icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2024‑152 du 26 juillet 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des Organismes à But Non Lucratif « OBNL » (Associations, Fédérations et Fondations) », dénommé « Gestion des OBNL » exploité par le Département de l'Intérieur présentée par le Ministre d'État.

  • N° journal 8707
  • Date de publication 09/08/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.355 du 23 décembre 2008 concernant les associations et les fédérations d’associations, modifiée ;

Vu la loi n° 56 du 29 janvier 1922 sur les fondations, modifiée ;

Vu la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, modifiée ;

Vu la loi n° 797 du 18 février 1966 relative aux sociétés civiles ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 10.115 du 14 septembre 2023 portant application de la loi n° 1.355 du 23 décembre 2008 concernant les associations et les fédérations d’associations ;

Vu l’Ordonnance Souveraine n° 10.114 du 14 septembre 2023 portant application de la loi n° 56 du 29 janvier 1922 sur les fondations ;

Vu l’Ordonnance Souveraine n° 2.318 du 3 août 2009 fixant les conditions d’application de la relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, modifiée ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;

Vu la délibération n° 02.18 du 7 octobre 2002 de la Commission de Contrôle des Informations Nominatives portant avis sur la mise en œuvre par le Ministre d’État d’un traitement automatisé relatif à la « Gestion des Associations et des Fédérations » du Département de l’Intérieur ;

Vu la délibération n° 2020‑113 du 1er juillet 2020 de la Commission de Contrôle des Informations Nominatives portant avis sur la consultation du Ministre d’État relative au projet de loi renforçant le dispositif de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption ;

Vu la délibération n° 2024‑137 du 12 juin 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du Répertoire du Commerce et de l’Industrie », dénommé « RCI », exploité par la Direction du Développement Économique (ODE) présentée par le Ministre d’État ;

Vu le rapport d’évaluation mutuelle du cinquième cycle relatif à la lutte contre le blanchiment de capitaux et le financement du terrorisme à Monaco rendu en décembre 2022 par le Comité d’Experts sur l’évaluation des mesures de lutte contre le blanchiment des capitaux et le financement du terrorisme (Moneyval) ;

Vu la demande d’avis déposée par le Ministre d’État le 9 avril 2024 relative à la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion du site Internet « Mon OBNL » » ;

Vu la demande d’avis déposée par le Ministre d’État, le 9 avril 2024, concernant la mise en œuvre de la modification d’un traitement automatisé ayant pour finalité la « Gestion des Organismes à But Non Lucratif « OBNL » (Association, Fédérations et Fondations) » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 6 juin 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 26 juillet 2024 portant examen du traitement automatisé susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Par délibération n° 02.18 du 7 octobre 2002, la Commission avait émis un avis favorable à l’exploitation, par le Département de l’Intérieur, d’un traitement ayant pour finalité la « Gestion des Associations et des Fédérations ».

À cet égard, le responsable de traitement indique que « L’enregistrement et le suivi des OBNL (Organismes à But Non Lucratif) sont assurés par le Département de l’Intérieur via une application nommée « Gestion des OBNL » et servant de registre officiel des associations, fédérations et fondations déclarées ou autorisées sur le territoire de Monaco.

Le Gouvernement Princier a engagé une vaste réforme législative et règlementaire visant à renforcer le dispositif monégasque de lutte contre le blanchiment de capitaux et financement du terrorisme (LBC/FT), et venant entre autres :

-    imposer de nouvelles obligations aux groupements associatifs ;

-   attribuer de nouvelles responsabilités au Département de l’Intérieur, avec notamment un rôle nouveau de supervision de ces groupements associatifs.

Ces différentes évolutions législatives nécessitent la mise en place de nouvelles fonctionnalités au niveau du système d’information qui supporte le processus métier. ».

Aussi, conformément aux dispositions de l’article 9 de la loi n° 1.165 du 23 décembre 1993, modifiée, le Ministre d’État soumet à l’avis de la Commission la modification du traitement ayant pour finalité « Gestion des Organismes à But Non Lucratif « OBNL » (Association, Fédérations et Fondations) ».

I.   Sur la mise à jour des informations des OBNL : la gestion du site Internet Mon OBNL, exploité du 16 octobre 2023 au 15 décembre 2023

Comme indiqué en préambule, les réformes législatives et règlementaires ont produit des changements significatifs dans de nombreux traitements ayant un rapport avec la LBC/FT, et sont modifiés par le Ministre d’État, à l’instar du présent traitement.

