Conditions générales d'utilisation pour les services en ligne partenaires
1 Cadre Législatif et règlementaire
La liste qui suit renvoie aux principaux textes applicables Partenaires. Les présentes conditions d’utilisation s’inscrivent dans le respect de ces textes. Cette liste ne remet pas en cause le droit applicable aux Fournisseurs de service selon leur nature juridique (principes de droit administratif et de droit privé) :
Loi n. 1.483 du 17/12/2019 relative à l'identité numérique ainsi que ses textes d’application (en cours de publication).
Loi n. 1.383 du 02/08/2011 pour une Principauté numérique, modifiée qui porte notamment sur les services de confiance .
Loi n. 1.165 du 23/12/1993 relative à la protection des informations nominatives, modifiée.
Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance.
Ordonnance n. 3.413 du 29/08/2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, modifiée.
Arrêté Ministériel n° 2017-56 du Ier février 2017 portant application de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, modifiée.
Politique de sécurité des systèmes d’information de l’Etat
Arrêté Ministériel n° 2020-461 du 6 juillet 2020 portant application de l'article 13 de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance.
Référentiel général de sécurité de la Principauté de Monaco (RGSP) Règles applicables aux systèmes d’information aux services de confiance pour les transactions électroniques (RGSP).
Arrêté Ministériel n° 2020-462 du 6 juillet 2020 portant application de l'article 36 de l'arrêté ministériel n° 2020-461 du 6 juillet 2020 portant application de l'article 13 de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance.
Spécifications et procédures des niveaux de garantie faible, substantiel et élevé des moyens d’identification électronique délivrés dans le cadre d’un schéma d’identification électronique.
2 Objet de ce document
Les présentes Conditions Générales d’Utilisation ci-après désignées « CGU ») ont pour objet de préciser les modalités d’utilisation du système d’authentification MConnect par les Partenaires. Le présent document précise aussi les engagements et obligations respectifs des différents acteurs concernés.
MConnect est la solution technique proposée par la Principauté de Monaco pour s'identifier avec son identité numérique monégasque régalienne et accéder de façon sécurisée à des services en ligne.
Les présentes CGU s’appliquent à tout Partenaire public ou privé offrant des Téléservices nécessitant une authentification de leurs usagers ou clients, et sollicitant l’utilisation de MConnect.
Le Partenaire confirme avoir lu et compris l’intégralité des présentes CGU avant toute utilisation de MConnect et s’engage à les respecter.
3 Définitions
Les termes Authentification, Identification électronique, Moyen d’identification numérique, Données d’identification personnelle renvoient aux définitions de la Loi n. 1.383 du 02/08/2011 pour une Principauté numérique, modifiée.
Les Niveaux d’identification « faible », « substantiel » et « élevé » de l’identité numérique sont ceux visés à l’article 3 de la Loi n. 1.483 du 17/12/2019 relative à l'identité numérique ainsi que ses textes d’application (en cours de publication).
Les mots commençant par une majuscule dans les présentes conditions d’adhésion ont le sens ci-après défini :
Administration / DSN : Gouvernement Princier
DSN : Direction des Services Numérique
Fournisseur de service (FS)/ Partenaires : désigne l’entité intégrant MConnect pour accéder aux Téléservices qu’il délivre.
MConnect : désigne la solution technique d’authentification proposée par la Direction des Services Numériques (DSN) permettant aux Utilisateurs d’attester de leur identité dans le cadre de services proposés par des Fournisseurs de service et y accéder de façon sécurisée. MConnect est présentée sur le site https://mconnect.gouv.mc
Téléservices : désigne, au sens de l’Ordonnance n. 3.413 du 29/08/2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, modifiée « […] tout système d’information permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives ainsi qu’à des paiements ». Il s’agit d’une entité partenaire de MConnect qui propose un ou des services nécessitant l’Identification et/ou l’Authentification en ligne de leurs usagers ou clients.
Utilisateur : désigne une personne physique qui s’identifie/s’authentifie auprès de MConnect pour bénéficier d’un Téléservice parmi ceux proposés par les Partenaires, et y accéder.
4 Contexte général
4.1 Introduction
La Principauté de Monaco est engagée dans un programme de transformation numérique majeur au service de son développement économique et de l’expérience de vie de ses populations. Des grands programmes sont réalisés à ce titre sous l’initiative de la DITN (Délégation Interministérielle de la Transition Numérique) pour concrétiser la transformation de Monaco. Les domaines couvrent notamment la smart city, le e-gouvernement, la e-éducation, la e-santé, la e-sécurité.
