Commission de Contrôle des Informations Nominatives

Aujourd'hui est publiée au Journal de Monaco l'Ordonnance Souveraine qui renouvelle la composition de la Commission, quatre des Commissaires de la CCIN arrivant à la fin de leur mandat, dont son Président. Aussi, dans son mot introductif du rapport d'activité 2023 désormais publié, le Président de la CCIN s'attache à dresser le bilan des 10 dernières années, riches en évènements, et passer sereinement le témoin. Concernant l'année 2023, de nombreuses saisines et demandes de déréférencements, un avis sur la reconnaissance faciale ; et bien sûr, deux fiches thématiques, sur le cloud computing et sur l'approche globale de la sécurité des traitements. Pour la lecture dudit rapport 👉https://lnkd.in/eu7WYbKF

Besoin d'acquérir des notions sur le Cloud computing (ou donnée dans les nuages) ?☁️☁️🖥️ La CCIN met à disposition sur son site une nouvelle fiche pratique, qui sera incluse dans le rapport d'activité 2023 qui sortira bientôt. Le lien 👉https://lnkd.in/eSUN5nb4

Deux nouvelles recommandations de la CCIN rappelant le nécessaire respect de la vie privée des fonctionnaires concernés par une Ordonnance Souveraine prononçant : - une mise à la retraite d'office pour cause d'invalidité ; - une sanction disciplinaire, notamment une révocation. Elle estime que ces décisions individuelles relatives aux fonctionnaires ne devraient pas : - permettre de connaître l'état de santé de ces derniers ; - être automatiquement publiées, s'agissant notamment des sanctions ; - être indexées au Journal de Monaco dans une partie référençable pour les moteurs de recherche ; - en cas de maintien des points précédents, a minima, être exclues du droit à l'oubli. https://lnkd.in/eSQeYcj9

Réunion de lancement de Groupes de travail avec les Banques Fort du constat partagé entre les établissements bancaires et la CCIN de l’existence de questionnements récurrents sur les traitements qu’ils mettent en œuvre, s’est tenue le lundi 18 mars 2024 une réunion ayant pour objectif d’instaurer des Groupes de travail thématiques sur les différents points identifiés. Le but de cette démarche est, à court terme, de répondre à ces interrogations et d’harmoniser les pratiques au sein d’un document commun, et à long terme, si les associations et les organismes professionnels représentant ce Secteur le désirent, que ce document serve à élaborer un Code de conduite une fois le projet de Loi n° 1054 adopté (article 30). Merci à l’AMAF et à l’AMCO - Association Monégasque des Compliance Officers pour leurs contributions à l’organisation de cet événement et pour leur participation, et rendez-vous pour la suite et la mise en œuvre des Groupes de travail.

Un consentement libre Le consentement est l’une des justifications listées par l’article 10-2 de la Loi n° 1.165 pour le traitement de données personnelles. Notion non définie audit article, elle est quelque peu précisée quand des données sensibles sont traitées, l’article 12 de la Loi susvisée disposant que leur exploitation peut être admise « lorsque la personne concernée a librement donné son consentement écrit et exprès ». Le consentement est défini au sein du projet de Loi n° 1054 comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement, celui de la liberté pose plus de difficultés en pratique ». Sans s’attarder sur l’ensemble des attributs de ce consentement, le fait qu’il doit être « libre » signifie que la personne concernée a la possibilité d’opérer un réel choix (éclairé) et que dans l’hypothèse d’un refus, celle-ci ne va pas subir de conséquences négatives, comme ne pas pouvoir utiliser un service subordonné à son recueil. Elle doit pouvoir revenir sur son consentement et ce, aussi facilement qu’elle l’a donné. Ainsi, le consentement n’apparaît pas comme étant la justification la plus appropriée lorsque la personne concernée et le responsable de traitement ne disposent pas des mêmes pouvoirs et qu’il existe un risque de contrainte. Par exemple, il est très rarement admis que l’employeur utilise le consentement de ses salariés comme base juridique pour le traitement de leurs données en raison du lien de subordination les unissant. Une même logique est applicable dans la relation administration/administrés lorsqu’il existe un déséquilibre manifeste dans leur relation. Enfin, il convient de préciser qu’aucune disposition de la Loi n° 1.165 ne prévoit spécifiquement le consentement des mineurs. Toutefois, leur cas est particulier et doit faire l’objet d’une approche adaptée.

