Délibération n° 2024‑200 du 9 octobre 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du Registre des Trusts », exploité par la Direction du Développement Économique (DDE) présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 214 du 27 février 1936, modifiée, portant révision de la loi n° 207 du 12 juillet 1935 sur les trusts ;
Vu la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, modifiée ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 8.635 du 29 avril 2021 portant application de la loi n° 214 du 27 février 1936 portant révision de la loi n° 207 du 12 juillet 1935 sur les trusts, modifiée ;
Vu l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État, le 15 juillet 2024, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la « Gestion du Registre des Trusts » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 13 septembre 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 9 octobre 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
En applications des dispositions de la loi n° 214 du 27 février 1936, modifiée, portant révision de la loi n° 207 du 12 juillet 1935 sur les trusts et de l’Ordonnance Souveraine n° 9.827 du 15 mars 2023, la Direction du Développement Économique (DDE) a pour mission de tenir le Registre des Trusts.
Aussi, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993 modifiée, le Ministre d’État soumet à l’avis de la Commission le traitement ayant pour finalité « Gestion du Registre des Trusts ».
I. Sur la finalité et les fonctionnalités du traitement
Le traitement a pour finalité « Gestion du Registre des Trusts ».
Il concerne :
- les bénéficiaires effectifs de chaque trust ou de toute construction juridique similaire ;
- les constituants de trusts ou de toute construction juridique similaire ;
- les protecteurs du trust ou de toute construction juridique similaire ;
- les personnes physiques exerçant en dernier lieu un contrôle effectif sur le trust, le cas échéant ;
- les trustees ou co-trustees ;
- le représentant local du trust, lorsque le trust est établi ou domicilié à l’étranger ;
- toute personne occupant une fonction équivalente au trustee dans une construction juridique similaire au trust devant être inscrite audit registre ;
- les agents de la DDE intervenant dans la gestion du registre des trusts ;
- les personnes pouvant avoir accès au registre des trusts dans le cadre de leurs fonctions ;
- les professionnels intervenant pour le trust dans le cadre de leurs activités (ex. experts-comptables, liquidateurs) ;
- le cas échéant les ayants droit dans le cadre des successions.
Les fonctionnalités sont :
- gestion des documents et informations nécessaires à l’inscription, modification et radiation d’un trust (ex. formulaire, pièces justificatives) ;
- tenue du registre des trusts ;
- gestion des accès au registre des trusts par les tiers autorisés ;
- gestion des demandes d’accès au registre des trusts ;
- gestion des correspondances avec les assujettis, les trustees, leurs représentants locaux ou les personnes investies du pouvoir de représenter le trust ou la structure juridique similaire ;
- contrôle de la complétude des dossiers d’inscription, modification, radiation du registre des trusts ;
- annuaire des contacts professionnels en lien avec le registre des trusts ;
- analyse des données.
L’analyse du dossier (dernier des registres qui restait à soumettre à l’avis de la Commission depuis le renforcement du droit interne en matière de lutte contre le blanchiment) fait pour la première fois apparaître une gestion des bénéficiaires effectifs centralisée et transverse aux différents registres. La Commission demande au responsable de traitement d’analyser l’impact que ce choix peut avoir sur le plan de la sécurité technique et juridique (par exemple, en cas de dérogation accordée au BE le protégeant de l’accès de tiers à ses informations au titre du registre des trust, qu’advient-il si le trust dépasse ensuite 25 % dans le capital d’une entité commerciale et que, de fait, le BE du trust devient également BE de ladite société ?).
Sous cette réserve, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public et par une obligation légale à laquelle il est soumis.
À titre liminaire, la Commission constate que l’obligation légale soulevée en l’espèce correspond aux textes imposant à la DDE ses missions. Elle estime donc que l’obligation légale s’analyse en l’espèce comme un motif d’intérêt public.
À cet égard sont concernés les textes suivants :
- la loi n° 214 du 27 février 1936, modifiée, portant révision de la loi n° 207 du 12 juillet 1935 sur les trusts ;
- l’Ordonnance Souveraine n° 8.635 du 29 avril 2021 portant application de la loi n° 214 du 27 février 1936 portant révision de la loi n° 207 du 12 juillet 1935 sur les trusts, modifiée.
