Numérique (réforme) : Avis de l’APDP sur le projet de loi n° 1093 (Délibération n° 2025-006 du 6 avril 2025)

La Délibération n° 2025-006 du 9 avril 2025 de l’Autorité de Protection des Données Personnelles (APDP) porte avis par voie d’auto-saisine sur le projet de loi n° 1093 portant modification de diverses dispositions en matière de numérique déposé sur le Bureau du Conseil National le 22 mai 2024. Il s'inspire de la législation de l'Union Européenne en matière de services de confiance (Règlement eIDAS 2.0), de services numériques (Digital Services Act (DSA)) et de gouvernance des données (Data Governance Act (DGA)).

* * *

Auto-saisine de l'APDP

L'APDP fonde son auto-saisine sur l'ancien article 2, alinéa 2 de la Loi n° 1.165 du 23 décembre 1993 en vigueur au moment du dépôt du projet de loi n° 1093 et sur l'article 38, alinéa 2 de la Loi n° 1.565 du 3 décembre 2024 en vigueur, prévoyant qu'elle est consultée par le Ministre d'Etat lors de l'élaboration de mesures législatives ayant trait à la protection des données à caractère personnel.

En l'absence de consultation préalable, l'APDP a informé le Gouvernement de sa décision de se saisir d'office, relevant que la notion de données à caractère personnel est mentionnée 16 fois par le projet de loi n° 1093.

Objet de l'Avis de l'APDP

L'avis de l'APDP est centré sur les modifications projetées suivantes, eu égard à leurs implications sur les droits et libertés des personnes concernées en matière de protection des données personnelles :

→ Modification de la Loi n° 1.383 du 2 août 2011 pour une Principauté numérique (largement modifiée par la Loi n° 1482 du 17 décembre 2019) :

• technologie blockchain, actifs numériques, jetons,
• métavers et avatars,
• prestataires de services numériques,
• attestation électronique d'attributs,
• publication des actes individuels,
• gouvernance de la donnée et accès aux documents administratifs,
• échanges de données entre organismes du secteur public,
• portefeuille d'identité numérique.

→ Modification de la Loi n° 1.483 du 17 décembre 2019 relative à l'identité numérique :

• objectif du portefeuille d'identité numérique et identité numérique consentie,
• interopérabilité et territorialité du dispositif.

* * *

L'Avis de l'APDP en détail

I. Modification de la Loi n° 1.383 pour une Principauté numérique

a) Technologie blockchain, actifs numériques, jetons

L'APDP rappelle que la technologie blockchain, selon sa mise en œuvre, peut rendre techniquement difficile voire impossible la suppression des données personnelles utilisées.

Dans sa Délibération n° 2021-063 du 2 avril 2021 portant avis sur l'Ordonnance Souveraine portant application de la Loi n° 1.491 du 23 juin 2020 aux offres de jetons, la CCIN avait pointé les lacunes quant à l'explication des technologies blockchain utilisées et la différenciation entre ICO et STO, la définition du jeton ("token") qui n'indique pas "qu'il permet de remonter directement ou indirectement à son propriétaire", et leurs conséquences sur les données personnelles exploitées.

S'appuyant également sur les rappels de la CNIL française concernant les enjeux de la Blockchain et les catégories de données personnelles qu'elle peut contenir (identifiant des participants et des mineurs ; données complémentaires inscrites dans une transaction), l'APDP déplore que le projet de loi n° 1093 ne fasse pas de "lien entre les technologies soutenues par le texte et la nécessaire protection des données personnelles, que ce soit sur les actifs numériques, les jetons ou les registres électroniques."

b) Métavers et avatars

L'APDP relève que la Loi n° 1.383 et le projet de loi n° 1093 prévoient une définition des avatars et du métavers en interaction avec la notion d'"identité numérique" dont le sens est ambigu (cf. l'identité numérique délivrée par l'Etat), et souligne l'absence d'encadrement spécifique y compris le sort du "double numérique" sur une "plateforme persistante" en cas de décès.

c) Responsabilité des prestataires techniques de services intermédiaires (articles 7, 9, 10)

Le projet de loi n° 1093 intègre partiellement dans le Titre IV de la Loi n° 1.383 des éléments du Règlement (UE) 2022/2065 sur les services numériques (DSA) qui soumet les fournisseurs (quel que soit leur lieu d’établissement) qui proposent des services intermédiaires en ligne dans l’UE, à des obligations visant à endiguer la diffusion de contenus et produits illégaux ou nuisibles., lutter contre la désinformation, réguler la publicité ciblée.

