>
fr / en
Cabinet Avocats en Principauté de Monaco Cabinet Avocats en Principauté de Monaco
Cabinet Compétences Équipe Nos actualités Publications contact

18

déc.
2024

Actualités juridiques

Données personnelles

Droit public

Anne

ROBERT

Collaboratrice senior
18/ déc.
2024

Actualités juridiques

Données personnelles — Droit public

Loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles

La réforme de la législation monégasque relative à la protection des données personnelles a été entérinée le 28 novembre 2024. La Loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles a été publiée au JDM n° 8725 du 13 décembre 2024. D'application immédiate (avec des dispositions transitoires), elle abroge et remplace la Loi n° 1.165.

Présentation

Les travaux préparatoires de refonte du droit monégasque de la protection des données personnelles ont débuté via le groupe de travail ad hoc mis en place début 2018, réunissant régulièrement les services de l'État et ceux de la Commission de Contrôle des Informations Nominatives (CCIN). Le Gouvernement princier a recueilli l’avis du Conseil d’Etat, du Haut-Commissaire à la Protection des droits, des libertés et à la médiation, et de la CCIN saisie le 31 juillet 2020 de l'avant-projet de loi.

Après le dépôt du projet de loi n° 1054 en Séance publique du 31 janvier 2022, la Commission Développement du Numérique du Conseil National a consulté de nombreux acteurs publics et privés de la place, et amendé le texte initial.

La nouvelle Loi n° 1.565 :

  • transcrit les exigences de la Convention 108+ du Conseil de l’Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. L’approbation par le Conseil National de la ratification de la Convention 108 modernisée est l’objet de la Loi n° 1.566 du 3 décembre 2024 adoptée en parallèle et publiée au JDM du même jour.
  • aligne la législation monégasque sur les standards du « paquet de protection des données » de l’Union Européenne constitué du Règlement (UE) 2016/679 (RGPD, en anglais GDPR) et de la Directive (UE) 2016/680 « Police Justice ». En assurant un niveau de protection substantiellement équivalent à celui de l’UE, Monaco vise à obtenir une décision d’adéquation de la Commission Européenne pour que les transferts de données personnelles de l’UE vers Monaco puissent s’opérer sans encadrement spécifique. La Commission tient compte dans son évaluation de l'adhésion à la Convention 108+ (Considérant 105 du RGPD).

* * *

TABLEAU DE SYNTHESE DE LA LOI N° 1.565 :

Dispositif de la Loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles (118 articles)

Chapitre I - Dispositions générales (art. 1 à 3)

Champ d’application de la Loi

Définitions
  • Champ d'application matériel et personnel - Applicable aux traitements automatisés en tout ou partie, et aux traitements non automatisés de données à caractère personnel des personnes physiques.
    • Applicable également aux copies temporaires.
    • Inapplicable aux traitements mis en œuvre par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.
    • Inapplicable aux traitements des données à caractère personnel des personnes morales.
  • Champ d'application territorial - Applicable aux traitements :
    • mis en œuvre par un responsable du traitement ou un sous-traitant établi à Monaco, que le traitement ait lieu, ou non, à Monaco (critère d’établissement) ;
    • relatifs à des personnes concernées se trouvant sur le territoire de Monaco et mis en œuvre par un responsable du traitement ou un sous-traitant établi hors du territoire de Monaco lorsque les activités de traitement sont liées à l’offre de biens ou de services ou au suivi du comportement de ces personnes (critère de ciblage). Par exemple, biens ou services offerts aux consommateurs à Monaco via un Site Internet, suivi d’internautes se trouvant à Monaco afin de leur adresser de la publicité ciblée.

