Search results

FAQS

Questions fréquentes

Jusqu’au 28 novembre 2024, la protection des données personnelles était garantie en Principauté par la Loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives.

Celle-ci a, entre autres, institué la Commission de Contrôle des Informations Nominatives (CCIN), une Autorité Administrative Indépendante en charge de contrôler et vérifier le respect des dispositions législatives et règlementaires en matière de données personnelles sur le territoire monégasque.

Au fil du temps, cette législation a évolué pour tenir compte du développement toujours plus rapide des technologies, conjugué à la mondialisation des flux, ainsi que des instruments juridiques adoptés au niveau européen, respectivement par le Conseil de l’Europe et l’Union européenne.

Toutefois, suite à la signature de la Convention 108+ du Conseil de l’Europe et à l’adoption par l’Union européenne en 2016 de son « paquet européen de protection des données », à savoir du Règlement Général sur la Protection des Données (RGPD) et de la Directive « Police-Justice », il est devenu indispensable pour la Principauté de moderniser son cadre juridique de protection des données ; chose désormais faite avec l‘adoption le 28 novembre 2024 de la nouvelle Loi relative à la protection des données personnelles.

En prenant en compte la  Convention 108+ du Conseil de l’Europe et le « paquet européen de protection des données » de l’Union européenne dans l’élaboration de sa nouvelle loi, la Principauté a souhaité se doter d’un niveau de protection adapté aux nouvelles exigences européennes en matière de protection des données à caractère personnel dans le but d’obtenir de la Commission européenne une décision dite « d’adéquation » qui devrait grandement faciliter les échanges de données avec les pays de l’Union européenne.

La Loi reprend ainsi entre autres les critères du RGPD dont la portée est à la fois territoriale et extraterritoriale, ainsi que les grands principes prévus à la fois par la Convention 108+ et le RGPD. Les informations nominatives deviennent des données personnelles, conformément aux deux textes européens et l’Autorité de Protection des Données Personnelles (APDP) remplace la CCIN.

La nouvelle Loi inclut également de nouveaux droits pour les personnes concernées, en particulier la portabilité des données et la limitation du traitement, et supprime un très grand nombre de formalités préalables en vertu du principe de responsabilisation.

Elle intègre par ailleurs les outils de mise en conformité des traitements applicables à la fois aux responsables du traitement et aux sous-traitants, comme par exemple la désignation d’un Délégué à la Protection des Données et l’analyse d’impact.

Elle renforce en outre les obligations du sous-traitant ainsi que la sécurité des données et de leur traitement par l’introduction des nouveaux concepts européens, tels que la protection des données dès la conception et par défaut, et encadre de façon similaire les transferts de données.

La Loi prévoit également un droit à réparation et un droit de recours juridictionnel contre le responsable du traitement et le sous-traitant en cas de dommages.

Enfin, conformément à la Convention 108+, les pouvoirs de la nouvelle Autorité de protection des données sont renforcés, en particulier dans le domaine des sanctions.

En vertu de son article 3, la Loi s’applique aux traitements de données à caractère personnel, automatisés en tout ou partie, ainsi qu’aux traitements non automatisés de données contenues ou appelés à figurer dans des fichiers : 

  • mis en œuvre par un responsable du traitement ou un sous-traitant établi à Monaco, que le traitement ait lieu à Monaco ou non ; 
  • relatifs à des personnes concernées se trouvant sur le territoire de la Principauté et mis en œuvre par un responsable du traitement ou un sous-traitant établi hors du territoire de la Principauté lorsque les activités de traitement sont liées à l’offre de biens ou de services ou au suivi du comportement de ces personnes.
Exemple 1 : la Loi s’applique lorsqu’un responsable du traitement, ou un sous-traitant, situé à l’étranger, cible, grâce à son site internet, des consommateurs à Monaco pour leur proposer des biens ou des services en leur permettant de passer leur commande en français, de régler en euros et de se faire livrer à Monaco.
   
Exemple 2 : les règles établies en Principauté pour la protection des données personnelles doivent être respectées par le responsable du traitement, ou le sous-traitant, établi à l’étranger dès lors qu’il suit les internautes établis à Monaco, par exemple au moyen de cookies et traceurs, pour leur adresser ensuite de la publicité ciblée. 
 

A l’inverse, la Loi ne s’applique pas aux traitements mis en œuvre par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.

Exemple  : le stockage de photos de famille ou de photos privées sur un ordinateur. 

Définition des données à caractère personnel 

Définition (article 2) :

« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »). Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Les « informations nominatives » sont désormais des « données personnelles » et leur définition précise désormais au titre des exemples les données génétiques et les données de localisation.

Dès lors, constitue une donnée personnelle toute information qui se rapporte à une personne physique identifiée ou identifiable. 

 

Définition des données sensibles

Définition (article 2) : 

« les données à caractère personnel qui révèlent, directement ou indirectement, des opinions ou des appartenances politiques, les origines raciales ou les origines ethniques, les convictions religieuses, philosophiques ou l’appartenance syndicale, ou encore des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique ou des données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique».

 

Définition d’un traitement de données personnelles

Définition (article 2)  

«  toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’extraction, la consultation, l’utilisation, l’adaptation ou la modification, la communication, l’archivage, l’effacement ou la destruction de données, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’application d’opérations logiques ou arithmétiques à ces données ».

Toute opération portant ainsi sur des données personnelles constitue un traitement au sens de la législation applicable en la matière. 

Exemples
  • l’enregistrement des conversations téléphoniques ;
  • la mise en place d’un dispositif de géolocalisation sur des véhicules de fonction.
  Le traitement peut être informatisé ou non
Exemple : un fichier papier
 

Définition de la personne concernée par un traitement

La personne concernée par un traitement de données personnelles est la personne physique à laquelle se rapportent les données qui font l’objet du traitement.
Exemple lorsqu’un magasin met en place un dispositif de vidéosurveillance, les personnes concernées sont toutes les personnes pouvant entrer dans le champ de vision des caméras, à savoir les salariés, les visiteurs et tout prestataire intervenant sur place.
 

Si la Loi n° 1.165 du 23 décembre 1993 ouvrait des droits aux personnes morales dont les données étaient traitées, à savoir un droit d’opposition et un droit d’accès, la nouvelle Loi a fait le choix de ne pas maintenir lesdits droits ; la pratique ayant démontré que l’exercice de ces droits était extrêmement limité, voire inexistant et source de difficulté.

   

Définition du responsable du traitement 

Définition (article 2 ) : 

« la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui détermine, seul ou conjointement avec d’autres, les finalités et les moyens du traitement ».

 Le responsable du traitement est ainsi la personne ou l’organe qui dispose du pouvoir de décision à l’égard des finalités et des moyens du traitement de données de la personne morale (entreprise par exemple) ou de l’entité concernée.

Exemple : une holding qui décide pour ses entités des finalités d’un traitement en est le responsable.
  Si deux responsables du traitement ou plus déterminent ensemble les finalités et les moyens du traitement, ils sont considérés en vertu de l’article 24 de la Loi comme étant les responsables conjoints du traitement. 
Exemple : création et utilisation d’une plateforme commune sur Internet par deux responsables du traitement proposant des services différents.

Ces responsables conjoints doivent alors définir de manière transparente leurs obligations respectives au sein d’un accord, notamment en ce qui concerne l’exercice des droits de la personne concernée et la communication des informations.

Toutefois, nonobstant les termes de cet accord, la personne concernée pourra exercer les droits que lui confère la Loi à l’égard de l’un ou de l’autre et contre chacun des responsables conjoints.

 

Définition du sous-traitant

Définition (article 2) : 

« la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».

Il s’agit donc d’une entité distincte du responsable du traitement.

L’article 26 de la Loi prévoit à cet égard que lorsque le responsable du traitement a recours à un sous-traitant, celui-ci doit présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à assurer la protection des données personnelles et le respect des droits des personnes concernées.

Par ailleurs, un sous-traitant ne peut agir que sur instruction documentée du responsable de traitement.

|Pour plus d’informations sur le sous-traitant, voir Quelles sont les obligations du sous-traitant ?]

La nouvelle Loi prévoit qu’une Autorité Administrative Indépendante est en charge de contrôler et vérifier que les données personnelles sont traitées en Principauté en conformité avec les dispositions législatives et réglementaires applicables en la matière.

Dénommée Autorité de Protection des Données Personnelles (APDP), cette Autorité Administrative Indépendante succède à la Commission de Contrôle des Informations Nominatives (CCIN), instituée par la Loi n° 1.165 du 23 décembre 1993, modifiée.

  • Autorité, elle dispose de pouvoirs propres (recommandations, décisions, propositions de réglementation, sanctions)
  • Administrative, elle agit « au nom de l’État » et certaines compétences dévolues à l’administration lui sont déléguées (contrôle, vérification, autorisation)
  •  Indépendante des secteurs contrôlés et des pouvoirs publics, elle n’est soumise à aucune autorité

Outre les traitements mis en œuvre par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques, sont exclus de la compétence de l’APDP :

  • les traitements effectués par les juridictions et le ministère public dans l’exercice de leurs fonctions juridictionnelles ainsi que ceux effectués dans le cadre des procédures d’entraide judiciaire internationale ;
  • les traitements  intéressant la sûreté de l’Etat et la sécurité nationale.

Les missions de l’APDP sont au nombre de 20.

  • la sensibilisation du public à ses fonctions, ses pouvoirs et ses activités ainsi que sa compréhension des risques, des règles, des garanties et des droits relatifs à la protection des données personnelles et de l’attention particulière portée au droit à la protection des données des mineurs et des personnes vulnérables, et de promouvoir dans le cadre de ses missions, l’utilisation des technologies protectrices de la vie privée ;
Exemple de « personnes vulnérables » : les salariés, les personnes en situation de handicap, les personnes âgées, les mineurs.
  • l’information des personnes concernées de leurs droits et obligations en répondant à leurs questions et en communiquant sur la protection des données ; 
  • le conseil et l’accompagnement des responsables du traitement, des sous-traitants et des personnes concernées ;
  • la formulation d’avis motivé sur les traitements soumis par les Autorités administratives et judiciaires compétentes dans le cadre prévu par la Loi ;
  • la tenue à disposition du public la liste des traitements ;
  • l’émission d’un avis motivé sur les analyses d’impact présentant un risque élevé ;
  • l’autorisation dans certains cas de transferts de données vers un Etat, un territoire ou une organisation internationale n’assurant pas un niveau de protection adéquat ;
  • le contrôle (vérifications et investigations) de la mise en œuvre des traitements ;
  • la tenue des registres internes des violations de la Loi et des mesures correctrices prises par ses soins ;
  • la dénonciation sans délai auprès du Procureur Général de faits constitutifs de crimes et délits ;
  • l’instruction de toutes réclamations, pétitions et plaintes introduites par les personnes concernées ;
  • la mise en œuvre du droit d’accès indirect ;
  • la validation et la publication des codes de conduite 
  • la délivrance des certifications et des agréements aux organismes de certification, ainsi que leur examen périodique ;
  • l’adoption et la publication de lignes directrices ou de recommandations ;
  • l’approbation et la publication des clauses contractuelles types ;
  • la possibilité d’alerter le Ministre d’Etat de l’évolution des pratiques, des législations et des règlementations qui ne permettrait plus à un Etat d’être reconnu comme disposant d’un niveau de protection adéquat par la Principauté ;
  • la publication de la liste des pays disposant d’un niveau de protection adéquat ;
  • la coopération avec les Autorités de protection étrangères ;
  • l’établissement d’un rapport annuel d’activité.

