icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2024‑153 du 26 juillet 2024 de la Commission de Contrôle des Informations Nominatives portant sur la demande d'avis relative à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Permettre la consultation d'informations et l'achat d'extraits du Répertoire du Commerce et de l'Industrie et du Registre Spécial des Sociétés Civiles par voie dématérialisée », exploité par la Direction du Développement Économique (DDE) présentée par le Ministre d'État.

  • N° journal 8707
  • Date de publication 09/08/2024
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 721 du 27 décembre 1961 abrogeant et remplaçant la loi n° 598, du 2 juin 1955 instituant un répertoire du commerce et de l’industrie, et son ordonnance souveraine d’application ;

Vu la loi n° 797 du 18 février 1966 relative aux sociétés civiles, et son ordonnance souveraine d’application ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée ;

Vu l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 instituant une Direction du Développement Économique ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés d’informations nominatives ;

Vu la délibération n° 06‑06 du 6 juillet 2006 portant avis favorable sur la demande présentée, par le Ministre d’État, relative à la mise en œuvre d’un traitement automatisé permettant la consultation en ligne du Répertoire du Commerce et de l’Industrie dans le cadre d’un site Internet de la Direction de l’Expansion Économique ;

Vu la demande d’avis déposée par le Ministre d’État, le 2 mai 2024, concernant la mise en œuvre de la modification d’un traitement automatisé ayant pour finalité la « Permettre la consultation d’informations et l’achat d’extraits du Répertoire du Commerce et de l’Industrie et du Registre Spécial des Sociétés Civiles par voie dématérialisée » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 1er juillet 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 26 juillet 2024 portant examen du traitement automatisé susvisé.

La Commission de Contrôle des Informations Nominatives,

Préambule

Par délibération n° 06‑06 du 6 juillet 2006, la Commission avait émis un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives permettant la consultation en ligne du Répertoire du Commerce et de l’Industrie dans le cadre d’un site Internet de la Direction de l’Expansion Économique.

Cette délibération ne concernait que la consultation du Répertoire du Commerce et de l’Industrie (RCI) en ligne, et la Commission constatait qua la loi n° 721 ne prévoyant que des communications papier des extraits, elle se devait d’être modifiée car le « cadre légal devrait rendre possible la « consultation » d’informations contenues dans le RCI en précisant les modalités de celle‑ci, en intégrant une consultation par voie électronique, ainsi que les mentions du RCI consultables de la sorte ».

C’est chose faite et la consultation par voie électronique est désormais prévue, tant pour le RCI que pour le Registre Spécial des Sociétés Civiles (RSSC). Aussi conformément aux dispositions de l’article 9 de la loi n° 1.165 du 23 décembre 1993 modifiée, le Ministre d’État soumet à l’avis de la Commission la modification du traitement ayant pour finalité « Permettre la consultation d’informations et l’achat d’extraits du Répertoire du Commerce et de l’Industrie et du Registre Spécial des Sociétés Civiles par voie dématérialisée ».

Enfin, la dénomination de la Direction de l’Expansion Économique ayant changé, la gestion desdits répertoires et de leur consultation est opérée aujourd’hui par la Direction du Développement Économique.

I.   Sur la finalité et les fonctionnalités du traitement

Le responsable de traitement souhaite faire évoluer la finalité initiale, « Consultation en ligne du Répertoire du Commerce et de l’Industrie dans le cadre du site Internet de la Direction de l’Expansion Économique », en « Permettre la consultation d’informations et l’achat d’extraits du Répertoire du Commerce et de l’Industrie et du Registre Spécial des Sociétés Civiles par voie dématérialisée ».

Le traitement concerne désormais les assujettis à l’inscription au RCI ou au RSSC, les personnes physiques dont les informations sont inscrites sur les extraits de RCI ou du RSSC, les demandeurs d’extraits ainsi que les agents de la DDE.

Les fonctionnalités du traitement sont :

-    diffusion des informations du RCI et/ou du RSSC pouvant être accessibles en ligne ;

-    gestion des achats d’extraits du RCI et/ou du RSSC ;

-    permettre aux demandeurs d’accéder à leur historique d’achats ;

-    gestion du Back Office du site Internet ;

-    gestion du Back Office du paiement en ligne ;

-    diffusion d’un lien vers la liste d’entités légales en déshérence ;

-    analyse de données.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par un motif d’intérêt public.

À cet égard, sont concernés les textes suivants :

-   la loi n° 721 du 27 décembre 1961 abrogeant et remplaçant la loi n° 598, du 2 juin 1955 instituant un Répertoire du Commerce et de l’Industrie ;

-    l’Ordonnance Souveraine n° 2.853 du 22 juin 1962 portant application de la loi n° 721 du 27 décembre 1961 instituant un Répertoire du Commerce et de l’Industrie ;

-    la loi n° 797 du 18 février 1966 relative aux sociétés civiles ;

-    l’Ordonnance Souveraine n° 3.573 du 11 mai 1966 portant application de la loi relative aux sociétés civiles.

