Projet de loi n° 1.093 portant modification de diverses dispositions en matière de numérique

L'article 1er de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, est modifiée comme suit :

« Au sens de la présente loi on entend par :

• 1°) « actif numérique », la représentation sous une forme numérique d'une valeur, d'un bien ou d'un droit de nature patrimoniale. Les actifs numériques comprennent notamment les actifs financiers virtuels, les jetons non fongibles et les jetons d'usage, à l'exclusion des jetons financiers ;

• 2°) « actif financier virtuel », représentation d'une valeur qui n'est pas émis ou garantie par une banque centrale ou par l'État, qui n'est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d'une monnaie, mais qui est acceptée par les personnes physiques ou morales comme un moyen d'échange et qui peut être transférée, stockée ou échangée électroniquement ;

• 3°) « archivage électronique », ensemble des actions, outils et méthodes mis en œuvre pour conserver à court, moyen ou long terme des données sous forme numérique dans des conditions de fiabilité qui assurent l'intégrité des données conservées dans le but de les exploiter ultérieurement ;

• 4°) « attribut », une caractéristique, une qualité, un droit ou une autorisation d'une personne physique ou morale ou d'un objet ;

• 5°) « attestation électronique d'attributs », une attestation sous forme électronique qui permet l'authentification d'attributs ;

• 6°) « attestation électronique d'attributs qualifiée », une attestation électronique d'attributs, qui est délivrée par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées par arrêté ministériel ;

• 7°) « attestation électronique d'attributs délivrée par un organisme du secteur public responsable d'une source authentique ou pour son compte », une attestation électronique d'attributs délivrée par un organisme du secteur public qui est responsable d'une source authentique ou par un organisme du secteur public qui est désigné par l'État pour délivrer de telles attestations d'attributs pour le compte des organismes du secteur public responsables de sources authentiques conformément aux exigences déterminées par arrêté ministériel ;

• 8°) « authentification forte de l'utilisateur », une authentification reposant sur l'utilisation d'au moins deux facteurs d'authentification de différentes catégories relevant soit de la connaissance, à savoir quelque chose que seul l'utilisateur connaît, soit de la possession, à savoir quelque chose que seul l'utilisateur possède ou de l'inhérence, à savoir quelque chose que l'utilisateur est, qui sont indépendants en ce sens que l'atteinte portée à l'un ne compromet pas la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification ;

• 9°) « avatar », une forme numérique choisie par l'utilisateur pour le représenter graphiquement dans un métavers ;

• 10°) « avatar à authentification faible », un avatar qui représente l'identité numérique de l'utilisateur au sein d'un métavers, présentant un niveau de garantie « faible » au sens de l'article 3 de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique » ;

• 11°) « avatar à authentification substantielle », un avatar qui représente l'identité numérique de l'utilisateur au sein d'un métavers, présentant un niveau de garantie « substantiel » au sens de l'article 3 de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ;

• 12°) « avatar à authentification élevée », un avatar qui représente l'identité numérique de l'utilisateur au sein d'un métavers, présentant un niveau de garantie « élevé » au sens de l'article 3 de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique ; ».

• 13°) « cachet électronique », des données sous forme électronique, qui sont jointes ou associées logiquement à d'autres données sous forme électronique pour garantir l'origine et l'intégrité de ces dernières ;

• 14°) « cachet électronique avancé », cachet électronique satisfaisant aux exigences suivantes :

  • a) être lié au créateur du cachet de manière univoque ;

  • b) permettre d'identifier le créateur du cachet ;

  • c) avoir été créé à l'aide de données de création de cachet électronique que le créateur du cachet peut, avec un niveau de confiance élevé, utiliser sous son contrôle pour créer un cachet électronique ;

  • d) être lié aux données auxquelles il est associé de telle sorte que toute modification ultérieure des données soit détectable.

• 15°) « cachet électronique qualifié », un cachet électronique avancé qui est créé à l'aide d'un dispositif de création de cachet électronique qualifié et qui repose sur un certificat qualifié de cachet électronique ;

• 16°) « certificat d'authentification », une attestation qui permet de confirmer l'identification électronique d'une personne physique ou morale ou l'origine et l'intégrité d'une donnée sous forme électronique ;

• 17°) « certificat d'authentification qualifié », un certificat d'authentification qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées par arrêté ministériel ;

• 18°) « certificat d'authentification de site internet », une attestation électronique qui permet d'authentifier un site internet et relie le site internet à la personne physique ou morale à laquelle le certificat est délivré ;

• 19°) « certificat qualifié d'authentification de site internet », un certificat d'authentification de site internet, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées par arrêté ministériel ;

• 20°) « certificat de cachet électronique », une attestation électronique qui associe les données de validation d'un cachet électronique à une personne morale et confirme le nom de cette personne ;

• 21°) « certificat qualifié de cachet électronique », un certificat de cachet électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées par arrêté ministériel ;

• 22°) « certificat de signature électronique », une attestation électronique qui associe les données de validation d'une signature électronique à une personne physique et confirme au moins le nom et le pseudonyme de cette personne ;

• 23°) « certificat qualifié de signature électronique », un certificat de signature électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées par arrêté ministériel ;

• 24°) « clé privée », partie secrète d'une paire indissociable d'éléments cryptographiques, permettant à son titulaire de signer un message ou un document électronique notamment dans le cadre d'une technologie de registres distribués. La clé privée permet également au titulaire de prendre connaissance d'un message ou d'un document électronique chiffré à son attention avec sa clé publique correspondante. La clé privée n'est jamais révélée par son titulaire ;

• 25°) « clé publique », partie publique d'une paire indissociable d'éléments cryptographiques, communiquée aux tiers par son titulaire, permettant de vérifier la validité de la signature électronique qu'il a apposée sur un message ou un document électronique notamment dans le cadre d'une technologie de registres distribués. La clé publique permet également aux tiers de chiffrer un message ou un document pour un destinataire qui possède la clé privée correspondante ;

• 26°) « communication au public en ligne », toute transmission, sur demande individuelle, de données numériques n'ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d'informations entre l'émetteur et le récepteur ;

• 27°) « communication au public par voie électronique », toute mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes, de signaux, d'écrits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractère d'une correspondance privée ;

• 28°) « consentement », toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle une personne accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ;

• 29°) « consommateur », toute personne physique qui, dans les contrats relevant de la présente loi, agit à des fins qui n'entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale ;

• 30°) « contrat à distance », tout contrat conclu, dans le cadre d'un système organisé de vente ou de prestation de service à distance, sans la présence physique simultanée des parties, par le recours exclusif à une ou plusieurs techniques de communication à distance, jusqu'au moment, et y compris au moment, où le contrat est conclu ;

• 31°) « courrier électronique », tout message, sous forme de texte, de voix, de son ou d'image, envoyé par un réseau de communication, stocké sur un serveur du réseau ou dans l'équipement terminal du destinataire jusqu'à ce que ce dernier le récupère ;

• 32°) « créateur de cachet », une personne morale qui crée un cachet électronique ;

• 33°) « crypto-actif », la représentation sous une forme numérique d'une valeur, d'un bien ou d'un droit de nature patrimoniale, comprenant notamment les actifs numériques et les jetons financiers ;