L’Autorité peut être consultée pour avis :

  • par le Ministre d’Etat ou par le Secrétaire d’Etat à la Justice, Directeur des Services Judiciaires lors de l’élaboration de mesures législatives, règlementaires ou d’arrêtés directoriaux dans le cadre de l’administration de la justice relatifs à la protection des données personnelles ainsi que sur toutes mesures ayant trait à la protection des données ;
  • par le Président du Conseil National lors de l’étude de propositions ou projets de loi concernant la protection des données ou le traitement de telles données.

Dans ces deux cas, ces avis peuvent être rendus publics par l’APDP à son initiative ou, avec son accord, par l’Autorité qui l’a saisie.

L’Autorité peut également proposer au Ministre d’Etat l’instauration de dispositions particulières de protection des données à l’égard de l’utilisation des nouvelles technologies.

Ces propositions peuvent être rendues publiques à l’initiative de l’APDP.

 

L’APDP se réunit :

  • en formation plénière
  • en formation restreinte
 

La formation plénière

La formation plénière : 

    • élabore des outils de conformité ;
    • veille au respect de la Loi.

Elle est composée de 8 membres titulaires proposés en raison de leur compétence et nommés par Ordonnance Souveraine pour 5 ans, renouvelable une fois :

    • un membre proposé par le Ministre d’Etat ;
    • un membre proposé par le Conseil National ;
    • un membre proposé par le Conseil d’Etat ;
    • un membre ayant qualité de magistrat du siège en activité ou en retraite ayant exercé pendant une durée d’au moins cinq ans au sein d’une juridiction monégasque, par le premier Président de la Cour d’Appel
    • un membre proposé par le Conseil Communal ;
    • un membre proposé par le Conseil Economique, Social et Environnemental ;
    • un membre ayant qualité de magistrat en activité ou en retraite ayant exercé pendant une durée d’au moins cinq ans au sein d’une juridiction monégasque par le premier Président de la Cour de Révision ;
    • un membre qualifié dans le domaine de la santé nommé par le Comité de la Santé Publique.

Deux magistrats suppléants, répondant aux mêmes conditions que les deux magistrats titulaires et proposés par les mêmes Autorités. 

Dans le cadre de leurs attributions, les membres de l’Autorité ne reçoivent d’instruction d’aucune autorité.

 

La formation restreinte

La formation restreinte est chargée de prendre les mesures et de prononcer les sanctions prévues à l’encontre des responsables du traitement ou des sous-traitants qui ne respectent pas les dispositions de la Loi.

Cette formation est composée de trois membres de la formation plénière. Le magistrat du siège en est le Président.

 

Le Secrétariat

Les Services de l’APDP sont dirigés par le Président qui est chargé de représenter l’Etat en justice en raison des activités et du fonctionnement de l’Autorité.

Ces services qui assistent l’Autorité dans l’exercice de sa mission, comprennent le Secrétaire Général et les agents du secrétariat.

L’Autorité dispose d’un budget propre dont les crédits sont inscrits dans un chapitre spécifique du budget de l’Etat.

Elle établit et publie son règlement intérieur sur son site internet.

La nouvelle répartition assure opportunément un partage de compétence de l’Autorité entre : 
  • les pouvoirs d’investigation dévolus à la formation plénière, hors formation restreinte, et
  • les pouvoirs de sanction exercés par la formation restreinte.
 

La formation plénière

En vertu de l’article 46 de la Loi la formation plénière, hors formation restreinte, fait procéder d’office ou sur signalement aux vérifications et investigations nécessaires au contrôle de la mise en œuvre des traitements.

Outre les contrôles sur place et sur convocation, les membres de l’Autorité, les agents ou les investigateurs peuvent procéder à toute constatation utile.

Exemple : consulter à partir d’un service de communication en ligne, les données librement accessibles ou rendues accessibles.
   

Lorsqu’un manquement constaté est susceptible de faire l’objet d’une mise en conformité, le président de l’Autorité peut mettre en demeure le responsable du traitement ou son sous-traitant de s’y conformer.

La mise en demeure peut être rendue publique. 

Cette procédure sera clôturée si la mise en conformité est constatée.

 

La formation restreinte

La formation restreinte peut être saisie :
    • lorsque la mise en demeure faite au responsable du traitement ou à son sous-traitant de se mettre en conformité est demeurée infructueuse ;
    • sans mise en demeure préalable, lorsque le manquement n’est pas susceptible de mise en conformité car il ne peut donner lieu à une mesure corrective ; 
Exemple : des données ont été détruites
    • lorsque le responsable du traitement ou le sous-traitant ne respecte pas les obligations de la Loi.

A l’issue d’une procédure contradictoire, la formation restreinte de l’APDP peut prononcer une des sanctions suivantes :

  • un avertissement ;
  • une obligation de mise en conformité du traitement ou de satisfaire aux besoins de la personne concernée, qui peut être assortie d’une astreinte pouvant aller jusqu’à 10.000 € / jour de retard calendaire ;
  • une limitation temporaire ou définitive du traitement ;
  • un retrait de l’agrément délivré à un organisme certificateur ou une injonction faite à celui-ci de refuser une certification ou de retirer la certification accordée ;
  • un retrait de la certification délivrée ;
  • une suspension totale ou partielle de la décision d’approbation des règles d’entreprises contraignantes;
  • une suspension des flux de données adressées à un destinataire situé à l’étranger ;
  • une amende administrative (articles 53 et 54 de la Loi) pouvant aller jusqu’à 5.000.000 € (ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent) ou 10.000.000 € (ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent).

La formation restreinte peut décider de procéder à la publication de ses décisions.

Les décisions de la formation restreinte sont par ailleurs susceptibles de recours de plein contentieux devant le Tribunal de première instance.

Les manquements constitutifs d’infractions pénales sont quant à eux signalés sans délai au Procureur Général.

Dans son article 4, la Loi dresse la liste des principes essentiels à respecter en cas de traitement de données à caractère personnel :
  • le principe de licéité, de loyauté et de transparence ;
  • le principe de limitation des finalités ;
  • le principe de minimisation des données ;
  • le principe d’exactitude des données ;
  • le principe de limitation de la conservation des données ; et 
  • le principe d’intégrité et de confidentialité. 

La licéité

Conformément à l’article 5 de la Loi un traitement doit, pour être licite, répondre au moins à l’une des exigences suivantes : 

  • l’obtention d’un consentement, pour une ou plusieurs finalités spécifiques, de la personne concernée ;
  • le besoin de respecter une obligation légale à laquelle est soumis le responsable du traitement ; 
Exemple  : le traitement relatif aux obligations en matière de lutte contre le blanchiment mis en œuvre par les banques.
  • sa nécessité pour l’exécution d’un contrat auquel la personne concernée est partie ou l’exécution des mesures précontractuelles prises à la demande de celle-ci ;
Exemple  : le traitement des données personnelles est nécessaire pour la préparation et la livraison d’une commande effectuée en ligne.
  • sa nécessité pour la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; 
Exemple  : le traitement mis un œuvre par un médecin pour le suivi médical de ses patients.
  • l’existence d’un motif d’intérêt public lorsque les traitements sont mis en œuvre par une personne morale de droit public ou par une personne morale de droit privé investie d’une mission d’intérêt général ou concessionnaire d’un service public ;
Exemple  : le traitement par une personne morale des données relatives au suivi des personnes placées en foyer.
  • sa nécessité pour la réalisation d’un intérêt légitime poursuivi par le responsable du traitement ou par un tiers.
 

La loyauté

Les données à caractère personnel doivent être également traitées de manière loyale. Cela implique que la personne concernée soit informée du risque d’impact sur sa vie privée afin de s’assurer que le traitement n’a pas d’effets négatifs imprévisibles. 

 

La transparence

Enfin, les données à caractère personnel doivent être traitées de manière transparente. Le principe de transparence implique que le responsable du traitement doit prendre les mesures appropriées pour fournir à la personne concernée un certain nombre d’informations relatives au traitement de ses données (finalités, identité du responsable du traitement durée de conservation, destinataires, …)  et faciliter l’exercice de ses droits. 

C’est ce que l’on appelle le principe de transparence.

Cette obligation de transparence s’applique tout au long du cycle de vie des traitements.

Les données personnelles peuvent être collectées pour plusieurs finalités, à condition que ces finalités soient : 

  • déterminées ; 
  • explicites ; 
  • légitimes ; et 
  • non traitées ultérieurement de manière incompatible avec ces finalités. 

Le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, est toutefois considéré comme compatible avec les finalités initiales de la collecte dès lors que des garanties appropriées ont été mises en place.

 

Ne sont pas concernés par cette exception les traitements

  • mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
  • qui intéressent la sécurité nationale.

Le responsable de traitement doit s’assurer que les données collectées soient « limitées » à la réalisation de ses objectifs.  Afin de respecter ce principe, les données personnelles collectées doivent être : 
  • adéquates ; 
  • pertinentes ; et 
  • limitées à ce qui est nécessaire au regard des finalités du traitement.

Les données personnelles traitées doivent être exactes et, si nécessaires, mises à jour

Le responsable de traitement prend les mesures raisonnables, c’est-à-dire celles ne nécessitant pas des efforts disproportionnés, pour que les données inexactes ou incomplètes, soient effacées ou rectifiées dans les meilleurs délais

Le principe d’exactitude des données doit être respecté pour chaque traitement mis en place par le responsable de traitement et s’apprécie au regard du contexte de la finalité du traitement des données. 

Dans certaines hypothèses il ne peut être procédé à la mise à jour des données. Il s’agit des cas où la finalité est essentiellement la documentation des événements tel un « instantané » historique.

Exemple  : le protocole d’une intervention médicale ne peut être mis à jour, même s’il apparait par la suite que les conclusions figurant dans le protocole étaient inexactes. Dans ce cas, des ajouts peuvent être faits au protocole, à condition qu’ils soient clairement identifiés comme des contributions intervenues à une date ultérieure.

Inversement, dans certaines situations, la mise à jour des données et leur exactitude est d’une nécessité absolue en raison du dommage potentiel pouvant être causé à la personne concernée si les données sont inexactes. 

Exemple  : les bases de données spéciales qui contiennent des données sur les antécédents de crédits de particuliers. Ces bases sont très utiles pour les établissements bancaires car elles permettent de vérifier la solvabilité du client potentiel en vue de l’obtention d’un crédit.

Les données personnelles collectées ne peuvent être conservées indéfiniment sous une forme permettant l’identification des personnes concernées. Dès lors, la pratique a permis d’identifier 3 phases de conservation des données : la conservation en base active et la conservation en base intermédiaire, qui forment ensemble la durée d’utilité administrative et l’archivage définitif.