L’économie numérique réclame un climat de confiance dans l’environnement en ligne entre ses différents acteurs. La confiance numérique est notamment apportée en Principauté par un dispositif législatif et une infrastructure technique :
• Un cadre législatif et règlementaire propice au développement de la confiance et des échanges numériques.
• Une plateforme de services de confiance, MConnect, qui permet d’attester de l’identité des acteurs économiques et des populations, et de garantir la sécurité dans les transactions et e-services.
La plateforme d’identité numérique et de services de confiance, appelée M-Road :
• crée et attribue une identité numérique à toute personne de nationalité monégasque et à toute personne titulaire d’un titre de séjour.
• opère un Registre National de l’Identité Numérique dans lequel seront centralisés les identités numériques attribuées par les autorités d’enregistrements des services exécutifs de l’Etat et de la Commune.
• se base sur l’attribution de l’identité régalienne, en relation avec le système de délivrance des titres sécurisés : cartes d’identité monégasque électronique par la Commune et cartes de séjour par la Direction de la Sûreté Publique.
• Expose des services de confiance tels que les modules d’authentification MConnect, auprès des Fournisseurs de service public et privés qui en font la demande et qui ont été autorisés par l’Administration.
4.2 Les avantages de MConnect
Les Partenaires publics et privés bénéficient :
• d’une identification certaine des personnes, dérivée de l’identité régalienne.
• d’attributs vérifiés de l'identité pivot : Ensemble des informations nécessaires pour identifier une personne unique. Elle se compose du nom de naissance, des prénoms, du nom d’usage, date/lieu/heure de naissance, sexe.
• de plus de sécurité, l’usurpation d’identité n’est plus possible.
• d’une facilité d’intégration, avec l'usage de protocoles ouverts et standard (OIDC).
• de niveaux d’authentification visant les niveaux substantiels et élevés, conformément au Référentiel Général de Sécurité de la Principauté de Monaco (RGSP) et à la Loi n. 1.483 du 17/12/2019 relative à l'identité numérique ainsi que ses textes d’application (en cours de publication).
Les avantages pour vos usagers et clients:
• l'usage d'un compte unique pour accéder à l'ensemble de ses services en ligne
• un accès facilité depuis le mobile
• une expérience simple : l'Utilisateur n'a plus besoin de renseigner ou justifier son identité étant donné qu'il s'identifie en utilisant son titre d'identité.
5 Principes et critères d’éligibilité
5.1 Synthèse
Les entreprises ou associations peuvent intégrer MConnect en tant que Partenaires lorsqu’elles proposent des services en ligne dont l'usage nécessite la vérification de l'identité de leurs Utilisateurs.
Il s’adresse aux établissements à Monaco, inscrit au RCI, ou aux associations, fédérations ou groupements de Monaco.
Les Partenaires s’engagent à :
• Respecter les prérequis techniques, basés sur le protocole Open ID Connect, fournis par l’administration lors des demandes d’intégration de MConnect (document : Manuel d’intégration d’un e-service auprès de MConnect).
• Conserver les données obtenues dans le cadre de MConnect uniquement le temps de la relation contractuelle avec leur utilisateur.
• Respecter la législation en vigueur, tels que le RGSP et les avis CCIN (La Commission de Contrôle des Informations Nominatives).
• Ne pas commercialiser les données à caractère personnel obtenues dans le cadre du raccordement à MConnect.
• Maintenir la possibilité pour ses clients d’utiliser un autre moyen d’authentification que MConnect.
• Respecter les principes énoncés dans ce document et les éléments visuels (Bouton et logo MConnect).
La Direction des Services Numériques réceptionnera et instruira les demandes de participation à MConnect. La DSN entrera en contact avec le responsable du projet partenaire.
Les demandes font l’objet d’une analyse par le service juridique de la DITN et l’équipe MConnect, afin de s’assurer de la pertinence et de la cohérence du dossier du Fournisseur de service en ligne avec l’usage d’authentification MConnect.
Les candidats inéligibles ou les dossiers ne remplissant pas les critères d’éligibilité seront écartés.