En ce qui concerne le Registre des OBNL, le texte voté le 31 juillet 2023 introduit de nouvelles obligations objet du point II du présent traitement : déclaration du ou des bénéficiaires effectifs au Département de l’Intérieur, désignation d’un ou plusieurs responsables des informations élémentaires et des bénéficiaires effectifs, conservation des informations et des pièces soit au siège social soit en un autre lieu à déclarer, etc..

Ces réformes répondent à des préconisations du Comité d’experts Moneyval et dont la mise en œuvre devait être rapide eu égard au délai octroyé à Monaco pour faire part de ses progrès en matière de LBC/FT.

Aussi, la mise à jour du Registre des OBNL a été effectuée par le biais d’un téléservice ouvert du 16 octobre 2023 au 15 décembre 2023, très peu de temps après le vote de la loi, et antérieurement à la saisine de la Commission en date du 9 avril 2024 pour le traitement y afférent ayant pour finalité « Gestion du site Internet « Mon OBNL » ».

Le téléservice est désormais clos et fermé au public et « n’a plus vocation à être utilisé par le Département de l’Intérieur pour une future campagne » de mise à jour du Registre. Aussi, la Commission n’entend pas traiter le dossier soumis au sein d’une délibération dédiée mais est intégré au présent traitement au sein du présent paragraphe, comme ayant été la modalité de collecte de mise à jour des informations du Registre des OBNL en application de nouvelles dispositions légales.

Ainsi, durant la période évoquée, les administrés ont pu « réaliser la mise à jour de leurs informations concernant leur organisme à but non lucratif, conformément à leurs obligations légales, auprès du Département de l’Intérieur par le biais d’un formulaire en ligne ». Il y a aussi eu une « Mise à disposition d’un formulaire de contact afin de permettre aux administrés de contacter le Département de l’Intérieur » et une fonctionnalité d’« Extraction des informations issues du formulaire en ligne ».

Les informations qui ont été collectées ont permis de mettre à jour les informations telles que présentées en rubrique IV de la présente délibération, agrémentées de questions permettant de déterminer le niveau de risque de l’OBNL. Il y avait également des collectes d’informations spécifiques au fonctionnement du téléservice, selon des modalités précédemment analysées par la Commission (MonGuichet).

La Commission ne peut s’empêcher de regretter l’urgence des mesures prises en la matière, qui a conduit le Ministre d’État à saisir la Commission postérieurement à la mise en œuvre du traitement et a placé les administrés dans la même situation d’urgence, avec un délai contraint.

II. Sur la finalité et les fonctionnalités du traitement

Le responsable de traitement souhaite faire évoluer la finalité initiale, « Gestion des Associations et des Fédérations », en « Gestion des Organismes à But Non Lucratif « OBNL » (Association, Fédérations et Fondations) ».

Il concerne désormais les « personnes jouant un rôle vis-à-vis des OBNL (membres du Conseil d’Administration) », les bénéficiaires effectifs, les personnels habilités des Autorités compétentes en matière LBC/FT, les responsables des informations élémentaires, le personnel habilité du Gouvernement (Département de l’Intérieur et Direction des Systèmes d’Information).

Les fonctionnalités du traitement sont :

-    gestion des dossiers des associations, fédérations et fondations (création, modification, radiation) ;

-    production de statistiques (sans informations nominatives) ;

-    tenue à jour des dossiers de chaque personne morale ;

-    gestion des membres de l’Organe d’Administration ;

-    gestion des Bénéficiaires Effectifs (création, modification, radiation) ;

-   gestion des responsables des informations élémentaires et des informations sur les bénéficiaires effectifs (création, modification, radiation) ;

-    gestion du niveau de risque de l’OBNL au sens du GAFI ;

-    gestion du lieu de conservation des registres des organismes associatifs ;

-    gestion des activités exercées par les organismes associatifs ;

-    traçabilité des opérations sur le registre.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

III. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public.