Chapitre II – Principes relatifs à la qualité des données et aux conditions de licéité des traitements de données à caractère personnel (art. 4 à 9)
  • Principes relatifs à la qualité des données :
  1. Licéité, loyauté, transparence ;
  2. Limitation des finalités : possibilité de collecter des données personnelles pour plusieurs finalités, sous condition que les finalités soient déterminées, explicites et légitimes, et que les données ne soient pas traitées ultérieurement de manière incompatible avec les finalités initiales. Par exemple, collecte par le service marketing pour des finalités de prospection commerciale et de réalisation d’événements promotionnels ;
  3. Minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement ;
  4. Exactitude des données, si nécessaires mises à jour ;
  5. Limitation de la conservation des données pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités du traitement (exception pour les données conservées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou à des fins statistiques) ;
  6. Sécurité des données : intégrité et confidentialité des données garanties par des mesures techniques et organisationnelles appropriées.
  • Conditions de licéité du traitement :
  1. Consentement de la personne concernée (acte positif clair résultant d’une action libre, spécifique, éclairée et non équivoque ; dispositions spécifiques applicables aux mineurs de moins de 15 ans dans le cadre de l’offre directe de service de la société de l’information, à savoir les contrats et autres services conclus ou transmis en ligne) ;
  2. Respect d’une obligation légale ;
  3. Exécution d’un contrat ou de mesures précontractuelles ;
  4. Sauvegarde des intérêts vitaux ;
  5. Motif d’intérêt public ;
  6. Réalisation d’un intérêt légitime à moins que ne prévalent les intérêts ou libertés et droits fondamentaux de la personne concernée (mineur notamment). Par exemple, la personne concernée est cliente ou au service du responsable du traitement.
  • Dérogations à l’interdiction de principe du traitement des données sensibles (opinions ou appartenances politiques, origines raciales ou ethniques, convictions religieuses et philosophiques, appartenance syndicale, données génétiques, données biométriques à des fins d’identification, données concernant la santé, la vie sexuelle, l’orientation sexuelle) :
  1. Consentement explicite de la personne concernée, sauf interdiction légale ;
  2. Sauvegarde des intérêts vitaux de la personne lorsque celle-ci se trouve dans l’incapacité de donner son consentement notamment du fait de l’altération de ses facultés personnelles ;
  3. Membres d’une institution ecclésiale ou d’un groupement à caractère politique, religieux, philosophique, humanitaire ou syndical ;
  4. Données personnelles manifestement rendues publiques par la personne concernée ;
  5. Constatation, exercice ou défense d’un droit en justice ou chaque fois que des juridictions ou le ministère public agissent dans le cadre de leur fonction juridictionnelle ;
  6. Motifs d’intérêts publics importants prévus par le droit monégasque ;
  7. Médecine préventive ou du travail, appréciation de l’aptitude du travailleur, diagnostics médicaux, administration de soins, médications ou gestion des services de santé et de prévoyance sociale ou intérêt de la recherche ou dans le domaine de la santé publique ;
  8. Archivage dans l’intérêt public ;
  9. Données biométriques utilisées par les employeurs qui sont strictement nécessaires aux contrôles d’accès aux lieux de travail, aux appareils et applications utilisés dans le cadre des missions des employés ;
  10. Exécution des obligations et exercice des droits en matière de droit du travail, de sécurité sociale et de protection sociale ;
  11. Institut Monégasque de la Statistique et des Etudes Economiques (IMSEE) dans le cadre de l’établissement des études et enquêtes ;
  12. Autorités administratives et judiciaires compétentes dans le cadre de leurs missions légalement conférées ;
  13. Motifs d’intérêt public dans le domaine de la santé publique.