• 34°) « dispositif de création de cachet électronique », un dispositif logiciel ou matériel servant à créer un cachet électronique ;

• 35°) « dispositif de création de cachet électronique qualifié » un dispositif de création de cachet électronique qui satisfait aux exigences définies par arrêté ministériel ;

• 36°) « dispositif de création de cachet électronique qualifié à distance », un dispositif de création de cachet électronique qualifié qui est géré par un prestataire de services de confiance qualifié qui satisfait aux exigences définies par arrêté ministériel, pour le compte d'un créateur de cachet » ;

• 37°) « dispositif de création de signature électronique » un dispositif logiciel ou matériel servant à créer une signature électronique ;

• 38°) « dispositif de création de signature électronique qualifié » un dispositif de création de signature électronique qui satisfait aux exigences définies par arrêté ministériel ;

• 39°) « dispositif de création de signature électronique qualifié à distance », un dispositif de création de signature électronique qualifié qui est géré par un prestataire de services de confiance qualifié qui satisfait aux exigences définies par arrêté ministériel, pour le compte d'un signataire ;

• 40°) « document électronique », tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel ;

• 41°) « document transférable électronique » un document électronique qui satisfait aux exigences de l'article 55 ;

• 42°) « domaine de premier niveau », nom de domaine internet situé au sommet de la hiérarchie, correspondant à l'extension suivant le dernier point dans un nom de domaine ;

• 43°) « donnée à caractère personnel ou donnée personnelle », information se rapportant à une personne physique identifiée ou identifiable ci-après dénommée « personne concernée ». Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

• 44°) « données de création de cachet électronique », des données uniques qui sont utilisées par le créateur de cachet pour créer un cachet électronique ;

• 45°) « données de création de signature électronique » des données uniques qui sont utilisées par le signataire pour créer une signature électronique ;

• 46°) « données de validation » les données qui servent à valider une signature électronique ou un cachet électronique ;

• 47°) « envoi recommandé électronique », un envoi recommandé électronique qui satisfait aux exigences de l'article 28-1 ;

• 48°) « envoi recommandé électronique qualifié », un envoi recommandé électronique satisfaisant aux exigences de l'article 28-2 qui est équivalent à l'envoi recommandé par lettre recommandée ;

• 49°) « fournisseur », toute personne morale ou physique proposant dans le cadre de son activité professionnelle la fourniture de biens ou de services par la mise en œuvre d'une ou plusieurs techniques de communication à distance utilisant des moyens électroniques ;

• 50°) « fournisseur de services de communication au public en ligne » toute personne assurant la mise à disposition de contenus, services ou applications relevant de la communication au public en ligne, au sens de la présente loi. Sont notamment considérées comme des fournisseurs de services de communication au public en ligne les personnes qui éditent un service de communication au public en ligne, mentionnées à l'article 33 de la présente loi, ou celles qui assurent le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature, mentionnées à l'article 29 de la présente loi ;

• 51°) « horodatage électronique », des données sous forme électronique qui associent d'autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant ;

• 52°) « horodatage électronique qualifié », un horodatage électronique qui satisfait aux exigences fixées par arrêté ministériel ;

• 53°) « jeton » un bien incorporel représentant sous un format numérique, un ou plusieurs droits, biens ou services, pouvant être émis, inscrits, conservés ou transférés au moyen d'une technologie de registres distribués et qui permet d'identifier, directement ou indirectement, le propriétaire dudit bien ;

• 54°) « jeton d'usage » un jeton représentant un droit d'usage sur des biens, des produits ou des services ;

• 55°) « jeton financier » un jeton présentant les caractéristiques des instruments financiers mentionnés à l'article 2 du Code de commerce ;

• 56°) « jeton non fongible », un jeton unique et non interchangeable représentant sous un format numérique un droit attaché à un bien ;

• 57°) « métavers », une plateforme persistante et synchrone créant un ou des univers virtuels immersifs proposant des produits et services en ligne à plusieurs utilisateurs simultanément sous forme d'avatars, pouvant notamment s'y déplacer, y interagir socialement et économiquement ;

• 58°) « nom de domaine », la dénomination unique à caractère universel permettant d'accéder à un site internet identifiable, le signe distinctif unique et ubiquiste qui, dès lors qu'il est exploité, permet d'accéder à un site internet identifiable sous lequel une personne physique ou morale propose, à titre gratuit ou onéreux, des biens ou des services de natures diverses ;

• 59°) « numérisation », la création d'une copie fiable d'un document analogique dans des conditions qui assurent des garanties fiables quant à la conformité à l'original de la copie ainsi créée ;

• 60°) « opérateur de plateforme en ligne », tout fournisseur proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :

  • a) le classement ou le référencement au moyen d'algorithmes, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; ou

  • b) la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service ;

• 61°) « oracle sur registre électronique », une interface permettant de communiquer des données à un registre électronique à partir de sources externes à ce registre par un tiers, qui peut être une personne physique ou morale, ou par un logiciel, notamment pour l'exécution d'un protocole contractuel numérique ;

• 62°) « Organismes du secteur public », personnes morales de droit public, autorités publiques, organismes de droit privé investis d'une mission d'intérêt général ou concessionnaires d'un service public ;

• 63°) « partie utilisatrice », une personne physique ou morale ou une personne physique représentant une personne physique ou morale qui se fie à un service de confiance ou à des moyens d'identification électronique fournis conformément à la présente loi ;

• 64°) « prestataire de services de confiance » un prestataire de services de confiance est une personne morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié ;

• 65°) « prestataire de services de confiance qualifié », un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l'Agence Monégasque de Sécurité Numérique ou d'un autre organisme de sécurité reconnu par ladite Agence le statut qualifié ;

• 66°) « produit », un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services d'identification électronique et de services de confiance » ;

• 67°) « prospection directe », l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne fournissant des biens ou des services ;

• 68°) « protocole contractuel numérique », un programme informatique utilisant une technologie de registres distribués et permettant d'exécuter automatiquement une série d'actions prédéterminées lorsque les conditions prédéfinies dans le programme sont réunies ;

• 69°) « registre électronique », une séquence d'enregistrements de données électroniques qui garantit l'intégrité de ces enregistrements et l'exactitude du classement chronologique de ces enregistrements ;

• 70°) « registre électronique qualifié », un registre électronique qui est fourni par un prestataire de service de confiance qualifié et qui satisfait aux exigences déterminées à l'article 28-6 ;

• 71°) « service d'archivage électronique », un service de confiance qui consiste en la conservation de données électroniques ou de documents numérisés ;

• 72°) « service d'archivage électronique qualifié », un service d'archivage électronique qui satisfait aux exigences fixées par arrêté ministériel ;

• 73°) « service d'authentification », un service de confiance qui permet de confirmer l'identification électronique d'une personne physique ou morale ou l'origine et l'intégrité d'une donnée sous forme électronique ;

• 74°) « service d'authentification qualifié » un service d'authentification qui satisfait aux exigences fixées par arrêté ministériel ;

• 75°) « service d'authentification de site Internet », un service de confiance qui permet au visiteur d'un site Internet de s'assurer que celui-ci est tenu par une entité véritable et légitime ;

• 76°) « service d'authentification de site Internet qualifié » un service d'authentification de site Internet qui satisfait aux exigences fixées par arrêté ministériel ;

