Search results

FAQS
< Retour
< Retour
< Retour
< Retour
< Retour
< Retour

Obligations des professionnels

La Loi n° 1.565 du 3 décembre 2024 prévoit un certain nombre d’obligations à la charge des responsables du traitement, dont un grand nombre s’impose également aux sous-traitants.

 

Obligations communes aux responsables du traitement et sous-traitants

 

Obligation de nommer un représentant :  tout responsable du traitement ou sous-traitant non établi à Monaco, doit, sauf exceptions prévues par la Loi, nommer un représentant en Principauté ou, à défaut, au sein d’un Etat membre de l’Union européenne, dès lors qu’il :

  • propose des produits ou des services à des personnes situées sur le territoire de la Principauté ;
  • met en œuvre des traitements relatifs au suivi de leur comportement.

Cette personne sera le contact à la fois des personnes concernées par le traitement et de l’APDP, afin de répondre à toutes questions.

[Pour plus d’informations, voir la fiche pratique Les acteurs clés de la protection des données en Principauté]

Obligation de tenir un registre des activités de traitement :  tout responsable du traitement ou sous-traitant doit, sauf exceptions prévues par la Loi, tenir un registre des activités de traitement effectuées sous sa responsabilité dès lors qu’il compte au moins 50 salariés.

ATTENTION ce seuil de 50 salariés ne s’applique pas notamment si le traitement n’est pas occasionnel (exemple de traitement occasionnel : envoi d’emailing dans le cadre spécifique du lancement d’un nouveau produit).

Ce registre a vocation à remplacer une grande partie des formalités préalables qui étaient instituées par la Loi n° 1.165 du 23 décembre 1993, modifiée.

[Pour plus d’informations, voir la FAQ Quelles sont les obligations du responsable du traitement ? et Quelles sont les obligations du sous-traitant ?]

Obligation de nommer un Délégué à la protection des données :  obligatoire dans certains organismes et souvent recommandé dans d’autres, le Délégué à la protection des données (DPD) facilite le respect de la législation en matière de protection des données et agit à la fois comme l’interlocuteur privilégié pour toutes les questions relatives aux données personnelles, qu’elles soient internes ou bien qu’elles émanent d’une personne concernée par un traitement effectué, et comme le correspondant de l’Autorité de protection.

[Pour plus d’informations, voir la fiche pratique Fiche métier du Délégué à la Protection des Données]

Obligation de garantir un niveau de sécurité adapté aux risques :  tout responsable du traitement ou sous-traitant doit prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes physiques.

L’adoption de ces mesures nécessite une analyse permettant d’identifier les risques puis de déterminer leur niveau de probabilité et de gravité.

[Pour plus d’informations, voir la FAQ Quelles sont les obligations du responsable du traitement ? et Quelles sont les obligations du sous-traitant ?]

Obligation d’encadrer tout recours à la sous-traitance : dès lors qu’un responsable du traitement a recours à un sous-traitant, ce dernier doit présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à assurer la protection des données personnelles et le respect des droits des personnes concernées.

Tout recours à un sous-traitant doit être régi par un contrat qui se présente sous une forme écrite dont les clauses minimales sont prévues à l’article 26 de la Loi n° 1.565 du 3 décembre 2024.

[Pour plus d’informations, voir la fiche pratique Les acteurs clés de la protection des données en Principauté]

 

Obligations propres aux Responsables du traitement

Obligation d’assurer la protection des données dès la conception :  le responsable du traitement doit mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de protection élevé des données à caractère personnel.

[Pour plus d’informations, voir la FAQ Quelles sont les obligations du responsable du traitement ?]

Obligation d’assurer la protection des données par défaut :  le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles pour s’assurer que seules les données personnelles qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

[Pour plus d’informations, voir la FAQ Quelles sont les obligations du responsable du traitement ?]

Obligation de procéder à une analyse d’impact lorsqu’un traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées : l’analyse d’impact relative à la protection des données (AIPD ou DPIA anglais) est une étude dont l’objectif est de déterminer et d’analyser la façon dont la confidentialité, la sécurité ou encore la disponibilité des données serait affectée par une action ou une activité donnée.

[Pour plus d’informations, voir la FAQ Quelles sont les obligations du responsable du traitement ?]

Obligation de notifier les violations de données : le Responsable du traitement doit notifier à l’APDP toute violation des données à caractère personnel dont il a connaissance dès lors que celle-ci est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

Cette notification doit se faire dans les meilleurs délais, et si possible dans un délai maximum de soixante-douze heures après en avoir pris connaissance.

Ladite notification peut également être accompagnée, dans certains cas, d’une communication auprès des personnes concernées par cette violation.

[Pour plus d’informations, voir la fiche pratique Les notifications de violations de données]

Obligation de soumettre certains traitements à l’APDP : si dans un souci de responsabilisation, un très grand nombre de traitements ne font plus l’objet de formalités auprès de l’APDP, des exceptions demeurent.

Sont ainsi soumis à l’avis préalable de l’APDP, trois catégories de traitements présentant une sensibilité particulière :

  • les traitements mis en œuvre par les autorités administratives et judiciaires compétentes, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
  • les traitements portant sur des données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes, mis en œuvre par les autorités administratives et judiciaires agissant dans le cadre de leurs prérogatives de puissance publique ;
  • les traitements ayant pour fin la recherche dans le domaine de la santé.

Sont par ailleurs soumis à l’autorisation préalable de l’APDP, certains transferts de données à destination d’un pays, un territoire ou une organisation internationale n’assurant pas un niveau de protection adéquat.

 

Enfin, l’article 85 de la Loi prévoit que les systèmes de vidéosurveillance installés dans les lieux non ouverts au public sont portés, sans délai, à la connaissance de l’APDP.

Au sens de l’exposé des motifs, un lieu non ouvert au public est « par exemple un lieu privé, (domicile, garage, …) ou des locaux à usage professionnel tels que les bureaux   ou les entrepôts ».

 

Obligations renforcées en matière de droit des personnes concernées

Les droits des personnes concernées ont été renforcés, notamment le droit à l’information qui a été étoffé et le droit d’accès qui prévoit que le responsable du traitement doit fournir à toute personne en faisant la demande une copie des données personnelles faisant l’objet d’un traitement.

Par d’ailleurs de nouveaux droits ont été ajoutés (droit à la limitation du traitement, droit à la portabilité et droit de ne pas ne pas faire l’objet d’une décision produisant des effets juridique).

Abonnez-vous à la lettre d’information
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.