Il convient ainsi de relever que l’article 19 de la loi n° 721 dispose que « Les informations élémentaires inscrites au Répertoire du Commerce et de l’Industrie sont accessibles au public par la remise d’un extrait dudit répertoire. Les modalités de délivrance de l’extrait et les informations élémentaires y figurant sont déterminées par ordonnance souveraine. ».

À cet égard, l’article 10 de l’Ordonnance Souveraine n° 2.853, susvisée, dispose qu’« En application de l’article 19 de la loi n° 721 du 27 décembre 1961, modifiée, susvisée, les informations élémentaires portées sur l’extrait du répertoire sont constituées des informations suivantes :

I- Pour les personnes physiques :

1°)    la date et le numéro d’inscription au répertoire ;

2°)   la ou les activités exercées ;

3°)   s’il en est utilisé, le nom commercial ou la ou les enseignes ;

4°)   l’adresse de l’établissement ou le cas échéant, des locaux annexes à Monaco ;

5°)   les nom, nom d’usage, prénoms, date et lieu de naissance, nationalité(s) et le cas échéant, le régime matrimonial de la personne inscrite et des personnes ayant le pouvoir général d’engager à titre habituel par leur signature sa responsabilité ;

6°)   le mode d’exploitation ;

7°)   les mentions portées d’office au répertoire ; et

8°)   l’état de l’activité.

II- Pour les sociétés, établissements étrangers et groupements d’intérêt économique :

1°)    sa date de constitution, sa date et numéro d’inscription au répertoire ;

2°)    sa forme juridique ;

3°)   sa dénomination ou raison sociale suivie, le cas échéant, du sigle utilisé ainsi que le nom commercial ou la ou les enseignes utilisés ;

4°)    son objet social ;

5°)    sa durée ;

6°)   l’adresse de son siège social et le cas échéant, l’adresse de l’établissement secondaire ou des locaux annexes à Monaco ;

7°)    le montant de son capital social, à l’exception du groupement d’intérêt économique ;

8°)    la date de clôture de son exercice social ;

9°)  les nom, prénoms, date et lieu de naissance, nationalité(s) de chacune des personnes ayant la qualité pour administrer, diriger, gérer ou engager la société. Lorsqu’il s’agit de personnes morales, leur dénomination ou raison sociale, leur forme juridique, l’adresse de leur siège social, leur numéro et lieu d’immatriculation dans un registre public et le cas échéant, les nom et prénoms de son représentant permanent ;

10°)  la preuve de la constitution de la société constituée de :

   a) pour les sociétés autres que les sociétés par actions : la date de dépôt au greffe général de l’extrait de l’acte constitutif et la date de publication au Journal de Monaco dudit extrait ;

     b) pour les sociétés par actions : la date de dépôt au greffe général de l’expédition des statuts et la date de publication au Journal de Monaco desdits statuts ;

11°)  les mentions portées d’office au répertoire ;

12°)  les éléments principaux régissant le fonctionnement de la société ;

13°)  l’état de la société ou du groupement d’intérêt économique ; et

14°) pour le groupement d’intérêt économique, les nom, prénoms, date et lieu de naissance, nationalité(s) et adresse personnelle des personnes chargées du contrôle des comptes et du contrôle de la gestion. ».

L’article 11 de ladite ordonnance dispose quant à lui que « Les extraits visés à l’article précédent portent la date à laquelle ils sont délivrés par le service du répertoire du commerce et de l’industrie et contiennent les informations visées à l’article précédent telles qu’inscrites au répertoire à la date de délivrance des extraits.

Les extraits sont délivrés au guichet du service du Répertoire du Commerce et de l’Industrie ou par voie électronique dans les conditions suivantes :

1°)    ils sont établis au moyen d’un système de traitement, de conservation et de transmission de l’information garantissant l’intégrité de leur contenu ;

2°)   les extraits sont revêtus de la signature du Directeur du Développement Économique ou celle d’un agent du service du Répertoire du Commerce et de l’Industrie. ».

De plus, l’article 16 point II de ladite ordonnance dispose que « La délivrance d’un extrait d’inscription ou d’un certificat de radiation de toute personne inscrite au répertoire est réalisée, aux frais du demandeur, par la perception d’un droit de 15 € au profit du Trésor. ».

En ce qui concerne le RSSC, la Commission relève qu’il existe des dispositions similaires dans la loi n° 797 (article 7), susvisée, et son Ordonnance Souveraine d’application n° 3.573 (articles 10, 11 et 19), précitée.

