Données personnelles ● Avis de l'APDP sur le projet d'Ordonnance Souveraine portant application de la Loi n° 1.565 du 3 décembre 2024 (Délibération n° 2025‑004 du 19 mars 2025)

Dans sa Délibération n° 2025‑4 du 19 mars 2025 (JDM n° 8740 du 28 mars 2025), l'APDP analyse le projet d’Ordonnance Souveraine dont elle a été saisie le 20 février 2025, disposition par disposition, à la lumière des critères de référence pour l’adéquation dans le cadre du Règlement (UE) 2016/679 (RGPD) (wp254rev.01) et de la Directive (UE) 2016/680 "Police Justice" (Recommandations 01/2021), vu "l’objectif affiché d’obtenir une décision d'adéquation" de la Commission Européenne. L'APDP prend également appui à certains égards sur la rédaction des réglementations française et suisse.

* * *

Problématiques relevées par l'APDP en Préambule

• S'agissant du caractère effectif et dissuasif des sanctions pour non-respect des dispositions de la Loi n° 1.565, l'APDP estime l'objectif pleinement atteint pour le secteur privé, mais relève l'absence d'avancée par rapport à l'ancienne Loi n° 1.365 s'agissant de l'Etat (pas de distinction parmi les traitements mis en œuvre ce qui peut conduire à une irresponsabilité de l'Etat).
• L'APDP liste les manquements graves qui ne sont pas pénalement répréhensibles (art. 308-7 Code pénal), contrairement au droit français.
• Problématiques liées à la Commission Spéciale de Sécurité Nationale (CSSN) et au contrôle des traitements de sécurité nationale, à l'absence de dispositions dans le projet d'Ordonnance Souveraine posant les bases de coopération entre les trois autorités de contrôle créées (APDP, CCSN, Délégué Judiciaire à la Protection des données).
• Autre problématique concernant le secteur public : un seul Délégué à la Protection des Données (DPD) en lien avec des "correspondants techniques" non formés en protection des données personnelles.

* * *

Recommandations de l'APDP

I. Droits de la personne concernée

• Droit d’accès

L’APDP recommande de réintroduire la possibilité d’exercer le droit d’accès sur place, supprimée dans la version actuelle du projet. Elle demande que la formulation soit conforme à celle retenue dans les versions antérieures ayant fait l’objet de concertations : la demande pourrait être formulée par voie postale, électronique ou sur place. L’APDP préconise également que, lorsque la demande est formulée sur place sans pouvoir être satisfaite immédiatement, un avis de réception daté et signé soit remis.

Concernant la possibilité de saisine par une autorité de protection étrangère, l’APDP rappelle que cette procédure doit rester subsidiaire et ne saurait constituer une condition préalable, conformément à l’article 18, §2 de la Convention 108+.

Elle recommande la suppression des deux derniers alinéas du projet d’article, jugés source de confusion et potentiellement restrictifs pour un exercice efficace et rapide des personnes concernées.

• Identification et imprécision de la demande

L’APDP recommande que la demande d’éléments complémentaires, en cas de doute sur l’identité du demandeur, soit formulée dans le délai d’1 mois prévu par la Loi n° 1.565 (article 10).

S’agissant des demandes imprécises ou incomplètes, l'APDP recommande que le délai d'information de la personne concernée soit encadré : 1 mois à compter de la réception de la demande ; ainsi que la suspension des délais de réponse du responsable du traitement.

• Dérogations au droit à l’information

L’APDP recommande de rappeler le devoir de vérification à effectuer et à documenter par le responsable du traitement.

• Nécessité d'encadrer le traitement des données sensibles par l'IMSEE

L'APDP propose un texte complémentaire qui pourrait être intégré soit dans le projet d'Ordonnance Souveraine, soit dans l'Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l'Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques.

II. Obligations incombant aux responsables de traitement et aux sous-traitants

• Sécurité des traitements

L'APDP recommande un élargissement de la rédaction pour inclure, au-delà de la pseudonymisation, d’autres mesures techniques et organisationnelles : chiffrement, dispositifs permettant de garantir la confidentialité, l'intégrité, la disponibilité des données.

• Nécessité d'insérer un article relatif à la désignation du représentant

L’APDP préconise l’introduction d’un article précisant que la désignation d’un représentant dans un État membre de l’Union européenne doit être motivée par l’impossibilité d’en désigner un à Monaco. Elle demande que cette désignation soit communiquée sans délai à l’APDP, accompagnée de l’ensemble des coordonnées nécessaires, et qu'il soit mentionné que l'APDP peut prendre contact avec les représentants situés sur le territoire de l'UE (à défaut, l'APDP devrait avoir recours aux mécanismes de coopération tels que prévus par la Convention 108+ avec effet de rallonger les délais de réponse).