Chapitre III – Droits de la personne concernée (art. 10 à 21)
  • Droits de la personne concernée :
  1. Droit à l’information (concise, compréhensible et aisément accessible, en des termes claires et simples, en particulier pour toute information destinée spécifiquement à un mineur) renforcé, avec une liste de 16 mentions (dont de nouvelles comme, le cas échéant, les coordonnées du Délégué à la Protection des Données et le transfert des données à l’étranger), en distinguant selon que les données ou été ou non collectées auprès de la personne concernée ;
  2. Droit d’accès avec la liste des informations que la personne concernée peut obtenir du responsable du traitement sur demande, dans le délai d’1 mois ;
  3. Droit de rectification dans les meilleurs délais ;
  4. Droit à l’effacement dans les meilleurs délais et pour les cas énumérés, avec des exceptions et un renforcement du droit à l’oubli numérique ;
  5. Droit à la limitation du traitement dans des cas limitativement énumérés, sauf exceptions. Pour en assurer l’effectivité, le responsable du traitement pourrait par exemple déplacer les données concernées vers un autre système de traitement, ou retirer les données publiées sur son site Internet, ou bloquer l’accès des utilisateurs à ces données.
  6. Droit d’opposition dont les conditions d’exercice diffèrent selon les finalités du traitement, avec des exceptions ;
  7. Droit à la portabilité des données (sauvegarde par la personne concernée pour un usage ultérieur, pour les transmettre à un autre responsable du traitement pour d’autres finalités) limité aux traitements fondés sur le consentement ou un contrat, et conditionné ;
  8. Droit de pas faire l’objet d’une décision individuelle automatisée, y compris le profilage, avec exceptions.
  • En ce qui concerne la rectification ou l’effacement des données personnelles, ou la limitation de leur traitement, le responsable du traitement a une obligation de principe de notification à chaque destinataire des données personnelles.
  • Des règles spécifiques sont applicables au traitement des données personnelles des personnes décédées.
  • Le responsable du traitement ou le sous-traitant peuvent dans les cas énumérés et à de strictes conditions faire exception à certains droits et obligations (par exemple, pour garantir la sécurité nationale ou publique, la prévention et la détection des infractions pénales ou des manquement à la déontologie des professions réglementées, l’indépendance de la justice et des procédures judiciaires, les intérêts économiques et financiers importants de l’Etat, la liberté d’expression publique...).

Chapitre IV – Obligations incombant au responsable du traitement et au sous-traitant (art. 22 à 36)

Section 1 – Obligations générales

Section 2 – Obligations spécifiques
  • Le principe d’accountability (responsabilité au sens de « rendre compte ») applicable au responsable du traitement et au sous-traitant induit la mise en place de mesures techniques et organisationnelles appropriées afin de protéger les droits des personnes concernées, et d’être en mesure de démontrer ce qui a été fait et son efficacité, sur demande de l’Autorité de protection (APDP).
  • Dans cette logique de responsabilisation, il est par principe mis fin aux formalités de déclarations ou autorisations préalables à la mise en œuvre du traitement.
  • Les outils et mécanismes d’autorégulation applicables aux responsables du traitement et aux sous-traitants :
    • Protection des données dès la conception (privacy by design) et par défaut (privacy by default).
    • Dans l’hypothèse de responsables conjoints du traitement, accord de responsabilité conjointe.
    • Désignation (sauf exceptions énumérées) d’un représentant à Monaco ou, à défaut, au sein d’un Etat membre de l’UE en cas d’application extraterritoriale. Par exemple, entreprise d’e-commerce établie en Union Européenne et proposant des services à des personnes situées à Monaco, ou entreprise de presse hors UE ne disposant pas de bureau à Monaco proposant un service d’abonnement en ligne à un journal).
