécurisée au chef du service exerçant la fonction de renseignement financier de l’Autorité.
II. La consultation des informations contenues dans le registre mentionné au premier alinéa de l’article 64‑2 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, par les agents et personnels habilités des autorités compétentes visés aux deuxième et troisième alinéas du même article, fait l’objet d’une journalisation qui se traduit par la conservation, pour chaque connexion, des éléments d’identification de l’auteur et des références du dossier consulté ainsi que des date et heure de consultation.
Ces informations sont conservées sur un support informatique pendant un an à compter de la consultation ».
La Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.
Les informations nominatives traitées sont :
- identité : sur la personne physique : genre, nom et nom marital, alias, prénoms, date et lieu de naissance, identifiant établi par le déclarant pour le FICOBAM ; pour la personne morale : raison sociale, forme juridique, le cas échéant numéro RCI SIREN LEI, le cas échéant n° du répertoire spécial des sociétés civiles, identifiant établi par le déclarant pour le FICOBAM ;
- adresses et coordonnées : adresse fiscale/légale ;
- rôle ou pouvoir sur le compte ou le coffre : titulaire, ou locataire, ou la précision de la nature du pouvoir sur le compte ou le coffre (exemple : mandataire, tuteur, curateur, bénéficiaire effectif, settlor, trustee);
- caractéristiques financières : domiciliation bancaire (nature, type, caractéristique, numéro IBAN), ID coffre-fort, devise, date d’entrée en relation d’affaire ;
- données d’identification électronique : identifiants et mots de passe des utilisateurs de la solution ;
- informations temporelles : logs fonctionnels : adresse IP, clé SSH, connexion, suivi de consultations des données ; logs système : logs de fonctionnement des équipements ; logs d’erreur : en cas d’erreur dans le fichier d’intégration ;
- identité des utilisateurs : nom, prénom, rôle dans la solution ;
- identification de l’établissement qui gère le compte ou a signé le contrat de location du coffre : raison sociale, adresse de l’établissement, code banque, code guichet ;
- identité des personnes habilitées à avoir accès au FICOBAM : nom, prénom, rôle, autorité, grade.
L’origine des informations n’appelle pas d’observation.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les droits des personnes concernées
> Sur l’information préalable des personnes concernées
Le responsable de traitement indique que la collecte de données est indirecte, les informations nominatives lui étant communiquées par les établissements bancaires déclarants. Aussi, il indique que la loi n° 1.362, instituant en son sein ledit registre, fait office d’information des personnes concernées.
Dans la même logique, « S’agissant des personnels de l’AMSF et des personnes habilitées à avoir accès au traitement, elles sont également informées par les articles 64‑2 et suivants de la loi n° 1.362 ».
Si la Commission relève qu’il appartient aux établissements bancaires, agissant comme responsable de traitement avec leurs clients, d’informer ces derniers que l’AMSF est destinataires de leurs informations nominatives, elle estime que cela ne dispense pas l’AMSF d’informer les personnes concernées par le biais de son site Internet de l’existence du présent traitement et des mentions exigées à l’article 14 de la loi n° 1.165 du 23 décembre 1993.
De même, les personnels habilités de l’AMSF et des différentes entités prévues dans les dispositions légales doivent faire l’objet d’une information directe et conforme aux dispositions de l’article 14 précité.
> Sur l’exercice du droit d’accès, de modification et de mise à jour
S’agissant du droit d’accès, le responsable de traitement indique que :
« S’agissant de l’exercice du droit d’accès, la personne concernée pourra avoir accès aux données qui la concerne intégrée dans le FICOBAM par un accès indirect auprès de la CCIN.
Toutefois s’agissant des droits de rectification ou de suppression, conformément à la loi n° 1.362, ces droits s’exercent directement auprès de l’établissement qui a communiqué les données au FICOBAM. Une fois les modifications réalisées, elles seront communiquées à l’AMSF par ledit établissement selon la procédure de modification des données ».
La Commission relève toutefois que l’article 64‑5 de la loi n° 1.362 dispose que « Le droit d’accès et de rectification aux informations figurant dans le registre des comptes bancaires et des coffres-forts concernant le titulaire des comptes et contrats visés à l’article 64‑1 s’exerce dans les conditions de l’article 15 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Lorsque des rectifications sont à apporter, la demande doit ensuite en être faite par le titulaire ou ses ayants droit directement auprès de l’établissement bancaire de domiciliation du ou des comptes ou contrats concernés ».
Les personnes concernées peuvent donc exercer l’ensemble de leurs droits auprès de l’AMSF, sous réserve, en cas de rectification nécessaire, d’en faire également la demande à l’établissement bancaire concerné. La Commission demande donc que les dispositions légales soient respectées.
IV. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que le responsable de traitement ne prévoit pas de destinataire pouvant recevoir communication des informations objets du présent traitement, à l’exception de l’éditeur de la solution qui peut recevoir en cas d’incident des logs d’erreur.
