Search results

FAQS

Obligation de soumettre préalablement à leur mise en œuvre certains traitements à l’APDP

Obligation de soumettre préalablement à leur mise en œuvre certains traitements à l’APDP

APDP | 23 janvier 2025

Si dans une logique de responsabilisation des responsables du traitement, un très grand nombre de traitements ne font plus l’objet de formalités auprès de l’APDP, des exceptions demeurent.

Sont ainsi soumis à l’avis préalable de l’APDP, trois catégories de traitements présentant une sensibilité particulière :

  • les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
  • les traitements portant sur des données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ;
Pour ces deux premières catégories de traitements, ne sont concernées par cette obligation de formalités préalables que les Autorités administratives et judiciaires compétentes dans le cadre exclusif des missions qui leur sont légalement conférées.
  • les traitements ayant pour fin la recherche dans le domaine de la santé.

Est par ailleurs soumis à l’autorisation préalable de l’APDP, le transfert de données à destination d’un Etat, d’un territoire ou d’une organisation internationale n’assurant pas un niveau de protection adéquat lorsque :

  • des garanties appropriées n’ont pas été mises en place, et
  • aucune des dérogations prévues à l’article 99 de la Loi ne s’applique, et
  • les 4 conditions prévues par le chiffre 3 de l’article 99 ne sont pas réunies.

 

Cas particulier des systèmes de vidéosurveillance :

L’article 85 de la Loi prévoit en outre que les systèmes de vidéosurveillance installés dans les lieux non ouverts au public sont portés, sans délai, à la connaissance de l’APDP.

Au sens de l’exposé des motifs, un lieu non ouvert au public est « par exemple un lieu privé, (domicile, garage,…) ou des locaux à usage professionnel tels que les bureaux ou les entrepôts ».

S’agissant plus particulièrement des domiciles, ou tout autre lieu affecté à un usage personnel ou domestique, la déclaration auprès de l’APDP doit être effectuée uniquement si des personnes extérieures au cercle familial ou amical interviennent au domicile ex : gens de maison, aides à domicile.

Les systèmes de vidéosurveillance installés dans des lieux ouverts au public ou filmant les abords de voie publiqued’espaces ouverts au public ou à la circulation du public, restent quant à eux soumis à l’autorisation préalable du Ministre d’Etat.

Au sens de l’exposé des motifs, les lieux ouverts au public sont par exemple « un restaurant, une galerie commerciale, ou un guichet d’administration ».

 

Que doit contenir la demande d’avis ou d’autorisation ?

Les demandes d’avis et d’autorisation soumises à l’APDP doivent impérativement comporter les mentions suivantes :

  • le nom et les coordonnées professionnelles du responsable du traitement ou de son représentant à Monaco ;
  • le fondement juridique du traitement et, le cas échéant, le projet d’arrêté ministériel ou le projet d’arrêté du Secrétaire d’Etat à la Justice, Directeur des Services Judiciaires ;
  • la ou les finalité(s) des traitements ;
  • la dénomination, s’il y a lieu, du traitement ;
  • les catégories de données personnelles traitées, leur origine et les catégories de personnes concernées par le traitement ;
  • la durée de conservation des données personnelles traitées ou, en cas d’impossibilité, les critères utilisés pour déterminer cette durée ;
  • le ou les service(s) chargé(s) de la mise en œuvre du traitement ;
  • l’analyse des risques relative à la sécurité des traitements, y compris les mesures de sécurité ;
  • l’autorité ou la fonction de la personne ou le service auprès de laquelle/duquel s’exerce le droit d’accès ainsi que les mesures prises pour faciliter l’exercice de ce droit ;
  • les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont accès aux données personnelles ;
  • les destinataires ou catégories de destinataires habilités à recevoir communication des données personnelles ;
  • le cas échéant, les interconnexions, les rapprochements, ou toute autre forme de mise en relation avec d’autres traitements ;
  • le cas échéant, l’identité et l’adresse du sous-traitant ;
  • le cas échéant, les transferts de données hors de la Principauté et les garanties appropriées encadrant lesdits transferts.

Pour les traitements effectués dans le cadre d’une recherche impliquant la personne humaine, le dossier présenté à l’appui de la demande d’avis, doit également comporter les mentions suivantes :

  • la mention de l’objectif de la recherche ;
  • la population concernée ;
  • la méthode d’observation ou d’investigation retenue ;
  • la justification du recours aux données personnelles ;
  • la durée et les modalités d’organisation de la recherche ;
  • la méthode d’analyse des données ;
  • le cas échéant, une copie de l’avis émis par le comité compétent en application de la législation relative à la protection des personnes se prêtant à la recherche biomédicale.

L’APDP doit être tenue informée de tout changement affectant les informations contenues dans ces demandes d’avis et demandes d’autorisation.

 

 

Quel est le délai de réponse de l’APDP ?

L’APDP rend son avis dans un délai de deux mois à compter du dépôt du dossier de demande d’avis .

Ce délai peut être renouvelé une fois sur décision motivée du Président de l’APDP.

Lorsque l’avis n’est pas rendu à l’expiration du délai, ledit avis est réputé favorable.

L’APDP tient à la disposition du public la liste de tous les traitements ayant fait l’objet de formalités auprès d’elle.

Abonnez-vous à la lettre d’information