• 77°) « service de cachet électronique » un service de confiance qui permet d'identifier la personne morale à l'origine d'un document et de garantir l'intégrité de celui-ci ;

• 78°) « service de cachet électronique avancé » un service de cachet électronique qui satisfait aux exigences du cachet électronique avancé ;

• 79°) « service de cachet électronique qualifié » un service de cachet électronique avancé créé à l'aide d'un dispositif de création de cachet électronique qualifié et qui repose sur un certificat qualifié de cachet électronique ;

• 80°) « service de coffre-fort numérique » un service de confiance respectant les exigences figurant à l'article 46 de la loi ;

• 81°) « service de coffre-fort numérique qualifié » un service de coffre-fort numérique bénéficiant d'une qualification établie selon un référentiel fixé par arrêté ministériel ;

• 82°) « service de confiance », un service électronique fourni à titre onéreux ou non qui consiste en :

  • a) la délivrance de certificats de signature électronique, de certificats de cachet électronique, de certificats pour l'authentification de site internet ou de certificats pour la fourniture d'autres services de confiance ;

  • b) la validation de certificats de signature électronique, de certificats de cachet électronique, de certificats pour l'authentification de site internet ou de certificats pour la fourniture d'autres services de confiance ;

  • c) la création de signatures électroniques ou de cachets électroniques ;

  • d) la validation de signatures électroniques ou de cachets électroniques ;

  • e) la préservation de signatures électroniques, de cachets électroniques, de certificats de signature électronique ou de certificats de cachet électronique ;

  • f) la gestion de dispositifs de création de signature électronique à distance ou de dispositifs de création de cachet électronique à distance ;

  • g) la délivrance d'attestations électroniques d'attributs ;

  • h) la validation d'attestations électroniques d'attributs ;

  • i) la création d'horodatages électroniques ;

  • j) la validation d'horodatages électroniques ;

  • k) la fourniture de services d'envoi recommandé électronique ;

  • l) la validation de données transmises au moyen de services d'envoi recommandé électronique, ainsi que de preuves connexes ;

  • m) l'archivage électronique de données électroniques et de documents électroniques ;

  • n) l'enregistrement de données électroniques dans un registre électronique.

• 83°) « service d'envoi recommandé électronique », un service de confiance qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d'altération ou de toute modification non autorisée ;

• 84°) « service d'envoi recommandé électronique qualifié », un service d'envoi recommandé électronique qui satisfait aux exigences fixées à l'article 28-2 ;

• 85°) « service d'horodatage électronique », un service de confiance qui permet de conférer une date certaine à des données sous forme électronique ;

• 86°) « service d'informatique en nuage et d'hébergement », un service de confiance permettant un accès aisé, à la demande et au travers d'un réseau, à un ensemble de ressources informatiques partagées ou non et configurables ;

• 87°) « service d'informatique en nuage et d'hébergement qualifié », un service d'informatique en nuage et d'hébergement qui satisfait à un référentiel fixé par arrêté ministériel ;

• 88°) « service d'intermédiation de données », un service de confiance qui consiste à mettre en relation des détenteurs de données et des utilisateurs de données potentiels.

• Ces données sont toute représentation numérique d'actes, de faits ou d'informations, autres que des données à caractère personnel, ainsi que toute compilation de ces actes, faits ou informations, notamment sous la forme d'enregistrements sonores, visuels ou audiovisuels.

• Le détenteur de données est une personne morale qui, conformément à la législation applicable, et sous réserve de l'accord du propriétaire lorsque le détenteur n'est pas propriétaire desdites données, a le droit de donner accès ou de partager certaines données qu'elle contrôle.

• L'utilisateur de données est une personne physique ou morale qui dispose d'un accès licite à certaines données et qui est autorisée à les utiliser à des fins commerciales ou non commerciales.

• Ce service peut comprendre des échanges bilatéraux ou multilatéraux de données ou la création de plateformes ou de bases de données permettant l'échange ou l'exploitation conjointe de données, ainsi que la mise en place d'une infrastructure spécifique pour l'interconnexion des détenteurs de données et des utilisateurs de données ;

• 89°) « service d'intermédiation de données qualifié », un service d'intermédiation de données qui satisfait aux exigences fixées par arrêté ministériel ;

• 90°) « service d'horodatage électronique qualifié », un service d'horodatage électronique qui satisfait aux exigences fixées par arrêté ministériel ;

• 91°) « service de numérisation », un service de confiance qui consiste en la réalisation d'une copie fiable d'un document dans des conditions qui assurent des garanties fiables quant à la conformité à l'original de la copie ainsi créée ;

• 92°) « service de numérisation qualifié », un service numérisation qui satisfait aux exigences fixées par arrêté ministériel ;

• 93°) « service de signature électronique », un service de confiance qui permet d'identifier le signataire d'un document, de garantir l'intégrité de celui-ci et qui permet au signataire d'exprimer son consentement ;

• 94°) « service de signature électronique avancée », un service de signature électronique qui satisfait aux exigences de la signature électronique avancée ;

• 95°) « service de signature électronique qualifiée », un service de signature électronique avancée qui est créé à l'aide d'un dispositif de création de signature électronique qualifié et qui repose sur un certificat qualifié de signature électronique ;

• 96°) « signataire », une personne physique qui crée une signature électronique ;

• 97°) « signature électronique », des données sous forme électronique, qui sont jointes ou associées logiquement à d'autres données sous forme électronique et que le signataire utilise pour signer ;

• 98°) « signature électronique avancée », une signature électronique qui satisfait, en outre, aux exigences suivantes :

  • a) être liée au signataire de manière univoque ;

  • b) permettre d'identifier le signataire ;

  • c) avoir été créée à l'aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et

  • d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable ;

• 99°) « signature électronique qualifiée », signature électronique avancée qui est créée à l'aide d'un dispositif de création de signature électronique qualifié et qui repose sur un certificat qualifié de signature électronique tel que fixé par arrêté ministériel ;

• 100°) « support durable », tout instrument qui permet de stocker des informations d'une manière permettant de s'y reporter aisément à l'avenir pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l'identique des informations stockées ;

• 101°) « source authentique », un répertoire ou un système, administré sous la responsabilité d'un organisme du secteur public ou d'une entité privée, qui contient et fournit les attributs concernant une personne physique ou morale ou un objet et qui est considéré comme étant une source première de ces informations ou est reconnu comme authentique conformément aux exigences déterminées par arrêté ministériel ;

• 102°) « utilisateur », une personne physique ou morale, ou une personne physique représentant une autre personne physique ou une personne morale, qui utilise des services de confiance ou des moyens d'identification électronique conformément à la présente loi ;

• 103°) « validation », le processus consistant à vérifier et à confirmer que les données sous forme électronique sont valides conformément à la présente loi. »

Après l'article 1-2 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, il est inséré un article 1-3 ainsi rédigé :

« Article 1-3 : Sans préjudice de l'effet juridique donné aux pseudonymes, l'utilisation de pseudonymes dans les transactions électroniques, choisis par l'utilisateur, n'est pas interdite. »

Après l'article 17 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, il est inséré un article 18 ainsi rédigé :

« Article 18 : Lorsqu'un contrat a été conclu par voie électronique ou par un autre moyen et que le fournisseur, au jour de la résiliation par le consommateur, offre au consommateur la possibilité de conclure des contrats par voie électronique, la résiliation est rendue possible selon cette modalité.