 

Conservation en base active

Les données personnelles sont conservées en base active pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. 

Elles sont conservées de telle façon à être facilement accessibles pour les personnes qui sont en charge du traitement de la demande.

Exemples  :
  • les données personnelles fournies dans le cadre d’un formulaire de contact pendant le temps de traitement de la demande ;
  • un dossier de candidature pour un poste. 
   

Conservation en base intermédiaire

Une fois la finalité accomplie, certaines données doivent être conservées en base intermédiaire. Ce sont les données : 
  • présentant un intérêt administratif pour l’organisme ou
Exemple  : la conservation des données/documents en cas de gestion d’un éventuel contentieux.
  • faisant l’objet d’une obligation légale.
Exemple  : la conservation des données de facturation.
 

Archivage définitif

Certaines données peuvent être conservées pour une durée plus longue si elles sont traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques et ce sous réserve de l’existence de garanties appropriées.

Les traitements mis en place doivent garantir une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé ou illicite ou contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques et/ou organisationnelles  garantissant leur intégrité et confidentialité. 

Le caractère approprié des mesures doit être déterminé au cas par cas et réexaminé régulièrement.

Le chapitre III de la Loi est dédié aux droits des personnes concernées. Certains de ces droits étaient déjà prévus par la Loi n° 1.165 du 23 décembre, modifiée, et ont été pour certains renforcés. D’autres droits, empruntés au RGPD, sont en revanche nouveaux.

L’article 10 de la Loi pose l’obligation pour le responsable du traitement de prendre les mesures appropriées pour fournir à la personne concernée toute information sur l’utilisation de ses données et lui faciliter l’exercice de ses droits. 

C’est ce que l’on appelle le principe de transparence.

Cette obligation de transparence s’applique tout au long du cycle de vie des traitements.

Elle a pour objectif de doter les personnes concernées des informations utiles pour qu’elles puissent revendiquer leurs droits et demander des comptes aux responsables du traitement quant au traitement de leurs données personnelles.

L’article 12 de la Loi permet à toute personne justifiant de son identité d’obtenir auprès du responsable du traitement confirmation que ses données ont été traitées, et dans l’affirmative, leur communication sous une forme lisible et compréhensible.

C’est ce qu’on appelle le droit d’accès.

Celui-ci s’exerce généralement directement auprès du responsable du traitement.

Il peut toutefois arriver que le droit d’accès s’exerce indirectement. 

En effet, pour les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions, la personne concernée doit saisir l’APDP d’une demande de vérification pour savoir si ses données font l’objet d’un traitement.

Ce droit, renforcé par la nouvelle Loi, implique que la personne concernée peut obtenir du responsable du traitement qu’il rectifie, complète ou encore actualise, dans les meilleurs délais, les données que ledit responsable détient sur elle lorsque les informations se révèlent inexactes ou incomplètes

Ce droit récemment renforcé par la Loi permet à la personne concernée de demander au responsable du traitement, dans des cas précisément définis, que ses données personnelles soient effacées, que celles-ci soient publiques ou non

L’exercice de ce droit est limité aux cas suivants

  •  lorsque la personne concernée retire son consentement et qu’il n’existe pas d’autre fondement juridique au traitement ;
  •  lorsque la personne concernée s’oppose au traitement de ses données pour des raisons tenant à sa situation particulière et qu’il n’existe pas de motif légitime impérieux pour le traitement ou qu’elle s’oppose au traitement de ses données à des fins de prospection commerciale ;
  • lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
  •  lorsque les données ont fait l’objet d’un traitement illicite ;  
  •  lorsque les données ont été collectées dans le cadre de l’offre de services ; 
  • pour respecter une obligation légale.

En revanche, ce droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire : 

    •  pour respecter une obligation légale qui requiert le traitement de ces données ;
    •  pour exercer une mission d’intérêt général par une personne morale de droit privé qui en est investie ou est concessionnaire d’un service public ;
    • pour exercer une mission relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; 
    •  à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où l’exercice de ce droit est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ;
    • pour la constatation, l’exercice ou la défense de droits en justice ;  
    • pour l’exercice du droit à la liberté d’expression publique et de l’information.

Le droit à la limitation du traitement permet à la personne concernée d’obtenir, du responsable du traitement, le gel temporaire de l’utilisation de certaines de ses données

Ce nouveau droit s’applique dans 4 cas

  • la personne concernée conteste l’exactitude des données ;
  • le traitement n’est pas licite mais la personne concernée ne souhaite pas l’effacement des données ;
  • le traitement ne se justifie plus par la finalité du traitement mais la personne veut faire constater, exercer ou défendre ses droits en justice ;
  • le traitement est justifié par des motifs légitimes poursuivis par le responsable du traitement et la personne concernée en conteste la légitimité. Le responsable du traitement va alors « geler » le traitement le temps de savoir si ses motifs légitimes prévalent sur ceux de la personne concernée.

La personne concernée dispose d’un droit d’opposition au traitement de ses données à caractère personnel renforcé par la nouvelle législation.

Le droit d’opposition permet à la personne concernée de refuser que ses données soient utilisées par un organisme dans un but précis

Ce droit s’exerce différemment selon les finalités que poursuit le traitement en cause. 

L’article 18 de la Loi introduit ce nouveau droit qui permet à la personne concernée de :

  • recevoir les données personnelles qu’elle a fournies à un responsable du traitement et de les réutiliser ;
  • transmettre ces données à un autre responsable du traitement.

Le droit à la portabilité des données personnelles ne peut s’exercer que lorsque 2 conditions cumulatives sont remplies

  • le traitement repose sur :
    •  le consentement de la personne concernée ou
    •  l’existence d’un contrat
  •  le traitement est effectué à l’aide de procédés automatisés 

La Loi reconnait à la personne concernée le droit de ne pas faire l’objet d’une décision qui a été prise sur le seul fondement d’un traitement automatisé, y compris le profilage lorsque la décision : 

  •  produit des effets juridiques ; ou
Exemple  : annulation d’un contrat. 
  • l’affecte de manière significative.
Exemple  : rejet automatique d’une demande de crédit en ligne sans aucune intervention humaine. 

Des exceptions à cette interdiction sont toutefois admises dans 4 cas bien précis :

  • lorsque la décision est prise dans le cadre de la conclusion ou de l’exécution d’un contrat entre la personne concernée et le responsable du traitement à condition que la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, ait été satisfaite ;
  • lorsque la décision est autorisée par des dispositions législatives ou réglementaires qui précisent les mesures garantissant la sauvegarde des droits et libertés et de l’intérêt légitime de la personne concernée ;
  • lorsque la décision est fondée sur le consentement explicite de la personne concernée ;
  • lorsqu’en présence de données sensibles, la décision est fondée sur le consentement explicite de la personne concernée ou justifiée par des motifs d’intérêt public importants, à condition que des garanties appropriées et spécifiques aient été prises par le responsable de traitement.

A l’exception du 2ème cas, le responsable du traitement doit mettre en œuvre des garanties appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

L’article 20 de la Loi prévoit que sauf dispositions législatives contraires, les personnes suivantes :
  •  l’ascendant ,
  •  le descendant jusqu’au second degré ,
  • le conjoint survivant d’une personne décédée ,
  •  le cohabitant ou le partenaire au sens de la Loi n°1.148 du 17 décembre 2019, 
peuvent, si elles justifient d’un intérêt, exercer les droits suivants pour ce qui concerne les informations des personnes décédées : 
  • le droit d’accès ;
  • le droit de rectification ;
  • le droit d’effacement ;
  • le droit à la limitation du traitement ;
  • le droit d’opposition ;
  • le droit à la portabilité.

En cas de manquement aux obligations relatives aux droits des personnes concernées, l’organisme peut encourir une amende administrative ne pouvant excéder  10.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précèdent, le montant le plus élevé étant retenu.

Le consentement de la personne concernée est l’un des 6 fondements juridiques, identifiés par l’article 5 de la nouvelle législation, permettant de traiter des données à caractère personnel de manière licite

L’article 2 de cette Loi définit le consentement comme : 

«  toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». 

Pour être valable, l’accord manifesté par la personne concernée doit donc remplir plusieurs conditions, à savoir être :

  • libre
  • spécifique
  • éclairé
  • non équivoque 

Cette première condition implique que la personne concernée doit être en mesure d’opérer un réel choix concernant le traitement de ses données.  Dès lors, elle ne doit être ni contrainte ni influencée dans son choix. Elle ne doit pas non plus subir des conséquences négatives si elle ne donne pas son consentement.   Le consentement est présumé ne pas être libre dans 3 cas :
  • lorsqu’il existe un déséquilibre manifeste des rapports de force entre la personne concernée et le responsable du traitement, notamment quand ce dernier est une autorité publique ou un employeur ; 
Le traitement des données devra alors être justifié par un autre fondement juridique, comme par exemple l’existence d’une obligation légale ou la réalisation d’un intérêt légitime poursuivi par le responsable du traitement.    
Exemple  : la mise en place d’un dispositif de vidéosurveillance dans une boutique ne pourra pas être justifiée par le consentement des salariés car ceux-ci sont dans un lien de subordination vis-à-vis de leur employeur et ne seront pas en mesure de consentir librement.
 

En revanche, un tel dispositif pourra être justifié par l’intérêt légitime du responsable du traitement, à savoir la sécurité des biens et des personnes.

 
  • lorsque le consentement est couplé à l’acceptation de conditions générales ou lorsque la fourniture d’un contrat ou d’un service est subordonnée à une demande de consentement au traitement des données personnelles non nécessaires à l’exécution du contrat ou du service ;

Dans un tel cas, la base légale appropriée sera l’exécution d’un contrat, à condition toutefois que les données demandées sont bien nécessaires à l’exécution de son contrat.

Exemple  : fourniture par l’acheteur de son adresse postale afin que les biens commandés puissent être livrés.
 
  • lorsqu’un préjudice est subi en cas de refus de donner son consentement. 
  La personne concernée doit être en mesure de refuser de donner son consentement afin d’exprimer une réelle liberté de choix.  En conséquence, toute tromperie, intimidation, coercition ou conséquence négative importante si la personne refuse de donner son consentement invalidera ledit consentement.

Le consentement doit être spécifique à la finalité du traitement. 

Ainsi, lorsque le traitement comporte plusieurs finalités, le consentement doit être indépendamment recueilli pour chaque finalité

On parle de consentement distinct pour chaque finalité. 

La finalité doit être décrite clairement et avec des termes non équivoques. Pour ce faire, il faut se rapporter aux « attentes raisonnables d’une personne concernée moyenne ». 

Ce critère de la spécificité permet à la personne concernée de garder un certain degré de contrôle sur ses données. Il constitue en effet une garantie contre l’utilisation des données personnelles collectées à des fins très éloignées des raisons listées initialement, et permet ainsi d’éviter un détournement desdites données. 

Lorsque des opérations de traitement doivent être ajoutées ou modifiées, le consentement doit à nouveau être sollicité auprès de la personne concernée, sauf pour les cas où une autre base légale apparaît comme plus appropriée. 