Le responsable de traitement précise en outre que « l’usager donne son consentement au traitement de ses données lors de la création d’un compte personnel sur la base de mon guichet, nécessaire à la commande des extraits. ».

Enfin, en ce qui concerne la mise en ligne de la liste des sociétés en déshérence, il est indiqué qu’il s’agit de répondre à la demande du rapport Moneyval de « Recenser de manière exhaustive les sociétés en déshérence, en particulier les sociétés civiles, et rendre cette information visible dans l’outil, puis prendre les mesures nécessaires permettant de les dissoudre ». Elle en prend acte.

La Commission considère donc que le traitement est licite et justifié, conformément aux dispositions des articles 10‑1 et 10‑2 de la loi n° 1.165, modifiée.

III.   Sur les informations traitées

Le responsable de traitement rappelle que les informations portées sur les extraits sont celles prévues aux articles 10 de l’Ordonnance Souveraine n° 2.853 et de l’Ordonnance Souveraine n° 3.573, comme visé au point II de la présente délibération.

En outre, les informations nominatives des agents de la DDE en charge des dossiers sont :

-    identité : nom, prénom, matricule ;

-    vie professionnelle : fonction, profil utilisateur ;

-    données d’identification électronique : login, mot de passe ;

-    log de connexion à l’application : données de connexion, données d’horodatage et actions effectuées.

De plus, les informations nominatives collectées sur « les agents de l’Administration intervenant sur le back office de la solution de paiement » sont :

-    identité : nom, prénom ;

-    adresse et coordonnées : téléphone, email ;

-    profil utilisateur : accès accordés, langue d’échange, fonction le cas échéant ;

-    log de connexion : données de connexion et actions réalisées sur le système du prestataire de paiement en ligne.

Enfin, les informations nominatives collectées sur les usagers commandant des extraits sont :

-  identité : nom, prénom, courriel ;

-  coordonnées : adresse de facturation ;

- détail des commandes : référence de la commande, date de l’achat, liste des documents achetés, montant de la commande ;

-  information de paiement : date et heure de la transaction, numéro de carte anonymisé, typologie de transaction, numéro de transaction, numéro d’autorisation, identifiant de la DDE en tant que commerçant ;

-  identification de la localisation de l’opération d’achat : adresse IP de l’usager.

Il est précisé que « les informations de carte bancaire (numéro complet, nom du titulaire, date d’expiration et code de sécurité) sont traitées directement par le Prestataire de Services de Paiement ; ces informations ne sont jamais connues de la DDE. Les éléments portés à sa connaissance sont le numéro tronqué et la date d’expiration de la carte ».

La Commission en prend acte.

L’origine des informations n’appelle pas d’observation.

La Commission considère donc que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

>   Sur l’information préalable des personnes concernées

Les personnes concernées sont informées de leurs droits par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne et d’un document spécifique à l’intention des agents.

Ainsi, « Pour les usagers, l’information des personnes concernées est délivrée par une clause inscrite dans les Conditions Générales d’Utilisation et Conditions Générales de Vente figurant sur le site concerné. Avant toute commande, l’usager doit valider lesdites conditions. ».

Les agents de la DDE et les personnes tierces autorisées sont pour leur part informés par une note de service adressée par mail. Pour les agents de la DDE, cette note est affichée dans un espace commun.

Les mentions d’information ayant été jointes au dossier, la Commission constate qu’elles sont conformes aux exigences légales.

>   Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale auprès de la Direction du Développement Économique ou par le biais d’un formulaire de contact en ligne (rubrique contact en pied de page du site).

La Commission, rappelant que la réponse doit intervenir sous un délai d’un mois, constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

Le responsable de traitement indique que sont destinataires des informations présentes sur le RCI et dans le RSSC les personnes demandant un extrait des informations en application des dispositions légales.

Les personnes habilitées à avoir accès au traitement sont :

-   les personnels de la Direction du Développement Économique : en lecture dans le cadre de leurs missions pour la section RCI et en lecture pour la Direction ;

-    les personnels de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après demande du métier ;

-    les personnels de la Direction des Services Numériques (DSN) ou tiers intervenant pour son compte : dans le cadre d’un rôle d’assistance à maîtrise d’ouvrage, des missions de maintenance, de développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État après demande du métier.

Concernant l’accès au Back Office du prestataire de paiement :

-  les personnels de la Direction du Développement Économique : en lecture pour la Direction et le Comptable, tous droits pour le Responsable de la Section RCI ;

-   la Trésorerie Générale des Finances : tous en consultation ;

-   les personnels de la Direction des Systèmes d’Information (DSI) ou tiers intervenant pour son compte : en consultation pour le suivi du fonctionnement de la solution en lien avec la plateforme RCI ;

-  les personnels de la Direction des Services Numériques (DSN) ou tiers intervenant : tous droits pour l’assistance utilisateur, création et suppression de compte utilisateur en backup du Responsable de la section RCI.