À cet effet, le fournisseur met à la disposition du consommateur une fonctionnalité gratuite permettant d'accomplir, par voie électronique, la notification et les démarches nécessaires à la résiliation du contrat. Lorsque le consommateur notifie la résiliation du contrat, le fournisseur lui confirme la réception de la notification et l'informe, sur un support durable et dans des délais raisonnables, de la date à laquelle le contrat prend fin et des effets de la résiliation

Une ordonnance souveraine fixe les modalités techniques d'identification du consommateur, prévoit un accès facile, direct et permanent à la fonctionnalité mentionnée au deuxième alinéa notamment les modalités de présentation et d'utilisation et détermine les informations devant être fournies par le consommateur. »

Au deuxième alinéa de l'article 22 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, les termes « aux articles 10 et 13 » sont remplacés par les termes « aux articles 10, 13 et 29. ».

L'article 28-5 de la loi n° 1.383 du 2 août 2011, modifiée, précitée est modifié comme suit :

« Un registre électronique ne peut être privé d'effet juridique et la recevabilité de ce registre en tant que preuve en justice ne peut être écartée au seul motif qu'il se présente sous une forme électronique ou qu'il ne satisfait pas aux exigences applicables aux registres électroniques qualifiés.

Les enregistrements de données contenus dans un registre électronique qualifié bénéficient d'une présomption quant à leur classement chronologique séquentiel unique et précis et à leur intégrité. ».

L'article 28-6 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, est modifié comme suit :

« Les registres électroniques qualifiés satisfont aux exigences suivantes :

• a) ils sont créés et gérés par un ou plusieurs prestataires de services de confiance qualifiés ;

• b) ils établissent l'origine des enregistrements de données dans le registre ;

• c) ils garantissent le classement chronologique séquentiel unique des enregistrements de données dans le registre ;

• d) ils enregistrent les données de telle sorte que toute modification ultérieure des données est immédiatement détectable, assurant ainsi leur intégrité dans le temps.

Un registre est présumé respecter les exigences fixées au premier alinéa lorsqu'il respecte les normes, spécifications et procédure visées au troisième alinéa.

Une liste de normes de référence et au besoin les spécifications et les procédures applicables aux exigences fixées au premier alinéa sont publiées par arrêté ministériel dans un délai d'un an à compter de l'entrée en vigueur de la présente loi. »

L'article 29 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, est modifié comme suit :

« Les personnes physiques ou morales qui fournissent un service de communication au public en ligne, à titre exclusif ou non, consistant dans le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par un destinataire du service ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire du service si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces informations ou en rendre l'accès impossible.

Les personnes visées au premier alinéa ne peuvent voir leur responsabilité pénale engagée à raison des informations stockées à la demande d'un destinataire du service si elles n'avaient pas effectivement connaissance du caractère manifestement illicite de l'activité ou de l'information ou si, dès le moment où elles en ont eu connaissance, elles ont agi promptement pour retirer ces informations ou en rendre l'accès impossible.

Les premier et deuxième alinéas ne s'appliquent pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de la personne visée auxdits alinéas.

La connaissance des faits litigieux est présumée acquise par les personnes désignées au précédent alinéa lorsqu'il leur est notifié les éléments suivants :

• si le notifiant est une personne physique : ses nom, prénoms, adresse électronique ; si le notifiant est une personne morale : sa forme, sa dénomination, son siège social, son adresse électronique ; si le notifiant est une autorité administrative : sa dénomination et son adresse électronique. Ces conditions sont réputées satisfaites dès lors que le notifiant est un utilisateur inscrit du service de communication au public en ligne mentionné au premier alinéa, qu'il est connecté au moment de procéder à la notification et que l'opérateur a recueilli les éléments nécessaires à son identification ;

• la description du contenu litigieux et sa localisation précise, et, le cas échéant, la ou les adresses électroniques auxquelles il est rendu accessible ; ces conditions sont réputées satisfaites dès lors que le service de communication au public en ligne mentionné au premier alinéa permet de procéder précisément à cette notification par un dispositif technique directement accessible depuis ledit contenu litigieux ;

• les motifs légaux pour lesquels le contenu litigieux doit être retiré ou rendu inaccessible ; cette condition est réputée satisfaite dès lors que le service de communication au public en ligne mentionné au premier alinéa permet de procéder à la notification par un dispositif technique proposant d'indiquer la catégorie d'infraction à laquelle peut être rattaché ce contenu litigieux ;

• la copie du message adressé à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté ; cette condition n'est pas exigée pour la notification des infractions mentionnées au troisième alinéa de l'article 32 ainsi qu'au troisième alinéa de l'article 25 de la loi n° 1.299 du 15 juillet 2005 sur la liberté d'expression publique, modifiée. »

À l'article 30 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, les termes « au prestataire mentionné à l'article précédent » sont remplacés par les termes « aux personnes mentionnées au premier alinéa de l'article 29. » et les termes « est puni d'une peine de six mois à un an d'emprisonnement » sont remplacés par les termes « est puni d'une peine d'un an d'emprisonnement ».

L'article 31 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, susvisée, est modifié comme suit :

« Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne informent leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens sans surcoût. Un arrêté ministériel précise les fonctionnalités minimales et les caractéristiques techniques auxquelles ces moyens répondent, compte tenu de l'activité de ces personnes.

Les personnes visées au premier alinéa informent également leurs abonnés de l'existence de moyens de sécurisation permettant de veiller au respect des droits d'auteur et de tout autre droit protégé par la propriété intellectuelle.

Les personnes visées au premier alinéa, lorsqu'elles transmettent sur un réseau de communication des informations fournies par un destinataire du service ou auxquelles l'accès est fourni, ne peuvent voir leur responsabilité civile ou pénale engagée à raison des informations transmises que dans les cas où, soit elles sont à l'origine de la demande de transmission litigieuse, soit elles sélectionnent le destinataire de la transmission, soit elles sélectionnent ou modifient les informations faisant l'objet de la transmission.»

À l'article 32 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, sont ajoutés trois alinéas supplémentaires ainsi rédigés :

« Compte tenu de l'intérêt général attaché à la répression de la provocation à la commission d'actes de terrorisme et de leur apologie ainsi que de la pornographie enfantine, les personnes mentionnées aux articles 29, 31 et 34-1 de la présente loi doivent concourir à la lutte contre la diffusion des infractions visées à l'article 16 de la loi n° 1.299 du 15 juillet 2005, précitée, modifiée, et aux articles 236-1-1, 260 à 264-2, 265, 266, 269-1 et 294-3 à 294-8, et 391-1 à 391-12-1du Code pénal.

À ce titre, elles doivent mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance les données afférentes aux infractions visées au précédent alinéa et rendre publics les moyens qu'elles consacrent à la lutte contre les activités illicites mentionnées aux articles 3 et 29.

Les personnes mentionnées aux articles 29 et 34-1 ont également l'obligation d'informer promptement les autorités publiques compétentes de toutes activités illicites mentionnées aux articles 3 et 29 qui leur seraient signalées et qu'exerceraient les destinataires de leurs services. »

L'article 38-1 de la loi n°1.383 du 2 août 2011, modifiée, précitée, est modifié comme suit :

« Pour accroître la confiance des personnes physiques et morales dans la transition numérique de la Principauté, les services de confiance sont introduits en vue de définir les exigences et obligations qui assurent un niveau élevé de sécurité de tous les services qui sont fournis par les prestataires de services de confiance.