• Délégué à la protection des données (DPD)

L'APDP recommande de préciser que le responsable du traitement doit fournir à l’APDP les nom et prénom du DPD ou si cette fonction est assurée par une personne morale, de la personne physique qualifiée de contact, et le cas échéant, les noms et coordonnées professionnelles du représentant du responsable du traitement ou du sous-traitant (informations devant être communiquées à la CNIL en France). De même que l'APDP doit être informée dans les meilleurs délais de toute modification.

L'APDP salue l'intégration des dispositions concernant les situations de conflit d'intérêt. Les règles internes établies visant à les définir et à les prévenir, établies par le responsable du traitement ou le sous-traitant, doivent lui être fournies sur demande.

III. Fonctionnement de l’APDP

L’APDP recommande des clarifications concernant :

• le droit d'introduire un recours juridictionnel auprès du Tribunal de première instance (procédure applicable, délais, dernier ressort, etc.) dont l'APDP doit informer le requérant ;

• l'absence ou l'empêchement du Président de l'APDP, les membres suppléants ;

• la révocation d’un membre pour manquement grave ;

• la formation restreinte de l'APDP et la situation de conflit d’intérêt ;

• la coopération avec d'autres Autorités (monégasques : CCSN, AMSF par ex. ; étrangères) ;

• l'élargissement du périmètre du règlement intérieur de l'APDP ;

• l’assermentation des agents de l'APDP et des investigateurs désignés ;

• la mission d'investigation ;

• l'impossibilité des personnes entendues de signer le procès-verbal journalier ;

• le contrôle sur convocation effectué à distance ;

• la possibilité d'être entendu par un système de visioconférence ou d'audioconférence ;

• la liquidation provisoire de l'astreinte ;

• les règles de procédure applicables aux recours introduits à l'encontre de décisions de la formation restreinte.

IV. Traitements soumis à formalité préalable

• Police-Justice, données génétiques ou biométriques traitées par les Autorités administratives ou judiciaires, recherches dans le domaine de la santé

L'APDP pointe ici les failles de la rédaction de la Loi n° 1.565 qui prévoit les cas dans lesquels l'APDP est notifiée ou saisie pour avis ou autorisation en cas de modification affectant un traitement soumis à formalité (article 61).

L'APDP estime que la rédaction restreint excessivement les cas de modifications de traitements soumis à formalité préalable. Ne seraient ainsi pas considérés comme des changements substantiels, l'ouverture des accès au traitement à de nouvelles personnes en matière de données de police, l'interconnexion d'un traitement de police à un autre traitement, la refonte totale des mesures de sécurité d'un traitement, ou encore le transfert de données à l'étranger dans un pays ne disposant pas d'une législation adéquate ou à un assureur en matière de recherche médicale.

Sans solution effective, l'APDP ne pourrait recourir qu'à des mesures correctrices ou des sanctions, limitées pour le secteur public, le cas échéant agir par voie de presse pour les traitements les plus intrusifs.

• Délais

Le délai de 8 jours prévu pour que l’APDP vérifie la complétude d’un dossier est jugé trop court. Il devrait être porté à 1 mois, comme c’était le cas auparavant.

L'APDP demande également qu'il soit précisé que le délai de 2 mois dans lequel elle se prononce prévu par la Loi n° 1.565 (articles 59 et 100) court à partir de la réception du dossier complet.

• Droit d’accès indirect concernant les traitements à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par les autorités administratives et judiciaires compétentes

L'APDP demande une modification de la Loi n° 1.565 (article 74) afin de restreindre l’application du droit d’accès indirect aux seuls cas dans lesquels une limitation justifiée du traitement est intervenue (en application de l’alinéa 2 de l’article 72). Cette clarification est indispensable afin d’éviter toute application systématique de la procédure d’accès indirect, en contradiction avec la Directive (UE) "Police Justice" et les principes posés par la jurisprudence de la Cour de justice de l’Union européenne (CJUE, Aff. C.333/22 du 16 novembre 2023).

En ce qui concerne le droit d'accès effectué auprès de la CSSN en matière de sécurité nationale, l'APDP met en avant les différences majeures entre la procédure CSSN et la procédure APDP, et la portée réelle des droits ouverts aux personnes concernées.

L’APDP observe ensuite que le projet d'Ordonnance Souveraine envisage une procédure d’accès indirect pour les traitements les plus sensibles dont ceux de la Direction de la Sûreté publique, qui préjudicie gravement les droits des personnes. Elle recommande que :

• l'APDP soit confortée dans ses prérogatives, avec la possibilité de vérifier directement le traitement mis en œuvre et d'assurer pleinement le respect des droits des personnes concernées ;
• les délais de réponse à la personne concernée soient encadrés dans une durée maximale proportionnée et justifiée, applicable tant à l'APDP qu'au responsable du traitement ;
• le recours juridictionnel ouvert à la personne concernée soit clairement identifié (dirigé contre la décision du responsable du traitement, ou celle de l’APDP), en tenant compte des conditions posées par la CJUE, à savoir que le recours doit être dirigé contre une autorité disposant de pouvoirs d’enquête effectifs.