Violation de données et obligation de notification : état des lieux monégasque L’article 33 du RGPD impose au responsable de traitement de notifier à l’Autorité de contrôle une violation de données à caractère personnel, sauf si celle-ci n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Si au contraire, la violation présente un risque élevé, il doit également la communiquer aux personnes concernées, sauf dérogations, en application de l’article 34. Qu’en est-il à Monaco ? La Loi n° 1.165 relative à la protection des informations nominatives n’impose pas d’obligation généralisée de notification ou d’information des personnes concernées. Toutefois, le droit monégasque impose deux obligations circonstanciées de notification à la CCIN par le biais : - de l’article 2 de la Loi n° 1.444 portant diverses mesures en matière de protection des informations nominatives et de confidentialité dans le cadre de l’échange automatique de renseignements en matière fiscale, qui prévoit aussi une obligation d’information des personnes concernées ; - des articles 7 et 11 de l’Ordonnance Souveraine n° 8.337 du 5 novembre 2020 relative aux données de santé à caractère personnel produites ou reçues par les professionnels et établissements de santé. La CCIN rappelle néanmoins qu’il relève d’une bonne pratique de l’informer en cas de violation de données, car elle peut être saisie de cette violation via une plainte d’une personne concernée, la saisine d’une Autorité de contrôle étrangère, ou en être informée par la presse. Enfin, certains responsables de traitement monégasques sont soumis au RGPD en application de son article 3.1 ou 3.2. Le cas échéant, la CCIN rappelle que la notification prévue à l’article 33 doit être effectuée auprès de l’Autorité de contrôle compétente d’un Etat membre de l’UE. Informer la CCIN ne les dispense donc pas de cette obligation.

Utilisation coordonnée de techniques de Phishing et Deepfake Le phishing, aussi connu sous le nom d’hameçonnage en français, est une technique utilisée par des cybercriminels. Généralement, la personne concernée reçoit un message ou un appel, émanant d’une entité connue, présentant un caractère officiel et suscitant le plus souvent un sentiment d’urgence. L’escroc peut ainsi se faire passer pour une entité publique (caisse de sécurité sociale, gendarmerie, etc.) ou encore une entreprise légitime (poste, banque, etc.). Les cyberattaques par hameçonnage ne sont pas récentes. Néanmoins, avec le développement des technologies toujours plus complexes il devient de plus en plus difficile de les identifier. Récemment, la technologie deepfake (réalisation d’une vidéo grâce à l’intelligence artificielle en utilisant des images et des bandes sonores issues de vidéos accessibles au public) a été utilisée pour escroquer une multinationale de plus de 26 millions de dollars. Dans les faits, un salarié du département financier de l’entreprise, localisée à Hong Kong, a reçu un e-mail qui semblait émaner d’un supérieur pour procéder à une opération confidentielle. Cliquant sur le lien proposé en son sein, le salarié fut rassuré de se retrouver dans une visioconférence dans laquelle son supérieur et d’autres membres de l’entreprise étaient présents. En réalité, il n’y avait personne, à part un cybercriminel effectuant un deepfake et lui demandant de transférer de l’argent vers des comptes bancaires désignés. La victime a procédé au transfert. Aussi, la Commission souligne l’importance de procéder à des campagnes de sensibilisation des salariés pour protéger au maximum les intérêts des administrations et de leurs administrés ainsi que des entreprises et de leurs clients. Voici, quelques exemples de bons réflexes à adopter à la réception d’un contenu suspect : - n’ouvrez pas les pièces jointes ; - ne cliquez pas sur les liens insérés dans l’e-mail ; - ne communiquez pas les informations complémentaires demandées ; - contactez directement la personne ou l’organisme concerné pour demander s’il/elle est à l’origine de ce message ; - supprimez les e-mails et videz la corbeille ; - si réception de l’e-mail suspect sur votre messagerie professionnelle, transférez l’e-mail au service informatique de votre entreprise. En effet, les actions d’un seul salarié recevant un contenu frauduleux et suivant sans se questionner les étapes indiquées dans celui-ci peuvent conduire à des pertes conséquentes d’informations, d’argent et même de crédibilité à l’égard du public. Attention également au fort développement du smishing, attaque de cybersécurité par phishing menée par le biais de la messagerie texte mobile.

Champ d’application de la Loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives : le critère d’établissement L’application de la Loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée, aux traitements mis en œuvre par un responsable de traitement engendre un certain nombre de conséquences et d’obligations à la charge de ce dernier ( responsabilité, formalités à régulariser auprès de la CCIN notamment…). Aussi, la détermination du champ d’application de la Loi n° 1.165 susvisée, est une étape essentielle en cas de mise en œuvre de traitements en lien avec Monaco, plus particulièrement à l’heure de la globalisation et de la banalisation de l’utilisation des nouvelles technologies. L’article 24 premier tiret de la Loi n° 1.165, susvisée, consacre à cet effet le critère de l’ « établissement » et prévoit que « les dispositions de la Loi n° 1.165 du 23 décembre 1993, modifiée, sont applicables aux traitements automatisés d’informations nominatives mis en œuvre par un responsable de traitement établi à Monaco ». Si la notion d’établissement n’est pas actuellement définie par le texte, il n’existe aucune exigence quant à l’implication d’une société ou d’une succursale monégasque. L’existence d’un exercice effectif, réel et stable de son activité sera en revanche un élément à prendre en considération pour retenir l’existence d’un établissement du responsable de traitement à Monaco. A cet égard, il y a lieu de relever que le critère de l’établissement est également consacré à l’article 3 (1) du Règlement Général à la Protection des Données (RGPD) pour déterminer le champ d’application territorial du règlement. Le considérant 22 du RGPD apporte des précisions sur cette notion et énonce notamment que « l'établissement suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable. La forme juridique retenue pour un tel dispositif, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard ». Des exemples relatifs à la notion d’établissement se retrouvent également au sein des lignes directrices 3/2018 relatives au champ d’application territorial du RGPD adoptées par le Comité européen de la protection des données. Il existe d’autres critères que l’établissement pour l’application de la Loi monégasque, comme il existe une application extraterritoriale du RGPD. Pour plus d’informations, un FAQ relatif à l’impact du RGPD à Monaco est disponible sur le site internet de la CCIN : https://lnkd.in/et3X82yV