À cet égard, sont concernés les textes suivants :

-    la loi n° 1.355 du 23 décembre 2008 concernant les associations et les fédérations d’associations, modifiée ;

-    l’Ordonnance Souveraine n° 10.115 du 14 septembre 2023 portant application de la loi n° 1.355 du 23 décembre 2008 concernant les associations et les fédérations d’associations ;

-    la loi n° 56 du 29 janvier 1922 sur les fondations, modifiée ;

-    l’Ordonnance Souveraine n° 10.114 du 14 septembre 2023 portant application de la loi n° 56 du 29 janvier 1922 sur les fondations ;

-    la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, modifiée ;

-    l’Ordonnance Souveraine n° 2.318 du 3 août 2009 fixant les conditions d’application de la relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, modifiée.

Il convient ainsi de relever que l’article 7 de la loi n° 1.355 dispose que « Toute association souhaitant acquérir la personnalité morale et la capacité juridique prévues par l’article 5 doit être déclarée et rendue publique.

La déclaration doit être faite au Ministre d’État par lettre recommandée avec accusé de réception selon les modalités prévues par ordonnance souveraine. Elle doit comporter les renseignements suivants :

1°) la dénomination, l’objet et les activités déclarées de l’association ;

2°) l’adresse de son siège social ;

3°) l’identité de ceux qui, à un titre quelconque, sont chargés de son administration ou de sa direction ;

4°) l’identité de la personne désignée en qualité de responsable des informations élémentaires et des informations sur les bénéficiaires effectifs visée au paragraphe II de l’article 22‑1 de la loi n° 1.362 du 3 août 2009, modifiée ;

5°) l’identité du ou des bénéficiaires effectifs de l’association.

La déclaration doit être accompagnée de deux exemplaires des statuts de l’association.

Les éléments d’identification des personnes visées aux chiffres 3°) à 5°) du deuxième alinéa ainsi que les pièces justificatives qui doivent être jointes à la déclaration sont précisées par ordonnance souveraine.

Lorsque la déclaration est conforme aux dispositions des articles 2 et 3, il en est donné récépissé dans le délai de vingt jours de la réception. Le récépissé est daté et signé par le Ministre d’État.

Tout refus de délivrance du récépissé est motivé et notifié au déclarant par lettre recommandée avec demande d’avis de réception dans ce délai de vingt jours.

À défaut de délivrance du récépissé ou de notification de refus, l’avis de réception prévu au deuxième alinéa vaut récépissé.

L’association est rendue publique par une insertion au Journal de Monaco, sur production du récépissé ou de l’avis de réception dans le cas prévu au précédent alinéa, d’un extrait contenant la date de la déclaration, la dénomination et l’objet de l’association ainsi que l’indication de son siège social.

L’association acquiert la personnalité morale et la capacité juridique Je lendemain de la publication au Journal de Monaco de l’extrait mentionné au précédent alinéa. ».

L’article 13‑1 de la même loi dispose quant à lui que « Les informations élémentaires relatives aux associations et à leurs bénéficiaires effectifs énumérées à l’article 7, ainsi que leur mise à jour en application de l’article 10, sont conservées au sein d’un registre tenu par le Département de l’Intérieur. Sont également mentionnés au sein de ce registre, le lieu de conservation de ces informations par l’association ou le cas échéant par le président ou les liquidateurs visés au quatrième alinéa de l’article 12, ainsi que, s’il est différent, le lieu de conservation de ces informations par le responsable visé à l’article 12‑3.

Les informations élémentaires mentionnées aux chiffres 1°) à 4°) du deuxième alinéa et au huitième alinéa de l’article 7 sont accessibles au public par la remise d’un extrait du registre tenu par le Département de l’Intérieur.

Les modalités de délivrance de l’extrait sont déterminées par ordonnance souveraine. ».

La Commission relève que l’article 13‑1 définit que les informations listées à l’article 7 sont des informations élémentaires au sens de la loi n° 1.362. Il s’en infère ainsi plusieurs conséquences :

-  les informations relatives aux responsables des informations élémentaires sont considérées comme des informations élémentaires ;

-   ces mêmes informations sont communicables à la demande ;

-   elles sont communicables « à des autorités étrangères par les autorités visées aux chiffres 2°) à 5°) du paragraphe I de l’article 12‑2, dans les conditions prévues à l’article 51‑1 et au Chapitre VIII de la loi n° 1.362 du 3 août 2009, modifiée, ou par la voie de l’entraide judiciaire internationale » en application de l’article 13‑2 de cette loi.