    • Encadrement renforcé de la sous-traitance (les obligations du sous-traitant étant alourdies), avec une liste (non exhaustive) de ce que doit prévoir le contrat de sous-traitance, ainsi que l’encadrement du recours à la sous-traitance secondaire (par le sous-traitant qui engage un autre sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement).
    • Tenue par le responsable du traitement et le sous-traitant (ou représentant le cas échéant) d’un registre des activités de traitement, obligatoire à partir de 50 salariés, sauf exceptions où le seuil ne s’applique pas (traitement comportant un risque pour les personnes concernées, ou non occasionnel, ou portant sur des données sensibles ou relatives à des infractions, condamnations pénales et mesures de sûretés ou portant sur des soupçons d’activités illicites). Ce seuil correspond à celui à partir duquel un comité d’hygiène et de sécurité doit être institué.
    • Désignation par le responsable du traitement et le sous-traitant d’un Délégué à la Protection des Données (DPO), obligatoire dans des cas précis : — pour les personnes morales de droit public et organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public ; — lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui du fait de leur nature, portée ou finalités exigent un suivi régulier et systématique et à grande échelle des personnes concernées, ou en un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales ou à des infractions. Le DPO peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou être externalisé (contrat de service). Un seul DPO (mutualisé) peut être désigné par un groupes d’entreprise sous condition d’être facilement joignable à partir de chaque lieu d’établissement (par exemple, succursale d’un établissement bancaire).
    • Obligations de sécurité à la charge du responsale du traitement et du sous-traitant précisées (mesures techniques et organisationnelles appropriées, telles la pseudonymisation, le chiffrement de données, procédures de test, d’analyse, d’évaluation de l’efficacité, etc.).
    • Obligation du responsable du traitement de notification à l’Autorité de protection (APDP) dans les meilleurs délais et si possible de 72 h maximum, des violations de données susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées, et de communication de cette violation aux personnes concernées sauf dérogation.
    • Obligation du sous-traitant de notifier toute violation de données au responsable du traitement.
    • Code de conduite et mécanisme de certification participant à la démonstration du respect des obligations de sécurité par le responsable du traitement ou le sous-traitant. L'APDP valide et publie les codes de conduites applicables à Monaco (les codes de conduite déjà approuvés par une autorité de protection étrangère doivent lui être transmis pour vérification). De même, la certification délivrée par un organisme de certification agréé d’un Etat membre de l’UE ou justifiant d’un niveau de protection adéquat peut être reconnue par l’APDP.
    • Obligation pour le responsable du traitement de réaliser une analyse d’impact (impact assessment) pour les traitements les plus sensibles entraînant un risque élevé pour les droits et libertés des personnes concernées, préalablement au traitement, et à conserver à titre probatoire (décrire de manière systématique le traitement, en évaluer la nécessité, la proportionnalité et les risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour faire face aux risques). L’APDP doit être consultée si les risques identifiés ne peuvent être suffisamment réduits et s’il existe des risques résiduels élevés non maitrisés. Relève de la mission de l’APDP d'adopter des recommandations ou lignes directrices identifiant les traitements les plus susceptibles de nécessiter une analyse d’impact, à partir d’une liste de critères fixés par arrêté ministériel.