HTTP et HTTPS : Sécurisez votre site ! L’HyperText Transfer Protocol plus connu sous l’abréviation HTTP est un protocole de transfert hypertexte développé par Tim Berners-Lee. Il assure la communication entre un navigateur et le serveur qui héberge le site Internet recherché et permet ainsi l’accès au contenu de ce dernier. Ce protocole a évolué en 1994 pour devenir l’HyperText Transfer Protocol Secure ou HTTPS, qui se définit comme le protocole HTTP avec une couche de sécurité supplémentaire, représentée initialement par le sous protocole de chiffrement SSL (Secure Sockets Layer) et actuellement par le sous protocole TLS (Transport Layer Security). Ce dernier peut permettre de garantir l’authenticité du site Internet visité. Il permet ensuite, grâce au chiffrement de bout en bout des informations transmises, d’en assurer leur confidentialité et leur intégrité. Par conséquent, la navigation HTTPS diminue les risques d’interception et de modification des données échangées (ex : nom, email, adresse postale, numéro de carte bancaire, mot de passe, etc.). En plus d’assurer une plus grande sécurité des données transmises, l’utilisation de ce protocole HTTPS permet également un meilleur référencement par les moteurs de recherche du site Internet concerné et donc une plus grande visibilité des services et produits proposés par l’entreprise. Par ailleurs, le recours au protocole HTTPS participe au respect des dispositions relatives à la protection des données personnelles A cet égard, en mai 2023, dans une décision rendue à l’encontre de la société DOCTISSIMO, la CNIL s’est prononcée sur l’utilisation du protocole HTTP alors que « l’usage du protocole « HTTPS » relevait de l’état de l’art » au moment du contrôle. Ainsi, elle a conclu « que l’absence de mise en place de mesure de sécurité de base que constitue l’utilisation du protocole « HTTPS » ou d’une autre mesure de sécurité équivalente caractérise un manquement à l’article 32 du RGPD » relatif à la Sécurité du traitement. Enfin, la CCIN attire l’attention des acteurs concernant les différents certificats de chiffrement disponibles sur le marché qui n’offrent pas tous les mêmes conditions de sécurité, de confiance et de validation, notamment ceux mis à disposition gratuitement. Pour plus de renseignements, la CCIN a publié une recommandation, en lien avec les bonnes pratiques à adopter en matière de sites Internet avec notamment un focus sur la sécurité à mettre en place : https://lnkd.in/en7RxJcm

Sur la surveillance permanente et inopportune des salariés De plus en plus d’entreprises se dotent d’outils permettant de surveiller l’activité de leurs salariés. Les techniques utilisées pour procéder à la surveillance des salariés sont variées (ex. géolocalisation, contrôle de l’accès aux locaux et des horaires, écoute et l’enregistrement des appels sur le lieu de travail, etc..) et peuvent se révéler plus ou moins intrusives, notamment à l’heure de l’AI. Non maîtrisées ou utilisées à l’excès, elles sont susceptibles de se heurter à plusieurs libertés et droits fondamentaux, dont le droit au respect de la vie privée qui, pour rappel, est consacré aux articles 22 de la Constitution du 17 décembre 1962 de la Principauté et du Code civil. Aussi, la mise en place d’un système permettant la surveillance de l’activité des salariés nécessite une réflexion approfondie en amont et droit répondre à une finalité déterminée, explicite et légitime. En tout état de cause, cela ne doit aucunement conduire à une surveillance permanente et continue des salariés. Les personnes concernées devront en outre bénéficier d’une information conforme à l’article 14 de la Loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, information complétée si nécessaire d’explications quant au comportement attendu relativement à l’utilisation de certains traitements, afin de pouvoir s’y adapter. La mauvaise utilisation de ces outils de surveillance par l’employeur n’est pas sans conséquence, comme le démontre l’amende d’un montant de 32 millions d’euros prononcée, par la CNIL, à l’encontre de d’AMAZON FRANCE LOGISTIQUE, qui a mis en place un système d’analyse de l’activité et des performances de ses salariés jugé excessif. Pour plus de renseignements, la CCIN a publié plusieurs recommandations, en lien avec la surveillance des salariés disponibles sur son site internet, parmi lesquelles : - La cyber surveillance au travail : https://lnkd.in/eFBKMYSK - Focus sur la messagerie professionnelle : https://lnkd.in/euE7b5bV - Teletravail et protection des données personnelles : https://lnkd.in/eT5qAyEu