L’article 11 de la loi n° 214 dispose que « Le trustee établi ou domicilié sur le territoire de la Principauté qui administre un trust constitué ou transféré dans la Principauté, est tenu de communiquer les informations prévues à l’article 12 à la Direction du Développement Économique, aux fins d’inscription et de conservation de ces informations sur un registre spécifique dit « Registre des trusts » dans les conditions prévues par ordonnance souveraine.
La même obligation incombe au trustee et à toute personne occupant une fonction équivalente dans des constructions juridiques similaires aux trusts, établis ou domiciliés hors de l’Union européenne, lorsqu’ils acquièrent un bien immobilier ou lorsqu’ils établissent une relation d’affaires sur le territoire de la Principauté.
La relation d’affaires s’entend au sens du dernier alinéa de l’article 4 de la loi n° 1.362 du 3 août 2009, modifiée.
Lorsque les trustees ou les personnes occupant des positions équivalentes dans une construction juridique similaire, sont établis ou domiciliés dans plusieurs États membres de l’Union européenne, ou lorsque le trustee ou la personne occupant une position équivalente dans une construction juridique similaire établit de multiples relations d’affaires au nom du trust ou de la construction juridique dans plusieurs de ces États, l’obligation d’enregistrement est satisfaite par la communication à la Direction du Développement Économique d’une attestation apportant la preuve de l’enregistrement auprès du registre d’un de ces États ou d’un extrait des informations sur les bénéficiaires effectifs conservées dans le registre d’un de ces États ».
L’article 12 de ladite loi dispose quant à lui que « La demande d’inscription doit être adressée à la Direction du Développement Économique par écrit.
À peine d’irrecevabilité, la demande d’inscription comporte les informations relatives au trust ou à la construction juridique similaire, aux personnes visées au paragraphe I de l’article 6-1 ou aux personnes occupant des fonctions ou présentant des qualités équivalentes ou similaires.
La forme que doit revêtir la demande, son mode de transmission à la Direction du Développement Économique, ainsi que la liste des informations et des pièces justificatives qui doivent y être jointes sont déterminés par ordonnance souveraine ».
Enfin, l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique charge ladite Direction de la tenue du Registre des Trusts, et l’article 13-1 de la loi n° 214 dispose que « La Direction du Développement Économique supervise et veille au respect par les trustees, les représentants locaux et les personnes occupant des fonctions équivalentes aux trustees dans une construction juridique similaire des obligations mentionnées au paragraphe I des articles 6-1 et 6-1-1 et aux articles 10 à 13 ».
La Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Le responsable de traitement indique qu’il peut être amené à collecter des données dont le régime est encadré par l’article 12 de la loi n° 1.165, modifiée, en justifiant que le traitement relève d’une Autorité publique pour un motif d’intérêt public.
Il s’agit des informations suivantes :
- Données de santé : au cas particulier des demandes de restriction d’accès au registre des trusts, des données concernant la santé des bénéficiaires effectifs d’un trust, exposées dans le courrier du demandeur de la restriction, pour lequel l’accès aux informations doit être limité ;
- Informations faisant apparaître des opinions ou des appartenances politiques, raciales, ethniques, religieuses, philosophiques ou syndicales : au cas particulier des demandes de restriction d’accès au registre des trusts des données, exposées dans le courrier du demandeur de la restriction, concernant des activités scientifiques, économiques, professionnelles et culturelles, politiques , associatives, artistiques, des bénéficiaires effectifs d’un trust pour lequel l’accès aux informations doit être limité.
La Commission relève que les demandes de restrictions dont s’agit sont encadrées par la loi n° 214 et son texte d’application, qui dispose en son article 10 que « La demande formée auprès du Ministre d’État aux fins de restriction d’accès au registre des trusts visée au premier alinéa de l’article 13-7 de la loi n° 214 du 27 février 1936, modifiée, susvisée, dont une copie est adressée au service en charge du registre des trusts, comprend à peine d’irrecevabilité les informations et documents suivants :
1°) si le requérant est une personne physique, ses nom, nom d’usage, surnom ou pseudonyme, prénoms, date et lieu de naissance, nationalité, adresse personnelle ;
2°) si le requérant est une personne morale, sa forme, sa dénomination, son siège social et l’organe qui la représente légalement, ou en vertu d’une délégation ;
3°) les données nécessaires à l’identification du trust ;
4°) les noms, prénoms, date de naissance, nationalité et domicile ou résidence des bénéficiaires effectifs pour lesquels l’accès aux informations doit être limité ;
5°) les informations pour lesquelles l’accès doit être limité ;
6°) le fondement de la demande ;
7°) un récépissé du dépôt d’une copie de la demande de restriction au service en charge du registre des trusts.