L’APDP attire l’attention sur le fait que la procédure ainsi prévue affectera également les droits des personnes concernées eu égard aux traitements mis en œuvre par les entités assujetties dans le cadre de leurs obligations en matière de lutte contre le blanchiment, le terrorisme et la corruption.

• Droits de rectification et d'effacement

L'APDP recommande une disposition relative à la sécurité de la communication, tenant compte de la particulière sensibilité des données.

• Traitements relatifs à la recherche dans le domaine de la santé

Le Directeur de l’Action Sanitaire, saisi par le Président de l’APDP, devrait répondre directement à ce dernier, sans intermédiaire hiérarchique, au nom du principe de réciprocité et d’efficacité.

L'APDP estime ensuite qu'il ne relève pas de ses missions de sélectionner et de préciser les points requérants l’expertise du Directeur de l’Action Sanitaire, cette mention devant être supprimée.

Enfin, l'APDP propose de réduire de 8 à 5 semaines le délai accordé à la Direction de l’Action Sanitaire pour se prononcer, afin que le lancement des projets de recherche en soit pas retardé trop longtemps.

V. Dispositions particulières à certains traitements

• Traitements aux fins archivistiques dans l'intérêt public

L'APDP déplore l'éclatement des dispositions archivistiques entre plusieurs textes au regard de la qualité des garanties mises en place lorsque le responsable du traitement met à disposition des archives contenant des données personnelles. L'APDP rendra un avis sur le projet de loi n° 1093 portant modification de diverses dispositions en matière de numérique qui envisage la réutilisation des données.

VI. Transferts des données à caractère personnel

• Évaluation de l’adéquation

L’APDP recommande de supprimer au titre des critères, la prise en compte d'une décision de reconnaissance d’adéquation émanant de l'Union Européenne.

Elle précise par ailleurs que le critère de prise en compte des engagements internationaux en matière de protection des données personnelles soit assorti de l'examen de l'effectivité de leur mise en œuvre.

Elle suggère également une révision quinquennale du niveau de protection et qu'elle soit publiée ou a minima transmise à l'APDP, à l'instar notamment de la Suisse et de l'Union Européenne. La connaissance des éléments ayant conduit aux décisions d'adéquation permettrait à l'APDP de pouvoir alerter le Ministre d'Etat dans l'hypothèse de modifications affectant ces éléments qui justifieraient une remise en cause de l'adéquation.

L'APDP souligne enfin qu'en cas de retrait d'une décision d'adéquation, les transferts continus (par exemple, hébergement de données ou accès distant) doivent être garantis par d'autres mécanismes, ou être arrêtés.

• Règles d’entreprise contraignantes (BCR)

L’APDP relève que le texte monégasque projeté présente des lacunes par rapport à son modèle (article 47 du RGPD). Elle suggère d’intégrer :

• les modalités d’exercice des droits des personnes concernées, y compris le droit de ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage ;

• les missions du délégué à la protection des données ou de toute personne ou entité chargée du respect des BCR ;

• le suivi du traitement des réclamations ;

• les procédures de réclamation ;

• les mécanismes mis en place pour communiquer et consigner les modifications apportées aux BCR ;

• les modalités de coopération avec l’autorité de contrôle ;

• les mécanismes de signalement à l’autorité des obligations juridiques issues de la réglementation d’un pays tiers, lorsque celles-ci sont susceptibles d'avoir un effet négatif important sur les garanties fournies par les BCR ;

• la formation appropriée à destination du personnel ayant un accès permanent et régulier aux données à caractère personnel.

En outre, l’APDP recommande de préciser que les modifications ultérieures des BCR préalablement approuvées lui sont soumises pour approbation.

Enfin, concernant les BCR validées par des autorités étrangères, elle préconise d'ajouter que l'ensemble des garanties énoncées par l'Ordonnance Souveraine doivent être effectives.

• Transfert en l'absence de niveau de protection adéquat, nécessaire aux fins d'intérêts légitimes impérieux poursuivis par le responsable du traitement

L’APDP suggère d'opérer des ajouts afin qu'elle puisse intervenir dans l'hypothèse où l'ensemble des éléments cumulatifs mentionnés par la Loi n° 1.565 au chiffre 3 de l'article 99 (dont le caractère répétitif, un nombre limité de personnes, la non prévalence des intérêts ou des droits et libertés de la personne concernée sur les intérêts légitimes impérieux poursuivis par le responsable du traitement) ne serait pas conforme : communication à l'APDP de tout élément pertinent permettant de s'assurer que les conditions visées par la Loi n° 1.565 sont réunies à l'APDP, laquelle peut demander tout complément d'information.

* * *