Loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique
Article 1er🔗
Au sens de la présente loi, on entend par :
« Identification numérique » : processus consistant à utiliser des données d'identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale ;
« Données d'identification personnelle » : un ensemble d'informations permettant d'établir l'identité d'une personne physique ou morale ;
« Authentification » : un processus électronique qui permet de confirmer l'identification numérique d'une personne physique ou morale ;
« Moyen d'identification numérique » : un élément matériel et/ou immatériel contenant des données d'identification personnelle et utilisé pour s'authentifier pour un service en ligne ;
« Identifiant numérique » : combinaison de lettres, de chiffres ou de symboles fournis par le fournisseur d'identité qui, considérés isolément ou non, permettent de représenter une personne physique ou morale de manière univoque ;
« Données biométriques » : données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ;
« Donnée à caractère personnel ou donnée personnelle » : information se rapportant à une personne physique identifiée ou identifiable, ci-après dénommée « personne concernée ». Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
« Données sensibles » : données faisant apparaître, directement ou indirectement, des opinions ou des appartenances politiques, raciales ou ethniques, religieuses, philosophiques ou syndicales, ou encore des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique ou des données concernant la santé ou la vie sexuelle ;
« Fournisseur d'identité » : un prestataire de service de confiance qualifié ou non qualifié responsable de l'identification des personnes physiques ou morales, chargé de l'émission des moyens d'identification électronique ainsi que de la maintenance et la gestion du cycle de vie des données d'identification correspondant auxdits moyens d'identification ;
« Schéma d'identification électronique » : un système pour l'identification électronique en vertu duquel des moyens d'identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales ;
« Service de confiance » : un service électronique fourni à titre onéreux ou non qui consiste notamment en une identité, une authentification, une signature, un cachet, de l'horodatage, une authentification de site internet, ainsi que des certificats relatifs à ces services.
Article 2🔗
L'identité numérique d'une personne est constituée de données d'identification personnelle sous la forme d'un identifiant numérique représentant de manière univoque une personne physique ou une personne morale.
L'identification des personnes physiques peut être établie notamment sur la base de données biométriques transformées en données numériques. Dans ce cas, lesdites données ne sont conservées que pendant la durée nécessaire à la réalisation de leur inscription sur le support de l'identité choisi, quelle qu'en soit sa forme, électronique ou non.
L'authentification des personnes est réalisée sur la base des éléments relatifs à l'identité numérique de ces dernières.
Article 3🔗
L'identité numérique comporte trois niveaux de garantie :
le niveau de garantie « faible », qui correspond à un moyen d'identification électronique dans le cadre d'un schéma d'identification électronique accordant un degré limité de fiabilité à l'identité revendiquée ou prétendue d'une personne, et qui est caractérisé par des spécifications techniques, des normes et des procédures y afférents, y compris les contrôles techniques, dont l'objectif est de réduire le risque d'utilisation abusive ou d'altération de l'identité ;
le niveau de garantie « substantiel », qui correspond à un moyen d'identification électronique dans le cadre d'un schéma d'identification électronique qui accorde un degré substantiel de fiabilité à l'identité revendiquée ou prétendue d'une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l'objectif est de réduire substantiellement le risque d'utilisation abusive ou d'altération de l'identité ;
le niveau de garantie « élevé », qui correspond à un moyen d'identification électronique dans le cadre d'un schéma d'identification électronique qui accorde un niveau de fiabilité à l'identité revendiquée ou prétendue d'une personne plus élevé qu'un moyen d'identification électronique ayant le niveau de garantie substantiel, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l'objectif est d'empêcher l'utilisation abusive ou l'altération de l'identité.
Article 4🔗
Une identité numérique apportant un niveau de garantie élevé tel que défini à l'article précédent est créée et est attribuée :
1) à toute personne physique inscrite sur le sommier de la nationalité monégasque ;
2) à toute personne physique titulaire d'un titre de séjour dans les conditions fixées par l'Ordonnance Souveraine n° 3.153 du 19 mars 1964 relative aux conditions d'entrée et de séjour des étrangers dans la Principauté, modifiée.
Les modalités d'application du présent article sont fixées par ordonnance souveraine*[1].
