Analyse d'impact (Données personnelles) • Avis de l'APDP sur le projet d'Arrêté Ministériel portant application de l'article 35 de la Loi n° 1.565 (Délibération n° 2025‑5 du 9 avril 2025)

La Délibération n° 2025‑5 du 9 avril 2025 de l'Autorité de Protection des Données Personnelles (APDP) (JDM n° 8744 du 25 avril 2025), saisie par le Ministre d'Etat le 20 février 2025, porte avis sur le projet d'Arrêté Ministériel d'application de l'article 35 de la Loi n° 1.565 du 3 décembre 2024 précisant les critères permettant de déterminer si un traitement, en particulier par le recours à de nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, déclenchant l'obligation d'analyse d'impact.

* * *

Observations de l'APDP

L’APDP souligne que le projet d'Arrêté Ministériel transpose de manière substantielle les critères établis par le Groupe de travail "Article 29" dans ses "Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un
risque élevé» aux fins du règlement (UE) 2016/679" (17/FR WP 248 rév. 01, telles que modifiées et adoptées en dernier lieu le 4 octobre 2017). Cette convergence favorise l'objectif d’obtenir une décision d’adéquation de la Commission européenne au bénéfice de Monaco.

Elle précise "qu'à des fins pédagogiques, [elle] en explicitera la portée, pour éclairer les responsables du traitement et les personnes concernées sur les contours précis de ces critères."

L'APDP note que "ces critères ont une rédaction parfois légèrement différente" et émet les remarques suivantes :

• Critère 1 "évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, y compris le profilage" : L'APDP s'interroge sur la modification de sa rédaction, notamment concernant l'absence de la notion de « notation » contrairement au critère européen ("évaluation ou notation, y compris les activités de profilage et de prédiction (…)"), jugée importante et à intégrer.

• Critère 4 "le traitement de données sensibles au sens du chiffre 9 de l’article 2 de la loi n° 1.565 du 3 décembre 2024 susvisée, ou relatives aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activité illicite" : L'APDP recommande une extension avec l'inclusion de la notion de "données à caractère hautement personnel", suivant l'approche plus large du Groupe 29. Actuellement, le projet monégasque lui paraît trop restrictif, se limitant aux données sensibles prévues par la loi, alors que d'autres types de données "peuvent être considérées comme augmentant le risque possible pour les droits et libertés des personnes", dont elle donne des exemples. [Note 1].

• Critère 8 "l'utilisation d'un identifiant numérique au sens de la loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique" :
  L’APDP recommande de supprimer la précision que l'identifiant numérique doit être compris au sens de la Loi n° 1.483, car elle limite le champ d’application du critère en le liant "à la notion de fournisseur d’identité et donc, à une typologie particulière de responsable du traitement".

• Critère "Traitement à grande échelle" : L'APDP regrette que ce critère soit isolé dans un article distinct et non intégré dans la liste principale des critères de risque élevé.

* * *

[Note 1] L'APDP précise : "Ces données à caractère personnel sont considérées comme sensibles (au sens commun du terme) dans la mesure où elles sont liées à des activités domestiques et privées (communications électroniques dont la confidentialité doit être protégée, par exemple), dans la mesure où elles ont un impact sur l’exercice d’un droit fondamental (données de localisation dont la collecte met en cause la liberté de circulation, par exemple) ou dans la mesure où leur violation aurait clairement des incidences graves dans la vie quotidienne de la personne concernée (données financières susceptibles d’être utilisées pour des paiements frauduleux, par exemple). À cet égard, il peut être pertinent de déterminer si les données ont déjà été rendues publiques par la personne concernée ou par des tiers. Le fait que les données à caractère personnel soient publiquement disponibles peut être pris en compte en tant que facteur dans l’analyse lorsqu’il est prévu une utilisation ultérieure des données pour certaines finalités. Ce critère peut également inclure les données telles que les documents personnels, les courriers électroniques, les agendas, les notes des liseuses équipées de fonctions de prise de notes ainsi que les informations à caractère très personnel contenues dans les applications de « life-logging »".

* * *