Nonobstant les services de confiance visés au chiffre 82 de l'article premier, les différentes catégories de services de confiance peuvent consister notamment en :

• la numérisation de documents ;

• la conservation et la gestion de données ou de documents au moyen de coffre-fort numérique ;

• la fourniture d'un service d'informatique en nuage et d'hébergement ;

• l'intermédiation de données.

L'Agence Monégasque de Sécurité Numérique établit et tient à jour une liste des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu'ils fournissent. »

Après l'article 38-1 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, sont insérés les articles 38-2 et 38-3 ainsi rédigés :

« Article 38-2 : L'effet juridique et la recevabilité d'une attestation électronique d'attributs comme preuve en justice ne peuvent être refusés au seul motif qu'elle se présente sous une forme électronique ou qu'elle ne satisfait pas aux exigences applicables aux attestations électroniques d'attributs qualifiées.

Une attestation électronique d'attributs qualifiée et des attestations d'attributs délivrées par un organisme du secteur public responsable d'une source authentique ou pour son compte ont le même effet juridique que des attestations délivrées légalement sur papier.

Article 38-3 : Lorsqu'une identification électronique à l'aide d'un moyen d'identification électronique et d'une authentification est exigée par application du droit monégasque pour accéder à un service en ligne fourni par un organisme du secteur public, les données d'identification personnelle dans l'attestation électronique d'attributs ne se substituent pas à l'identification électronique à l'aide d'un moyen d'identification électronique et à l'authentification pour une identification électronique. »

L'article 50 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, est modifié comme suit :

« Les organismes du secteur public échangent entre eux toutes les informations ou les données strictement nécessaires pour traiter une demande présentée par l'usager ou une déclaration transmise par celui-ci en application d'une disposition législative ou d'un acte réglementaire.

L'organisme du secteur public chargé de traiter la demande ou la déclaration fait connaître à la personne concernée les informations ou les données qui sont nécessaires à cette fin et celles qu'il se procure directement auprès d'autres organisme du secteur public, qui en sont à l'origine ou qui les détiennent en raison de leur mission.

L'usager est informé du droit d'accès et de rectification dont dispose chaque personne intéressée concernant les informations et les données mentionnées au présent article.

Les organismes du secteur public peuvent échanger entre eux les informations ou les données strictement nécessaires pour informer les personnes sur leur droit au bénéfice éventuel d'une prestation ou d'un avantage, prévus par des dispositions législatives ou réglementaires et pour leur attribuer éventuellement lesdits prestations ou avantages. Les informations et les données ainsi recueillies et les traitements mis en œuvre en application du présent article pour procéder à ces échanges ne peuvent être ultérieurement utilisés à d'autres fins, en particulier pour la détection ou pour la sanction d'une fraude.

Dans le cadre du précédent alinéa, au plus tard au moment de la première communication individuelle avec la personne concernée, celle-ci est avisée de ses droits d'accès et de rectification ainsi que, le cas échéant, de son droit de s'opposer à la poursuite du traitement des données. En cas d'opposition exprimée par la personne de poursuivre le traitement ou si ce traitement révèle que la personne n'a pas droit à la prestation ou à l'avantage, les informations et les données obtenues à la suite de cet échange sont détruites sans délai.

Un arrêté ministériel, détermine, dans le respect des dispositions en vigueur en matière de protection des données personnelles, les conditions d'application du présent article, notamment la durée et les modalités de conservation des informations et des données collectées à cette occasion.

Les organismes du secteur public destinataires de ces informations ou de ces données ne peuvent se voir opposer le secret professionnel dès lors qu'elles sont, dans le cadre de leurs missions légales, habilitées à avoir connaissance des informations ou des données ainsi échangées.

La liste des organismes du secteur public qui se procurent directement des informations ou des données auprès d'autres organismes du secteur public en application du présent article ainsi que la liste des informations ou des données ainsi échangées et le fondement juridique sur lequel repose le traitement des procédures mentionnées au premier alinéa du présent article sont publiées par arrêté ministériel. »

Après l'article 53 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, il est inséré un article 53-1 ainsi rédigé :

« Article 53-1 : Certains actes individuels, notamment relatifs à l'état et à la nationalité des personnes, doivent être publiés dans des conditions garantissant qu'ils ne font pas l'objet d'une indexation par des moteurs de recherche.

Les catégories d'actes individuels mentionnées au premier alinéa qui ne peuvent être publiés par Ordonnance Souveraine que dans des conditions garantissant qu'ils ne font pas l'objet d'une indexation par des moteurs de recherche, sont déterminées par Ordonnance Souveraine. »

Le titre VIII de la loi n° 1.383 du 2 août 2011, modifiée, précitée, est modifié comme suit :

« Des informations publiques, des données d'intérêt général et des données de référence »

Après le Titre VIII de la loi n° 1.383 du 2 août 2011, modifiée, précitée, sont insérés les articles 55-1 à 55-7 ainsi rédigés :

« Article 55-1 : Les organismes du secteur public sont tenus de communiquer, sous réserve des dispositions de l'Ordonnance souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'administration et l'administré, modifiée, notamment de son article 24 et sous réserve des dispositions spécifiques qui leur sont applicables ainsi que des droits de propriété intellectuelle détenus par des tiers, dans le respect des dispositions en vigueur en matière de protection des données à caractère personnel, les documents administratifs qu'ils détiennent aux autres organismes du secteur public ainsi qu'à toute personne qui en fait la demande.

Au sens du premier alinéa, sont considérés comme documents administratifs, quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par les organismes du secteur public. Constituent de tels documents notamment les dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, circulaires, notes, correspondances, avis, prévisions, codes sources et décisions.

Au sens de la présente loi, les informations figurant dans des documents administratifs communiqués ou publiés constituent des informations publiques qui peuvent être utilisées par tous les organismes susmentionnés qui le souhaitent à des fins d'accomplissement de missions de service public autres que celles pour les besoins de lesquelles les documents ont été produits ou reçus.

Toute mise à disposition effectuée sous forme électronique se fait dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé.

Article 55-2 : De manière générale, sauf accord de l'organisme du secteur public, la réutilisation des informations publiques est soumise à la condition que ces dernières ne soient pas altérées, que leur sens ne soit pas dénaturé et que leurs sources et la date de leur dernière mise à jour soient mentionnées.

La réutilisation d'informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions en vigueur en matière de protection des données à caractère personnel.

Lorsque la réutilisation n'est possible qu'après anonymisation des données à caractère personnel, l'organisme du secteur public détenteur y procède sous réserve que cette opération n'entraîne pas des efforts disproportionnés.

Le silence gardé par l'organisme du secteur public sur une demande de réutilisation d'informations publiques vaut décision de rejet.

Toute décision défavorable en matière de réutilisation d'informations publiques est notifiée au demandeur sous la forme d'une décision écrite sur support papier ou électronique motivée comportant l'indication des voies et délais de recours.

