Délibération n° 2024‑114 du 15 mai 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion du site Internet de l'AMSF » présenté par l'Autorité Monégasque de Sécurité Financière (AMSF).

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 2.318 du 3 août 2009 fixant les conditions d’application de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, modifiée ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la demande d’avis déposée par l’Autorité Monégasque de Sécurité Financière, le 13 février 2024, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la « Gestion du site Internet de l’AMSF » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 11 avril 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 15 mai 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

L’exploitation d’un site Internet permet à l’Autorité Monégasque de Sécurité Financière de notamment présenter ses missions, de mettre à disposition de la documentation et d’aiguiller les assujettis.

Ainsi, le traitement y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

Le responsable de traitement précise toutefois que « Le SICCFIN avait soumis à la CCIN un traitement relatif à la gestion du site Internet avec pour finalité « Diffusion des informations relatives à la lutte contre le blanchiment des capitaux et le financement du terrorisme », traitement mis en œuvre le 30 novembre 2007. Le SICCFIN est devenu une Autorité Administrative Indépendante le 30 septembre 2023. Aussi, la présente demande d’avis vient modifier celle établie par le SICCFIN en 2007 afin de tenir compte de cette modification de statut et des changements intervenus dans l’organisation du site Internet depuis lors ».

La Commission prend donc acte que le présent traitement se substitue au traitement du SICCFIN.

I.   Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion du site Internet de l’AMSF ».

Il concerne tout internaute accédant au site, les membres et collaborateurs de l’AMSF, les personnes mentionnées dans les publications et le personnel des prestataires en charge de l’intégration et de l’infogérance du site Internet.

Les fonctionnalités du traitement sont :

-    présenter l’AMSF et ses missions ;

-    diffuser des contenus relatifs aux missions et à l’action de l’AMSF ;

-    permettre aux assujettis de disposer d’informations concernant leurs obligations ;

-    mettre à disposition des assujettis et de toute personne intéressée de la documentation (ex. guides pratiques, lignes directrices, documentation du GAFI, …) ;

-    relayer les informations des organismes internationaux intervenant dans le domaine de la lutte contre le blanchiment (ex. GAFI) ;

-    mettre à disposition des assujettis des liens vers les solutions mises en place pour leur permettre d’effectuer les démarches et déclarations prévues par la réglementation relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme, la prolifération des armes de destruction massive et la corruption ;

-    mettre à disposition un formulaire de contact ;

-    établir des statistiques anonymes sur la fréquentation du site et de ses rubriques.

La Commission relève des pièces du dossier que le site Internet permettra également de s’inscrire à des formations proposées par l’AMSF. Elle en prend acte.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public et le consentement de la personne concernée.

La Commission relève que le site Internet de l’AMSF concourt à l’exercice des missions de cette dernière, notamment par la diffusion de documents (lignes directrices notamment), informations, la sensibilisation du public et la mise à disposition de liens conformes aux dispositions de la loi n° 1.362 du 3 août 2009, susvisée, et son ordonnance souveraine d’application.

En outre, il est précisé que le consentement de la personne concernée est demandé par le biais d’une case à cocher sur la page dédiée au formulaire de contact.

La Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations traitées

Les informations nominatives traitées sont :

-    identité : nom, prénom, fonction, photo ;

-    contributeur du back-office : nom, prénom ;

-    identité et coordonnées de la personne formalisant une demande par le formulaire de contact : nom, prénom, nom et adresse de l’entreprise, email, contenu de la demande ;

-    formation/diplômes/vie professionnelle : possibilité de présenter les membres de l’AMSF et leur parcours professionnel ;

-    documentation mise en ligne sur le site et téléchargeable : possible nom, prénom, fonction des personnes citées dans les contenus en lien avec leurs professions ;

-    données d’identification de l’administrateur et du webmaster : login, mot de passe ;

-    données d’identification électronique : dans le cadre du formulaire de contact (internaute), ID de la demande enregistrée (enregistrée en back-office) ;

-    informations temporelles : compte contributeur en back‑office : date et heure de la création d’un compte, date et heure de modification d’un compte ; système : logs systèmes ; dans le cadre de la traçabilité des logs en back-office (contributeur) : données d’horodatage ; dans le cadre de la traçabilité des modifications de contenus via le back-office (contributeurs) : logs (nom, prénom, données d’horodatage ).