Article 5🔗
Une identité numérique est créée et est attribuée à toute personne physique ou morale enregistrée dans un registre d'un service public, tenu pour l'application d'une disposition législative ou réglementaire dont la liste est publiée par ordonnance souveraine.
Nonobstant les dispositions du premier alinéa, une identité numérique peut être créée et attribuée à des personnes physiques ou morales par des personnes relevant du secteur privé.
Les spécifications de l'identité numérique ainsi créée et attribuée sont déterminées par ordonnance souveraine en fonction des niveaux de garantie visés à l'article 3*[1].
Article 6🔗
Il est créé un Registre National Monégasque de l'Identité Numérique qui a pour finalités :
l'identification des personnes physiques et morales avec l'attribution d'un identifiant numérique lié à une identité numérique ;
la participation à la réalisation des documents d'identité ou d'autres documents permettant d'établir celle-ci ;
la participation à la prévention et à la lutte contre la fraude à l'identité ;
la mise à disposition de données de personnes physiques ou morales aux responsables des fichiers des services publics dans les limites des missions qui leur sont légalement conférées aux fins de faciliter leur exercice ;
la préservation de l'historique de ces données à des fins administratives ou, à condition que les données soient anonymisées, à des fins statistiques ;
la simplification des formalités administratives exigées par les autorités publiques ;
la mise à disposition de données de personnes physiques ou morales aux responsables des fichiers des personnes relevant du secteur privé dans les limites des missions qui leur sont légalement conférées.
Les fichiers d'où proviennent les données à caractère personnel et les données d'identification personnelle enregistrées et conservées dans le Registre National Monégasque de l'Identité Numérique sont interconnectés et interopérables avec ce dernier.
Les modalités d'application du présent article sont fixées par ordonnance souveraine*[2].
Article 7🔗
Les données contenues dans le Registre National Monégasque de l'Identité Numérique ne peuvent être utilisées aux fins de déterminer les opinions, les appartenances raciales ou ethniques, les adhésions politiques, religieuses, philosophiques ou syndicales, ni d'obtenir les données relatives à la santé, aux particularités génétiques, à la vie sexuelle ou l'orientation sexuelle et aux mesures à caractère social.
Article 8🔗
Seules les données à caractère personnel et les données d'identification personnelle strictement nécessaires à l'identification des personnes auxquelles une identité numérique a été créée et attribuée en application des articles 4 et 5 sont enregistrées et conservées dans le Registre National Monégasque de l'Identité Numérique.
L'enregistrement et la conservation des données sensibles sont interdits.
La liste des données à caractère personnel et des données d'identification personnelle, enregistrées et conservées dans le Registre National Monégasque de l'Identité Numérique, est publiée par ordonnance souveraine*[2].
Article 9🔗
L'exactitude des données enregistrées sur la base de pièces justificatives dans le Registre National Monégasque de l'Identité Numérique est garantie. Toute autre donnée y sera traitée comme donnée purement informative.
Article 10🔗
La durée de conservation des informations enregistrées dans le Registre National Monégasque de l'Identité Numérique ne peut être supérieure à celle nécessaire à la finalité pour laquelle elles ont été collectées.
Au-delà de cette période, les informations sont conservées uniquement à des fins d'archivage d'utilité publique, à savoir à des fins archivistiques dans l'intérêt du public, à des fins de recherche scientifique ou historique ou à des fins statistiques présentant un caractère d'intérêt général.
Article 11🔗
Il est créé un service du Registre National Monégasque de l'Identité Numérique.
Ledit Registre est placé sous l'autorité d'un responsable du Registre qui veille à prendre toutes les mesures permettant la mise à jour des données contenues dans ledit Registre.
En outre, le responsable du Registre en assure la sécurité s'agissant des fonctions de disponibilité, intégrité, confidentialité et traçabilité conformément à la réglementation en vigueur en la matière.
Seules les personnes dûment et spécialement habilitées par le responsable du Registre National Monégasque de l'Identité Numérique peuvent accéder audit Registre aux fins d'exploitation, de réalisation, de consultation, de modification ou de radiation.