Le responsable du traitement doit communiquer à la personne concernée certaines informations, en vertu du principe de transparence, avant que celle-ci fasse un choix.

[Pour plus d’informations sur le principe de transparence, voir Quels sont les principes en matière de protection des données]

Ces informations permettent à la personne concernée de prendre conscience de l’utilisation faite de ses données et d’apprécier les conséquences de son consentement. 

Elle peut ainsi opérer un choix en connaissance de cause

Les informations doivent être fournies de manière : 

  • claire ;
  • accessible ;
  • adaptée aux personnes concernées.

Afin d’adapter ces informations, le responsable du traitement doit s’interroger sur les catégories de personnes concernées et réfléchir aux supports appropriés.

Le responsable du traitement doit ainsi utiliser des termes compréhensibles par le plus grand nombre, avec une attention particulière portée aux termes employés lorsqu’il s’adresse à des mineurs

Les informations peuvent par ailleurs être fournies oralement ou par écrit mais également dans des messages audios ou vidéos

Le consentement doit soit : 

  •  être donné par une déclaration orale ou écrite  
  • résulter d’un acte positif clair

Il ne doit pas exister de doute raisonnable quant au souhait de la personne de donner son consentement au traitement de ses données. 

Attention : Le silence ou l’inaction de la personne concernée ne constitue pas un consentement valable au sens de la législation relative à la protection des données personnelles car le consentement n’est pas univoque. 

Ne constitue pas, par exemples, un consentement univoque : 

  •  l’utilisation d’une case pré-cochée 
  •  une mention dans la politique de confidentialité 
  •  l’acceptation globale des conditions générales

Outre ce consentement « classique » prévu à l’article 6 de la Loi, l’article 7 prévoit pour sa part un consentement renforcé dès lors qu’un responsable du traitement se fonde sur le consentement de la personne concernée pour traiter des données sensibles.

Ce consentement explicite implique que le consentement est bien entendu libre, spécifique, éclairé et univoque mais également qu’il soit affirmé dans une déclaration claire

Il ne doit donc plus pouvoir être induit des seules actions de la personne concernée mais doit être explicite et exprimé en termes clairs.

Plusieurs manières peuvent être envisagées, comme par exemples : 

  • une déclaration écrite et signée 
  • un formulaire électronique à remplir 
  • un courrier électronique à renvoyer 
  • le recours à la signature électronique 
  • une conversation téléphonique, dès lors qu’une demande de confirmation spécifique de la part de la personne concernée est formulée de manière compréhensible et claire

La personne concernée doit pouvoir retirer son consentement à tout moment. 

Le responsable du traitement doit donc l’informer de l’existence d’un droit de retrait au moment même du recueil du consentement. Il doit également lui indiquer la procédure à suivre pour exercer ce droit de retrait. 

Il doit ainsi être aussi facile de retirer son consentement que de le donner.

En conséquence, en cas d’exercice de ce droit, la personne concernée ne doit pas motiver son choix. 

Par ailleurs, la personne concernée ne doit subir aucun préjudice en raison du retrait si ce n’est la cessation des avantages qui pouvaient découler de l’utilisation des données à laquelle elle avait consenti initialement. 

Les traitements automatisés mis en œuvre avant le retrait du consentement demeurent licites.

Le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de ses données personnelles.

Cette obligation de preuve pesant sur le responsable du traitement s’applique tant que l’activité de traitement concernée perdure. 

La preuve du consentement doit porter à la fois sur l’existence du consentement et sur la validité du consentement.

La preuve doit démontrer que le responsable du traitement a bien respecté les conditions prévues par la Loi. 

Dès lors, une fois l’objectif du traitement atteint, la preuve du consentement ne devrait être conservée que : 

  • la durée nécessaire pour respecter une obligation légale ;
  • la durée nécessaire à la constatation, l’exercice ou la défense de droits en justice.

Des règles spécifiques s’appliquent pour les mineurs âgés de moins de 15 ans. 

En tant que personnes vulnérables, le responsable du traitement doit leur accorder une attention particulière, en présence d’une offre directe de service de la société de l’information. 

La notion des « services de la société d’information » couvre les contrats et autres services conclus en ligne. 

Exemple  :
  • commande de vêtements sur un site marchand 
  • abonnement en ligne à une revue électronique

Le responsable du traitement doit rédiger la notice d’information avec des termes clairs et simples de façon à ce que les informations soient aisément compréhensibles par le mineur

Cependant l’article 6 précise que les mineurs ne peuvent, seuls, donner leur consentement au traitement de leurs données personnelles. 

En effet, pour que leur consentement soit valable, le responsable du traitement doit s’assurer qu’il a été donné par le mineur concerné avec l’autorisation de la ou des personnes exerçant l’autorité parentale

La personne concernée ou la ou les personnes exerçant l’autorité parentale du mineur de moins de 15 ans ont le droit de retirer le consentement à tout moment.

Il doit être aussi simple de retirer ce consentement que de le donner.

En cas de manquement aux obligations en matière de consentement, le responsable du traitement peut encourir une amende administrative pouvant atteindre 10.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial totale de l’exercice précédent, le montant le plus élevé étant retenu

L’article 22 de la Loi introduit la notion de « responsabilisation » du responsable du traitement. Celui-ci doit en effet s’assurer que le traitement est mis en œuvre dans le respect des dispositions de la Loi et être en mesure de le démontrer.

Il doit ainsi notamment prendre les mesures appropriées pour informer les personnes concernées et faciliter l’exercice de leurs droits. Il doit également coopérer avec l’APDP, à la demande de celle-ci, dans l’exécution de ses missions.

Toutefois, si ces deux obligations ne sont pas nouvelles, la Loi intègre désormais également un très grand nombre d’outils d’autorégulation que le responsable du traitement se doit également de mettre en place.

La nouvelle Loi introduit deux nouveaux concepts européens dans le corpus normatif monégasque : la protection des données dès la conception (privacy by design) et la protection des données par défaut (privacy by default).

 

Qu’est-ce que la protection des données dès la conception ?

En vertu de l’article 23 de la Loi, le responsable du traitement doit mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de protection élevée des données à caractère personnelles.

Ce principe de « protection des données dès la conception » s’applique tout au long du cycle de vie du traitement.

Son application implique que le responsable du traitement évalue l’impact potentiel du traitement sur les droits et libertés des personnes concernées et ce, de façon régulière.

Les mesures techniques et organisationnelles prises par le responsable du traitement peuvent ainsi consister à :

  • réduire au minimum le traitement des données à caractère personnel ;
  • pseudonymiser les données à caractère personnel dès que possible ;
  • garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel ;
  • permettre à la personne concernée de contrôler le traitement des données ;
  • permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou d’ améliorer ceux déjà en place.

Lesdites mesures doivent être prises au regard de :

  • l’état des connaissances ;
  • des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ;
  • des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques.
   

Qu’est-ce que la protection des données par défaut ?

L’article 23 de la Loi prévoit que le responsable du traitement met également en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Cela s’applique à :

  • la quantité de données à caractère personnel collectées ;
  • l’étendue de leur traitement ;
  • leur durée de conservation ;
  • leur accessibilité.

En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

En vertu de l’article 25, le représentant est la personne physique ou morale établie sur le territoire de la Principauté ou, à défaut, au sein d’un Etat membre de l’Union européenne, mandatée par un responsable du traitement situé hors de Monaco, pour être le contact à la fois des personnes concernées par le traitement et de l’APDP, afin de répondre à toutes questions.

Sa désignation est obligatoire dès lors qu’un responsable du traitement, non établi à Monaco :

  • propose des produits ou des services à des personnes situées sur le territoire de la Principauté ;
  •  met en œuvre des traitements relatifs au suivi de leur comportement.

La désignation d’un représentant se fait par tous moyens écrits.

Cette obligation n’est pas générale et comporte 3 exceptions :

  •  le traitement est occasionnel et n’implique pas un traitement à grande  échelle de données sensibles ;
  •  le traitement est relatif à des condamnations pénales ou à des infractions ;
  •  le responsable du traitement est une personne morale de droit public ou un organisme public.
   

Quelle est la sanction encourue en cas de manquement à l’obligation de nommer un représentant ?

L’article 53 prévoit que le manquement à l’obligation de nommer un représentant est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

En vertu de l’article 27 de la Loi, un responsable du traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité dès lors qu’il compte au moins 50 salariés.

Ce seuil de 50 salariés ne s’applique toutefois pas dans 4 cas :

  • si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ;
Exemple  : mise en place d’un dispositif de géolocalisation.
  •  si le traitement n’est pas occasionnel ;
Exemple  : gestion des fichiers clients
  • si le traitement porte sur des données sensibles ;
Exemple  : données de santé.
  • si le traitement porte sur des données personnelles relatives à des infractions, des condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites
Exemple  : traitement relatif à la lutte anti-blanchiment.

Le registre tenu par le responsable du traitement a vocation à remplacer une grande partie des formalités préalables qui étaient instituées par la Loi n° 1.165 du 23 décembre 1993, modifiée.

 

Que doit contenir le registre des activités ?

Il doit a minima contenir les indications suivantes : 

  • le nom et les coordonnées du responsable du traitement et, le cas échéant, de son responsable conjoint, de son représentant et de son délégué à la protection des données ;
  • les finalités du traitement ;
  • les catégories de personnes concernées et catégories de données personnelles traitées ;
  • les catégories de destinataires ;
  • dans la mesure du possible, le délai de conservation des données personnelles, ou les critères pour déterminer cette durée ;
  • dans la mesure du possible, une description générale des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes physiques ;
  • en cas de transfert de données personnelles hors de la Principauté, l’identification du pays destinataire, du territoire ou de l’organisation internationale et, le cas échéant, les garanties prévues ;
  • le cas échéant, le recours au profilage pour les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales ;
  • une indication de la base juridique de l’opération de traitement, y compris les transferts, pour  :
    • les traitements mis en œuvre à des fins de prévention et de la détection des infractions pénales, d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales  ou 
    • les traitements qui intéressent la sécurité nationale

 

Quelle est la sanction encourue en cas de manquement à l’obligation de tenir un registre des traitements ?

L’article 53 prévoit que le manquement à l’obligation de tenir un registre des traitements est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Si dans une logique de responsabilisation des responsables du traitement, un très grand nombre de traitements ne font plus l’objet de formalités auprès de l’APDP, des exceptions demeurent.

Sont ainsi soumis à l’avis préalable de l’APDP, trois catégories de traitements présentant une sensibilité particulière :

  • les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
  • les traitements portant sur des données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ;
Pour ces deux premières catégories de traitements, ne sont concernées par cette obligation de formalités préalables que les Autorités administratives et judiciaires compétentes dans le cadre exclusif des missions qui leur sont légalement conférées.
  • les traitements ayant pour fin la recherche dans le domaine de la santé.
Est par ailleurs soumis à l’autorisation préalable de l’APDP, le transfert de données à destination d’un Etat, d'un territoire ou d’une organisation internationale n’assurant pas un niveau de protection adéquat lorsque :
  • des garanties appropriées n’ont pas été mises en place, et
  • aucune des dérogations prévues à l’article 99 de la Loi ne s’applique, et
  • les 4 conditions prévues par le chiffre 3 de l’article 99 ne sont pas réunies.
 

