Commission Spéciale de Sécurité Nationale (contrôle des traitements de données personnelles dans le cadre de la Loi n° 1.430 du 13 juillet 2016)

L’Ordonnance Souveraine n° 11.138 du 6 mars 2025 (JDM n° 8737 du 7 mars 2025) porte nomination des membres de la Commission Spéciale de Sécurité Nationale (CSSN) qui succède à la "Commission de l'article 16", chargée de veiller au respect des dispositions des articles 9 à 15 de la Loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale :

• un membre titulaire et deux membres suppléants proposés par le Conseil d'État, président (5 ans) ;
• le Président du Conseil National en tant que membre titulaire et le Vice-président du Conseil National et le président de la Commission des finances et de l'économie nationale en tant que membres suppléants (1 an renouvelable).

Le juge des libertés est également membre de la Commission Spéciale.

La Loi n° 1.565 du 3 décembre 2024 sur la protection des données personnelles a institué la CSSN pour le contrôle des activités de traitement des données personnelles à des fins de sécurité nationale en renforçant ses garanties d'indépendance et d'impartialité, conformément aux prescriptions de la Convention 108+ du Conseil de l'Europe dont le Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données (STE n° 181), ratifiée par Monaco le 6 mars 2025.

Les activités de contrôle de la CCSN

La CCSN contrôle la mise en œuvre des techniques de renseignement et l’exploitation des fichiers de sécurité nationale, et la déclassification de tout ou partie d’un document ou d’un fichier bénéficiant de la protection du secret de sécurité nationale est soumise à son avis.

Elle vérifie que les données personnelles sont collectées et traitées dans le respect des dispositions de la Loi-cadre n° 1.565 du 4 décembre 2024 sur la protection des données personnelles, et peut à cette fin accéder aux données des traitements concernant la sécurité nationale, sous réserve des nécessités de la protection des sources et de la protection des données communiquées par les services de renseignements étrangers.

En cas d'irrégularités constatées, le Président de la CCSN saisit le Ministre d'État pour qu'il prenne toutes mesures afin de les faire cesser ou pour que leurs effets soient supprimés.

Sous réserve des dispositions relatives au secret de sécurité nationale, la CCSN rend compte publiquement et périodiquement de ses activités de contrôle.

Droits de la personne concernée exerçables auprès de la CCSN

S'agissant des traitements liés à des activités de renseignements ou de techniques spéciales d’investigation qui intéressent la sécurité nationale, toute personne ayant un intérêt direct et personnel dispose de droits d'accès, de rectification (données inexactes ou incomplètes), et d'effacement en cas d'erreur manifeste.

La personne concernée peut ainsi saisir la CCSN d'une demande de vérification pour savoir si ses données font l'objet d'un traitement, d'une demande de rectification ou d'effacement de ses données avec production à l'appui de toute pièce justificative utile.

Si la CCSN considère qu'il peut être fait droit à la demande de rectification ou d'effacement, son Président saisit le Ministre d'État afin qu'il prenne toutes mesures pour y procéder.

La CCSN notifie dans les meilleurs délais à la personne concernée que les vérifications nécessaires ont été effectuées, sans jamais confirmer ou infirmer la mise en œuvre d'une opération de police administrative visées par les articles 9 à 15 de la loi n° 1.430 (interception des correspondances émises par la voie des communications électroniques et accès administratif aux données de connexion, techniques spéciales d'investigation) ou d'un traitement institué dans le cadre de l'article 18 (secret de sécurité nationale).

* * *

Les trois Autorités de contrôle des traitements de données personnelles à Monaco

Le cadre juridique conventionnel (Convention 108+)

L'article 15 de la Convention 108+ laisse la faculté aux Etats parties d'instituer une ou plusieurs autorités de contrôle indépendantes (organe collégial ou non) pour assurer la protection des droits et libertés des individus à l'égard du traitement de leurs données personnelles, et de limiter leur compétence à un secteur donné.

L’article 11 de la Convention 108+ admet des exceptions aux pouvoirs des autorités de contrôle "dès lors qu’une telle exception est prévue par une loi, qu’elle respecte l’essence des droits et libertés fondamentales, et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique : a. à la protection de la sécurité nationale, à la défense, à la sûreté publique, à des intérêts économiques et financiers importants de l’État, à l’impartialité et à l’indépendance de la justice ou à la prévention, à l’investigation et à la répression des infractions pénales et à l’exécution des sanctions pénales, ainsi qu’à d’autres objectifs essentiels d’intérêt public général ;".

Ceci, sans préjudice de l’exigence que ces activités fassent l’objet d’un contrôle et d’une supervision indépendants effectifs en vertu de la législation nationale.

Une certaine marge d'appréciation est ainsi reconnue aux Etats parties quant à la manière de mettre en place ces autorités et quant à l'étendue de leurs pouvoirs.

Le cadre juridique monégasque (Loi n° 1.565 du 4 décembre 2024)

Monaco a fait le choix d'instituer trois Autorités de contrôle dans le domaine de la protection des données personnelles :

1. Autorité de Protection des Données Personnelles (APDP) chargée de contrôler et vérifier que les données personnelles sont traitées en conformité avec les dispositions législatives et réglementaires en vigueur en matière de protection des données à caractère personnel à l'exclusion des traitements spécifiques suivants :
2. Commission Spéciale de Sécurité Nationale (CSSN) présentée ci-dessus, pour les traitements liés à des activités de renseignements ou de techniques spéciales d’investigation qui intéressent la sécurité nationale relevant des articles 9 à 15 et 18 de la loi n° 1.430 du 13 juillet 2016 ;
3. Délégué Judiciaire à la Protection des données pour les traitements effectués par les juridictions et le ministère public dans l'exercice de leurs fonctions juridictionnelles ainsi que ceux effectués dans le cadre des procédures d'entraide judiciaire internationale.

* * *