À l’appui de la demande, il est joint tout document de nature à justifier de l’existence de circonstances exceptionnelles.
La demande de restriction d’accès au registre des trusts visée au premier alinéa peut être fondée sur des circonstances exceptionnelles tenant en particulier à des impératifs de sécurité, de respect de la vie privée, de préservation de la confidentialité d’activités scientifiques, économiques, professionnelles et culturelles. À cet égard, il est notamment tenu compte du nom du bénéficiaire effectif, de sa santé, de ses activités qu’il s’agisse d’activités scientifiques, économiques, professionnelles, culturelles, politiques, associatives, artistiques ou sportives, de sa notoriété, de sa fortune, de son histoire personnelle ou celle de sa famille.
Dès réception de la demande, le service en charge du registre des trusts interdit provisoirement l’accès aux informations du registre des trusts aux organismes et personnes visés aux articles premier et 2 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, à l’exception des organismes et personnes visés aux chiffres 1°) à 4°) et 24°) à 28°) de l’article premier de ladite loi, et ce, jusqu’à ce qu’une décision irrévocable intervienne. Une mention est portée en marge du registre.
En cas de rejet de la demande, l’accès aux informations reste limité pour une durée supplémentaire de deux mois. En cas de recours contre une décision de refus, la limitation d’accès aux informations est maintenue jusqu’au prononcé d’une décision irrévocable.
Une limitation d’accès aux informations peut être renouvelée par décision du Ministre d’État sur le fondement d’une demande de renouvellement motivée présentée dans les conditions des trois premiers alinéas, adressée au plus tard un mois avant la date d’expiration de la limitation ».
Par ailleurs, en ce qui concerne le trust ou la construction juridique similaire, les informations collectées sont :
- description de la personne morale : numéro au registre du trust, dénomination, structure de propriété et de contrôle, juridiction, caractéristique/nature (ex. révocable, irrévocable), type, numéro d’inscription dans le pays d’origine ;
- participation complémentaire : mention de la détention ou de la participation de contrôle dans une société ou dans une autre entité juridique autres que celles visées au troisième alinéa de l’article 21 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée, ou que celles enregistrées dans un État membre de l’Union européenne, par propriété directe ou indirecte, notamment au moyen d’actions au porteur ou par le biais d’un contrôle par d’autres moyens ;
- état de l’entité : statut, date de début de la constitution/transfert du trust en Principauté, date de radiation, contrôle en cours, ID group, ID référentiel ;
- caractéristiques économiques et financières : documents annuels liés à l’activité de l’entité : bilan ;
- suivi administratif : état du dossier, date du dépôt de la demande, numéro d’arrivée de la demande, observations, historisation des observations sur le dossier, suivi des actions réalisées sur une entité et dates, documents intégrés dans le dossier de l’entité.
Le responsable de traitement indique qu’en ce qui concerne les constituants, les protecteurs, les bénéficiaires effectifs, trustee et toute personne physique exerçant en dernier lieu un contrôle effectif, les informations collectées sont :
- identité pour les personnes physiques : civilité, titre, nom, nom d’usage, surnom ou pseudonyme, prénoms, date et lieu de naissance, nationalité(s), fonction (constituant, bénéficiaire effectif nommément désigné, trustee, protecteur ou leur équivalent), statut (actif ou radié) ;
- adresse : adresse personnelle ;
- pour les personnes morales identité et adresse : dénomination sociale, forme juridique, adresse du siège social, numéro et lieu d’immatriculation dans un registre public de la ou des personnes morales ;
- mentions particulières : restriction d’accès, date de la décision.
En outre, les informations nominatives des agents de la DDE en charge des dossiers sont :
- identité : nom, prénom, matricule ;
- vie professionnelle : fonction, profil utilisateur ;
- données d’identification électronique : login, mot de passe ;
- log de connexion à l’application : données de connexion, données d’horodatage et actions effectuées.