En ce qui concerne les tiers intervenant pour le compte de la DSI et de la DSN, la Commission rappelle que, conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, leurs droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Sous cette réserve, la Commission considère que ces accès sont justifiés au regard du traitement.

VI.   Sur les rapprochements et les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements légalement mis en œuvre ayant pour finalités :

-  « Gestion des habilitations et des accès au Système d’Information », afin de veiller à la qualité des accès à la solution ;

-  « Gestion des accès dédiés au Système d’Information du Gouvernement », afin d’assurer la sécurité des accès au SI par les administrateurs système ;

-  « Gestion du Répertoire du Commerce et de l’Industrie », afin de permettre l’extraction des données du RCI ;

-  « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices », pour permettre la création d’un compte personnel nécessaire à la validation de la commande d’extraits de RCI en ligne ;

-  « Gestion et analyse des évènements du Système d’Information », afin de permettre la collecte et la corrélation des logs systèmes et applicatifs ;

-  « Obtenir un certificat de signature électronique ou de cachet électronique par voie dématérialisée » « pour apporter un caractère « certifié » aux extraits du RCI/RSSC en ligne délivrés via le site ;

-  « Gestion des sites Internet du Gouvernement Princier de Monaco » pour la gestion des demandes des usagers via les formulaires de contact et la diffusion de la liste des sociétés en déshérence par un lien ;

-   « Gestion des Sociétés Civiles de droit monégasque » afin de permettre l’extraction des données du RSSC ;

-  « Gestion des accès sécurisés à la solution de paiement en ligne » du prestataire de paiement en ligne, soumis à la réglementation française.

Il est également rapproché des traitements légalement mis en œuvre suivants :

-  « Assistance aux utilisateurs par le Centre de Service de la DSI », afin de permettre de répondre aux demandes des utilisateurs en cas de difficulté dans leur utilisation de la solution, étant précisé que le Centre de Service ne dispose pas d’accès à la solution ;

-  « Gestion de la messagerie professionnelle », afin de permettre aux usagers d’adresser des demandes à la DDE par le biais du formulaire en ligne.

Enfin, il est rapproché avec le traitement « en cours d’élaboration » suivant :

-  « Facturation et gestion de la comptabilité de la DDE » pour enregistrer les paiements des droits perçus par la DDE dans le cadre de ses missions notamment pour le RCI.

La Commission demande à ce que ce dernier lui soit soumis dans les meilleurs délais.

Sous cette réserve, elle considère que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII.  Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations relatives aux agents de la DDE en charge du Back Office sont conservées :

-   En ce qui concerne l’identité et la vie professionnelle « tant que la personne est habilitée à gérer les dossiers + 2 ans » ;

-   Pour les données d’identification électronique « tant que la personne est habilitée à avoir accès + 3 mois » ;

-   Logs de connexion à l’application : 24 mois glissants.

Par ailleurs, les informations relatives aux usagers commandant des extraits sont conservées 10 ans, « durée de conservation validée par la CCIN en 2006 », excepté les données de cartes bancaires et les données permettant l’identification de la localisation de l’opération d’achat qui sont conservées 15 mois.

La Commission relève que la durée de 10 ans est excessive. En ce qui concerne les informations liées à l’usager, et notamment celles en lien avec son identité, elle rappelle que le présent téléservice ne doit pas étendre les durées de conservation encadrées par le traitement ayant pour finalité « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices », qui est de trois ans à compter de la dernière connexion.

En ce qui concerne les informations de paiement et facturation, la Commission fixe leur durée de conservation à 5 ans, étant précisé qu’il n’est pas clair à l’analyse du dossier si la conservation desdites informations s’effectue au sein du présent traitement ou de celui « en cours d’élaboration » ayant pour finalité « Facturation et gestion de la comptabilité de la DDE ».

Sous les réserves susmentionnées, la Commission considère que ces durées de conservation sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Demande que le traitement ayant pour finalité « Facturation et gestion de la comptabilité de la DDE » lui soient soumis dans les meilleurs délais.

Rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Fixe la durée de conservation des informations relatives :

-    aux usagers à trois ans à compter de la dernière connexion ;

-    au paiement et à la facturation à 5 ans à compter du paiement.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Permettre la consultation d’informations et l’achat d’extraits du Répertoire du Commerce et de l’Industrie et du Registre Spécial des Sociétés Civiles par voie dématérialisée ».

Le Président de la Commission

de Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 1,11 MB
Télécharger le journal
au format PDF 1,11 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14