La loi 1.565 vise à assurer un niveau de protection élevé des données personnelles en Principauté en se fondant sur les standards adoptés dans l’Union européenne, à savoir :
– la Convention 108+ du Conseil de l’Europe du 18 mai 2018 ;
– le “Paquet européen de protection des données” (le Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016 et la directive “Police-Justice”).
Depuis toujours, la Principauté poursuit l’objectif de bénéficier d’un niveau de protection équivalent à celui de l’UE, afin que la Commission européenne accorde une décision d’adéquation permettant de transférer librement les données personnelles vers la Principauté.
La loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives est remplacée par la loi 1.565. Les “informations nominatives“ sont remplacées par la notion de “données personnelles”, plus adaptée à l’ère du numérique.
La loi n° 1.565 a une portée tout à la fois territoriale et extraterritoriale. En effet, elle s’applique aux traitements de données à caractère personnel :
– mis en oeuvre par un responsable de traitement ou un sous-traitant établi à Monaco, que le traitement ait lieu à Monaco ou non ;
– mis en oeuvre par un responsable de traitement ou un sous-traitant établi hors du territoire de la Principauté lorsque les activités de traitement sont liées à l’offre de biens ou de services ou au suivi du comportement de personnes situées sur le territoire monégasque.
L’APDP succède à la Commission de Contrôle des Informations Nominatives (CCIN).
L’APDP a pour missions :
– la prévention : accompagner et aider à la conformité ;
– le contrôle : veiller au respect des obligations légales ;
– la protection et la défense des droits des personnes concernées ;
– la sanction des manquements à la loi.
L’APDP dispose de pouvoirs renforcés de sanctions, notamment :
– avertissement ;
– obligation de mise en conformité du traitement ou de satisfaire aux besoins de la personne concernée, le cas échéant sous astreinte ;
– limitation temporaire ou définitive de traitement ;
– retrait de l’agrément ou de la certification délivrée ;
– amende administrative…
La personne concernée bénéficie de 8 droits destinés à lui permettre de garder la maîtrise des données la concernant :
1/ Le droit à l’information (articles 10 et 11) ;
2/ Le droit d’accès à ses données (article 12) ;
3/ Le droit de rectification de ses données (article 13) ;
4/ Le droit à l’effacement de ses données (article 14) ;
5/ Le droit à la limitation du traitement (article 15) ;
6/ Le droit d’opposition au traitement de ses données (article 17) ;
7/ Le droit à la portabilité (article 18) ;
8/ Le droit de ne pas faire l’objet d’une décision produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé, y compris le profilage (article 19).
La loi 1.565 supprime un grand nombre de formalités préalables en vertu du principe de responsabilisation. Cependant, la loi nouvelle intègre de nouvelles obligations telles que :
– la désignation dans certains cas d’un représentant en Principauté ou, à défaut, au sein d’un État membre de l’Union ;
– la désignation dans certains cas d’un Délégué à la Protection des Données ;
– la tenue d’un registre des activités de traitement…
Malgré cette tendance à la suppression des formalités préalables, 3 catégories de traitements particulièrement sensibles restent soumis à l’avis préalable de l’APDP : les traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ; les traitements portant sur des données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ; les traitements ayant pour fin la recherche dans le domaine de la santé. Une réglementation particulière concerne la mise en place de systèmes de vidéosurveillance : les systèmes installés dans des lieux non ouverts au public doivent être portés sans délai à la connaissance de l’APDP ; les systèmes installés dans des lieux ouverts au public ou filmant les abords de tels espaces sont soumis à l’autorisation préalable du Ministre d’État.
Si un responsable du traitement a recours à un sous-traitant, ce dernier doit présenter les garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à assurer la protection des données personnelles et le respect des droits des personnes concernées. Le recours à un sous-traitant est régi par un contrat composé de certaines clauses minimales (article 26).
Tout transfert de données personnelles hors de la Principauté peut s’effectuer sans aucune formalité préalable si la législation ou la réglementation du pays, du territoire ou de l’organisation internationale destinataire dispose d’un niveau de protection adéquat.
À défaut de niveau de protection adéquat, le transfert de données personnelles ne peut être effectué que si le responsable de traitement a mis en place des garanties appropriées.
Les transferts autorisés sur la base de dérogations légales (ex : consentement explicite de la personne concernée) sont encadrés et limités. Dans toutes les autres hypothèses, une autorisation préalable doit être demandée à l’APDP.