5.2 Rôles et engagement de la Direction des Services Numériques
La DSN opère la plateforme MConnect et s’engage à ce titre sur les points suivants:
• La plateforme MConnect a fait l’objet d’une homologation de sécurité, menée avec un Prestataires d'Audit de la Sécurité des Systèmes d'Information (PASSI) qualifié à Monaco conformément au Référentiel Général de Sécurité de la Principauté de Monaco (RGSP).
• La plateforme MConnect a fait l’objet d’un demande d’avis auprès de la CCIN (Commission de Contrôle des Informations Nominatives).
• La DSN étudie les demandes d’intégration de MConnect avec les organismes éligibles qui le demandent et fournira son avis (acceptation ou refus).
• Il est expressément mentionné que la DSN pourra refuser la demande d’habilitation d’une entité qui ne respecterait pas la réglementation applicable à la protection des données personnelles, compte tenu d’une part, de la place centrale qu’occupent les données d’identification dans MConnect, d’autre part, du besoin de sécurité, en ce y compris la sécurité publique, inhérent à cette plateforme. En outre, la DSN doit être informée par l’entité demandant à être habilitée des sanctions ou condamnations dont elle aurait fait l’objet du fait d’un manquement à la réglementation applicable à la protection des données personnelles et susceptibles d’avoir un impact sur l’utilisation de MConnect. Le cas échéant, l’entité demanderesse et la DSN se rapprocheront afin que la DSN soit en mesure d’apprécier les conséquences de ces sanctions ou condamnations sur l’habilitation de ladite entité à rejoindre MConnect en tant que Fournisseur de service.
• La DSN s’efforce de garantir une disponibilité du service MConnect de 99,5% par an.
• La DSN pourra procéder à toutes opérations de tests, contrôle et /ou maintenance selon un calendrier qu’elle détermine librement. Pour que ces opérations engendrent des interruptions de service limitée elles seront de préférence planifiées sur des périodes durant lesquels la plateforme MConnect est moins sollicité. La DSN préviendra le Fournisseur de service avant la date de réalisation d’une telle opération par email. La DSN respectera un délai de prévenance plus ou moins long compte tenu de la nature et de l’ampleur de l’opération.
• En cas de dysfonctionnement de MConnect la DSN pourra intervenir à tout moment afin de gérer l’incident dans les meilleurs délais.
• La DSN sera disponible aux heures d’ouverture du service (9h-12h/14h-18h les jours ouvrés) pour prendre en compte les demandes du Fournisseur de service.
• La DSN référencera le Fournisseur de service Partenaire dans la liste des Téléservices en ligne compatibles sur mconnect.gouv.mc
• L’intégration de MConnect sur le Téléservice d’un Partenaire ne donne lieu à aucune compensation financière entre la DSN et le Partenaire.
5.3 Rôles et engagement du Fournisseur de service partenaire
Le Fournisseur de service qui utilise MConnect s’engage sur les points suivants:
• Le Partenaire utilise MConnect conformément aux présentes Conditions générales d’utilisation et des prérequis techniques (document : Manuel d’intégration d’un e-service auprès de MConnect).
• Lorsque le service du Partenaire doit être homologué en application de la règlementation en vigueur, cette homologation constitue un prérequis pour prétendre à l’intégration de MConnect. La décision d’homologation doit être communiquée à la DSN. En cas de renouvellement ou de changement de périmètre du service homologué, le Partenaire transmettra à la DSN la nouvelle décision d’homologation. En cas de suspension ou de perte de cette homologation, le Partenaire s’engage à prévenir la DSN dans les plus brefs délais. La DSN se réserve alors le droit de le désactiver.
• Le Téléservice doit être conforme aux pratiques et demande d’avis de la CCIN.
• Toute entité qui souhaite être habilitée dans le cadre de MConnect en tant que Fournisseur de service doit indiquer dans quelle finalité et pour quel service les données d’identification de l’Utilisateur seront traitées. Si le Fournisseur de service souhaitait modifier la finalité ou le service concerné, il devra réaliser une nouvelle demande d’habilitation.
• Le Partenaire définit seul les données d’identification de MConnect à utiliser pour lui permettre de faire la mise en relation avec les identifiants métiers de ses clients/usagers.
• Le Partenaire s’engage à utiliser les données reçues de MConnect conformément à la réglementation.