Chapitre V – De l’Autorité de Protection des Données Personnelles - APDP (art. 37 à 57)

Section 1 – Fonctionnement

Section 2 – Du contrôle de la mise en œuvre des traitements
  • Ne relèvent pas de la compétence de lAPDP, les traitements :
    • mis en œuvre par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques (hors du champ d'application de la Loi n° 1.565) ;
    • effectués par les juridictions et le ministère public dans l’exercice de leurs fonctions juridictionnelles ainsi que ceux effectués dans le cadre des procédures d’entraide judiciaire internationale (Délégué Judiciaire à la protection des données) ;
    • intéressant la sûreté de l’Etat et la sécurité nationale (Commission Spéciale de Sécurité Nationale).
  • Composition de l’APDP : 8 membres titulaires proposés en raison de leur compétence et nommés pour 5 ans renouvelable une fois par Ordonnance Souveraine : un membre par le Ministre d’Etat, un membre par le Conseil National, un membre par le Conseil d’Etat, un membre magistrat du siège par le Premier Président de la Cour d'Appel, un membre par le Conseil communal, un membre par le Conseil Economique, Social et Environnemental, un membre magistrat en activité ou en retraite ayant exercé dans une juridiction monégasque par le premier Président de la Cour de Révision, un membre qualifié dans le domaine de la santé par le Comité de la Santé publique.
  • Parmi les nouveautés, l'APDP se réunit en deux formations : — en formation plénière pour les vérifications, investigations et déterminer l’opportunité des poursuites ; — en formation restreinte (composée du magistrat du siège, président, et de deux autres membres élus par l’ADPD en son sein) pour prendre des mesures et prononcer les sanctions à l’encontre des responsables du traitement et des sous-traitants. Cette dissociation des mécanismes de poursuite et de sanctions vise à assurer une plus grande conformité à l’art. 6 CEDH.
  • S’agissant des vérifications et investigations de l’APDP :
    • Des exceptions à l’inopposabilité de principe du secret ou de la confidentialité sont prévues, relatives au secret de sécurité nationale, au secret professionnel concernant les relations entre un avocat et son client, au secret des sources journalistiques et au secret médical.
    • Le responsable du traitement et le sous-traitant disposent d’un droit d’opposition aux investigations (auquel cas les opérations de contrôle ne peuvent avoir lieu qu’après l’autorisation du Président du Tribunal d’Instance saisi sur requête par le Président de l’APDP), sauf risque imminent de destruction ou de disparition des pièces (un recours en nullité peut dans ce cas être exercé devant le Président du Tribunal de Première Instance saisi et statuant comme en matière de référé).
  • S’agissant des mesures préalables aux sanctions administratives, le Président de l’APDP a des pouvoirs correctifs lui permettant de signaler la méconnaissance des dispositions légales et de mettre en demeure (qui peut être rendue publique) le responsable du traitement ou le sous-traitant de s’y conformer. Si c’est le cas, la clôture de la procédure serait prononcée.
  • La formation restreinte de l’APDP pourrait être saisie en vue de prononcer une ou plusieurs sanctions lorsque la mise en demeure est restée infructueuse, ou sans mise en demeure lorsque le manquement n’est pas susceptible de mise en conformité ou que l’intéressé(e) ne respecte pas les dispositions légales.
  • Les sanctions administratives encourues :
    • Avertissement ;
    • Obligation de mise en conformité du traitement ou de satisfaire aux demandes de la personne concernée, possiblement assortie d’une astreinte pouvant aller jusqu’à 10.000 € par jour de retard ;
    • Limitation temporaire ou définitive du traitement ;
    • Retrait de la certification ;
    • Suspension partielle ou totale de la décision d’approbation des règles d’entreprises contraignantes (BCR) ;
    • Suspension des flux de données adressées à un destinataire situé à l’étranger ;
    • Amende administrative pouvant aller, selon le manquement, jusqu’à 5.000.000 € (ou dans le cas d’une entreprise, jusqu’à 2 % du chiffres d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu) ou 10.000.000 € (ou dans le cas d’une entreprise, jusqu’à 4 % du chiffres d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu). Afin de permettre à la formation restreinte de déterminer le montant de cette amende administrative et le plafond qui lui est applicable, le président de la formation restreinte peut exiger du responsable du traitement ou du sous-traitant la communication de tous documents de nature à évaluer le chiffre d’affaires global consolidé de l’entreprise.
  • Les critères pris en compte pour le prononcé de l’astreinte et de l’amende administrative :
    • la nature, la gravité et la durée du manquement ;
    • le caractère délibéré ou la commission par négligence du manquement, ou de sa répétition ;
    • les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;
    • le degré de coopération avec l'APDP en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;
    • les catégories de données à caractère personnel concernées par la violation ;
    • les éventuelles circonstances aggravantes ou atténuantes applicables au cas d'espèce.
  • Les décisions de la formation restreinte sont susceptibles de recours de plein contentieux devant le Tribunal de première instance, dans un délai de 2 mois suivant la date de leur notification.
  • Ces décisions sont susceptibles de publication (cette publicité peut faire l’objet d’un recours en suppression devant le Président du Tribunal de Première Instance saisi et statuant comme en matière de référé, en cas d’atteinte grave et disproportionnée à la sécurité publique, au respect de la vie privée et familiale ou aux intérêts légitimes des personnes concernées).

Chapitre VI – Traitements soumis à formalités préalables (art. 58 à 79)

Section I - Dispositions communes

Section II – Traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces

Section III – Traitements à caractère personnel relatifs aux données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes

Section IV – Traitements relatifs à la recherche dans le domaine de la santé
  • Autorisation préalable de l’APDP pour les transferts de données personnelles vers des pays, territoires ou organisations internationales ne répondant pas aux exigences requises (absence de niveau de protection adéquat et traitement ne pouvant être fondé sur des garanties appropriées et sur aucune des dérogations et conditions prévues au chapitre VIII, voir infra).
  • Avis de l’APDP concernant les traitements de données particulièrement sensibles par les autorités administratives et judiciaires ( — mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; — portant sur des données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes), et ceux relatifs à la recherche dans le domaine de la santé.

Chapitre VII – Dispositions particulières à certains traitements (art. 80 à 95)

Section I – Traitements relatifs aux infractions, condamnations pénales et mesures de sûreté ou portant

sur des soupçons d’activités illicites

Section II – Traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique

ou historique, ou à des fins statistiques

Section III – Traitements relatifs à la liberté d’expression

Section IV – Traitements relatifs à la vidéosurveillance

Section V – Traitements dans le secteur des communications électroniques

Section VII – Traitements effectués par les juridictions et le ministère public dans l’exercice de leurs fonctions juridictionnelles ainsi que ceux effectués dans le cadre des procédures d’entraide judiciaire internationale

