close
Share with your friends
CCIN Monaco : 4 choses à savoir sur la Commission de Contrôle des Informations Nominatives.

CCIN Monaco : 4 choses à savoir

CCIN Monaco : 4 choses à savoir

CCIN Monaco

4 choses à savoir sur la Commission de Contrôle des Informations Nominatives

La Commission de Contrôle des Informations Nominatives (CCIN) est une Autorité Administrative Indépendante monégasque instituée par la loi n° 1.165 du 23 décembre 1993. La CCIN veille au respect des libertés et des droits des personnes dont on utilise les informations personnelles. Pour cela, les données personnelles traitées hors du cadre privé doivent lui être déclarées. 

Dans le but d’accompagner les entreprises monégasques dans leur mise en conformité CCIN, le département Advisory de KPMG Monaco a créé une cellule dédiée axée sur des compétences techniques, juridiques et organisationnelles associées à une forte expertise métier.

Voici les choses importantes à connaître concernant la CCIN :

  1. Une règlementation complémentaire au RGPD
  2. Vocabulaire et notions de base
  3. Les obligations déclaratives à effectuer auprès de la CCIN
  4. Les risques et opportunités liés aux obligations CCIN

1. Une réglementation complémentaire au RGPD

Si la Principauté de Monaco dispose d’une réglementation propre en matière de protection des données articulée autour de la CCIN, les entités monégasques sont également, pour la plupart, soumises au Règlement Européen sur la Protection des Données (RGPD) depuis le 25 mai 2018.

En effet, le RGPD prévoit à son article 3 que toute entité, où qu’elle soit implantée dans le monde, doit se conformer au RGPD dans la mesure où le traite de manière récurrente des données personnelles de citoyens européens.

Compte tenu de leur position géographique et des nombreuses interconnexions entre la place monégasque et l’Union Européenne, les entités monégasques doivent donc respecter deux législations distinctes en matière de protection des données.

A la différence de la CCIN, le RGPD oblige les sociétés non pas à déposer des déclarations auprès d’une autorité compétente mais à s’organiser en interne pour répondre aux exigences du règlement.

Si les deux régulations fonctionnent actuellement parallèle, il est important de noter que la Principauté de Monaco prévoit de retranscrire le RGPD dans sa loi nationale d’ici la fin de l’année 2019. 

2. Vocabulaire et notions de base de la CCIN

» Information Nominative 

L’information nominative est celle qui permet d’identifier une personne physique déterminée ou déterminable. 

Exemples : numéro d’assuré social, un numéro de matricule interne ou à un ou plusieurs éléments spécifiques comme prénom, adresse, numéro de téléphone, numéro d’immatriculation de voiture, etc.

» Traitement automatisé 

Un traitement automatisé est l’ensemble des opérations portant sur des informations nominatives. Un traitement est considéré comme automatisé dès que l’information est traitée par des moyens techniques ou technologiques. 

Exemples : Collecte de données (au sens large) grâce à des dispositifs comme des fichiers informatiques, bases de données, caméras de surveillance, badgeuses, etc. 

» Responsable de Traitement 

Le responsable de traitement est la personne physique ou morale, de droit privé ou de droit public, qui détermine seule ou conjointement avec d’autres, la finalité et les moyens du traitement et qui décide de sa mise en œuvre. 

» Finalité du traitement 

La(les) raison(s) de la collecte et du traitement des données. Elles sont très variées, mais doivent être légitimes. 

Exemples : facturer des clients, tenir le solde des clients, réaliser des expéditions, tenir des comptes bancaires, suivre les compétences du personnel, assurer des opérations promotionnelles ciblées, réaliser des déclarations aux organismes sociaux, surveiller des commerces, sécuriser des locaux, etc. 

» Personnes concernées

La personne concernée par un traitement d’informations nominatives est celle à laquelle se rapportent les informations qui font l’objet du traitement. 

Exemples : aujourd’hui, on détient sur tous les acteurs ; clients, salariés, fournisseurs, actionnaires, sous-traitants, etc.