Les informations nominatives collectées sur « les personnes disposant d’un accès autres que les agents de la DDE » sont :
- identité : nom, prénom, matricule, courriel ;
- vie professionnelle : organisme de rattachement, fonction, numéro de poste de travail ;
- fondement de l’accès : texte ou cadre de l’autorisation d’accès ;
- type d’accès : droit(s) ouvert(s), rôle(s) attribués.
La Commission relève que sont également collectées des données de journalisation de cette catégorie de personnes concernées.
Enfin, les informations nominatives collectées sur « les personnes demandant des informations issues du registre en application des articles 13-4 de la loi n° 214 et 8 de l’Ordonnance Souveraine n° 8.635 » sont :
- identité : nom, nom d’usage, surnom ou pseudonyme, prénoms, date et lieu de naissance, nationalité(s), adresse personnelle ;
- identité du demandeur personne morale : forme juridique, dénomination sociale, adresse du siège social, identification de l’organe qui le représente légalement, ou en vertu d’une délégation de pouvoir ;
- objet de la demande : entité légale concernée : la dénomination du trust ;
- motif de la demande : indication que la personne requérante appartient à l’un des organismes ou des personnes visés aux articles premier et 2 de la loi n° 1.362 du 3 août 2009, modifiée, susvisée ; indication que la consultation du registre des trusts intervient dans le cadre de la mise en œuvre d’au moins une de ces mesures de vigilance prévues au Chapitre II de la loi n° 1.362 du 3 août 2009 ; Ordonnance rendue sur requête par le Président du Tribunal de première instance ;
- suivi des procédures préalables à la réponse à la demande d’accès : date de notification aux personnes intéressées, date de retour des personnes intéressées et contenu de la réponse, date de la consultation ;
- informations administratives : date et numéro d’arrivée de la demande à la DDE, état de la demande.
En ce qui concerne les observations, le responsable de traitement indique qu’elles ne concernent pas les personnes physiques. La Commission en prend acte et rappelle qu’il appartient à ce dernier de s’assurer de l’effectivité du dispositif.
Le responsable de traitement précise également que les pièces justificatives, dont les copies de documents d’identité des personnes demandant à accéder aux informations issues du registre, sont en général conservées sous format papier.
L’origine des informations n’appelle pas d’observation.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
> Sur l’information préalable des personnes concernées
Les personnes concernées sont informées de leurs droits par le biais d’une mention sur le document de collecte, d’un document spécifique à l’intention des agents ainsi que par le biais d’un e-mail adressé aux personnes habilitées à avoir accès au registre.
Ainsi, « Pour les assujettis, l’information des personnes concernées est délivrée par une mention figurant sur les documents de collecte, soit sur les formulaires (inscription, modification, radiation, formulaire T1) et sur le formulaire de désignation du représentant local ».
Les agents de la DDE et les personnes tierces autorisées sont quant à eux informés par une note de service adressée par mail. Pour les agents de la DDE, cette note est affichée dans un espace commun.
Les personnes tierces à la DDE sont en outre informées spécifiquement par mail de la traçabilité de leurs actions.
Les modalités d’information sont conformes aux exigences légales.
> Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale auprès de la Direction du Développement Économique.
La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
> Sur les destinataires
Le responsable de traitement indique que sont destinataires les personnes visées au Titre VIII - « De l’accès au registre des trusts » de la loi n° 214, précitée, dans la limite des informations communicables listées par les textes.
> Sur les accès
Les accès sont définis comme suit :
- les personnels de la Direction du Développement Économique : tous droits dans le cadre de leurs missions pour la section RCI, en lecture pour certaines Sections/divisions/cellules/la Direction ;
- les personnels de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après demande écrite du métier ;
- les personnels de la Direction des Services Numériques (DSN) ou tiers intervenant pour son compte : dans le cadre d’un rôle d’assistance à maîtrise d’ouvrage, des missions de maintenance, de développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après demande du métier ;
- les agents autorisés des Autorités ayant besoin d’en connaître.
En ce qui concerne les tiers intervenant pour le compte de la DSI et de la DSN, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
En outre, il est indiqué qu’a accès en lecture le Département des Finances et de l’Économie.
La Commission constate que l’article 7-1 de la loi n° 797, précitée, ne prévoit pas cet accès, estimé nécessaire par le responsable de traitement « dans le cadre de missions transversales avec la DDE en lien avec les activités économiques de la place ». À cet égard, la Commission rappelle avoir refusé ou suspendu cet accès dans les différentes délibérations en lien avec des Registres prévus par les dispositifs de lutte contre le blanchiment.