Section VIII – Traitements mis en œuvre dans le cadre des dispositions des articles 9 à 15 et 18 de la Loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale
  • Traitements relatifs à la vidéosurveillance :
    • dans l’espace public (lieux ouverts au public ou filmant les abords de voie publique, d’espaces ouverts au public ou à la circulation du public : restaurant, galerie commerciale, guichet d’administration…) sont soumis à l’autorisation préalable du Ministre d’Etat (précision des conditions de délivrance par arrêté ministériel) ;
    • dans l’espace privé (domicile, garage…), les locaux à usage professionnel (bureaux, entrepôts…) doivent être portés à la connaissance de l’APDP.
  • Personnes pouvant mettre en œuvre les traitements relatifs aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites, sous réserve de garanties appropriées.

  • Inapplicabilité de certains droits aux traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques.
  • Applicabilité de certaines dérogations aux traitements relatifs à la liberté d’expression.
  • Conditions d’accès à un service disponible sur un réseau de communications électroniques.
  • Le Délégué Judiciaire à la protection des données, désigné par arrêté du Secrétaire d’Etat à la Justice, Directeur des Services Judiciaires, est chargé du contrôle des traitements effectués par les juridictions et le ministère public dans l’exercice de leurs fonctions juridictionnelles ainsi que ceux effectués dans le cadre des procédures d’entraide judiciaire internationale.
  • La Commission Spéciale de Sécurité Nationale est chargée de contrôler les traitements mis en œuvre dans le cadre des dispositions des articles 9 à 15 et 18 de la Loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale.

Chapitre VIII – Transfert de données à caractère personnel (art. 96 à 101)

Constitue un transfert de données personnelles tout flux de données en dehors de Monaco vers un pays ou territoire tiers, ou une organisation internationale : communication ou mise à disposition à un destinataire situé hors Monaco, dès lors que des données sont rendues accessibles, de manière physique ou au moyen d’un simple accès à distance (par exemple, outsourcing : le traitement est délocalisé).

  • De même qu’auparavant, les transferts de données personnelles hors de Monaco vers un pays, un territoire tiers ou une organisation internationale assurant un niveau de protection adéquat (dont la liste est fixée par arrêté ministériel, les Etats membres de l’UE étant par ailleurs réputés disposer d’un niveau de protection adéquat) peuvent s’effectuer sans que le responsable du traitement n’ait à justifier de garanties complémentaires et d’autorisation spécifique.
  • Il est nouvellement prévu le respect par le responsable du traitement et le sous-traitant des conditions de transfert pour les transferts ultérieurs de données à caractère personnel au départ du pays, territoire tiers ou de l'organisation internationale destinataire vers un autre pays, territoire tiers ou à une autre organisation internationale.

En l’absence d’adéquation :

1/ Garanties appropriées de transfert sans autorisation préalable de l’APDP :

  • Respect d’un engagement international exécutoire à Monaco ;
  • Utilisation de clauses contractuelles types préalablement approuvées par l’APDP ;
  • Respect de règles d’entreprises contraignantes (BCR) approuvées par l’APDP ou par une autorité étrangère chargée de la protection des données relevant d’un Etat assurant un niveau de protection adéquat ;
  • Certification approuvée ;
  • Code de conduite approuvé et publié par l’APDP.

2/ Dérogations en l’absence des garanties appropriées ci-dessus sans autorisation préalable de l’APDP :

  • Consentement explicite de la personne concernée au transfert de ses données après avoir été informée de l’absence du niveau de protection ou de garanties appropriées et de la nature des risques introduits par cette absence (par exemple, sur un site internet, bandeau d’information informant du transfert de données vers un pays étranger sans adéquation, avec case de consentement à cocher).
  • Transferts pour motifs importants d’intérêt public (l'APDP peut obtenir toute information pertinente) ;
  • Transfert nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement (par exemple, victimes de catastrophe) ;
  • Transfert nécessaire à la constatation, l’exercice ou la défense d’un droit en justice (par exemple, pièces communiquées dans le cadre d’une enquête) ;
  • Transfert pour la consultation d’un registre public prévu par la loi, destiné à l’information du public et ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime (par exemple, registre des sociétés) ;
  • Transfert nécessaire à l’exécution d’un contrat entre le responsable du traitement ou son représentant et la personne concernée ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée (par exemple, séjours à l’étrangers organisés par une agence de voyages) ;
  • Transfert nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement ou son représentant et un tiers.