3. Les obligations déclaratives à effectuer auprès de la CCIN

Le principe général de l’encadrement des traitements de données informatisés est de ne les collecter que dans un but précis, dans de bonnes conditions de sécurité (suivant leur nature), en informant de ce but les personnes qui en sont l’objet et en leur garantissant le droit d’y accéder, de les modifier, ou de s’y opposer.

Par ailleurs, la durée de conservation des données doit être appropriée au vu de l’objectif du traitement. Enfin, les traitements de données doivent être suffisamment sécurisés afin de limiter le risque de perte, de vol ou d’altération des données.

Afin de contrôler le respect de ces principes généraux, la Loi n°1.165 prévoit l’obligation pour toute entité monégasque de procéder aux dépôts de déclarations auprès de la CCIN pour chaque traitement de données.

Ces déclarations peuvent être de 3 types en fonction des caractéristiques techniques des traitements, de la nature des données collectées et de leur finalité :

  • Déclarations simplifiées ;
  • Déclarations ordinaires ;
  • Demandes d’autorisation.

Il convient de noter que, s’agissant des déclarations ordinaires et des demandes d’autorisation, les informations à fournir comportent la description précise des infrastructures techniques de l’entité et notamment les aspects liés à la sécurisation des accès et des données en elles-mêmes. 

4. Les risques et opportunités liés aux obligations CCIN

» Les risques

  • Obligation première : respecter la législation monégasque, maîtriser et déclarer vos traitements d’informations nominatives vous préserve de risques tels que :
  • Risque patrimonial : Un fichier client non déclaré peut être considéré comme n’ayant aucune valeur, sa nature étant illicite.
  • Risque social : notamment en cas de litige avec un salarié, les fichiers d’informations nominatives détenues par votre société et non déclarés offrent un angle d’attaque sur elle.
  • Risque juridique : Ne pas satisfaire les demandes de modifications, de suppression, etc. de tiers (clients par exemple) vous expose à des plaintes pouvant conduire à des mises en demeure de la CCIN, voire des saisines du Procureur Général.
  • Risque financier : La Loi monégasque prévoit des sanctions financières pouvant aller jusqu’à 18.000 € pour l’entreprise en cas de non-respect des obligations déclaratives ou de traitement ne respectant les caractéristiques prévues et également des amendes allant jusqu’à 90.000 € en cas de non-respect des droits des citoyens ou d’exploitation de données à caractère discriminatoire.

» Enjeux et opportunités

KPMG Monaco voit dans la mise en conformité CCIN une occasion de mieux maîtriser et d’ajuster les données collectées (sur les clients par exemple), qui sont la base stratégique de beaucoup de sociétés, de protéger vos actifs d’agressions de tiers externes ou internes et aussi d’améliorer votre image par la transparence des traitements sans léser vos besoins en informations.

5. Conclusion : des retours d’expérience positifs

KPMG Monaco accompagne depuis plusieurs années un nombre important d’entités de la place dans leur mise en conformité CCIN et observe une forte accélération de la prise de conscience des consommateurs, des citoyens et des entreprises sur l’importance de la gestion des données depuis le déploiement du RGPD en 2018.

Les travaux nécessaires à l’accomplissement des formalités CCIN présentent de très fortes synergies avec les projets de mise en conformité RGPD et en conditionnent la réussite. 

Nos missions d’accompagnement à l’accomplissement des formalités CCIN sont le plus souvent structurées de la manière suivante :

  • L’identification et audit des traitements de données ;
  • Détermination de la nature des déclarations à produire ;
  • Production des déclarations elles-mêmes ;
  • Gestion de la relation avec la CCIN.

 

Contactez KPMG Monaco pour plus d'information

La cellule spécialisée CCIN du département Advisory de KPMG GLD & Associés Monaco vous accompagne et vous permet de répondre aux challenges de votre groupe ou entreprise en termes de croissance, de gouvernance et de gestion des risques, y compris toute problématique liée à la protection des données personnelles à Monaco et à la mise en conformité CCIN.

Contactez-nous pour en savoir plus sur nos expertises et échanger sur vos besoins.

Nous contacter