Cas particulier des systèmes de vidéosurveillance :

L’article 85 de la Loi prévoit en outre que les systèmes de vidéosurveillance installés dans les lieux non ouverts au public sont portés, sans délai, à la connaissance de l’APDP.

Au sens de l’exposé des motifs, un lieu non ouvert au public est « par exemple un lieu privé, (domicile, garage,…) ou des locaux à usage professionnel tels que les bureaux ou les entrepôts ».

S’agissant plus particulièrement des domiciles, ou tout autre lieu affecté à un usage personnel ou domestique, la déclaration auprès de l’APDP doit être effectuée uniquement si des personnes extérieures au cercle familial ou amical interviennent au domicile ex : gens de maison, aides à domicile.

Les systèmes de vidéosurveillance installés dans des lieux ouverts au public ou filmant les abords de voie publiqued’espaces ouverts au public ou à la circulation du public, restent quant à eux soumis à l’autorisation préalable du Ministre d’Etat.

Au sens de l’exposé des motifs, les lieux ouverts au public sont par exemple « un restaurant, une galerie commerciale, ou un guichet d’administration ».

 

Que doit contenir la demande d’avis ou d’autorisation ?

Les demandes d’avis et d’autorisation soumises à l’APDP doivent impérativement comporter les mentions suivantes :

  • le nom et les coordonnées professionnelles du responsable du traitement ou de son représentant à Monaco ;
  • le fondement juridique du traitement et, le cas échéant, le projet d’arrêté ministériel ou le projet d’arrêté du Secrétaire d’Etat à la Justice, Directeur des Services Judiciaires ;
  • la ou les finalité(s) des traitements ;
  • la dénomination, s’il y a lieu, du traitement ;
  • les catégories de données personnelles traitées, leur origine et les catégories de personnes concernées par le traitement ;
  • la durée de conservation des données personnelles traitées ou, en cas d’impossibilité, les critères utilisés pour déterminer cette durée ;
  • le ou les service(s) chargé(s) de la mise en œuvre du traitement ;
  • l’analyse des risques relative à la sécurité des traitements, y compris les mesures de sécurité ;
  • l’autorité ou la fonction de la personne ou le service auprès de laquelle/duquel s’exerce le droit d’accès ainsi que les mesures prises pour faciliter l’exercice de ce droit ;
  • les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont accès aux données personnelles ;
  • les destinataires ou catégories de destinataires habilités à recevoir communication des données personnelles ;
  • le cas échéant, les interconnexions, les rapprochements, ou toute autre forme de mise en relation avec d’autres traitements ;
  • le cas échéant, l’identité et l’adresse du sous-traitant ;
  • le cas échéant, les transferts de données hors de la Principauté et les garanties appropriées encadrant lesdits transferts.

Pour les traitements effectués dans le cadre d’une recherche impliquant la personne humaine, le dossier présenté à l’appui de la demande d’avis, doit également comporter les mentions suivantes :

  • la mention de l’objectif de la recherche ;
  • la population concernée ;
  • la méthode d’observation ou d’investigation retenue ;
  • la justification du recours aux données personnelles ;
  • la durée et les modalités d’organisation de la recherche ;
  • la méthode d’analyse des données ;
  • le cas échéant, une copie de l’avis émis par le comité compétent en application de la législation relative à la protection des personnes se prêtant à la recherche biomédicale.

L’APDP doit être tenue informée de tout changement affectant les informations contenues dans ces demandes d’avis et demandes d’autorisation.

   

Quel est le délai de réponse de l’APDP ?

L’APDP rend son avis dans un délai de deux mois à compter du dépôt du dossier de demande d’avis .

Ce délai peut être renouvelé une fois sur décision motivée du Président de l’APDP.

Lorsque l’avis n’est pas rendu à l’expiration du délai, ledit avis est réputé favorable.

L’APDP tient à la disposition du public la liste de tous les traitements ayant fait l’objet de formalités auprès d’elle.

Obligatoire dans certains organismes et souvent recommandé dans d’autres, le Délégué à la protection des données (DPD) facilite le respect de la législation en matière de protection des données et agit à la fois comme l’interlocuteur privilégié pour toutes les questions relatives aux données personnelles, qu’elles soient internes ou bien qu’elles émanent d’une personne concernée par un traitement effectué, et comme le correspondant de l’Autorité de protection.

L’article 29 de la Loi prévoit qu’à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles, la désignation d’un DPD est obligatoire dans les cas suivants :

  • le traitement de données est effectué par une personne morale de droit public ou une personne morale de droit privé investie d’une mission d’intérêt général ou concessionnaire de service public ;
  • les activités de base du responsable de l’organisme consistent en des opérations de traitement qui, du fait de leur nature, de leur portée ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
Exemple  : profilage et notation à des fins d’évaluation des risques
  • les activités de base de l’organisme consistent en un traitement à grande échelle de données sensibles ou de données à caractère personnel relatives à des condamnations pénales ou à des infractions.
Exemple  : traitement des données de clients par une compagnie d’assurance ou une banque dans le cadre du déroulement normal de ses activités

 

Quelles sont les missions du Délégué à la protection des données ?

Les missions du Délégué à la protection des données sont au nombre de 5 :

  • informer et conseiller l’organisme ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la législation en vigueur en Principauté ;
  • contrôler le respect de la législation en matière de protection des données personnelles ainsi que les règles internes de l’organisme en matière de protection des données personnelles, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant  ;
  • dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données personnelles ;
  • coopérer avec l’Autorité de protection et être son correspondant sur les questions relatives au traitement ;
  • présenter à l’Autorité de protection les demandes d’avis lorsqu’elles portent sur les traitements suivants :
    • les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
    • les traitements mis en œuvre par les Autorités administratives et judiciaires, agissant dans le cadre de leurs prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.

 

Quelles sont les qualifications requises pour être nommé Délégué à la protection des données ?

Le Délégué à la protection des données doit en particulier disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données.

Il doit également être désigné sur la base de sa capacité à accomplir ses missions. Ce niveau d’expertise doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par l’organisme.

Il est important par ailleurs que le Délégué à la protection des données ait une bonne compréhension des opérations de traitement effectuées par l’organisme, des systèmes d’informations utilisés par ledit organisme et des besoins de celui-ci en matière de protection des données.

L’organisme doit également permettre au Délégué à la protection des données d’entretenir et compléter ses compétences et connaissances (formation continue, participation à des ateliers, …) pendant toute la durée de sa mission.

 

Quelle est la sanction encourue en cas de manquement à l’obligation de nommer un Délégué à la protection des données ?

L’article 53 de la Loi prévoit que le manquement à l’obligation de nommer un Délégué à la protection des données est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Dès lors qu’un responsable du traitement a recours à un sous-traitant, ce dernier doit présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à assurer la protection des données personnelles et le respect des droits des personnes concernées.

Tout recours à un sous-traitant doit être régi par un contrat qui se présente sous une forme écrite et dont les clauses minimales sont prévues à l’article 26 de la Loi.

Ce contrat doit définir :

  • l’objet et la durée du traitement ;
  • la nature et la ou les finalités du traitement ;
  • le type de données personnelles et les catégories de personnes concernées ; et
  • les obligations et les droits du responsable du traitement.
   

Quelles sont les mentions que doit contenir le contrat de sous-traitance ?

Parmi les mentions que doit contenir ce contrat, figurent les obligations suivantes :

  • le sous-traitant ne doit traiter les données personnelles que sur instruction documentée du responsable du traitement ;
  • le sous-traitant veille au respect de la confidentialité ;
  • le sous-traitant prend toutes les mesures requises en matière de sécurité des données personnelles ;
  • le sous-traitant, selon le choix du responsable du traitement, supprime toutes les données personnelles ou les renvoie au responsable du traitement au terme de la prestation de services, et détruit les copies existantes à moins que le droit auquel il est soumis n’exige la conservation des données à caractère personnel ;
  • le sous-traitant aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus par la Loi ;
  • le sous-traitant met à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations ;
  • compte tenu de la nature du traitement et des informations à sa disposition, le sous-traitant apporte son concours au responsable du traitement pour garantir le respect des obligations liées :
    • aux mesures techniques et organisationnelles appropriées à    prendre ;
    • aux notifications de violations de données ;
    • aux analyses d’impact.

L’article 31 de la Loi précise les obligations de sécurité mises à la charge du responsable du traitement.

Celui-ci doit ainsi prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes physiques.

L’adoption de ces mesures nécessite une analyse permettant d’identifier les risques puis de déterminer leur niveau de probabilité et de gravité.

   

Quels sont les risques pour les droits et libertés des personnes physiques ?

Conformément à l’article 31 de la Loi, ces risques sont notamment :

  • la destruction de données ;
  • la perte de données ;
  • l’altération de données ,
  • la divulgation non autorisée de données ;
  • l’accès non autorisé à des données personnelles

 Ces risques peuvent se produire de manière accidentelle ou illicite.

 

Quelles mesures appropriées peuvent être prises ?

A titre d’exemples, l’article 31 de la Loi prévoit que le responsable du traitement peut prendre les mesures suivantes :

  • la pseudonymisation et le chiffrement des données ;
  • tout moyen permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ;
Exemple  : contrôle d'accès aux installations 
  • tout moyen permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • la mise en place d’une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

L’analyse d’impact relative à la protection des données (AIPD ou DPIA anglais) est une étude dont l’objectif est de déterminer et d’analyser la façon dont la confidentialité, la sécurité ou encore la disponibilité des données serait affectée par une action ou une activité donnée.

Toute opération qui pourrait engendrer des risques pour les droits et libertés des personnes physiques ne requiert pas toutefois automatiquement une analyse d’impact. La loi n’exige en effet une analyse d’impact que lorsqu’un traitement est susceptible d’entraîner un risque élevé pour les droits et libertés, notamment en cas de recours à une nouvelle technologie de traitement.

 

Dans quels cas une analyse d’impact doit-elle être menée ?

L’article 35 de la Loi prévoit qu’un risque élevé existe notamment dans 4 cas :

1er cas : l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire.

Exemple  : un établissement financier passant ses clients au crible d’une base de données de cote de crédit ou d’une base de données dédiée à la lutte contre le blanchiment de capitaux et le financement du terrorisme.

2ème cas : le traitement à grande échelle de données sensibles ou de données à caractère personnel relatives aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites.

Exemple  : les traitements de santé réalisés par un établissement de soins.

3ème cas : la surveillance systématique à grande échelle de zone accessible au public.

4ème cas : l’utilisation à grande échelle d’un identifiant numérique.

Cette liste n’est toutefois pas exhaustive comme l’atteste l’emploi du mot « notamment ». Aussi, d’autres opérations de traitement qui ne figurent pas dans ces 4 cas peuvent néanmoins présenter un risque aussi élevé et donc nécessiter une analyse d’impact.