3/ Transfert ne pouvant être fondé sur les garanties appropriées ci-dessus et aucune des dérogations prévues ci-dessus n’est applicable, avec information préalable de l’APDP, si les conditions suivantes sont remplies :

  • Transfert ne revêtant pas de caractère répétitif (pas dans le cadre des activités normales, par exemple dans le cadre d’une action en justice) ;
  • Transfert ne touchant qu’un nombre limité de personnes (apprécié au cas par cas, compte tenu du type de transfert, par exemple seules les données des salariés d’une banque) ;
  • Transfert nécessaire aux fins d’intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée (par exemple, protection contre un risque immédiat grave auquel fait face l’entreprise) ;
  • Avec des garanties appropriées prises (par exemple, suppression des données après transfert dès que possible).

4/ Garanties de transfert avec autorisation préalable de l’APDP lorsqu’il ne répond à aucune des exigences ci-dessus absence de garanties appropriées, de dérogations, des conditions précédentes (l'APDP se prononce dans un délai de 2 mois renouvelable ; à défaut de délivrance dans ce délai, l’autorisation est réputée refusée) :

  • Mesures de protection particulières ;
  • Utilisation de clauses contractuelles spécifiques (ad hoc).

Cadre juridique spécifique pour les transferts des données hors de Monaco dans le cadre des traitements mis en œuvre à des fins de « Police Justice » et des traitements de sécurité nationale et de défense au titre de la Loi n° 1.430 du 13/07/2016 portant diverses mesures relatives à la préservation de la sécurité nationale.

Chapitre IX – Compétence juridictionnelle, sanctions pénales et droit à réparation (art. 102 à 106)
  • Toute personne ayant subi un dommage matériel ou moral du fait d'une violation de la Loi n° 1.565 peut obtenir réparation du responsable du traitement ou du sous-traitant.
  • La Loi n° 1.565 prévoit un droit de représentation : la personne concernée a la faculté de mandater un organisme, une organisation ou une association à but non lucratif, autorisé à Monaco ou reconnu, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données personnelles les concernant, pour agir en son nom. La Loi n° 1.565 ne prévoit pas de droit de recours collectif indépendamment de tout mandat confié par une personne concernée (clause d’ouverture du RGPD).
  • Responsabilité du/des responsables du traitement et du/des sous-traitants :
    • Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation de la présente loi (sauf à rapporter la preuve que le fait qui a provoqué le dommage ne lui est nullement imputable).
    • Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par la présente loi qui incombent spécifiquement aux sous-traitants ou qu'il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci (sauf à rapporter la preuve que le fait qui a provoqué le dommage ne lui est nullement imputable).
    • Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et qu’ils sont responsables d'un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. Lorsque dans ce cas, un responsable du traitement ou un sous-traitant a réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage.
  • Compétence des tribunaux monégasques pour connaître des actions contre un responsable du traitement ou un sous-traitant :
    • qui dispose d’un établissement à Monaco dans lequel le traitement en cause a été effectué ;
    • (sauf autorité publique d’un Etat agissant dans l’exercice de ses prérogatives de puissance publique) lorsque la personne concernée a sa résidence habituelle à Monaco.

Cas de litispendance :

  • Lorsqu’un tribunal de la Principauté, compétent pour connaître de la demande, est informé qu'une action concernant le même objet a été intentée à l'égard d'un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant un tribunal d'un autre État, il contacte cette juridiction pour confirmer l'existence d'une telle action. Le tribunal monégasque, s’il n’a pas été saisi en premier lieu, peut suspendre l’action introduite devant lui.
  • Sans préjudice de l’article 12 du Code de droit international privé, lorsque cette action est pendante devant des juridictions du premier degré, le tribunal monégasque peut également se dessaisir, à la demande de l'une des parties, à condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction.
  • Sanctions pénales (inapplicables à l’Etat, à la Commune et aux établissement publics) : la Loi n° 1.565 crée dans le Code pénal une section consacrée à la protection des données personnelles avec un nouvel art. 308-7.
    • Toute condamnation pénale entraîne de plein droit la suppression du traitement, pouvant être assortie de la confiscation et de la destruction sans indemnité des supports des données personnelles en cause, et de l’interdiction de procéder à des traitements pendant un délai pouvant aller de 6 mois à 3 ans.
    • La personne morale de droit privé peut être tenue solidairement responsable avec son représentant statutaire, pour le paiement de l’amende prononcée à l’encontre de ce dernier.