Par ailleurs, la Commission s’interroge sur l’étendue des accès dévolus aux entités légalement habilitées et estime qu’ils devraient être limités aux seules informations relatives aux bénéficiaires effectifs.
Sous ces réserves, la Commission considère que ces accès sont justifiés au regard du traitement.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre ayant pour finalités :
- « Gestion des habilitations et des accès au Système d’information », afin de gérer les accès selon les profils accordés aux utilisateurs et « veiller à la qualité des accès à la solution » ;
- « Gestion et analyse des évènements du système d’information » à des fins de traçabilité et de sécurité ;
- « Gestion des accès dédiés au Système d’Information du Gouvernement », afin d’assurer la sécurité des accès au SI par les administrateurs système ;
- « Gestion du Répertoire du Commerce et de l’Industrie », « afin de mettre en évidence les informations similaires entre les registres » ;
- « Gestion du Registre Spécial des Sociétés Civiles ».
Il est également rapproché les traitements légalement mis en œuvre suivants :
- « Assistance aux utilisateurs par le Centre de Service de la DSI », afin de permettre de répondre aux demandes des utilisateurs en cas de difficulté dans leur utilisation de la solution, étant précisé que le Centre de Service ne dispose pas d’accès à la solution ;
- « Gestion de la messagerie professionnelle », afin de permettre aux acteurs du traitement de pouvoir échanger, d’afficher et de synchroniser les calendriers, de gérer les contacts si l’utilisateur a paramétré ces options ;
- « Gestion d’un registre des bénéficiaires effectifs des sociétés commerciales, groupements d’intérêt économique et sociétés civiles de droit monégasque », « afin de mettre en évidence les fiches des BE déjà existants afin de ne pas créer de doublons ».
Enfin, il est rapproché ou interconnecté avec les traitements « en cours d’élaboration » suivants :
- « Facturation et gestion de la comptabilité de la DDE » pour enregistrer des paiements des droits perçus par la DDE dans le cadre de ses missions ;
- « Gestion des contrôles de la DDE », notamment pour le suivi des contrôles des assujettis à la loi n° 214, soumis à formalité.
La Commission demande à ce que le traitement de facturation lui soit soumis dans les meilleurs délais.
Sous cette réserve, elle considère que ces interconnexions et rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
De plus, il convient de préciser que les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises et que la copie ou l’extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Le responsable de traitement indique que les informations sont conservées 10 ans à compter de la date de radiation de l’entité légale excepté :
- en ce qui concerne les agents de la DDE en charge des dossiers, « tant que la personne est habilitée à gérer les dossiers + 2 ans » ; « tant que la personne est habilitée à avoir accès + 3 mois » en ce qui concerne leurs données d’identification électronique ; 24 mois glissant pour les logs de connexion ;
- en ce qui concerne les personnes disposant d’un accès autre que les agents de la DDE, 2 ans après la fin des droits.
La Commission relève également que mécaniquement, les informations des liquidateurs sont conservées 10 ans.
Il est de plus précisé qu’une fois ledit délai de 10 ans écoulé, il est mis en œuvre une « restriction des accès au responsable de la section RCI et au directeur de la DDE à des fins historiques, statistiques ou scientifiques en lien avec le SCADA (Service Central Des Archives et de la Documentation Administrative) et la MPAN (Mission de Préfiguration des Archives Nationales) ». La Commission en prend acte.
À titre liminaire, la Commission relève que cette durée de « 10 ans à compter de la radiation de l’entité légale » est légalement prévue pour le RCI et le RSSC, mais les textes sont silencieux sur la durée de conservation du Registre des Trusts. Elle estime néanmoins que cette durée de conservation est cohérente avec les autres dispositions, et les durées de conservation imposées aux entités relativement à leurs bénéficiaires effectifs.
Par ailleurs, la Commission relève que des informations sensibles au sens de l’article 12 de la loi n° 1.165 sont collectées. À cet égard l’article 13-7 de la loi n° 214 dispose notamment que « Les restrictions d’accès visées aux alinéas précédents peuvent être sollicitées lorsque le bénéficiaire effectif est un mineur ou est frappé d’incapacité ou lorsque cet accès pourrait exposer le bénéficiaire effectif à un risque disproportionné, un risque de fraude, d’extorsion, de harcèlement, d’enlèvement, de chantage, de violence ou d’intimidation.
