icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2024‑134 du 12 juin 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Gestion des procédures du Fonds Monégasque de l'Innovation et instruction des demandes de financement » dénommé « Fonds Monégasque pour l'Innovation », exploité par la Direction du Développement Économique présenté par le Ministre d'État.

  • N° journal 8701
  • Date de publication 28/06/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée ;

Vu l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique ;

Vu la demande d’avis déposée par le Ministre d’État, le 25 avril 2024 concernant la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion des procédures du Fonds Monégasque de l’Innovation et instruction des demandes de financement » ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 12 juin 2024 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le Gouvernement entend favoriser le développement de l’innovation auprès des entreprises de la Principauté, et a pour objectifs :

-    « amener les entreprises monégasques à s’engager dans une démarche d’innovation et de recherche et développement ;

-    accompagner les entreprises qui sont peu familiarisées avec la thématique à tous les stades du développement de leurs projets d’innovation et de recherche et développement ;

-    aider également les projets collaboratifs relevant des dispositifs de collaborations européennes et internationales ;

-    favoriser la croissance décarbonée en appuyant un soutien aux projets permettant d’assurer la transition énergétique ».

Le responsable de traitement souhaite donc mettre en œuvre un traitement ayant pour finalité « Gestion des procédures du Fonds Monégasque de l’Innovation et instruction des demandes de financement ».

Ainsi, ce dernier est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Gestion des procédures du Fonds Monégasque de l’Innovation et instruction des demandes de financement ».

Il est dénommé « Fonds Monégasque pour l’Innovation ».

Il concerne les dirigeants statutaires d’entreprises immatriculées auprès du RCI, agents de la DDE intervenant dans la procédure, les collaborateurs de BPIFrance en charge de l’instruction des dossiers monégasques.

Les fonctionnalités associées au présent traitement sont :

-    permettre aux agents habilités de la Direction du Développement Économique de collecter les dossiers de demande de financement ;

-    permettre aux agents habilités de la Direction du Développement Économique de s’assurer de la complétude du dossier ;

-    optimiser la communication relative aux demandes de financement entre les agents habilités de la Direction du Développement Économique.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public.

À cet égard, la Commission relève que la Direction du Développement Économique est notamment chargée, conformément à l’article 3 de l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique, « de l’instruction, de la mise en place et du suivi de dispositifs de financement et de soutien des entreprises ».

Aussi, le responsable de traitement indique que « la mise en place de ce traitement permet à la Direction du Développement Économique d’accomplir ses missions en matière de soutien aux entreprises engagées dans une démarche de recherche, de développement et d’innovation pour favoriser leur croissance et leur compétitivité ».

Le responsable de traitement précise que la constitution du dossier de demande de financement est une démarche réalisée par le représentant légal de l’entreprise et à sa discrétion. En effet, ce dernier saisit lui-même les informations nominatives nécessaires au traitement de sa demande. Le responsable de traitement précise qu’il existe par une case à cocher dans le formulaire de demande de financement mentionnant « En soumettant ce formulaire, j’accepte que les informations transmises soient utilisées dans le cadre de ma demande de financement et conformément à la Clause de Protection des Données Personnelles ».

Enfin, il indique qu’à la fin du processus un contrat de financement est conclu avec l’entreprise dont le projet a été retenu.

La Commission considère que le présent traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations nominatives traitées

Le responsable de traitement indique que les informations nominatives traitées sont :

-    identité :

     •  dénomination commerciale de l’entreprise demandeuse : raison sociale, RCI et NIS, forme juridique ;

     •  dirigeants et actionnaires : nom, prénom, qualité ;

     •  pièces relatives au représentant légal de l’entreprise : pièces d’identité valides et signées et extrait de casier judiciaire valable (depuis moins de trois mois) ;

-    adresses et coordonnées : coordonnées de l’entreprise (adresse postale, téléphone, adresse email de l’entreprise), coordonnées du représentant légal (adresse email) ;

-    vie professionnelle : date création de l’entreprise ;

-    caractéristiques financières : éléments comptables de l’entreprise, plan de trésorerie, business plan ;

-    données d’identification électronique : identifiants Cryptobox ;

-    informations temporelles : données d’horodatage.

La Commission relève à l’analyse du dossier, que des pièces complémentaires peuvent être demandées à la personne concernée lors de l’instruction de son dossier. À cet égard elle rappelle que peuvent être traitées dans le cadre du présent traitement uniquement les documents/ informations pertinent(e)s au regard de la finalité poursuivie.