La Commission relève que le site de l’AMSF fait usage du widget Friendly Captcha.

Par ailleurs, l’origine des informations n’appelle pas d’observation.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

•   Sur l’information préalable des personnes concernées

Le responsable de traitement indique que les personnes concernées sont informées par :

-    l’intégration d’un paragraphe « données personnelles » dans les mentions légales établies en vertu de la loi n° 1.383 du 2 aout 2011 pour une Principauté Numérique ;

-    une politique cookies en vertu de l’’article 14‑2 notamment de la loi précitée ;

-    une mention relative à la protection des données intégrée sous le formulaire de contact.

À la lecture de ces différentes mentions, la Commission considère qu’elles sont conformes aux dispositions légales. Elle rappelle néanmoins qu’il convient pour l’AMSF d’obtenir l’autorisation de ses personnels pour diffuser sur son site des photos de présentation de ces derniers.

•   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par les personnes concernées par voie postale ou par courrier électronique auprès de l’Autorité Monégasque de Sécurité Financière.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.

V. Sur les destinataires et les personnes ayant accès au traitement

La Commission constate que le responsable de traitement ne prévoit pas de destinataire pouvant recevoir communication des informations.

Par ailleurs, ont accès au traitement :

-    les personnels de l’AMSF : création, modification, suppression et validation selon leur rôle d’administration ou de webmaster ;

-    le personnel de la Direction des Services Numériques : droit inhérents à leur mission de maintenance, développement des applicatifs nécessaires au fonctionnement et à la sécurité du site ;

-    le personnel de la Direction des Systèmes d’Information : tous droits et accès aux données techniques nécessaires à l’exécution de leurs missions liées à la maintenance de l’infrastructure ;

-    personnel de l’intégrateur : tous droits pour la TMA ;

-    personnel de l’infogérant : tous droits pour l’infogérance de l’infrastructure.

La Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès des prestataires doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article. À cet égard, la Commission relève que les interventions des prestataires s’effectuent selon une procédure sécurisée par la « Gestion des accès dédiés au Système d’information », et que les personnels du prestataire sont soumis à des clauses de confidentialité spécifique avec le métier.

Sous ces réserves, la Commission considère que ces accès sont justifiés.

VI.   Sur les rapprochements et les interconnexions avec d’autres traitements

Le responsable de traitement indique que le traitement est interconnecté avec les traitements légalement mis en œuvre suivants :

-    « Gestion des habilitations et des accès au Système d’information », afin de disposer des éléments permettant de créer un compte aux utilisateurs ;

-    « Gestion de la messagerie professionnelle », aux fins d’échanges et d’utilisation de la solution ;

-    « Gestion des accès dédiés au Système d’information » afin de sécuriser les accès prestataires à la solution ;

-    « Gestion centralisée des accès aux applications du SI », afin de permettre aux contributeurs et webmasters de gérer le site grâce à un accès au back‑office de la plateforme ;

-    « Gestion et analyse des évènements du système d’information » afin de veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau.

Il est également rapproché avec les traitements non soumis à formalité suivants :

-    « Gestion du recrutement de l’AMSF », les offres d’emploi au sein de l’AMSF étant publiées sur son site et renvoyant à l’adresse rh@amsf.mc ;

-    « Gestion des formations de l’AMSF », afin de permettre l’organisation de formations par l’AMSF et l’inscription des personnes intéressées.

La Commission demande à ce que ces derniers lui soient soumis dans les meilleurs délais.