Un arrêté ministériel établira la liste des critères permettant de déterminer si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

 

Quand et comment doit être menée l’analyse d’impact ?

L’analyse d’impact doit être menée avant la mise en œuvre du traitement.

S’il a désigné un délégué à la protection des données, le responsable de traitement doit lui demander conseil et le charger de vérifier l’exécution de l’analyse d’impact.

Par ailleurs, si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l’analyse d’impact.

Une seule et même analyse d’impact peut porter sur un ensemble d’opérations de traitement similaires dès lors que celles-ci présentent des risques élevés similaires.

Le responsable du traitement doit en outre procéder à une réévaluation de son analyse d’impact en cas de modification du risque.

Enfin, l’analyse d’impact doit être conservée à titre probatoire par le responsable du traitement et être communiquée sur demande à l’APDP.

 

Que doit contenir l’analyse d’impact ?

En vertu de l’article 35 de la Loi toute analyse d’impact doit a minima comporter les éléments suivants :

  • une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
  • une évaluation de la nécessité de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques pour les droits et libertés des personnes concernées ;
  • les mesures envisagées pour faire face aux risques.
 

Dans quel cas l’APDP doit-elle être consultée au préalable ?

Si lors de la réalisation de l’analyse d’impact, le responsable de traitement se rend compte que les risques identifiés ne peuvent pas être suffisamment réduits et qu’il existe des risques résiduels élevés non maitrisés, l’article 36 de la Loi prévoit qu’il doit consulter au préalable l’APDP.

Le responsable de traitement communique ainsi à l’Autorité les informations suivantes :

  • les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement et les coordonnées du délégué à la protection des données lorsque que celui-ci a été désigné ;
  • les finalités et les moyens du traitement envisagé ;
  • les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées ;
  • l’analyse d’impact qu’il a réalisée ;
  • toute autre information demandée par l’Autorité.

L’APDP aura alors un délai de 8 semaines pour rendre un avis écrit au responsable de traitement ; délai qui pourra être prolongé de 6 semaines en cas de traitements complexes.

Si l’Autorité considère que le traitement constitue en l’état une violation, elle imposera au responsable de traitement les mesures appropriées et pourra procéder aux vérifications et investigations prévues à l’article 46 de la Loi.

 

Quelle est la sanction en cas de manquement aux exigences prévues en matière d’analyse d’impact ?

Tout manquement aux obligations en matière d’analyse d’impact, que ce soit l’obligation d’effectuer l’analyse d’impact en vertu de l’article 35 de la Loi ou l’obligation de consulter au préalable l’APDP en vertu de l’article 36 de la Loi, est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Conformément à l’article 32 de la Loi, le Responsable du traitement doit notifier à l’APDP toute violation des données à caractère personnel dont il a connaissance dès lors que celle-ci est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

Cette notification peut également être accompagnée, dans certains cas, d’une communication auprès des personnes concernées par cette violation.

 

Qu’est-ce qu’une violation de données ?

Conformément aux trois principes de sécurité classiques, les violations de données peuvent être classées en trois catégories :

  • les «  violations de la confidentialité » : en cas de divulgation ou d’accès non autorisés ou accidentels à des données personnelles ;
Exemple  : vol de l’ordinateur portable professionnel d’un avocat contenant les dossiers de ses clients
  • les «  violations de l’intégrité » : en cas d’altération non autorisée ou accidentelle de données personnelles ;
Exemple  : un tiers non autorisé accède à un fichier et en modifie le contenu
  • les «  violations de la disponibilité » : en cas de destruction ou de perte accidentelle des données, ou si elles ne sont plus accessibles
Exemple  : une attaque rend complétement inexploitables les données d’une société en les cryptant
 

Qu’entend-on par « violation susceptible d’engendrer un risque pour les droits et libertés » ?

Dans certains cas, la violation peut n’avoir aucune conséquence sur les droits et libertés des personnes concernées.  Elle n’a alors pas à être notifiée à l’APDP.

Exemples  :
  • les données personnelles concernées par la violation sont déjà disponibles pour le public ; 
  • la suppression de données sauvegardées et immédiatement restaurées ;
  • la perte de données protégées par un algorithme de chiffrement à l’état de l’art, si la clé de chiffrement n’est pas compromise et si une copie des données reste disponible.
 

Quand procéder à la notification de la violation à l’APDP ?

Une fois qu’il a connaissance de la violation, le responsable du traitement doit la notifier à l’APDP dans les meilleurs délais, et si possible dans un délai maximum de 72 heures après en avoir pris connaissance.

 

Que doit contenir la notification faite à l’APDP ?

La notification faite à l’APDP doit contenir les informations suivantes :

  • la nature de la violation y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées par la violation ;
  • le nom et les coordonnées du délégué à la protection des données lorsque celui-ci a été désigné ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • les conséquences probables de la violation ;
  • les mesures prises ou celles que le responsable du traitement propose de prendre pour remédier à la violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
   

Dans quel cas la communication aux personnes concernées doit-elle être effectuée ?

Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit également communiquer cette violation à la personne concernée dans les meilleurs délais.

L’appréciation du risque élevé se fait à la lumière d’un incident particulier et repose sur les conséquences qui pourraient en découler.

Elle tient ainsi compte, notamment :

  • du type de violation ; 
  • du caractère sensible ou du volume des données ; 
  • de la facilité d’identification des personnes concernées ; 
  • de la gravité des conséquences pour les personnes concernées ;
  • de la probabilité qu’elle se reproduise.

La communication d’une violation de données n’a pas à être effectuée si l’une des 3 conditions suivantes est remplie : 

  • les données affectées  par la violation ont préalablement fait l’objet de mesures de protection technique et organisationnelle qui rendent lesdites données incompréhensibles pour toute personne n’étant pas autorisée à y accéder ;
Exemple  : chiffrement des données
  • le devoir d’informer individuellement la personne concernée nécessiterait des efforts disproportionnés ;
Exemple  : le responsable du traitement n’a aucune information permettant de contacter les personnes

Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

  • les mesures ultérieures prises par le responsable du traitement garantissent que le risque n’est plus susceptible de se matérialiser.
Exemple  : réinitialisation de mots de passe qui ont été volés

 

Que doit contenir l’information faite aux personnes concernées ?

L’information aux personnes concernées doit décrire la nature de la violation en des termes clairs et doit contenir les informations suivantes :

  • le nom et les coordonnées du délégué à la protection des données lorsque celui-ci a été désigné ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • les conséquences probables de la violation ;
  • les mesures prises ou celles que le responsable du traitement propose de prendre pour remédier à la violation.
   

Quelle est la sanction encourue en cas de manquement à l’obligation de notifier une violation de données ?

L’article 53 de la Loi prévoit que le manquement à l’obligation de notifier une violation de données est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

En vertu de l’article 2 de la Loi, le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».

Les obligations du sous-traitant ont été renforcées par la nouvelle législation et celui-ci doit désormais présenter des garanties suffisantes au regard des principes de protection des données.

Si le sous-traitant doit coopérer avec l’APDP, à la demande de celle-ci, dans l’exécution de ses missions et apporter son assistance au responsable du traitement, il est également soumis, tout comme ce dernier, à un grand nombre des nouveaux outils d’autorégulation mis en place par la nouvelle Loi.

Dès lors qu’un responsable du traitement a recours à un sous-traitant, ce dernier doit présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à assurer la protection des données personnelles et le respect des droits des personnes concernées

Tout recours à un sous-traitant doit être régi par un contrat dont les clauses minimales sont prévues à l’article 26.

Ce contrat doit définir :

  • l’objet et la durée du traitement ;
  • la nature et la ou les finalités du traitement ;
  • le type de données personnelles et les catégories de personnes concernées ;
  • les obligations et les droits du responsable du traitement.
 

Quelles sont les obligations prévues dans le contrat de sous-traitance ?

Parmi les mentions que doit contenir le contrat de sous-traitance, figurent les obligations suivantes :

  • le sous-traitant ne doit traiter les données personnelles que sur instruction documentée du responsable du traitement ;
  • le sous-traitant veille au respect de la confidentialité des données ;
  • le sous-traitant prend toutes les mesures requises en matière de sécurité des données personnelles ;
  • le sous-traitant, selon le choix du responsable du traitement, supprime toutes les données personnelles ou les renvoie au responsable du traitement au terme de la prestation de services, et détruit les copies existantes à moins que le droit auquel il est soumis n’exige la conservation des données à caractère personnel ;
  • le sous-traitant aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus par la Loi ;
  • le sous-traitant met à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations ;
  • compte tenu de la nature du traitement et des informations à sa disposition, le sous-traitant apporte son concours au responsable du traitement pour garantir le respect des obligations liées :
    • aux mesures techniques et organisationnelles appropriées à prendre ;
    • aux notifications de violations de données ;
    • aux analyses d’impact.

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation de la Loi.

Il ne peut lui-même sous-traiter un traitement à un tiers qu’avec l’autorisation écrite préalable du responsable du traitement, spécifique ou générale, et dans le respect des dispositions énoncées à l’article 26 de la Loi.

Lorsqu’un sous-traitant a recours à un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, ils concluent un contrat qui prévoit les mêmes obligations dans cette matière que celles fixées dans le contrat conclu entre le responsable du traitement et le sous-traitant.

Enfin, le sous-traitant est considéré comme responsable du traitement, si en violation de la Loi, il détermine les finalités et les moyens du traitement.

Le représentant est la personne physique ou morale établie sur le territoire de la Principauté, ou à défaut, au sein d’un Etat membre de l’Union européenne, mandatée par un sous-traitant situé hors de Monaco, pour être le contact à la fois des personnes concernées par le traitement et de l’APDP, afin de répondre à toutes questions.

Sa désignation est obligatoire dès lors qu’un sous-traitant, non établi à Monaco :

  • propose des produits ou des services à des personnes situées sur le territoire de la Principauté ;
  •  met en œuvre des traitements relatifs au suivi de leur comportement.

La désignation d’un représentant se fait par tous moyens écrits.

Cette obligation n’est pas générale et comporte 3 exceptions :

  •  le traitement est occasionnel et n’implique pas un traitement à grande échelle de données sensibles ;
  •  le traitement est relatif à des condamnations pénales ou à des infractions ;
  •  le responsable du traitement est une personne morale de droit public ou un organisme public.
 

Quelle est la sanction encourue en cas de manquement à l’obligation de nommer un représentant ?

L’article 53 prévoit que le manquement à l’obligation de nommer un représentant est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Un sous-traitant doit tenir un registre des activités de traitement effectuées sous sa responsabilité dès lors qu’il compte au moins 50 salariés.

Ce seuil de 50 salariés ne s’applique toutefois pas dans 4 cas :

  • si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ;
Exemple : mise en place d’un dispositif de géolocalisation.
  •  si le traitement n’est pas occasionnel ;
Exemple : gestion des fichiers clients
  • si le traitement porte sur des données sensibles ;
Exemple : données de santé
  • si le traitement porte sur des données personnelles relatives à des infractions, des condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites.
Exemple : traitement relatif à la lutte anti-blanchiment.