La Commission constate que ce choix n’apparaît pas en accord avec l’esprit de l’article 22‑1 de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et de la prolifération des armes de destruction massive et la corruption, modifiée.

En outre, les choix rédactionnels diffèrent en l’espèce des modifications de la loi n° 721 du 27 décembre 1961 abrogeant et remplaçant la loi n° 598, du 2 juin 1955 instituant un Répertoire du Commerce et de l’Industrie (cf. délibération n° 2024‑137) et de la loi n° 797 du 18 février 1966 relative aux sociétés civiles (cf. délibération 2024‑154). Les différents textes pris en application de la lutte contre le blanchiment de capitaux sont donc différents dans leur rédaction et les conséquences qui en découlent.

Cette différence se retrouve également dans la quantité d’informations collectées eu égard à ces responsables des informations élémentaires, dont on ne collecte que le nom, prénoms et la fonction pour le RCI et RSSC, et pour qui, en application des Ordonnances Souveraines n° 10.114 et 10.115, on collecte en l’espèce la(les) nationalité(s).

La Commission ne comprend donc pas pourquoi le législateur a pu faire des choix rédactionnels contradictoires et prévoir des collectes de données différenciées en fonction de la loi modifiée. Elle regrette ainsi un certain flou juridique et de ne pas avoir été saisie sur les projets de loi préalablement à leur vote, comme le Ministre d’État y était tenu en application des dispositions de l’article 2 de la loi n° 1.165 du 23 décembre 1993, modifiée.

En tout état de cause, la Commission estime que les collectes doivent être harmonisées en respectant le principe de proportionnalité. Ainsi, les dispositions des lois n° 56 et n° 1.355 devraient être modifiées afin de restreindre la définition des informations élémentaires. La Commission relève du rapport Moneyval et notamment de son point q et 24.8 qu’il faut désigner un responsable des informations élémentaires, mais il n’est en aucun cas suggéré que ses données personnelles fassent partie desdites informations élémentaires, qui se rapportent aux structures et à leurs bénéficiaires effectifs.

En ce qui concerne les fondations, la Commission relève qu’il existe des dispositions similaires dans la loi n° 56 (articles 6 et 6‑1), susvisée, et son ordonnance souveraine d’application, précitée. L’analyse juridique est donc identique relativement aux responsables des informations élémentaires.

Sous ces réserves, la Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165, modifiée.

IV.   Sur les informations traitées

Le responsable de traitement indique que sont exploitées au sein du présent traitement des informations dites sensibles au sens de l’article 12 de la loi n° 1.165, précitée, modifiée.

Ainsi, « parmi les différents OBNL déclarés ou autorisés, certains sont à caractère politique, religieux, philosophique, humanitaire ou syndical. Même si aucune donnée sensible n’est collectée ni stockée sur des personnes physiques dans le cadre du traitement, le fait qu’une personne soit associée à un tel groupement associatif peut révéler indirectement des informations sensibles sur cette personne ». Cela concerne la catégorie d’information suivante :

- informations faisant apparaître des opinions ou des appartenances politiques, raciales, ethniques, religieuses, philosophiques ou syndicales : objet ou activités exercées de certains OBNL.

La Commission constate que le responsable de traitement justifie l’exploitation de ces données par la dérogation permise à l’article 12 alinéa 2, troisième tiret. La Commission considère que cette justification concerne les OBNL pour l’exploitation de leurs données et estime que l’exploitation par le Département de l’Intérieur de données sensibles est justifiée par les dispositions de l’article 12 alinéa 2 tiret 2, aux termes duquel « Les dispositions du premier alinéa [principe d’interdiction] ne s’appliquent pas dans les cas suivants : (...) - lorsqu’un motif d’intérêt public le justifie, aux traitements visés à l’article 7 dont la mise en œuvre est décidée par les autorités ou organes compétents après avis motivé de la Commission de Contrôle des Informations Nominatives ».