Cette habilitation précise la ou les informations contenues dans le Registre auxquelles elle autorise l'accès. Ces informations sont celles qui sont strictement nécessaires à l'exercice des prérogatives dévolues au service.
Article 12🔗
Les personnes qui, dans l'exercice de leurs fonctions, assurent la gestion du Registre National Monégasque de l'Identité Numérique, sont tenues au secret professionnel dans les conditions de l'article 308 du Code pénal.
Article 13🔗
Les services publics et les personnes relevant du secteur privé qui souhaitent prendre connaissance d'une ou plusieurs des données enregistrées et conservées dans le Registre National Monégasque de l'Identité Numérique adressent une requête au service chargé de la gestion dudit Registre.
Le service chargé de la gestion du Registre National Monégasque de l'Identité Numérique détermine, en fonction de la finalité du traitement mis en œuvre par le requérant, la ou les données du Registre National Monégasque de l'Identité Numérique qui lui sont communiquées, ainsi que le degré de précision de cette communication.
Toutefois, le service chargé de la gestion du Registre National Monégasque de l'Identité Numérique peut communiquer au requérant d'autres données que celles qui ont été déterminées en application de l'alinéa précédent, dès lors que la personne concernée y a préalablement consenti de façon expresse.
Les modalités d'application du présent article sont déterminées par ordonnance souveraine*[2].
Article 14🔗
Le service public ou la personne relevant du secteur privé qui collectent une ou plusieurs des informations enregistrées et conservées dans le Registre National Monégasque de l'Identité Numérique informent la personne physique ou morale concernée qu'elle dispose d'un droit d'accès et de rectification sur ces informations qu'elle peut exercer auprès du service chargé de la gestion dudit Registre.
Article 15🔗
Afin de pouvoir assurer la traçabilité des consultations effectuées par les personnes habilitées visées à l'article 11 et des requêtes adressées conformément à l'article 13, le service chargé de la gestion du Registre National Monégasque de l'Identité Numérique tient un répertoire.
Les éléments figurant dans le répertoire sont conservés dix ans à compter de la date de leur inscription.
Les personnes physiques ou morales concernées disposent d'un droit d'accès et de rectification sur les informations contenues dans le répertoire, dans les conditions prévues par la législation relative à la protection des données à caractère personnel.
Le répertoire est tenu à la disposition de la Commission de Contrôle des Informations Nominatives.
Article 16🔗
Dès lors qu'une information a été communiquée en vue d'être enregistrée dans le Registre National Monégasque de l'Identité Numérique, la personne concernée n'est pas tenue de la communiquer aux services exécutifs de l'État, de la Commune ou d'un établissement public dont les fichiers sont interconnectés et interopérables avec ledit Registre conformément à l'article 6.
Article 17*[3]🔗
Un fournisseur d'identité est un prestataire de services de confiance qui délivre un moyen d'identification en garantissant l'identité des utilisateurs et gère la procédure d'authentification.
Sans préjudice des dispositions législatives et réglementaires en matière de responsabilité, le fournisseur d'identité est responsable dans les conditions définies par la loi n° 1.383 du 2 août 2011 sur l'économie numérique, modifiée.
Article 18🔗
L'attribution par un fournisseur d'identité d'identifiants numériques permanents ou temporaires, permet à une personne physique ou morale à qui une identité numérique a été attribuée d'accéder à des plateformes de services et d'administration électronique.
Les identifiants numériques visés à l'alinéa précédent peuvent être délivrés sur tous types de supports, électroniques ou non. Ils sont centralisés dans le Registre National Monégasque de l'Identité Numérique.
Les modalités d'application du présent article sont fixées par ordonnance souveraine*[4].
Article 19🔗
Quiconque aura sciemment fait usage d'informations anonymisées ou pseudonymisées issues du Registre National Monégasque de l'Identité Numérique en vue de réidentifier une personne sera puni d'un emprisonnement d'un à six mois et de l'amende prévue au chiffre 4 de l'article 26 du Code pénal.
Article 20🔗
Lorsque les termes « électronique » et « numérique » sont utilisés, dans les lois et règlements, en matière d'identité et de services de confiance, ils sont considérés comme ayant un sens équivalent.
La présente loi est promulguée et sera exécutée comme loi de l'État.