Lorsqu'un tiers est titulaire de droits de propriété intellectuelle portant sur un document sur lequel figure une information publique, l'organisme du secteur public qui a concouru à l'élaboration de l'information ou qui la détient indique à la personne qui demande à la réutiliser l'identité de la personne physique ou morale titulaire de ces droits ou, si celle-ci n'est pas connue, l'identité de la personne auprès de laquelle l'information en cause a été obtenue.

Le sixième alinéa ne s'applique pas aux décisions défavorables opposées par les bibliothèques, y compris les bibliothèques universitaires, les musées et les archives.

Article 55-3 : Les organismes du secteur public qui produisent ou détiennent des informations publiques tiennent à la disposition des usagers un répertoire des principaux documents dans lesquels ces informations figurent. Ils publient chaque année une version mise à jour de ce répertoire.

Les conditions de réutilisation des informations publiques sont rendues publiques, dans un standard ouvert, par les organismes du secteur public qui ont produit ou reçu ces informations publiques.

Le répertoire visé au premier alinéa précise, pour chacun des documents recensés, son titre exact, son objet, la date de sa création, les conditions de sa réutilisation et, le cas échéant, la date et l'objet de ses mises à jour.

Lorsque l'organisme du secteur public dispose d'un site internet, il rend le répertoire accessible en ligne.

Article 55-4 : La réutilisation d'informations publiques est à titre gratuit et donne lieu à l'établissement d'une licence qui fixe les conditions de la réutilisation des informations publiques. Ces conditions ne peuvent apporter de restrictions à la réutilisation que pour des motifs d'intérêt général et de façon proportionnée. Elles ne peuvent avoir pour objet ou pour effet de restreindre la concurrence.

Les organismes publics qui élaborent ou détiennent des documents contenant des informations publiques pouvant être réutilisées dans les conditions prévues au présent titre sont tenus de mettre préalablement des licences types, par voie électronique, à la disposition des personnes intéressées par la réutilisation de ces informations.

La licence visée au premier alinéa est choisie parmi celles figurant sur une liste fixée par arrêté ministériel, qui est révisée tous les cinq ans.

Les clauses des licences délivrées par les organismes du secteur public doivent porter au moins sur les informations faisant l'objet de la réutilisation, leur source et leur date de mise à disposition, le caractère commercial ou non de leur réutilisation, ainsi que sur les droits et obligations du licencié, dont, le cas échéant, le montant de la redevance et les modalités de son paiement.

Article 55-5 : Nonobstant les dispositions du premier alinéa de l'article 55-4, les organismes du secteur public peuvent établir une redevance de réutilisation des informations publiques lorsqu'ils sont tenus de couvrir par des recettes propres une part substantielle des coûts liés à l'accomplissement de leurs missions de service public.

Le produit total du montant de cette redevance, évalué sur une période comptable appropriée, ne dépasse pas le montant total des coûts liés à la collecte, à la production, à la mise à la disposition du public ou à la diffusion de leurs informations publiques.

Article 55-6 : La réutilisation des informations publiques peut également donner lieu au versement d'une redevance lorsqu'elle porte sur des informations issues des opérations de numérisation des fonds et des collections des bibliothèques, y compris des bibliothèques universitaires, des musées et des archives, et le cas échéant, sur des informations qui y sont associées lorsque ces dernières sont commercialisées conjointement.

Le produit total du montant de cette redevance, évalué sur une période comptable appropriée, ne dépasse pas le montant total des coûts de collecte, de production, de mise à disposition ou de diffusion, de conservation de leurs informations et d'acquisition des droits de propriété intellectuelle.

Article 55-7 : Le montant des redevances mentionnées aux articles 55-5 et 55-6 est fixé selon des critères objectifs, transparents, vérifiables et non discriminatoires. Ce montant est révisé au moins tous les cinq ans.

Les modalités de fixation desdites redevances sont déterminées par arrêté ministériel. Cet arrêté ministériel fixe la liste des catégories d'organismes du secteur public qui sont autorisées, en raison de la nature de leur activité et des conditions de leur financement, à établir des redevances en application de l'article 55-6. La liste des catégories d'organismes du secteur public est révisée tous les cinq ans.

Sont seuls autorisés à établir des redevances de réutilisation en application de l'article 55-5 les services de l'État et les organismes du secteur public dont l'activité principale consiste en la collecte, la production, la mise à disposition ou la diffusion d'informations publiques. »

Après l'article 56 de la loi n° 1.383 du 2 août 2011, modifiée, précitée, sont insérés les articles 56-1 à 56-4 ainsi rédigés :

« Article 56-1 : Constituent des données de références les informations visées au troisième alinéa de l'article 55-1 lorsque :

1°) elles constituent une référence commune pour nommer ou identifier des produits, des services, des territoires ou des personnes ;

2°) elles sont réutilisées fréquemment par des organismes du secteur public ou des personnes privées autres que l'organisme du secteur public qui les détient ;

3°) leur réutilisation nécessite qu'elles soient mises à disposition avec un niveau élevé de qualité.

Article 56-2 : Il est créé un portail interministériel destiné à rassembler et à mettre à disposition librement l'ensemble des informations publiques des organismes du secteur public.

Ledit portail est placé sous l'autorité d'un responsable qui assure :

• la coordination et promotion de l'action du Principauté en matière d'inventaire, de gouvernance, de production, de circulation, d'exploitation et d'ouverture des données ;

• l'organisation, dans le respect de la règlementation en vigueur en matière de protection des données à caractère personnel et des secrets protégés par la loi, de l'exploitation des données des organismes du secteur public et leur plus large circulation ;

• l'administration du portail. »

Article 56-3 : Le responsable du portail interministériel visé à l'article 56-2 concoure à la mise en œuvre d'un service public de la donnée de référence en :

• coordonnant la mise à disposition des données de référence, effectuant le référencement et en donnant accès à ces données, ainsi qu'aux données qui y sont associées, sur le portail interministériel précité ;

• veillant à la fiabilité, à la disponibilité, à la sécurité d'exploitation, au maintien en conditions opérationnelles, à la performance des services de mise à disposition des données de référence, dans le respect des conditions déterminées par arrêté ministériel ;

• mettant en œuvre un dispositif contribuant à l'amélioration de la qualité des données de référence en liaison avec les usagers des organismes du secteur public, notamment en proposant auxdits organismes une solution mutualisée de signalement ou de correction d'éventuelles erreurs au sein de ces données ;

• favorisant l'émergence de services innovants réutilisant les données de référence ;

• recherchant à inclure de nouvelles données dans le service public de mise à disposition des données de référence ;

• veillant à ce que la mise à disposition des données de référence s'effectue dans le respect des dispositions législatives et règlementaires en vigueur.