Chapitre X – Dispositions finales (art. 107 à 118)

La Loi n° 1.565 est d’application immédiate (entrée en vigueur le 14 décembre 2024) en principe. Ceci concerne en particulier les obligations de mise en place des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données personnelles adapté aux risques pour les droits et libertés des personnes concernées.

Des délais de mise en conformité sont applicables à certaines obligations pour les traitements mis en œuvre régulièrement auprès de la CCIN avant le 14 décembre 2024, et dont l'exploitation se poursuit après son entrée en vigueur :

  • Délai d’1 an (jusqu’au 14 décembre 2025) des responsables du traitements pour mettre leur traitement en conformité avec les dispositions du Chapitre II - Principes relatifs à la qualité des données et aux conditions de licéité des traitements, sous réserve que lesdits traitements n’aient pas été modifiés de manière substantielle.
  • Délai d’1 an (jusqu’au 14 décembre 2025) des responsables du traitement et des sous-traitants pour se mettre en conformité avec les obligations suivantes :
    • Tenue d’un registre des activités de traitement ;
    • Désignation d’un Délégué à la Protection des Données (DPO) ;
    • Obligation de fournir au DPO toutes les ressources nécessaires pour qu’il puisse exercer correctement ses missions, et communication à l’APDP des coordonnées du DPO ;
    • Mise en œuvre du respect des obligations de sécurité dans le cadre d’une adhésion à un code de conduite ou d’un mécanisme de certification.
  • Délai de 3 ans (jusqu’au 14 décembre 2027) afin de procéder à l’analyse d’impact au titre de la réévaluation des risques.

Lorsque des formalités préalables à la mise en œuvre des traitements, initiées sous l’empire de l’ancienne loi n° 1.165 sont en cours d’instruction auprès de l’APDP, celle-ci informe les responsables du traitement de la nature de leurs nouvelles obligations.

Les recommandations adoptées par la CCIN sur le fondement de la loi n° 1.165 demeurent en vigueur jusqu’à ce qu’elles soient modifiées, remplacées ou abrogées par l’APDP.


13/ déc.
2024

Actualités juridiques

Loi n° 1.566 du 3 décembre 2024 approuvant la ratification de la Convention 108+ modernisée du Conseil de l'Europe (protection des données personnelles)

Anne ROBERT

Collaboratrice senior

Autres publications

Panoramas

17 déc. 2024

Veille juridique mensuelle (Novembre - Décembre 2024)

Actualités juridiques

17 déc. 2024

Résidence alternée des enfants (nouveau pouvoir du juge tutélaire) : transformation de la proposition de loi n° 261 en projet de loi

Actualités juridiques

13 déc. 2024

Loi n° 1.566 du 3 décembre 2024 approuvant la ratification de la Convention 108+ modernisée du Conseil de l'Europe (protection des données personnelles)

Actualités juridiques

13 déc. 2024

Instauration des procédures du plaider coupable et de la convention pénale (proposition de loi n° 266 votée)

Actualités juridiques

13 déc. 2024

Stages en milieu professionnel : projet de loi n° 1095 voté

Actualités juridiques

13 déc. 2024

Vote du projet de loi n° 1090 relative à la gestion des risques associés aux soins

Actualités juridiques

13 déc. 2024

Vote du projet de loi n° 1091 fixant les pouvoirs des médecins-inspecteurs de santé publique

Actualités juridiques

2 déc. 2024

Compte épargne-temps (CET) pour les salariés : adoption de la proposition de loi n° 262

Actualités juridiques

29 nov. 2024

Développement urbanistique de Monaco : adoption de la proposition de loi n° 265 instituant un schéma directeur de développement (SDD)

Actualités juridiques

27 nov. 2024

Télétravail : nouveauté concernant les mentions obligatoires des clauses contractuelles (Arrêté Ministériel n° 2024-619 du 4 novembre 2024)