Il modifie les dispositions relatives aux prestataires d'hébergement ("personnes physiques ou morales qui fournissent un service de communication au public en ligne, à titre exclusif ou non consistant dans le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par un destinataire du service") et aux prestataires de simple transport ("les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne").

Il n'intègre pas en droit monégasque les prestataires de "mise en cache" visés à l'article 5 DSA (service consistant à "transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, impliquant le stockage automatique, intermédiaire et temporaire de ces informations, effectué dans le seul but de rendre plus efficace la transmission ultérieure de ces informations à d’autres destinataires à leur demande).

L'APDP considère que les divergences de terminologie avec le droit européen (et les pays voisins) pour la désignation des prestataires sont de nature à nuire à la lisibilité du texte pour les acteurs transfrontaliers, et recommande "d'adopter un champ lexical commun".

De plus, l'absence de modification des dispositions relatives aux plateformes en ligne (article 34-1 Loi n° 1.383) "crée une divergence avec la nouvelle définition de "plateforme en ligne" applicable au sein de l'Union Européenne" ("un service d’hébergement qui, à la demande d’un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d’un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l’intégration de cette caractéristique ou de cette fonctionnalité à l’autre service ne soit pas un moyen de contourner l’applicabilité du présent règlement").

L'APDP identifie d'autres divergences rédactionnelles et constate que des éléments essentiels du DSA ne sont pas traités dans le projet de loi n° 1093 : "notamment les mécanismes d'action des hébergeurs après notification d'un contenu illicite (délais, réponses, etc.), les dispositions relatives aux conditions générales, les rapports sur la transparence, et les dispositions relatives aux injonctions (d'agir contre des contenus illicites ou de fournir des informations) émises par les Autorités judiciaires et administratives, etc."

d) Attestations électroniques d'attributs (article 12)

Le projet de loi n° 1093 introduit les attestations électroniques d’attributs, s'inspirant du Règlement eIDAS 2.0. L'APDP relève une divergence avec la rédaction de l’article 45 quater du Règlement qui prévoit pour l'accès à un service en ligne fourni par un organisme du secteur public, que "les données d’identification personnelle dans l’attestation électronique d’attributs ne se substituent pas à l’identification électronique (...) à moins que cela ne soit expressément autorisé par l’État membre". Le texte monégasque ne reprend pas cette possibilité de dérogation. Or l’APDP suggère qu’une dérogation ponctuelle sur des traitements ciblés, pourrait parfois réduire la quantité de données personnelles collectées par rapport à une authentification "classique".

L'APDP recommande aussi de préciser dans la loi que les attestations d’attributs délivrées par un organisme public responsable d’une source authentique ont un niveau de fiabilité équivalent à celui des prestataires de services de confiance qualifiés.

e) Publication des actes individuels (article 14)

L'APDP rappelle les deux délibérations rendues par la CCIN • Application du droit à l'oubli (déréférencement) et du droit au respect de la vie privée aux publications au Journal de Monaco (Délibérations n° 2024-71 et 2024-72 du 20 mars 2024). La CCIN avait estimé que la "nature, l'automaticité et la permanence" de la publication au Journal de Monaco des Ordonnances Souveraines et des Arrêtés Municipaux de mise à la retraite pour invalidité, et de certaines sanctions disciplinaires des personnels du secteur public "portent gravement atteinte aux droits des personnes concernées".

Le projet de loi n° 1093 garantit que les actes individuels "notamment relatifs à l'état et à la nationalité des personnes" publiés par Ordonnance Souveraine ne soient pas indexés par les moteurs de recherche, ce qui paraît répondre aux problématiques soulevées par la CCIN. Malgré le terme "notamment", l'APDP suggère d'étendre cette mesure à la publication automatique des sanctions ("la publicité doit être une mesure de sanction autonome"), aux actes publiés par Arrêtés Ministériels ou Municipaux.

Sur la question de la publication des données de santé, l'APDP souligne que le Ministre d'Etat s'est engagé par courrier du 25 juillet 2024 à ne plus mentionner dans les Ordonnances Souveraines le fait que la mise à la retraite soit due à une invalidé, et attire l'attention sur la "nécessité de désindexer tous les actes individuels portant sur les personnes mises à la retraire pour invalidité, publiés avant" cette date.

f) Gouvernance de la donnée et accès aux documents administratifs (article 16)

A titre liminaire, l’APDP relève que la Loi n° 1.565 ne prévoit aucune dérogation au principe de l'accès du public aux documents administratifs, à la différence de l’article 86 du RGPD. En conséquence, l’encadrement actuel fondé sur la seule Ordonnance Souveraine n° 3.413 inférieure dans la hiérarchie des normes à la législation sur la protection des données personnelles, soulève une insécurité juridique, comme déjà signalé par la CCIN.