Article 56-4 : Les organismes du secteur public disposent d'un délai de cinq ans pour se conformer aux dispositions des articles 55-1 à 55-7 et 56-2 à 56-3. »

L'article premier de la loi n° 1.483 du 17 décembre 2019, précitée, est modifié comme suit :

• « « Authentification » : un processus électronique qui permet de confirmer l'identification électronique d'une personne physique ou morale, ou de confirmer l'origine et l'intégrité de données sous forme électronique ;

• « Donnée à caractère personnel ou donnée personnelle » : information se rapportant à une personne physique identifiée ou identifiable, ci-après dénommée « personne concernée ». Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

• « Données biométriques » : données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ;

• « Données d'identification personnelle » : un ensemble de données qui sont délivrées conformément à la présente loi et qui permettent d'établir l'identité d'une personne physique ou morale, ou d'une personne physique représentant une autre personne physique ou une personne morale ;

• « Données sensibles » : données à caractère personnel qui révèlent, directement ou indirectement, des opinions ou des appartenances politiques, raciales ou ethniques, religieuses, philosophiques ou syndicales, ou encore des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique ou des données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique ;

• « Fournisseur d'identité » : un prestataire de service de confiance qualifié ou non qualifié responsable de l'identification des personnes physiques ou morales, chargé de l'émission des moyens d'identification électronique ainsi que de la maintenance et la gestion du cycle de vie des données d'identification correspondant auxdits moyens d'identification ;

• « Identifiant numérique » : combinaison de lettres, de chiffres ou de symboles fournis par le fournisseur d'identité qui, considérés isolément ou non, permettent de représenter une personne physique ou morale de manière univoque ;

• « Identification électronique » : processus consistant à utiliser des données d'identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une autre personne physique ou une personne morale ;

• « Label de confiance pour le portefeuille d'identité numérique » : une indication vérifiable, simple et reconnaissable qui est communiquée d'une manière claire, selon laquelle un portefeuille d'identité numérique a été fourni conformément à la présente loi ;

• « Mise en correspondance des identités » : un processus selon lequel les données d'identification personnelle ou les moyens d'identification électronique sont mis en correspondance avec un compte existant appartenant à la même personne ou sont reliés à celui-ci ;

• « Mode hors ligne », en ce qui concerne l'utilisation de portefeuilles d'identité numérique : une interaction entre un utilisateur et un tiers dans un lieu physique, au moyen de technologies de proximité étroite, sans qu'il soit nécessaire que le portefeuille d'identité numérique accède à des systèmes distants par des réseaux de communication électronique aux fins de l'interaction. »

• « Moyen d'identification électronique » : un élément matériel et/ou immatériel qui contient des données d'identification personnelle et est utilisé pour l'authentification pour un service en ligne ou, le cas échéant, pour un service hors ligne ;

• « Partie utilisatrice » : une personne physique ou morale qui se fie à une identification électronique, aux portefeuilles d'identité numérique ou à d'autres moyens d'identification électronique, ou à un service de confiance ;

• « Portefeuille d'identité numérique » : un moyen d'identification électronique qui permet à l'utilisateur de stocker, de gérer et de valider en toute sécurité des données d'identification personnelle et des attestations électroniques d'attributs, afin de les fournir aux parties utilisatrices et aux autres utilisateurs des portefeuilles d'identité numérique et de signer au moyen de signatures électroniques qualifiées ou d'apposer des cachets au moyen de cachets électroniques qualifiés ;

• « Schéma d'identification numérique » : un système pour l'identification électronique en vertu duquel des moyens d'identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant d'autres personnes physiques ou des personnes morales ;

• « Service de confiance » : un service électronique fourni à titre onéreux ou non tel que défini à l'article premier de la loi n° 1.383 du 2 août 2011, modifiée, précitée ;

• « Utilisateur » : une personne physique ou morale, ou une personne physique représentant une autre personne physique ou une personne morale, qui utilise des services de confiance ou des moyens d'identification électronique conformément à la présente loi ;

Après l'article 18 de la loi n° 1.483 du 17 décembre 2019 précitée, sont insérés les articles 18-1 à 18-11 ainsi rédigés :

« Article 18-1 : Il est instauré un portefeuille d'identité numérique pour garantir à toute personne physique ou morale un accès sécurisé, fiable, continu et transfrontalier à des services publics et privés, tout en exerçant un contrôle total sur leurs données.

Le portefeuille d'identité numérique est fourni par l'État ou par un fournisseur privé reconnu par lui.

Les modalités de fourniture ou de reconnaissance dudit portefeuille sont fixées par ordonnance souveraine.

Les modalités techniques et opérationnelles du portefeuille d'identité numérique sont fixées par arrêté ministériel.

Article 18-2 : Le portefeuille d'identité numérique est un moyen d'identification numérique qui permet à l'utilisateur, d'une manière conviviale, transparente et qui garantit la traçabilité pour l'utilisateur :

• de demander, d'obtenir, de sélectionner, de combiner, de stocker, de supprimer, de partager et de présenter en toute sécurité, sous le seul contrôle de l'utilisateur, des données d'identification personnelle et, lorsqu'il y a lieu, en combinaison avec les attestations électroniques d'attributs, de s'authentifier à l'égard de parties utilisatrices, en ligne et, le cas échéant, en mode hors ligne, en vue d'accéder à des services publics et privés, tout en veillant à ce qu'une divulgation sélective de données soit possible ;

• de générer des pseudonymes et de les stocker localement sous forme chiffrée, dans le portefeuille d'identité numérique ;

• d'authentifier de manière sécurisée le portefeuille d'identité numérique d'une autre personne, et de recevoir et partager des données d'identification personnelles et des attestations électroniques d'attributs de manière sécurisée entre les deux portefeuilles d'identité numérique ;

• d'accéder à un journal de toutes les transactions effectuées avec le portefeuille d'identité numérique au moyen d'un tableau de bord dont les caractéristiques sont détaillées par arrêté ministériel ;

• de signer au moyen de signatures électroniques qualifiées et d'apposer des cachets au moyen de cachets électroniques qualifiés ;

• de télécharger, dans la mesure où cela est techniquement possible, les données des utilisateurs, l'attestation électronique des attributs et des configurations ;

• d'exercer les droits de l'utilisateur à la portabilité des données.

Les modalités d'application du portefeuille d'identité numérique sont déterminées par ordonnance souveraine.

Article 18-3 : En particulier, le portefeuille d'identité numérique :

• a) prend en charge des protocoles et interfaces communs pour :

  • délivrer des données d'identification personnelle, des attestations électroniques d'attributs qualifiées et non qualifiées ou de certificats qualifiés et non qualifiés au portefeuille d'identité numérique ;

  • permettre aux parties utilisatrices de demander et valider des données d'identification personnelle et des attestations électroniques d'attributs ;

  • partager avec les parties utilisatrices et présenter aux parties utilisatrices des données d'identification personnelle, des attestations électroniques d'attributs, ou des données connexes divulguées de manière sélective en ligne et, le cas échéant, également en mode hors ligne ;

  • permettre à l'utilisateur d'autoriser une interaction avec le portefeuille d'identité numérique et d'afficher un « label de confiance pour le portefeuille d'identité numérique » ;

  • que l'utilisateur puisse de manière sécurisée être enrôlé grâce aux moyens d'identification numériques associés ;

  • permettre l'interaction entre les portefeuilles d'identité numérique de deux personnes afin de recevoir, de valider et de partager des données d'identification personnelle et des attestations électroniques d'attributs de manière sécurisée ;

  • authentifier et identifier des parties utilisatrices par la mise en œuvre de mécanismes d'authentification tels que fixés par ordonnance souveraine ;

  • permettre aux parties utilisatrices de vérifier l'authenticité et la validité des portefeuilles d'identité numérique ;

  • demander à une partie utilisatrice l'effacement de données à caractère personnel conformément à la règlementation en vigueur en matière de données personnelles ;

  • signaler une partie utilisatrice à la Commission de Contrôle des Informations Nominatives lorsqu'une demande de données présumée illégale ou suspecte est reçue ;

  • la création de signatures ou de cachets électroniques qualifiés au moyen de dispositifs de création de signature ou de cachet électroniques qualifiés.