La Commission relève que le traitement utilise les infrastructures et traitements de l’État. Elle constate que si l’AMSF est désormais une Autorité Administrative Indépendante, elle succède au SICCFIN qui était un Service du Gouvernement Princier, ce qui explique l’imbrication technique détaillée dans le présent traitement.

Elle souligne que les relations techniques avec le Gouvernement doivent ainsi être revues, selon des modalités qui marquent son indépendance. Il importe donc que l’AMSF, qui exploite des informations dont la sensibilité et la confidentialité sont protégées pénalement, dispose d’une autonomie fonctionnelle qui soit le reflet de son indépendance vis-à-vis des Services exécutifs de l’État. Ainsi, tout en tenant compte des impératifs induits par la mise en œuvre d’une telle migration informatique, la Commission invite l’AMSF à lui soumettre dans les plus brefs délais, une modification en ce sens du présent traitement.

Sous ces réserves et dans l’attente, la Commission constate que ces interconnexions et ces rapprochements sont conformes aux exigences légales et aux finalités initiales pour lesquelles les informations nominatives ont été collectées.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Les données sont conservées :

-    pour l’identité, tant que la personne est en fonction pour la présentation des membres et maximum 5 ans à compter de la diffusion en ce qui concerne les actualités ;

-    pour les contributeurs, tant que la personne jouit de ce statut ;

-    pour l’identité et les coordonnées de la personne utilisant le formulaire contact, 2 mois en back-office et 5 ans à compter de la demande au sein de l’AMSF ;

-    pour la vie professionnelle, tant que l’information est valide et maximum 5 ans à compter de la diffusion en ce qui concerne les actualités ;

-    pour la documentation, tant que celle‑ci est diffusée en ligne ;

-    pour les données d’identification de l’administrateur, tant que la personne a cette fonction ;

-    pour les données d’identification électronique, 5 ans à compter de la demande en lien avec le formulaire de contact ;

-    pour les informations temporelles, tant que l’information est valide relativement au compte contributeur en back‑office, 1 mois pour les logs système, 3 mois glissants relativement à la traçabilité des connexions au back‑office, 12 mois glissants relativement aux modifications de contenu via le back-office.

À cet égard, la Commission relève que la durée de conservation de cinq ans des informations en lien avec le formulaire (identité et coordonnées, données d’identification électronique), qui serait justifiée par la prescription extinctive de l’article 2044 du Code civil monégasque, est trop longue.

Ces formulaires, destinés aux visiteurs du site sur des sujets relatifs à la cellule renseignement ou à la fonction supervision, et qui ne doivent « en aucun cas comporter des informations confidentielles », s’apparente à un traitement de demandes d’aide et de requêtes et ne devraient pas être conservées plus de 3 ans. Elle fixe donc en conséquence la durée de conservation des informations collectées.

Sous cette réserve, la Commission considère que ces durées sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Prend acte que le présent traitement se substitue au traitement du SICCFIN ayant pour finalité « Diffusion des informations relatives à la lutte contre le blanchiment des capitaux et le financement du terrorisme ».

Demande que les traitements ayant pour finalités respectives « Gestion du recrutement de l’AMSF » et « Gestion des formalités de l’AMSF » lui soient soumis dans les meilleurs délais.

Rappelle que :

-    les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-    une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;

-    l’AMSF ne doit pas diffuser de photo de présentation de ses personnels sans autorisation de ces derniers.

Invite l’AMSF à lui soumettre dans les plus brefs délais, tout en tenant compte des impératifs induits par la mise en œuvre d’une telle migration informatique, une modification du présent traitement qui marque son autonomie fonctionnelle vis-à-vis des Services exécutifs de l’État.

Fixe la durée de conservation des informations collectées par le biais du formulaire contact (identité, coordonnées, données d’identification électronique) à 3 ans.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par l’Autorité Monégasque de Sécurité Financière, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion du site Internet de l’AMSF ».

Le Président de la Commission

de Contrôle des Informations Nominatives.