La demande est fondée sur une évaluation détaillée de la nature exceptionnelle des circonstances telles que définies par ordonnance souveraine ».
Lesdites restrictions sont encadrées dans le temps et il est prévu que « Les dérogations prévues par le présent article ne peuvent être accordées que pour la durée des circonstances qui les justifient sans dépasser une période maximale de cinq ans. Elles peuvent être renouvelées par décision, selon les cas, du Ministre d’État, ou du Président du Tribunal de première instance, à la suite d’une demande de renouvellement motivée du trustee, ou de la personne occupant une position équivalente dans une construction juridique similaire et des bénéficiaires effectifs eux-mêmes ».
La Commission estime que le responsable de traitement, à l’issue du délai accordé pour la restriction, peut garder la trace qu’une restriction a été opérée sur une période donnée mais doit supprimer les informations sensibles ayant conduit à cette décision.
Elle souhaite également appeler l’attention sur la situation des bénéficiaires effectifs qui perdent cette qualité et dont les informations demeurent conservées sans lien avec la finalité initiale pour cette durée de 10 ans après la dissolution de l’entité légale. Par délibération n° 2020-113 portant avis sur la consultation du Ministre d’État relative au projet de loi renforçant le dispositif de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption il avait été relevé que « Par ailleurs, la Commission constate que rien ne vient encadrer les durées de conservations des données relatives à un bénéficiaire économique effectif qui perd cette qualité et souligne qu’une durée de conservation spécifique à ce cas d’espèce devrait être prévue ».
La Commission relève que la durée a été justifiée au sein du traitement relatif au « Registre des bénéficiaires effectifs - Sociétés et GIE », par le responsable de traitement qui indiquait qu’il « est nécessaire de pouvoir identifier tous les mouvements se rapportant aux personnes en lien avec les bénéficiaires effectifs et l’entité légale tout au long de la vie de cette entité, puis pendant les années suivant sa dissolution ou sa radiation. Certains de ces mouvements peuvent, par exemple, révéler une organisation, une stratégie de blanchiment ou de dissimulation du véritable BE ». La Commission en avait pris acte mais avait relevé que la durée de vie d’une entité légale peut être bien supérieure à toute prescription, voire à l’espérance de vie des personnes concernées, conduisant à des durées de rétention sans lien avec l’objectif recherché.
Cette attention vaut pour toutes les personnes concernées listées au point I de la présente délibération dont les informations sont conservées 10 ans à compter de la date de radiation de l’entité légale. Cela concerne notamment les experts-comptables, protecteurs ou encore les documents d’identité des personnels d’établissements bancaires effectuant une demande d’extrait, bien que leur conservation soit papier. Concernant les personnes demandant des informations issues du registre en application des dispositions légales, la Commission a fixé dans sa précédente délibération en lien avec la DDE la durée de conservation de leurs informations à 3 ans à compter de la demande.
La Commission relève également que mécaniquement, les informations des liquidateurs sont conservées 10 ans.
Sous les réserves sus-évoquées, la Commission considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Constate que le présent traitement fait apparaître une gestion des bénéficiaires effectifs centralisée et transverse aux différents registres.
Demande :
- au responsable de traitement de s’assurer des conséquences techniques et juridiques de cette gestion centralisée ;
- que les accès dévolus au Département des Finances et de l’Économie soient supprimés ;
- que les traitements ayant pour finalité provisoire « Facturation et gestion de la comptabilité de la DDE » lui soit soumis dans les meilleurs délais ;
- que les informations relatives aux demandes d’accès au registre soient supprimées à l’issue d’un délai de 3 ans.
Rappelle que :
- le responsable de traitement doit veiller à la qualité des informations qui peuvent être renseignées dans les champs libres (remarques/observations) ;
- les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises ;
- la copie ou extraction d’informations issues de ce traitement devra être chiffrée sur son support de réception ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Estime que :
- les informations sensibles doivent être supprimées à l’échéance de la période accordée de restriction d’accès aux informations ;
- les accès des agents autres que ceux de la DDE devraient être limités aux seules informations qu’ils sont légalement habilités à connaître.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du Registre des Trusts ».
Le Président de la Commission
de Contrôle des Informations Nominatives.