Par ailleurs, ont accès au traitement les agents habilités de l’AMSF ainsi que les personnels des autres entités habilités à avoir accès prévus à l’article 64‑2 de la loi n° 1.362, à savoir :
- les personnels habilités des autorités judiciaires ;
- les officiers de police judiciaire de la Direction de la Sûreté Publique agissant sur réquisition du Procureur Général ou sur délégation d’un juge d’instruction ;
- les agents habilités du service de gestion des avoirs saisis ou confisqués relevant de la Direction des Services Judiciaires ;
- les officiers de police ayant au moins le grade de capitaine, individuellement et spécialement habilités par le Directeur de la Sûreté Publique ;
- les agents habilités de la Direction des Services Fiscaux ;
- les agents habilités de la Direction du Développement Économique ;
- les agents habilités de la Commission de Contrôle des Activités Financières.
La Commission relève qu’en application de l’article 64‑2 de la loi n° 1.362, le « registre est tenu par le service exerçant la fonction de renseignement financier de l’Autorité ». Aussi, elle estime que seuls les agents habilités de l’AMSF appartenant à ce Service peuvent disposer d’accès aux droits étendus. Les autres personnels de l’AMSF, ainsi que les personnels habilités des entités tierces, ne peuvent avoir accès au traitement qu’en seule consultation.
En outre, il résulte de l’article 54‑3 de l’Ordonnance Souveraine n° 2.318 que les personnes sont habilitées, pour leurs personnels respectifs, par le Directeur de l’AMSF, le Directeur des Services Judiciaires, le Directeur de la Sûreté Publique, le Directeur du service de gestion des avoirs saisis ou confisqués. Il est précisé audit article que « Les personnes qui délivrent ces habilitations tiennent une liste des personnes qu’elles ont habilitées. Elles communiquent cette liste de manière sécurisée au chef du service exerçant la fonction de renseignement financier de l’Autorité ». La Commission rappelle que toute modification desdites listes doit être communiquée de manière sécurisée audit Service. Elle estime de plus :
- qu’en cas d’empêchement d’un Directeur, il devrait exister une possibilité d’habiliter les personnels de son entité par le biais d’une délégation de ce pouvoir, délégation qui devrait être textuellement encadrée ;
- les personnes qui délivrent les habilitations devraient être mensuellement informées, sans que cela n’entraine une conservation de données supplémentaire et distincte, des consultations effectuées par leurs personnels sur FICOBAM afin de pouvoir apprécier la pertinence et l’absence de détournement de la finalité de ces accès.
Enfin, il est indiqué que peuvent également avoir accès à l’information les personnes habilitées chez l’éditeur de la solution. La Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 ses droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article. À cet égard, il est précisé que les interventions du prestataire impliquant une visualisation des données s’effectuent sous supervision de l’AMSF selon une procédure sécurisée par la « Gestion des accès dédiés au Système d’information », et que les personnels du prestataire sont soumis à des clauses de confidentialité spécifiques avec le métier.
Sous ces réserves, la Commission considère que ces accès sont justifiés.
V. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le traitement est interconnecté avec les traitements légalement mis en œuvre suivants :
- « Gestion des habilitations et des accès au Système d’information », afin de disposer des éléments permettant de créer un compte aux utilisateurs ;
- « Gestion de la messagerie professionnelle », aux fins d’échanges et d’utilisation de la solution ;
- « Gestion des accès dédiés au Système d’information » afin de sécuriser les accès prestataires à la solution ;
- « Gestion et analyse des évènements du système d’information » afin de veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau.
Il est également rapproché avec les traitements légalement mis en œuvre suivants :
- « Gestion des enquêtes sur le blanchiment », et dont il est indiqué qu’il fera l’objet d’une modification prochaine, aux fins d’exercices des missions de l’AMSF ;
- « Assistance aux utilisateurs par le Centre de Service de la DSI », aux fins de recueillir les demandes en lien avec le traitement (en interne et pour intervention éditeur) ;
- « Gestion d’un outil de partage de documents sécurisés avec des partenaires internes et externes de l’administration monégasque » ;
- « Répertoire du commerce et de l’industrie » ;
- « Gestion et suivi des sociétés civiles de droit monégasque par la Direction de l’Expansion Économique, la Direction des Services Fiscaux et I’IMSEE ».
En ce qui concerne ces deux derniers traitements, le responsable de traitement indique que leur consultation permet la « vérification des éléments et les mises à jour des informations si nécessaire ».
La Commission relève que le traitement utilise les infrastructures et traitements de l’État. Elle constate que si l’AMSF est désormais une Autorité Administrative Indépendante, elle succède au SICCFIN qui était un Service du Gouvernement Princier, ce qui explique l’imbrication technique détaillée dans le présent traitement.
Elle souligne que les relations techniques avec le Gouvernement doivent ainsi être revues, selon des modalités qui marquent son indépendance. Il importe donc que l’AMSF, qui exploite des informations dont la sensibilité et la confidentialité sont protégées pénalement, dispose d’une autonomie fonctionnelle qui soit le reflet de son indépendance vis-à-vis des Services exécutifs de l’État. Ainsi, tout en tenant compte des impératifs induits par la mise en œuvre d’une telle migration informatique, la Commission invite l’AMSF à lui soumettre dans les plus brefs délais, une modification en ce sens du présent traitement.