Le dispositif du projet de loi n° 1093 s’inscrit explicitement dans le prolongement du Data Governance Act (DGA) (Règlement UE 2022/868), qui encadre la réutilisation de données protégées détenues par les organismes du secteur public (données personnelles, secrets d’affaires, droits de propriété intellectuelle, statistiques, etc.) tout en excluant certaines catégories de données (notamment : défense et sécurité nationale, radiodiffusion de service public, détenues par des entreprises publiques, des établissements culturels et d'enseignement, données hors mission de service public).

L'APDP relève toutefois qu'en complément, la Directive Open Data (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public (refonte) appréhende aussi la réutilisation des informations du secteur public (notamment : informations dans les domaines géographique, cadastral, statistique détenues par les organismes du secteur public ou par les entreprises publiques, ainsi que des données issues de la recherche financée par le secteur public). Et se réfère à sa transposition en France (Livre III : L'ACCÈS AUX DOCUMENTS ADMINISTRATIFS ET LA RÉUTILISATION DES INFORMATIONS PUBLIQUES (Articles L300-1 à L351-1) du Code des relations entre le public et l'administration).

L’APDP identifie plusieurs points de vigilance :

• Portée extensive de la réutilisation : "le principe de réutilisation de la donnée sous licence et/ou sous condition d’acceptation de l’Administration, telle que projetée à l’article 16, englobe toutes les données, sans distinction de leur qualité et de leur sensibilité (exemple, le DGA concerne des données confidentielles ou concurrentielles)". L'APDP alerte sur les risques associés (abaissement du niveau de protection des données personnelles garanti par la Loi n° 1.565) et conséquences sur les données ouvertes (la généralisation d’un régime de licence ou d’autorisation pour toute réutilisation pose la question de la compatibilité avec la libre mise à disposition actuelle de certaines données sur les sites de l’administration. L’APDP invite à clarifier les limites entre données librement accessibles ou non).

• Réutilisation subordonnée au respect des dispositions en vigueur en matière de protection des données personnelles : L'APDP souligne que "la possible réutilisation des données, et donc le texte projeté, ne doit pas être analysée comme une base légale autonome permettant la réutilisation de données personnelles. Il faudra donc que les entités concernées respectent les dispositions de l’article 5 de la Loi n° 1.565 du 3 décembre 2024 relatives à la licéité du traitement et toutes les conditions de transparence et de prévisibilité attachées à l’exploitation de données personnelles pour un traitement ultérieur, comme prévu à l’article 11 du même texte."

• Encadrement de l’anonymisation : L'APDP estime contraire à la Loi n° 1.565 la clause permettant de renoncer à l’anonymisation "sous réserve que cette opération n'entraîne pas des efforts disproportionnés". L’anonymisation ne saurait se limiter à l’occultation de l’identité, mais implique l’impossibilité de ré-identification, même indirecte. Or "la mise la mise à disposition de données non anonymisées permettrait leur réutilisation, ce qui pourrait avoir des conséquences pour les droits et libertés des personnes concernées, notamment en termes de transparence et d’exercice des droits".

• Rôle du responsable du portail interministériel qui veille "à ce que la mise à disposition des données de référence s'effectue dans le respect des dispositions législatives et réglementaires en vigueur" : selon l'APDP, il ne saurait être assimilé à une entité de contrôle mais doit être qualifié de responsable du traitement.

• Contrôle indépendant : contrairement à d’autres États disposant d’autorités indépendantes encadrant le droit d'accès administratif et le régime de la réutilisation de données publiques (CADA en France à laquelle prend part la CNIL), Monaco se singularise dès lors qu'"en cas de contentieux relatif au rejet d’une demande d’accès aux documents administratifs, le Ministre d’Etat est juge et partie dans l’appréciation du refus. La situation n'est donc pas satisfaisante."

g) Echanges de données entre organismes publics (article 13)

Le projet de loi n° 1093 s'inspire du Code français des relations entre le public et l'administration pour simplifier les démarches des administrés.

L'APDP "estime opportun de recentrer les échanges au sein de l’Administration en excluant les acteurs privés [investis d'une mission d'intérêt général ou concessionnaires d'un service public] de ce dispositif, le secteur public monégasque ayant des spécificités liées aux titres de séjour et aux monopoles que ne connait pas l’Administration française, dont s’inspirent les textes en projet."