Le registre tenu par le sous-traitant a vocation à remplacer une grande partie des formalités préalables qui étaient instituées par la Loi n° 1.165 du 23 décembre 1993, modifiée.

 

Que doit contenir le registre des activités ?

Le chiffre 2 de l’article 27 de la Loi prévoit que le registre tenu par le sous-traitant doit a minima contenir les indications suivantes :

  • le nom et les coordonnées du sous-traitant et de chaque responsable du traitement pour le compte duquel il agit, ainsi que, le cas échéant, le nom et les coordonnées du représentant du responsable du traitement ou du sous-traitant et du délégué à la protection des données ;
  •  les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
  • dans la mesure du possible, une description générale des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes physiques ;
  • en cas de transfert de données personnelles hors de la Principauté, l’identification du pays destinataire, du territoire ou de l'organisation internationale et, le cas échéant, les garanties prévues.
 

Quelle est la sanction encourue en cas de manquement à l’obligation de tenir un registre des traitements ?

L’article 53 prévoit que le manquement à l’obligation de tenir un registre des traitements est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Obligatoire dans certains organismes et souvent recommandé dans d’autres, le Délégué à la protection des données (DPD) facilite le respect de la législation en matière de protection des données et agit à la fois comme l’interlocuteur privilégié pour toutes les questions relatives aux données personnelles, qu’elles soient internes ou bien qu’elles émanent d’une personne concernée, et comme le correspondant de l’Autorité de protection.

L’article 29 de la Loi prévoit qu’à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles, la désignation d’un DPD est obligatoire dans les cas suivants :

  • le traitement de données est effectué par une personne morale de droit public ou une personne morale de droit privé investie d’une mission d’intérêt général ou concessionnaire de service public ;
  • les activités de base du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
Exemple : le sous-traitant fournit des services d’analyse de sites Internet qui incluent le suivi de l’activité des Internautes. Lorsqu’il fournit ces services à un grand nombre de clients il devra nommer un DPD, alors que ses clients n’auront pas nécessairement à le faire
  • les activités de base du sous-traitant consistent en un traitement à grande échelle de données sensibles ou de données à caractère personnel relatives à des condamnations pénales ou à des infractions.
Exemple : traitement des données de personnes physiques pour le compte de plusieurs compagnies d’assurance, dont des données de santé
   

Quelles sont les missions du Délégué à la protection des données ?

Les missions du Délégué à la protection des données sont au nombre de 5 :

  • informer et conseiller l’organisme ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la législation en vigueur en Principauté ;
  • contrôler le respect de la législation en matière de protection des données personnelles ainsi que les règles internes de l’organisme en matière de protection des données personnelles, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant  ;
  • dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données personnelles ;
  • coopérer avec l’Autorité de protection et être son correspondant sur les questions relatives au traitement ;
  • présenter à l’Autorité de protection les demandes d’avis lorsqu’elles portent sur les traitements suivants :
    • les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
    • les traitements mis en œuvre par les autorités administratives et judiciaires, agissant dans le cadre de leurs prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.
 

Quelles sont les qualifications requises pour être nommé Délégué à la protection des données ?

Le Délégué à la protection des données doit en particulier disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données.

Il doit également être désigné sur la base de sa capacité à accomplir ses missions. Ce niveau d’expertise doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par l’organisme.

Il est important par ailleurs que le Délégué à la protection des données ait une bonne compréhension des opérations de traitement effectuées par l’organisme, des systèmes d’informations utilisés par ledit organisme et des besoins de celui-ci en matière de protection des données.

L’organisme doit également permettre au Délégué à la protection des données d’entretenir et compléter ses compétences et connaissances (formation continue, participation à des ateliers, …) pendant toute la durée de sa mission.

 

Quelle est la sanction encourue en cas de manquement à l’obligation de nommer un Délégué à la protection des données ?

L’article 53 de la Loi prévoit que le manquement à l’obligation de nommer un Délégué à la protection des données est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

L’article 31 de la Loi précise les obligations de sécurité mises à la charge du sous-traitant.

Celui-ci doit ainsi prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes concernées. 

L’adoption de ces mesures nécessite une analyse permettant d’identifier les risques puis de déterminer leur niveau de probabilité et de gravité.

 

Quels sont les risques pour les droits et libertés des personnes physiques ?

Conformément à l’article 31 de la Loi ces risques sont notamment :

  • la destruction de données ;
  • la perte de données ;
  • l’altération de données ,
  • la divulgation non autorisée de données ;
  • l’accès non autorisé à des données personnelles.

 Ces risques peuvent se produire de manière accidentelle ou illicite.

 

Quelles mesures appropriées peuvent être prises ?

A titre d’exemples, l’article 31 de la Loi prévoit que le sous-traitant peut prendre les mesures suivantes :

  • la pseudonymisation et le chiffrement des données ;
  • tout moyen permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ;
Exemple : contrôle d’accès aux installations
  • tout moyen permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • la mise en place d’une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Les codes de conduite font partie des nouveaux outils de conformité mis en place par la nouvelle législation (article 33).

Ils sont élaborés par les associations et organismes professionnels représentant des catégories de responsables du traitement ou de sous-traitants.

Ils permettent ainsi de répondre, dans un secteur particulier, aux besoins opérationnels des professionnels dans leurs démarches de conformité en matière de protection des données, en fournissant une description détaillée de l’ensemble des comportements les plus appropriés et les plus éthiques.

Il s’agit d’une démarche volontaire qui encourage les professionnels d’un secteur donné à adopter des bonnes pratiques et usages (par exemple : des mesures de sécurité spécifiques) et à démontrer, auprès des personnes concernées et autres acteurs, le respect des dispositions applicables aux traitements de données personnelles.

Une fois élaborés, les codes de conduite applicables à Monaco sont transmis à l’APDP pour validation et publication.

Toute modification ultérieure d’un code ou, le cas échant, sa prorogation doit être transmise à l’APDP qui vérifie alors que ledit code offre toujours des garanties de protection appropriées.

Les codes de conduite, leurs modifications et, le cas échéant, leurs prorogations sont répertoriés par l’APDP dans un registre accessible au public.

Il est important de noter que lorsqu’ un code de conduite a déjà été approuvé par une autorité de protection étrangère, le responsable du traitement ou le sous-traitant doit le transmettre à l’APDP afin que celle-ci vérifie que les dispositions dudit code contiennent les garanties appropriées au regard de la Loi.

L’application des codes de conduite, une fois que ceux-ci sont approuvés et publiés, revêt un caractère obligatoire pour leurs adhérents.

L’adhésion à un code de conduite fait partie des garanties appropriées qui permettent à un responsable du traitement ou un sous-traitant d’effectuer un transfert vers un Etat, un territoire ou une organisation internationale ne présentant pas un niveau de protection adéquat.

La certification permet de démontrer que les opérations de traitement effectuées par les responsables du traitement ou les sous-traitants respectent la Loi.

C’est un outil de conformité juridiquement contraignant, pour ceux qui choisissent de s’engager dans cette démarche. 

Ainsi, le candidat à la certification s’engage à :

  • respecter les critères approuvés par l’APDP et
  • maintenir cette conformité aux critères pendant toute la durée de validité de son certificat

Comme pour la mise en place de codes de conduite, il s’agit d’une démarche volontaire.

En vertu de l’article 34 de la Loi, la procédure de certification peut être mise en œuvre par l’APDP ou par des organismes indépendants agréés par l’APDP

Tout organisme demandant l’agrément doit :

  •  justifier d’une expertise  au regard de l’objet de la certification et
  • répondre à des critères définis par arrêté ministériel sur proposition de l’APDP.

Si ces garanties sont apportées, l’APDP agrée l’organisme pour une durée 5 ans renouvelable.

Celui-ci est alors habilité à délivrer une certification attestant que le responsable du traitement ou le sous-traitant respecte les dispositions de la Loi et les textes règlementaires pris pour son application.

L’APDP peut reconnaître des certifications délivrées par un organisme agréé d’un pays membre de l’Union européenne ou justifiant d’un niveau de protection adéquat.

Cette possibilité permet de faciliter l’accès au marché monégasque pour les acteurs certifiés à l’étranger.

La certification fait partie des garanties appropriées qui permettent à un responsable du traitement ou un sous-traitant d’effectuer un transfert vers un Etat, un territoire ou une organisation internationale ne présentant pas un niveau de protection adéquat.

Les données sensibles sont des données personnelles particulières en raison de leur caractère hautement privé, susceptibles de conduire à des discriminations si elles sont révélées ou traitées pour des finalités ou selon des modalités ne garantissant pas à la personne concernée une protection de ses droits et libertés. 

Sont ainsi considérées comme des données sensibles : 

  • les opinions ou appartenances politiques ;
  • les origines raciales ou les origines ethniques 
  • les convictions religieuses ;
  • les convictions philosophiques ;
  • l’appartenance syndicale ;
  • les données génétiques ;
  • les données biométriques à des fins d’identification ;
  • les données concernant la santé ;
  • les données concernant la vie sexuelle ;
  • les données concernant l’orientation sexuelle.

L’article 7 de la Loi pose le principe de l’interdiction de traitement des données sensibles.

13 situations dérogatoires, dont 6 figuraient déjà dans la Loi n° 1.165 du 23 décembre 1993, modifiée, permettent toutefois la collecte de ces données :

  • la personne concernée a donné son consentement explicite au traitement de ses données personnelles ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où celle-ci ne peut pas donner son consentement  en raison d’une altération de ses facultés, d’une incapacité physique ou juridique ou d’une impossibilité matérielle ;
  • le traitement concerne les membres d’une institution ecclésiale ou d’un groupement à caractère politique, religieux, philosophique, humanitaire ou syndical, à condition que le traitement se rapporte aux seuls membres ou anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les informations ne soient pas communiquées à des tiers sans le consentement des personnes concernées ;
  • le traitement porte sur des données personnelles manifestement rendues publiques par la personne concernée ;
  • le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
  • le traitement est justifié par des motifs d’intérêt public important prévus par le droit monégasque qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;
  • le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de l’aptitude du travailleur, de diagnostics médicaux, de l’administration de soins, de médications ou de la gestion des services de santé et de prévoyance sociale ou dans l’intérêt de la recherche ou dans le domaine de la santé publique, lorsque le traitement de ces données est effectué par un professionnel de santé soumis au secret professionnel ou par une autre personne également soumise au secret professionnel ;
  • le traitement est réalisé à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • le traitement est mis en œuvre par l’employeur et porte sur des données biométriques strictement nécessaires aux contrôles de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux employés ;
  • le traitement est nécessaire à l’exécution des obligations et à l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
  • le traitement est mis en œuvre par l’Institut Monégasque de la Statistique et des Etudes Economiques dans le cadre de l’établissement des seules études et enquêtent qui le nécessitent ;
  • le traitement, uniquement lorsqu’il est effectué par une Autorité administrative ou judiciaire compétente agissant dans le cadre des missions qui lui sont légalement conférées :
    • est mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ;
    • porte sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ;
    • intéresse la sécurité nationale.
  • le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit monégasque qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, dont notamment le secret professionnel.

