CCIN : vos obligations légales à Monaco
CCIN : quelles sont vos obligations légales pour la collecte de données personnelles à Monaco ?
Avant toute chose, vous devez désigner un signataire et un responsable du traitement de ces données. Ces derniers devront déposer les dossiers à la CCIN telles que déclarations ou demandes d’avis, et sont garants du respect de la loi et les obligations légales par leur entreprise.
Le responsable du traitement est notamment en charge de faire respecter les obligations légales suivantes dans le cadre d’un site vitrine ou d’un site marchand :
1. Obligation d’information sur la collecte de données personnelles des visiteurs du site
Cette information doit être claire et accessible sur le site, par exemple sur une page dédiée à la Politique de Confidentialité des données personnelles qui devra indiquer a minima : l’identité du responsable du traitement des données et la finalité du traitement.
La page d’information doit en outre indiquer le caractère obligatoire ou facultatif des données, les conséquences en cas de non-réponse, l’identité des destinataires ou les catégories de destinataires, les droits d’opposition recevables, les conditions d’accès et de rectification, la communication à des tiers d’informations nominatives…
2. Obligation d’information et de consentement sur l’utilisation de cookies
La très grande majorité des sites internet utilisent des fichiers « cookies » (fichiers téléchargés sur l’ordinateur ou le mobile d’un internaute lors d’une visite).
Vous devez vérifier si ces cookies utilisent ou transmettent des informations nominatives, et informer les visiteurs de votre site de leur utilisation et de leur finalité (technique, statistique, commerciale…). Dans l’idéal, il convient de lister l’intégralité des cookies, en précisant leur finalité, le service qui les utilise et la durée de conservation de ces derniers (sachant qu’elle est légalement limitée à 13 mois).
3. Obligation d’information envers les salariés sur leurs données personnelles rendues publiques
Lorsque des données nominatives de personnes salariées par l’entreprise, telles que nom et prénom, photo, fonction / poste ou informations de contact, sont affichées sur le site, ou sont traçables par divers moyens (y compris une simple connexion), le salarié doit en être informé et consentir à leur utilisation et à leur finalité.
4. Obligation d’information en cas de transferts de données vers un pays ne disposant pas d’un niveau de protection adéquat
La liste des pays disposant d’un niveau de protection adéquat est définie au sens de l’article 20 de la Loi n° 1.165 modifiée. Par conséquent, si des données sont transférées automatiquement ou par tout autre moyen vers un pays ne faisant pas partie de cette liste, par exemple les États-Unis, l’utilisateur concerné doit en être informé et apporter son consentement. Par exemple, l’utilisation de cookies Google Analytics entraînant le transfert de données vers des serveurs situés aux USA, le site internet doit obligatoirement en faire mention et se soumettre au consentement explicite de l’utilisateur concerné.
En outre, le responsable du traitement doit impérativement prendre mesures pour assurer la confidentialité et la sécurité des données transférées vers ces pays.
5. Obligation de maîtrise des données personnelles
Le responsable de traitement doit lister et catégoriser les données personnelles collectées, et en limiter au maximum la portée au strict nécessaire pour chaque fonctionnalité (contact, newsletter, statistiques, comptes clients e-commerce, etc.)
6. Obligation de limitation de durée des données personnelles
Le responsable de traitement doit en outre s’assurer de l’adéquation et de la légalité des durées de conservation adaptées à chacune des catégories de données ainsi collectées.
Les obligations de maîtrise de durée incluent notamment : la suppression des données de contact d’un utilisateur inactif au bout de 3 ans au maximum et la suppression des cookies au bout de 13 mois au maximum.
Par ailleurs, il faut indiquer la suppression des données non-nécessaires une fois leur finalité accomplie, la suppression systématique des données de en ayant fait la demande expresse, ou leur archivage si et seulement si nécessaire en case de transactions commerciales.
7. Obligation de maîtrise et de conservation des données bancaires
Les données bancaires ne peuvent être conservées que 13 mois au maximum après la date de dernier débit pour des finalités légales liées aux transactions commerciales, ou 15 mois au maximum en cas de cartes de paiement à débit différé.
En outre, il est interdit de conserver les cryptogrammes visuels, ou de conserver des données de cartes bancaires expirées.
8. Obligation de maîtrise et de conservation des documents d’identité
Les duplicata ou copie numériques de pièces d’identité ne peuvent être conservées pendant plus de 6 mois lorsqu’elles sont utilisées à fins de vérification d’une carte bancaire, et doivent être détruites dès que la vérification est effectuée, y compris pour les demandes de remboursement ou de paiement à distance.
9. Obligation de sécurité des données
Voir notre page dédié : CCIN : sécurité des données, systèmes et réseaux
Nous assurons la sécurité de vos données et votre conformité à Monaco (données personnelles et données sensibles)
- Audit complet de la conformité CCIN / RGPD de votre entreprise, de votre site, bases de données et systèmes IT (données personnelles, données financières, données santé, sécurité, accès…) .
- Analyse des problèmes et risques liés à la conformité, recommandations de nos experts pour assurer la conformité CCIN / RGPD de votre site, des applications tierces et des modules, de vos données ainsi que celles de vos utilisateurs.
- Enregistrement et formalités CCIN et mise en place des mesures correctives et bonnes pratiques pour assurer la conformité de votre site, de vos données et de votre entreprise.
- Options : service automatisé de conformité CCIN / RGPD pour votre site web.