• Le Partenaire s’engage à informer ses utilisateurs de la possibilité de se connecter à son service avec MConnect et l’identité numérique monégasque. Le Partenaire les informe également que lorsqu’ils utilisent MConnect, ils sont soumis aux conditions générales d’utilisation de MConnect en plus des conditions générales applicables au service en ligne proposé par le Fournisseur de service. Le Partenaire doit les porter à la connaissance et les faire accepter par chaque Utilisateur.
• Le Partenaire doit s’assurer que l’utilisation de MConnect répond aux obligations législatives et réglementaires auxquelles il est soumis du fait de son statut ou de son activité.
• Il est recommandé au Partenaire de prendre toutes mesures nécessaires afin d’assurer la traçabilité des actions en rapport avec son service, ses utilisateurs et; étant précisé qu’il lui appartient de conserver ces informations que ce soit à des fins probatoires ou autres.
• Le Partenaire autorise la DSN à utiliser sa dénomination sociale ou commerciale dans le cadre de MConnect, afin qu’il soit référencé dans la liste des Partenaires.
6 Données personnelles
• La DSN détermine seule les moyens de mise en œuvre des traitements des données personnelles collectées à des fins d’Identification/Authentification dans le cadre de MConnect. Dès lors, la DSN a la qualité de responsable de traitement, conformément aux dispositions de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives.
• Le traitement s’inscrit dans le cadre des missions de l’Administration. Il est justifié par la réalisation d’un intérêt légitime poursuivi par l’Administration à travers le développement d’outils et procédés numériques afin de proposer des services numériques de confiance bénéficiant d’un haut niveau de sécurité et d’intégrité de la donnée, conformément à la loi n° 1.482 relative à une Principauté Numérique et à la loi loi n° 1.483 relative à l’identité numérique.
• MConnect transmet au Fournisseur de service partenaire les informations suivantes constitutives de l’identité pivot :
o family_name : Nom d’exercice; given_name :Prénoms ; birth_name : Nom de naissance; name : Prénom(s) + Nom
o prefered_username : Clé unique de l’utilisateur
o birth_datetime : Date et heure de naissance
o birth_place : Lieu de naissance
o gender :Genre
o sub : Identifiant unique de l’utilisateur authentifié. Sa valeur est la clé unique de l’utilisateur préfixé par un identifiant technique.
o Authority :Autorité d’enregistrement (Mairie ou DSP) et statut de l’identité numérique (active, suspended ou inactive)
• Le Partenaire est destinataire des Données d’identification de ses utilisateurs lorsqu’ils accèdent à son service via MConnect. Il a la qualité de tiers. Il détermine seul les finalités et les moyens du ou des traitements des données personnelles dont il est destinataire. Dès lors, il est responsable du traitement. En cette qualité, il s’engage à respecter la Réglementation sur la protection des données personnelles et notamment à gérer les exercices des droits de ses utilisateurs.
• S’il s’avère que le Partenaire fait l’objet d’une sanction ou condamnation exécutoire du fait d’un manquement à la Réglementation sur la protection des données personnelles et que ce manquement a une incidence sur le Téléservice, il s’engage à se rapprocher de la DSN afin que cette dernière soit en mesure d’apprécier les conséquences de la sanction ou condamnation sur le maintien ou non de l’intégration du Partenaire avec MConnect.
• Chaque partie informe l’autre partie, des incidents de sécurité notifiés aux autorités compétentes, lorsque ceux-ci concernent l’utilisation de MConnect, afin d’adopter les mesures de protection adéquates.
7 Coût du service
• La participation à MConnect ne donne lieu à aucune compensation financière entre la DSN et le Partenaire.
8 Responsabilités – Exonération
• La DSN sera responsable du dommage causé intentionnellement ou par négligence au Fournisseur de service en raison d’un manquement aux obligations qui lui incombent en application des présentes conditions générales. Le cas échéant, seuls les préjudices matériels directement subis par le Fournisseur de service pourront être pris en compte et l’éventuelle réparation de tout préjudice commercial (de type atteinte à la réputation, perte de clientèle, …) est expressément exclue.
• La DSN ne saurait être tenue pour responsable en cas de recours à un moyen d’authentification autre que MConnect.
• Le Partenaire est responsable de tout manquement aux présentes conditions générales d’utilisation de MConnect qui lui est imputable. En cas de manquement de sa part, la suspension ou la désactivation de son utilisation à MConnect sera réalisée par l’administration.
• En aucun cas la DSN n’intervient, de quelque façon que ce soit, dans les relations contractuelles qui peuvent se nouer entre les Partenaires et leurs clients authentifiés par MConnect.