Un transfert de données est tout flux de données vers un pays, un territoire ou une organisation internationale hors Principauté.

Il peut s’agir d’un transfert physique ou d’un accès à distance (délocalisation des traitements par exemple), que ce soit à l’intérieur d’un groupe ou à destination d’un tiers.

Le Chapitre VIII de la Loi est composé de six articles qui recouvrent des situations différentes de transfert de données personnelles hors de la Principauté.

L’article 97 de la Loi pose ainsi le principe selon lequel tout transfert de données personnelles hors de la Principauté peut s’effectuer sans aucune formalité préalable dès lors que la législation ou la règlementation des données personnelles du pays, du territoire ou de l’organisation internationale destinataire dispose d’un niveau de protection adéquat constaté par la Principauté.

La liste des pays, territoires et organisations internationales présentant un niveau de protection adéquat est adopté par le Gouvernement par arrêté ministériel.

L’APDP est consultée préalablement pour avis.

Cette liste est régulièrement mise à jour. Elle est publiée au Journal de Monaco et sur le site Internet de l’APDP.

Lorsque le pays, le territoire ou l’organisation internationale destinataire des données ne figure pas sur la liste de pays assurant un niveau de protection adéquat, les autres scénarios prévus dans cette rubrique sont alors à envisager.

Ces garanties sont au nombre de 5 :

  • le respect d’un engagement exécutoire dans la Principauté
  • l’utilisation de clauses types de protection préalablement approuvées par l’APDP
  • le respect des règles d’entreprises contraignantes approuvées par l’APDP ou par une autorité chargée de la protection des données relevant d’un Etat qui assure un niveau de protection adéquat

Définition des règles d’entreprises contraignantes (article 2 de la Loi) : 

« les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire de la Principauté pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi à l’étranger au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe ».

  • un mécanisme de certification mis en œuvre par l’APDP ou par des organismes indépendants agréés par elle 
  • l’adhésion à un code de conduite approuvé et publié par l’APDP.

En l’absence d’un niveau de protection adéquat et de garanties appropriées, l’article 99 de la Loi prévoit des dérogations afin de permettre néanmoins un transfert de données vers un pays, un territoire ou une organisation internationale ne disposant pas d’un niveau de protection adéquat.

Ces dérogations sont au nombre de 7 :

  • la personne à laquelle se rapportent les données a explicitement consenti à leur transfert après avoir été informée de l’absence du niveau de protection ou de garanties appropriées et de la nature des risques introduits par cette absence ;
Exemple : un internaute a consenti par le biais d’une case à cocher au transfert de ses données vers les Etats-Unis à des fins statistiques après avoir été au préalable dûment informé de ce transfert par un bandeau d’information
  • le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
Exemple : partage de données personnelles par les proches d’une victime d’un tremblement de terre survenu au Pérou avec les autorités en charge des secours sur place
  • pour des motifs importants d’intérêt public ;

Dans le cadre de cette dérogation, l’APDP peut demander au responsable du traitement ou au sous-traitant toute information pertinente.

  • si le transfert est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice ;
Exemple : communication de pièces dans le cadre d’une enquête anti-trust
  • pour la consultation d’un registre public prévu par la loi, destiné à l’information du public et ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;
Exemple : registre des sociétés
  • si le transfert est nécessaire à l’exécution d’un contrat entre le responsable du traitement ou son représentant et la personne concernée ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
Exemple : le transfert par une agence de voyage des données personnelles de ses clients à des hôtels situés en Asie dans le cadre de l’organisation de séjours à l’étranger 
  • si le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement ou son représentant et un tiers.

ATTENTION : Seules 4 de ces 7 dérogations sont applicables aux activités des autorités publiques dans l’exercice de leurs prérogatives de puissance publique, à savoir :

  •   la sauvegarde des intérêts vitaux ;
  •   des motifs importants d’intérêt public ;
  •   la constatation, l’exercice ou la défense d’un droit en justice ;
  •   la consultation d’un registre public.

En l’absence de niveau de protection adéquat et de garanties appropriées et si aucune des dérogations prévues aux chiffres 1 et 2 de l’article 99 n’est applicable, un transfert de données vers un pays , un territoire ou une organisation internationale ne disposant pas d’un niveau de protection adéquat est possible, si les 4 conditions suivantes sont réunies : 

  • le transfert ne revêt pas de caractère répétitif ;

Le transfert ne doit pas être effectué dans le cadre du déroulement normal des  opérations au sein d’une entité.  

Exemple : un accès donné à un fichier dans le cadre d’une action en justice
  • le transfert ne touche qu’un nombre limité de personnes ;

Cette condition s’appréciera au cas par cas mais le nombre doit être suffisamment faible compte tenu du type de   transfert.

Exemple : seules les données des salariés travaillant dans le Service  informatique d’une banque sont transférées
  • le transfert est nécessaire aux fins d’intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée ;
Exemple : le transfert est nécessaire pour protéger l’organisation contre un risque immédiat grave
  • des garanties appropriées ont été prises.
Exemple : suppression des données dès que possible après le transfert

L’APDP doit être informée de ce transfert.

ATTENTION : Cette exception prévue au chiffre 3 de l’article 99 de la Loi n’est pas applicable aux activités des Autorités publiques dans l’exercice de leurs prérogatives de puissance publique.

Si :

  • le transfert des données est à destination d’un pays, territoire ou organisation internationale n’assurant pas un niveau de protection adéquat, et
  •  des garanties appropriées n’ont pas été mises en place, et
  • aucune des dérogations prévues à l’article 99 de la Loi ne s’applique, et
  • les 4 conditions prévues par le chiffre 3 de l’article 99 ne sont pas réunies,

le responsable du traitement ou le sous-traitant doit demander l’autorisation préalable de l’APDP.

Ce transfert sera autorisé si :

  • des garanties appropriées autres que celles visées précédemment ont été prises, 

Ou 

  • des clauses contractuelles spécifiques entre le responsable du traitement et le sous-traitant ou entre l’un de ceux-ci et le responsable du traitement, le sous-traitant et le destinataire de ces données ont été prévues. 

L’APDP se prononce dans un délai de 2 mois à compter de la réception de la demande d’autorisation.

Ce délai peut être renouvelé une fois sur décision motivée du Président.

ATTENTION : Si à l’expiration de ce délai, l’autorisation n’a pas été délivrée par l’APDP, ladite autorisation est réputée refusée.

En vertu de l’article 54 de la Loi le manquement aux obligations relatives aux transferts de données hors Principauté est puni d’une amende administrative ne pouvant excéder 10.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu

Si la nouvelle législation est d’application immédiate, l’article 109 prévoit cependant des délais de mise en conformité pour certaines obligations.

L’article 109 de la Loi traite de 3 cas de figure :

 

Les traitements régulièrement mis en œuvre sous l’empire de la Loi 1.165 du 23 décembre 1993

Les responsables de traitement disposent d’un délai d’un an à compter de l’entrée en vigueur de la nouvelle Loi pour se mettre en conformité avec les dispositions du Chapitre II portant sur les principes relatifs à la qualité des données et aux conditions de licéité des traitements de données à caractère personnel « sous réserve que lesdits traitements n’aient pas été modifiés de manière substantielle ».

Cela signifie que les traitements ayant été précédemment soumis à la CCIN, pour lesquels un récépissé, un avis favorable ou encore une autorisation ont été délivrés par la CCIN, et dont les caractéristiques essentielles ne sont pas modifiées, peuvent se poursuivre mais doivent se conformer aux principes énoncés par les dispositions du Chapitre II de la nouvelle Loi, sous un délai d’un an.

 

Les délais de mise en conformité concernant les nouvelles obligations incombant aux responsables de traitement 

Le deuxième alinéa de l’article 109 concerne les responsables de traitement et les sous-traitants « ayant mis en œuvre régulièrement auprès de la Commission de Contrôle des Informations Nominatives des traitements de données à caractère personnel avant la date d’entrée en vigueur de la présente loi, et dont l’exploitation se poursuit après son entrée en vigueur ». 

 Ils « disposent, à compter de cette date, d’un délai d’un an pour se mettre en conformité avec les obligations prévues aux articles 27, 28, 29, 30 et au quatrième alinéa de l’article 31 ».

Ainsi les responsables de traitement et les sous-traitants disposent à compter de l’entrée en vigueur de la nouvelle Loi d’un délai d’un an pour s’acquitter de leurs nouvelles obligations suivantes : 

  • la tenue d’un registre des activités de traitement (article 27) ;
  • la désignation d’un Délégué à la Protection des Données (DPD) (articles 28 et 29) ; 
  • l’obligation de fournir au DPD toutes les ressources nécessaires pour qu’il puisse exercer correctement ses missions, et la communication à l’APDP des coordonnées du DPD (article 30) ;
  • la mise en œuvre du respect des obligations de sécurité par le responsable de traitement ou le sous-traitant dans le cadre d’une adhésion à un code de conduite ou d’un mécanisme de certification (quatrième alinéa de l’article 31). 
NB : la CCIN / APDP précise que la mise en œuvre d’un code de conduite ou d’un mécanisme de certification est facultative et ne doit pas obligatoirement se faire dans le délai d’un an à compter de l’entrée en vigueur de la nouvelle législation. De plus les obligations de mise en place des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données personnelles adapté aux risques pour les droits et libertés des personnes concernées sont d’application immédiate.
             

Cas spécifique de l’analyse d’impact (article 35) :

Concernant les analyses d’impact, qui figurent parmi les nouvelles obligations incombant aux responsables de traitements, « ce délai est porté à 3 ans pour les responsables du traitement afin de procéder à l’analyse d’impact prévue à l’article 35 au titre de la réévaluation des risques ».

Il est important de souligner que « pour les opérations de traitements les plus sensibles entraînant un risque élevé pour les droits et libertés des personnes concernées » une analyse d’impact doit être menée par le responsable de traitement. 

Pour mener cette analyse d’impact, le responsable de traitement dispose donc de trois ans lui permettant ainsi de procéder à une évaluation des risques liés au traitement des données à caractère personnel des personnes concernées et de déterminer de façon précise les mesures nécessaires pour y faire face.

 

Les délais de mise en conformité pour les traitements relevant de l’article 64 de la Loi 

Le troisième cas concerne la mise en conformité des traitements visés à l’article 64 qui concerne « les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

NB : Cet article ne concerne que les Autorités administratives et judiciaires compétentes dans le cadre exclusif des missions qui leur sont légalement conférées. (Traitements dits Police/Justice)

Dès lors, à compter de l’entrée en vigueur de la nouvelle Loi, les responsables de traitement concernés disposent de trois ans pour mettre leurs traitements en conformité avec les dispositions des articles 69 (distinction des différentes catégories de personnes concernées par les traitements : victimes, suspects, …) et 70 (journalisation des accès aux traitements concernés).

De plus, « ce délai n’est pas applicable aux traitements déjà soumis à l’obligation de journalisation ». 

Abonnez-vous à la lettre d’information