Les autres informations nominatives exploitées dans le cadre du présent traitement sont :

-    identité : membres de l’Organe d’Administration de l’OBNL : Civilité/titre, nom, prénoms, nationalité(s) ; Responsables des informations élémentaires de l’OBNL : Civilité/titre, nom, prénom(s), nationalité(s), date/ville et pays de naissance ; Bénéficiaires effectifs de l’OBNL : Civilité/titre, nom, prénom(s), nationalité(s), date/ville et pays de naissance ;

-    adresses et coordonnées : Bénéficiaires effectifs de l’OBNL : adresse postale personnelle ;

-   autres informations liées à la fonction ou au rôle de la personne : membres de l’Organe d’Administration de l’OBNL : Fonction/rôle, statut (actif/radié), date d’effet, date de radiation, commentaires pour préciser des informations en cas de carence du menu déroulant ; Responsables des informations élémentaires de l’OBNL : Fonction/rôle, statut (actif/radié), date d’effet, date de radiation, commentaires pour préciser des informations en cas de carence du menu déroulant ; Bénéficiaires effectifs de l’OBNL : Fonction/rôle, statut (actif/radié), modalités de contrôle, date d’effet, date de radiation, commentaires pour préciser des informations en cas de carence du menu déroulant ;

-    informations relatives à l’OBNL : dénomination, forme juridique, adresse siège social, objet, activités, niveau de risque au sens du GAFI, durée, catégorie, état, date de radiation, numéro de téléphone, numéro de fax, adresse e-mail, site web, régime, date de récépissé, date de Conseil du Gouvernement, référence et date d’autorisation, référence et date d’agrément, observations du Département de l’Intérieur, durée du mandat de Conseil, date du dernier Conseil, date d’échéance du Conseil, autres membres du Conseil, Observations du Conseil, modifications statutaires ;

-    informations temporelles : dans le cadre de la traçabilité des opérations sur le registre personnel du Département de l’Intérieur, de la DSI et Autorités compétentes en matière LBC/FT : logs : identité (nom, prénom, service, matricule), référence du dossier consulté (code et dénomination OBNL), type d’opération, données d’horodatage ;

-    logs techniques : ID administrateurs et logs systèmes.

En ce qui concerne les commentaires, la Commission rappelle qu’il appartient au responsable de traitement de veiller à leur qualité.

L’origine des informations n’appelle pas d’observations autres que celles formulées au point I de la présente délibération.

Sous la réserve précitée, la Commission considère donc que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les droits des personnes concernées

>   Sur l’information préalable des personnes concernées

Les personnes concernées sont informées de leurs droits via :

-    les mentions d’information du formulaire en ligne qui renvoient vers la page de « Mon Service Public » dédiée ;

-  une page dédiée sur le site d’information du Gouvernement (Mon Service Public - Thématiques - Relations avec l’Administration - Traitement de données nominatives - Traitements de données personnelles mis en œuvre par le Département de l’Intérieur) ;

-    une rubrique « À propos de vos données personnelles » à la fin des différentes pages de la rubrique « Associations et Fondations ».

La mention étant jointe au dossier, la Commission constate qu’elle est conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.

En outre, le responsable de traitement indique aux personnes soumettant les dossiers au Département de l’Intérieur qu’elles s’engagent à informer l’ensemble des personnes concernées par les communications d’information.

>   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale ou par courrier électronique auprès du Département de l’Intérieur.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Elle précise qu’une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations.

À ce titre, elle souligne que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces réserves, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

VI.   Sur les destinataires et les personnes ayant accès au traitement

Le responsable de traitement indique que sont destinataires des informations prévues par les dispositions légales « toute personne venant faire une demande d’extrait auprès du Département de l’Intérieur ».

Par ailleurs, les accès sont définis comme suit :

-    les personnels du Département de l’Intérieur : visualisation, création, modification et radiation des dossiers ;

-  les personnels de la Direction des Systèmes d’information (DSI) : tous droits et accès aux données techniques nécessaires à l’exécution de leurs missions liées à la maintenance et à l’infrastructure ;

-   les personnels habilités des Autorités compétentes en matière de LBC/FT : droits en lecture uniquement sur l’ensemble des informations du Registre.

La Commission considère que ces accès sont justifiés au regard du traitement.

VII.  Sur les rapprochements et les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre ayant pour finalités :

-    « Gestion des habilitations et des accès au Système d’Information », afin de disposer des éléments permettant de créer un compte aux utilisateurs ;

-    « Gestion des accès dédiés au Système d’Information du Gouvernement », afin d’assurer la sécurité des accès au SI par les administrateurs système ;

-   « Gestion et analyse des évènements du Système d’Information », afin de veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau.