Sous cette réserve et dans l’attente, la Commission constate que ces interconnexions et ces rapprochements sont conformes aux exigences légales et aux finalités initiales pour lesquelles les informations nominatives ont été collectées.
VI. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
De plus, il convient de préciser que les communications d’informations soient sécurisées en tenant compte de la nature des informations transmises.
En outre, la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VII. Sur la durée de conservation
Les données sont conservées « 10 ans à compter de la clôture du compte bancaire/coffre-fort (sauf en cas de prolongation décidée par l’AMSF dans les besoins de ses missions) », excepté en ce qui concerne :
- les données d’identification électronique et l’identité des utilisateurs, qui sont conservées « tant que la personne est habilitée à avoir accès » ;
- les informations temporelles, qui sont conservées 12 mois ;
- l’identification de l’établissement qui gère le compte ou a signé le contrat de location du coffre, qui est gardée 10 ans après la fin d’activité de l’établissement, sauf en cas de prolongation décidée par l’AMSF dans les besoins de ses missions ;
- l’identité des personnes habilitées à avoir accès au FICOBAM, qui sont conservées « tant que la personne est habilitée à avoir accès + 12 mois (ou jusqu’à la clôture d’un litige et des procédures associées le cas échéant) ».
À cet égard, la Commission relève que les informations transmises par les entités assujetties sont conservées « dix ans révolus après l’enregistrement de la clôture du compte que le titulaire soit une personne physique, une personne morale, un trust, toute entité juridique, une association ou une fondation. Ce délai de conservation peut être prorogé à l’initiative du Service exerçant la fonction de renseignement financier pour les besoins de ses missions » en application de l’Ordonnance Souveraine n° 2.318, susvisée, tandis que les informations relatives à la traçabilité des accès « sont conservées sur un support informatique pendant un an à compter de la consultation », en application de l’article 54‑3 du même texte.
Par délibération n° 2021‑200 portée aux visas, la Commission s’était interrogée sur la durée de conservation de 10 ans des informations inscrites dans le registre, alors en l’état de projet, qui diffère des obligations de conservations légales inscrites dans la loi n° 1.362 et fixées à 5 ans à compter de la clôture du compte pour les assujettis. Elle observe que ledit délai a été maintenu.
La Commission n’a en outre pas été consultée sur l’Ordonnance Souveraine n° 10.124 du 21 septembre 2023, qui a créé l’article 54‑3. Elle estime que la durée de conservation d’un an des accès aux informations des personnes concernées pourrait s’avérer trop courte.
La Commission considère toutefois que ces durées sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Demande que :
- le responsable de traitement informe de manière conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée :
• les personnes concernées, clientes des établissements bancaires, par le biais de son site Internet ;
• les personnels habilités sur son traitement, de manière individuelle ;
- les personnes concernées puissent exercer leurs droits directement auprès de l’AMSF , conformément aux dispositions légales.
Rappelle que :
- chaque Directeur cité à l’article 54‑3 de l’Ordonnance Souveraine n° 2.318 et qui maintient à jour une liste de ses personnels habilités doit communiquer au chef du service exerçant la fonction de renseignement financier de l’AMSF toute modification de la liste dont s’agit ;
- l’AMSF étant une Autorité Administrative Indépendante, ses relations techniques avec les Services exécutifs doivent faire l’objet d’une revue, notamment, et a minima au niveau contractuel ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;
- les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises ;
- la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.
Estime :
- qu’en cas d’empêchement d’un Directeur, il devrait exister une possibilité d’habiliter les personnels de son entité par le biais d’une délégation de ce pouvoir, délégation qui devrait être textuellement encadrée ;
- que les personnes qui délivrent les habilitations devraient être mensuellement informées, sans que cela n’entraine une conservation de données supplémentaire et distincte, des consultations effectuées par leurs personnels sur FICOBAM afin de pouvoir apprécier la pertinence et l’absence de détournement de la finalité de ces accès.
Invite l’AMSF à lui soumettre dans les plus brefs délais, tout en tenant compte des impératifs induits par la mise en œuvre d’une telle migration informatique, une modification du présent traitement qui marque son autonomie fonctionnelle vis-à-vis des Services exécutifs de l’État.
Relève :
- une différence de durée de conservation des informations nominatives des clients d’établissements bancaires, qui sont supprimées au sein desdits établissements 5 ans après la clôture du compte, tandis que la suppression intervient 10 ans après ladite clôture au sein de FICOBAM ;
- que la durée de conservation d’un an des données de consultation par les personnels des entités habilitées peut s’avérer trop courte.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par l’Autorité Monégasque de Sécurité Financière, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du registre des comptes bancaires et coffres-forts monégasque ».
Le Président de la Commission de Contrôle
des Informations Nominatives.