• b) ne fournit aucune information aux prestataires de services de confiance chargés de la fourniture d'attestations électroniques d'attributs concernant l'utilisation de ces attestations électroniques ;

• c) veille à ce que les parties utilisatrices puissent être authentifiées et identifiées par la mise en œuvre de mécanismes d'authentification tels que fixés par ordonnance souveraine ;

• d) satisfait aux exigences énoncées dans l'Annexe à l'Arrêté Ministériel n° 2020-462 du 6 juillet 2020 quant au niveau de garantie « élevé », tel qu'il est appliqué en particulier aux exigences concernant la preuve et la vérification d'identité, et à la gestion des moyens d'identification électronique et à l'authentification ;

• e) fait en sorte que les données d'identification personnelle qui sont disponibles dans le schéma d'identification électronique dans le cadre duquel le portefeuille d'identité numérique est fourni, représentent de manière univoque la personne physique, la personne morale ou la personne physique représentant la personne physique ou morale et soient associées au portefeuille ;

• f) dans le cas de l'attestation électronique d'attributs intégrant des politiques de divulgation, mettent en œuvre le mécanisme approprié pour informer l'utilisateur que la partie utilisatrice ou l'utilisateur du portefeuille d'identité numérique qui demande cette attestation électronique d'attributs a l'autorisation d'accéder à cette attestation ;

• g) offre à toutes les personnes physiques la possibilité, par défaut et gratuitement, de signer au moyen de signatures électroniques qualifiées ;

• h) permet l'interopérabilité avec les moyens d'identification électronique monégasques.

Article 18-4 : Le fournisseur de portefeuille d'identité numérique prévoit des procédures permettant à l'utilisateur de signaler toute perte, faille ou utilisation abusive éventuelle, totale ou partielle, de son portefeuille et d'en demander la révocation.

Ledit fournisseur informe les utilisateurs dans les meilleurs délais de toute atteinte à la sécurité susceptible d'avoir compromis, en tout ou partie, son portefeuille d'identité numérique ou son contenu, en particulier en cas de suspension ou de révocation du portefeuille.

Les modalités d'application du présent articles sont déterminées par ordonnance souveraine.

Article 18-5 : Le fournisseur de portefeuille d'identité numérique met en œuvre des mécanismes de validation gratuits pour le portefeuille d'identité numérique pour :

• a) veiller à ce que son authenticité et sa validité puissent être vérifiées ;

• b) permettre aux utilisateurs de vérifier l'authenticité et la validité de l'identité des parties utilisatrices enregistrée, tels que fixés par ordonnance souveraine.

Article 18-6 : Le portefeuille d'identité numérique est délivré dans le cadre d'un schéma d'identification électronique de niveau de garantie élevé.

La délivrance, l'utilisation pour l'authentification et la révocation de portefeuille d'identité numérique sont gratuites pour les personnes physiques.

Le portefeuille d'identité numérique garantit la sécurité dès la conception.

Le fournisseur de portefeuilles d'identité numérique garantit que les utilisateurs peuvent facilement demander une assistance technique et signaler des problèmes techniques ou tout autre incident ayant une incidence négative sur l'utilisation des portefeuilles d'identité numérique.

La révocation de portefeuille d'identité numérique peut être effectuée à la demande explicite de l'utilisateur, quand sa sécurité est compromise ou en cas de décès de l'utilisateur ou de cessation d'activité de la personne morale.

Les modalités d'application du précédent alinéa sont déterminées par arrêté ministériel.

Article 18-7 : Les utilisateurs exercent un contrôle total sur l'utilisation de portefeuille d'identité numérique et des données qui y figurent.

Le fournisseur de portefeuille d'identité numérique ne collecte pas les informations sur l'utilisation du portefeuille d'identité numérique qui ne sont pas nécessaires à la fourniture des services qui y sont attachés.

De même il ne combine pas des données d'identification personnelle et d'autres données à caractère personnel stockées ou relatives à l'utilisation du portefeuille d'identité numérique avec des données à caractère personnel provenant de tout autre service offert par ce fournisseur ou de services tiers qui ne sont pas nécessaires à la fourniture des services liés au portefeuille, à moins que l'utilisateur n'en ait fait expressément la demande contraire.

Les données à caractère personnel relatives à la fourniture de portefeuille d'identité numérique sont maintenues séparées, de manière logique, de toute autre donnée détenue par le fournisseur des portefeuilles d'identité numérique.

Article 18-8 : L'utilisation de portefeuille d'identité numérique a lieu sur une base volontaire. Les personnes physiques ou morales qui n'utilisent pas le portefeuille d'identité numérique ne sont en aucune façon limitées ou désavantagées dans l'accès aux services publics et privés ou dans l'accès au marché du travail et la liberté d'entreprise. Il reste possible d'accéder aux services publics et privés par d'autres moyens d'identification et d'authentification existants.

Article 18-9 : Tout traitement de données à caractère personnel effectué par le fournisseur de portefeuille d'identité numérique en tant que moyen d'identification numérique est effectué dans le respect de la règlementation en vigueur en matière de protection des données personnelles.

Article 18-10 : Aux fins de la fourniture de portefeuille d'identité numérique, lesdits portefeuilles et les schémas d'identification électronique dans le cadre desquels ils sont fournis ne sont pas soumis aux exigences prévues à l'article 3 de l'Ordonnance Souveraine n° 8.693 du 17 juin 2021 portant application des articles 4 et 5 de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique.

Article 18-11 : L'utilisation de portefeuille d'identité numérique est accessible aux personnes en situation de handicap, conformément à l'article 1-2 de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée. »

Après le deuxième alinéa de l'article 29 de la loi n°1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, il est inséré nouvel alinéa ainsi rédigé :

« Est puni d'une amende de 150.000 euros le fait, pour les mêmes personnes, de ne pas satisfaire aux obligations d'appliquer les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs d'importance vitale prévues à l'article 28. ».

À l'article premier de la loi n° 564 du 15 juin 1952 autorisant les services administratifs à percevoir des droits à l'occasion de la délivrance de certaines pièces ou de l'accomplissement de formalités, modifiée, les termes « par l'apposition des timbres mobiles prévus par la législation en vigueur » sont remplacés par les termes « par le versement d'une somme dont le montant est prévu par la législation en vigueur. »

Les dispositions de l'article 5 de la loi n° 564 du 15 juin 1952 autorisant les services administratifs à percevoir des droits à l'occasion de la délivrance de certaines pièces ou de l'accomplissement de formalités, modifiée, sont remplacées par les dispositions suivantes :

« Le paiement du droit fixe est réalisé par le versement du droit effectué par le biais d'un service en ligne mis en œuvre par l'État ou par le biais de l'achat d'un timbre fiscal.

L'acquittement du droit est constaté par l'émission et la transmission d'un récépissé électronique dans le cadre du paiement en ligne au redevable du droit ou par l'apposition du timbre fiscal par les services administratifs concernés. »

Le chiffre 2° de l'article 963-2 du Chapitre I du Titre III du Livre III du Code civil est abrogé.