Mme Agnès LEPAULMIER est Secrétaire Général de la Commission de Contrôle des Informations Nominatives (CCIN), l’autorité monégasque de protection des données personnelles. Nous l’avons rencontrée car les réunions de travail avec l’AMAF sont nombreuses, et couvrent des sujets très divers.
La CCIN agit « au nom de l’État » mais reste indépendante …
Nous sommes l’autorité en charge de la protection des informations nominatives : un régulateur et une autorité administrative indépendante, ayant pour mission de veiller au respect des libertés et droits fondamentaux des personnes dans l’utilisation de leurs informations personnelles. Nous nous assurons que l’exploitation informatique qui en est faite ne porte pas atteinte à leur vie privée, à leurs libertés fondamentales. Dans ce cadre, nous exerçons une mission d’enregistrement et d’instruction des dossiers, une mission de conseil et de proposition, et enfin une mission de contrôle et d’investigation.
Quelles sont vos relations avec l’AMAF ?
L’AMAF, et les associations professionnelles en général, sont de véritables relais dans la diffusion de l’information. Nous tenons des réunions trimestrielles avec M. UCARI et le groupe de contact CCIN au sein de l’association. Les banques ont l’habitude de la conformité, cela fait partie de leur ADN. L’AMAF nous soumet donc des questions très pratiques, et pointues. Nous essayons d’y répondre au mieux. Récemment, la CCIN a mis en ligne sur son site une Foire Aux Questions (FAQ) sur le Règlement Général de la Protection des Données (RGPD) et son impact à Monaco. Cela pour répondre entre autres aux préoccupations des membres de l’AMAF, que nous avions rencontrés deux fois, en 2019, sur ce sujet.
Le travail à distance lors de la pandémie a sûrement engendré des interrogations ?
Dans le cadre des mesures de confinement et de déconfinement, nous avons effectivement eu de nombreux échanges avec les banques qui nous ont contactés pour la mise en œuvre du télétravail, sur les mesures de sécurité informatique nécessaires. Concernant le travail à distance, nous intervenons sur deux aspects : la sécurisation des accès distants, et l’éventuelle surveillance du travail et du temps de travail des salariés à leur domicile. Nous contrôlons les outils de mesure de leur activité professionnelle pour qu’ils ne soient pas trop invasifs ; par exemple, une webcam activée en permanence sur le portable d’un salarié ne peut pas être tolérée. Une fiche de recommandation « télétravail et protection des données personnelles » a été éditée. Nous avons répondu à des questions de nature très diverses : des prises de températures aux caméras thermiques ! Nos réponses se fondent avant tout sur la protection de la vie privée.
Comment travaillez-vous avec le SICCFIN ?
Si nous avons des problèmes particuliers avec le SICCFIN, nous les contactons et les rencontrons de façon très souple. En matière de lutte anti-blanchiment, la personne ayant fait l’objet d’une déclaration de soupçon ne peut pas s’adresser directement au SICCFIN. Si son compte bancaire est fermé, ou bien son ouverture de compte refusée, elle peut nous contacter pour vérifier si elle est l’objet d’une déclaration de soupçon. Nous nous rapprochons alors du SICCFIN pour savoir quelles informations il détient sur la personne concernée, et si ces informations concernent la lutte contre le blanchiment de capitaux nous n’avons bien évidemment pas le droit de les lui communiquer.
La loi monégasque 1165, concernant la protection des informations nominatives est sur le point d’évoluer ?
Effectivement, afin de mieux correspondre aux standards européens. Nous avons exposé à l’AMAF les grands principes et les impacts de cette future loi, et nous avons également constitué, depuis 2 ans, un groupe de travail avec les services de l’État. La loi revisitée insiste sur le principe de responsabilisation des établissements financiers, qui devra s’intégrer dans leur culture d’entreprise. Les formalités préalables, aussi lourdes pour les entités (banques, sociétés de gestion…) que pour nous, n’existeront plus. Les établissements financiers devront s’interroger en amont sur la conformité, sans le filtre préalable de la CCIN. Le contrôle CCIN se fera selon le principe de démonstration, et nous disposerons pour cela de nouveaux outils comme le registre des traitements.
La loi devrait être déposée au Conseil National d’ici la fin de l‘année. Nous aurons alors à accomplir un gros travail d’explication et de sensibilisation auprès des acteurs publics et économiques ; ils devront prendre conscience de l’étendue de leurs responsabilités en la matière, car les sanctions seront plus lourdes qu’aujourd’hui. Certains d’entre eux devront désigner un délégué à la protection des données, afin que nous ayons un interlocuteur défini.