L’ensemble des informations objet du présent traitement provient du représentant légal de l’entreprise à l’exception des données d’identification électronique et des informations temporelles qui ont pour origine le traitement ayant pour finalité « Gestion d’un outil de partage et de conservation sécurisés de documents », légalement mis en œuvre.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

>   Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’une mention « disponible avec le formulaire de demande de financement rempli par les représentants légaux des entreprises ».

À cet égard, le responsable de traitement a joint au dossier la Clause de Protection des Données Personnelles, présente dans le formulaire. À sa lecture, la Commission considère qu’elle est conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993.

>   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès s’exerce par voie postale ou par courrier électronique auprès de la Direction du Développement Économique plus précisément du Service du financement et du développement.

À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.

À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015‑113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous ces réserves, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

Le responsable de traitement indique qu’ont accès au présent traitement :

-    le personnel de la Direction du Développement Économique (DDE) : en lecture, création, modification et suppression dans le cadre de leurs missions ;

-    le personnel de BPIFrance : en lecture, création et modification dans le cadre de leurs missions de traitement des demandes de financement conformément à la Convention de partenariat et de gestion pour favoriser le développement de l’innovation auprès des entreprises de la Principauté du 31 juillet 1998 ;

-    le prestataire : accès à la solution dans le cadre des opérations de maintenance. Le responsable de traitement précise que les accès sont strictement limités à ses missions de maintenance et que le prestataire ne dispose d’« aucun accès aux documents ».

À la lecture du projet modificatif de la Convention de partenariat, dans sa version de juin 2023, transmise par le responsable de traitement, la Commission relève qu’il est exclusivement fait référence au Règlement Général sur la Protection des Données (RGPD), à la loi informatique et libertés et à la Commission Nationale Informatique et Libertés (CNIL) comme Autorité compétente. À cet égard, la Commission attire l’attention du responsable de traitement sur la nécessaire référence dans ladite Convention à la loi n° 1.165 susvisée et à la prise en compte de ses spécificités notamment s’agissant des transferts de données personnelles vers des pays ne disposant pas d’un niveau de protection adéquat. En effet, la Commission constate qu’il est fait référence dans la Convention à des « transferts de données à caractère personnel hors UE » et rappelle que la liste des pays disposant d’un niveau de protection adéquat n’est pas la même à Monaco.

En ce qui concerne le prestataire, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ledit prestataire est soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Enfin, le responsable de traitement indique que d’autres Services habilités de l’Administration peuvent se voir communiquer des informations issues du présent traitement à des fins de validation.

Sous ces conditions, la Commission considère que ces accès et ces communications sont justifiés.

VI.   Sur les rapprochements et les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’un rapprochement avec les traitements légalement mis en œuvre suivants :

-    « Gestion de la messagerie professionnelle » afin de permettre aux acteurs du traitement d’échanger dans le cadre de leurs fonctions ;

-    « Gestion des services de téléphonie fixe de l’Administration » pour pouvoir permettre aux acteurs du traitement d’échanger dans le cadre du traitement de leur demande ;

-    « Assistance aux utilisateurs par le Centre de Service de la DSI » afin de permettre aux agents habilités de la DDE de faire des demandes d’activation et de désactivation d’accès pour les différents acteurs du traitement.

Il est, en outre, interconnecté avec les traitements légalement mis en œuvre ayant pour finalité respective :

-    « Gestion des habilitations et des accès au Système d’information » afin de disposer des éléments permettant aux agents de se connecter au réseau pour exécuter leurs missions selon leur profil ;

-    « Gestion d’un outil de partage et de conservation sécurisés de documents » afin de conserver et communiquer des documents de façon sécurisée entre les différents interlocuteurs habilités.

La Commission considère que ces rapprochements et interconnexions sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, la Commission rappelle que les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises.

Par ailleurs, elle rappelle les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations sont conservées « jusqu’à la fin du contrat de financement entre BPIFrance et l’entreprise » à l’exception des données d’identification électronique qui sont conservées « tant que la personne est habilitée à avoir accès à la solution » et des logs de connexion qui sont supprimés après 12 mois glissants.

Le responsable de traitement précise, s’agissant des pièces relatives au représentant légal de l’entreprise (document d’identité et extrait de casier judiciaire), qu’elles sont conservées « jusqu’à la validation du dossier par la DDE ».

La Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-    peuvent être traitées dans le cadre du présent traitement uniquement les documents/ informations pertinent(e)s au regard de la finalité poursuivie ;

-    une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations ;

-    les communications d’informations doivent être sécurisées en tenant compte de la nature des informations transmises ;

-    les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des procédures du Fonds Monégasque de l’Innovation et instruction des demandes de financement ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14