Elle rappelle par ailleurs qu'elle devra être saisie pour avis sur le ou les projets d'Arrêtés Ministériels d'application, et estime qu'ils ne devraient encadrer que "le sort des données lors des échanges" (notamment : sécurité, liste des Administrations autorisées à procéder aux échanges, catégories de données à collecter ou à exclure), lesquels "pourraient s'inscrire dans une interface de programmation d'application (API) compatible avec le portefeuille numérique pour que leurs utilisateurs puissent vérifier l'accès et les flux relatifs à leurs données personnelles".

II. Modification de la Loi n° 1.483 sur l'identité numérique

a) Objectif du portefeuille d'identité numérique et identité numérique consentie (article 18-1)

Le projet de loi n° 1093 introduit la notion de portefeuille d’identité numérique, à l’instar du Règlement eIDAS 2. Ce dispositif permet le stockage, la gestion et la validation sécurisée des données d’identification personnelle et des attestations électroniques d’attributs, ainsi que l’usage de signatures et de cachets électroniques qualifiés.

Il a vocation à être transfrontalier (sous réserve d'un accord avec l'Union Européenne) et doit également être interopérable avec les moyens d’identification monégasques, en l'état ceux liés à la carte d’identité monégasque et la carte de séjour des résidents.

L’APDP relève toutefois l’ambiguïté du texte quant à la coexistence ou la fusion des systèmes actuels avec le portefeuille. L’absence de répartition claire des rôles entre fournisseurs d’identité et fournisseurs de portefeuille ajoute à cette incertitude. Elle déplore en outre le manque d’analyse des besoins nationaux, des modalités techniques et de l’impact juridique.

Elle rappelle que l’identité numérique vise à sécuriser les interactions dans l’espace numérique, en prévenant les atteintes à l’intégrité de l’identité et en facilitant l’accès aux services en ligne. Si son attribution est obligatoire pour certaines catégories (résidents, nationaux, personnes inscrites dans certains registres publics), l’usage du portefeuille demeure volontaire, ce qui introduit une distinction essentielle.

L’APDP insiste sur la nécessité de préserver ce caractère facultatif, en refusant que le portefeuille devienne un prolongement imposé de l’identité numérique.

Enfin, elle alerte sur les risques de centralisation excessive : une traçabilité des actions des utilisateurs et l’usage d’identifiants uniques permanents pourraient compromettre la vie privée et la résilience du système en cas de compromission.

b) Interopérabilité et territorialité du dispositif

L’APDP s’interroge sur la compatibilité et la reconnaissance mutuelle entre le portefeuille d’identité numérique monégasque et le portefeuille d’identité numérique européenne, eu égard à la différence de personnes éligibles.

Elle relève que l’octroi automatique de l’identité numérique à toute personne inscrite sur un registre éligible (Loi n° 1.383, art. 5) ne prévoit pas de vérification préalable de l’exactitude des données, et que des registres peu renseignés pourraient nécessiter des collectes de données supplémentaires qui "sans lien avec la finalité du registre, serait contraires aux dispositions de la Loi n° 1.565".

En cas d’interopérabilité à terme, l’APDP pointe un déséquilibre : un travailleur frontalier pourrait être soumis à une identité numérique obligatoire à Monaco, alors qu’elle serait facultative dans son pays. Elle appelle le législateur à clarifier les cas obligatoires, le calendrier, et la logique sous-jacente à l’imposition de l’identité numérique à toute personne « présente dans un registre public ».

L’APDP rappelle également que l’article 35 de la Loi n° 1.565 impose une analyse d’impact lorsqu'un traitement permet l'utilisation d'un identifiant numérique à grande échelle.

Enfin, s’agissant de la territorialité, le dispositif prévoit la possibilité de "signaler une partie utilisatrice" quand une "demande de données présumée illégale ou suspecte est reçue" ce qui ancre territorialement le contrôle de la protection des données personnelles à Monaco. Toutefois le statut de « partie utilisatrice » n'est pas encadré et il n'est pas exigé qu’elle soit établie à Monaco, et l'APDP demande si par exemple une société française pourrait demander à être une "partie utilisatrice".

c) Autres remarques en lien avec le portefeuille d'identité numérique

• L'APDP "plaide pour une identité numérique de choix dans laquelle la personne maîtrise le flux de données personnelles".
• Choix des personnes sur les modalités d'accès à un service, l'utilisation du portefeuille ayant lieu sur une base volontaire.
• L'APDP recommande "que le recours obligatoire à une identité numérique forte soit justifié et limité".
• Les personnes concernées devraient pouvoir "choisir de ne pas être soumises à un outil biométrique".
• L'APDP recommande enfin une dissociation entre identité numérique personnelle et démarches professionnelles.

* * *