Il est également rapproché des traitements légalement mis en œuvre suivants :

-   « Assistance aux utilisateurs par le Centre de Service de la DSI », afin de permettre d’une part aux utilisateurs de remonter un incident sur la solution puis de suivre l’évolution du traitement de leur demande, et d’autre part, aux collaborateurs de la DSI d’intervenir selon les demandes et leurs attributions et d’enregistrer les actions effectuées ;

-    « Gestion de la messagerie professionnelle », afin de permettre aux acteurs du traitement de pouvoir échanger entre eux.

Enfin, il est rapproché avec le traitement concomitamment déposé suivant :

-   « Gestion du site Internet « Mon OBNL » » pour déclaration des informations élémentaires au Département de l’Intérieur.

Concernant cette dernière interconnexion, la Commission rappelle qu’elle ne va pas analyser ledit site Internet et l’inscrire au Répertoire des Traitements. Elle renvoie au point I de la présente délibération sur ce point.

Sous cette réserve, elle considère que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

En outre, il convient de rappeler que les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.

De plus, la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations sont conservées 10 ans après dissolution de l’OBNL, excepté les informations temporelles qui sont gardées 24 mois glissants et les logs techniques qui s’effacent au bout de 180 jours.

La Commission souhaite néanmoins appeler l’attention sur la situation des bénéficiaires effectifs qui perdent cette qualité et dont les informations demeurent conservées sans lien avec la finalité initiale pour cette durée de 10 ans après la dissolution de l’OBNL. Par délibération n° 2020‑113 portant avis sur la consultation du Ministre d’État relative au projet de loi renforçant le dispositif de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption il avait été relevé que « Par ailleurs, la Commission constate que rien ne vient encadrer les durées de conservations des données relatives à un bénéficiaire économique effectif qui perd cette qualité et souligne qu’une durée de conservation spécifique à ce cas d’espèce devrait être prévue ».

En outre, concernant le cas plus spécifique des personnes en charge des informations élémentaires, la Commission rappelle que par délibération n° 2024‑137 du 12 juin 2024 portant avis favorable à la mise en œuvre de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du Répertoire du Commerce et de l’Industrie », elle avait estimé que « ces personnes ne doivent pas s’analyser en des informations élémentaires, qu’importe leur adjonction dans la liste des informations listées à l’article 5 de l’Ordonnance  Souveraine n° 2.853, précitée.

Ce poste de nature technique n’a pas vocation à être associé à l’identité de l’entité légale au sein du RCI, et est hautement évolutif par nature. La Commission demande donc que les informations nominatives relatives à ces personnes soient archivées pour 5 ans à compter de la perte de leur qualité de responsable des informations élémentaires, avant suppression définitive. ».

La Commission renvoie à son analyse effectuée au point III de la présente délibération et rappelle la nécessité d’harmoniser les dispositions légales en la matière.

Après en avoir délibéré, la Commission :

Intègre au sein du présent traitement la demande d’avis déposée le 9 avril 2024 ayant pour finalité « Gestion du site Internet « Mon OBNL » ».

Constate qu’en application de modifications législatives et réglementaires en lien avec la LBC/FT, pour lesquelles elle n’a pas été saisie comme elle l’aurait dû en application de l’article 2 de la loi n° 1.165 du 23 décembre 1993, modifiée :

-    les informations collectées relativement aux responsables des informations élémentaires sont plus importantes dans le présent traitement que dans les traitements relatifs au RCI et au RSSC ;

-    lesdites informations sont considérées comme des informations élémentaires, contrairement aux dispositions des lois n° 721 et 797, susvisées.

Considère que la loi n° 56 du 29 janvier 1922 sur les fondations, modifiée et la loi n° 1.355 du 23 décembre 2008 concernant les associations et les fédérations d’associations, modifiée, doivent être modifiées afin de ne pas inclure les données personnelles des responsables des informations élémentaires au sein des informations élémentaires.

Estime qu’une analyse des durées de conservation appliquées aux bénéficiaires effectifs qui perdent cette qualité devrait être menée afin de respecter le principe de proportionnalité.

Rappelle que :

-    le responsable de traitement doit veiller à la qualité des commentaires renseignés ;

-   les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-   une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

-    les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises ;

-    la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des Organismes à But Non Lucratif « OBNL » (Associations, Fédérations et Fondations) ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 1,11 MB
Télécharger le journal
au format PDF 1,11 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14