• Compte tenu de la nature juridique de MConnect la responsabilité de la DSN ne pourra être engagée que sur la base des principes de droit administratif applicables aux services publics administratifs.
9 Dispositions générales
9.1 Durée :
Sous réserve des cas de résiliation indiqués ci-après, le Partenaire adhère à ces conditions générales d’utilisation de MConnect pour une durée indéterminée.
9.2 Résiliation des conditions générales suspension ou désactivation de l’accès au Téléservice
9.2.1 Résiliation par le Fournisseur de service
Le Partenaire peut librement se désengager de MConnect.
Sa décision doit être notifiée par courriel adressé à : dsn@gouv.mc .
Sa demande sera exécutée à la date spécifiée dans le courrier de résiliation ou à défaut après un délai de deux (2) mois à compter de la réception par la DSN de cette notification.
Toute opération effectuée pendant cette période reste valide, celle-ci devant pouvoir être traçable en cas de demande judiciaire pendant les délais légaux.
9.2.2 Suspension ou désactivation par la DSN
En cas de manquement du Partenaire aux présentes conditions générales d’utilisation, la DSN se réserve le droit de suspendre ou de désactiver de MConnect, le ou les service(s) du Fournisseur de service concerné. Cette décision pourra être prise sans délai, sans préavis et sans indemnité au bénéfice du Partenaire.
Selon la gravité du manquement, la DSN pourra laisser au Partenaire un délai maximum de quinze (15) jours à compter de la notification de la DSN pour qu’il remédie au manquement notifié. Pendant ce délai, l’accès à MConnect par les utilisateurs du Partenaire sera suspendu pour le ou les services concerné(s) par le manquement.
Passé ce délai, si le Partenaire n’a pas remédié à son manquement, le service concerné sera désactivé de MConnect.
Dans tous les cas, la DSN peut suspendre ou désactiver unilatéralement le Partenaire de MConnect pour un motif d’intérêt général ou de sécurité publique. La DSN en informe, par les moyens qui lui semblent les plus adaptés, le Partenaire dans les meilleurs délais possibles. Cette décision ne pourra donner lieu à aucune indemnité au bénéfice du Partenaire.
La DSN peut modifier à tout moment ces conditions générales d’utilisation, que ce soit pour la mise en conformité de MConnect avec un texte législatif ou réglementaire, ou d’autres raisons. Si la modification des conditions générales d’utilisation implique des changements de MConnect impactant le Partenaire, des délais de prévenance raisonnables seront appliqués.
9.3 Gestion des Conditions générales d’utilisation
L’information relative à la modification des conditions générales d’utilisation sera communiquée par tout moyen jugé adéquat par la DSN. Il appartient au Partenaire de se référer à la dernière version des conditions générales d’utilisation avant toute utilisation de MConnect, les conditions générales d’utilisation sont accessibles à tout moment sur le site https://mconnect.gouv.mc/devenir-partenaire dans la section « Devenir Partenaire ».
9.4 Propriété intellectuelle
Les marques et/ou logos MConnect dont est titulaire l’Administration, apparaissant sur tous supports, sont des marques protégées par les dispositions légales applicables à Monaco. Toute représentation ou reproduction totale ou partielle sans autorisation expresse et préalable de l’Administration est interdite et constitue une infraction pénalement sanctionnée par les Cours et Tribunaux monégasques.
9.5 Loi applicable et règlement des litiges
Les parties conviennent de manière expresse que seule la législation et la règlementation monégasque sont applicables. Elles s’engagent à rechercher un accord amiable en cas de litige. A l’initiative de la partie demandeuse, une réunion sera organisée. Tout accord de règlement du litige devra être consigné par écrit sur un document signé par un représentant accrédité des deux parties.En cas de litige relatif à l’interprétation, la formation ou l’exécution du Contrat et faute d’être parvenues à un accord amiable, les parties donnent compétence expresse et exclusive aux tribunaux compétents de la Principauté de Monaco.
9.6 Intégralité des conditions générales d’utilisation
La demande d’intégration du Partenaire à MConnect emporte l’acceptation du Partenaire, totale et sans réserve, des conditions générales d’utilisation applicables qui se composent du présent document, du contenu éditorial du site mconnect.gouv.mc et du Manuel d’intégration d’un e-service auprès de MConnect.