Search results

FAQS

Aide et définitions

Toute opération, automatisée ou non, portant sur des données personnelles, telle que la collecte, la consultation ou la conservation d’informations.

Exemples :

– gestion administrative des salariés
– gestion de la messagerie professionnelle
– mise en place d’un site Internet
– vidéosurveillance des locaux

[Pour plus d’informations, voir Comment identifier vos activités de traitement ?]

La personne ou l’organe qui dispose du pouvoir de décision à l’égard des finalités et des moyens du traitement de données.

Exemple : une entreprise incarnée par son représentant légal (son président par exemple)

[Pour plus d’informations, voir la fiche pratique Les acteurs clés de la protection des données en Principauté]

Obligatoire dans certains cas, le Délégué à la protection des données (DPD) est la personne physique ou morale qui veille au respect de la législation en matière de protection des données. Il agit à la fois comme l’interlocuteur privilégié pour toutes les questions relatives aux données personnelles et comme le référent auprès de l’APDP.

[Pour plus d’informations, voir la fiche pratique Fiche métier du Délégué à la Protection des Données]

Champ à remplir uniquement si le responsable du traitement est établi en dehors de Monaco.

Le représentant est la personne physique ou morale établie sur le territoire de la Principauté, mandatée par ledit responsable du traitement. Son rôle est de servir de point de contact à la fois pour les personnes concernées par le traitement des données et pour l’APDP.

Exemple : la filiale monégasque d’une banque française

[Pour plus d’informations, voir la fiche pratique Les acteurs clés de la protection des données en Principauté]

Applicable uniquement dans les rares cas où une autre personne ou un autre organe détermine conjointement avec le responsable du traitement les finalités et les moyens du traitement.

Exemple : Deux boutiques en ligne collaborent pour créer une plateforme commune leur permettant de commercialiser leurs produits respectifs. Ensemble, elles décident des objectifs (promotion et vente des produits par exemples) et des moyens (collecte des données clients, modes de paiement par exemples.). Dans ce cas, elles sont responsables conjoints du traitement des données collectées via la plateforme.

[Pour plus d’informations, voir la fiche pratique Les acteurs clés de la protection des données en Principauté]

Objectif(s) pour le(s)quel(s) le traitement a été mis en œuvre.

Exemples :

Pour un dispositif de vidéosurveillance :
– assurer la sécurité des biens et des personnes (vols, dégradations, agressions, etc.)
– permettre la constitution de preuves en cas d’infraction

Pour un site Internet :
– présenter les produits et services proposés par la société
– fournir des informations sur les équipes et leurs compétences
– proposer une rubrique « contact » pour permettre des échanges avec les utilisateurs
– permettre l’inscription à une lettre d’information (« newsletter ») pour communiquer sur des actualités ou des promotions
– permettre la création de comptes clients pour des achats ou des services personnalisés

[Pour plus d’informations, voir la fiche pratique Les grands principes en matière de protection des données personnelles]

Activité qui implique, par exemple, au moyen d’outils d’analyse, l’observation, la collecte ou l’enregistrement de données à caractère personnel de manière systématique et non occasionnelle.

Exemples :

Surveillance des e-mails : un système qui déclenche des alertes automatiques lorsqu’un mot-clé est détecté lors de l’envoi des e-mails professionnels
Enregistrement des appels téléphoniques : dans un établissement bancaire, l’enregistrement des conversations dans le cadre de la relation d’affaires pour permettre la traçabilité des ordres
Mise en place d’un dispositif de vidéosurveillance : des caméras sont installées dans une boutique afin d’assurer la sécurité des biens et des personnes

Pour être licite, tout traitement de données doit impérativement reposer sur un des 6 fondements de licéité prévu à l’article 5 de la Loi n° 1.565 du 3 décembre 2024.

Exemples :

– le consentement de la personne concernée pour une ou plusieurs finalité(s) spécifique(s)
– la réalisation d’un intérêt légitime poursuivi par le responsable du traitement

[Pour plus d’informations, voir la fiche pratique Les grands principes en matière de protection des données personnelles]

Les personnes physiques dont les données sont collectées, utilisées, conservées,… par le traitement.

Exemples : salariés, clients, fournisseurs

[Pour plus d’informations, voir Glossaire]

Les données sensibles sont des données particulières de données personnelles, révélant des informations hautement privées ou intimes. Si ces données sont exposées ou utilisées à des fins ou selon des modalités ne garantissant pas la protection des droits et libertés de la personne concernée, des discriminations ou des atteintes graves à la vie privée pourraient être engendrées.

Exemples :

Données de santé : informations sur des antécédents médicaux, des diagnostics, des allergies, des traitements ou des handicaps, etc.
Opinions politiques : les affiliations ou positions d’une personne concernant un parti, un courant politique, etc.
Données biométriques : empreintes digitales, scans rétiniens, reconnaissance faciale, collectés à des fins d’identification unique

[Pour plus d’informations, voir Glossaire]

L’article 7 de la Loi n°1.565 du 3 décembre 2024 pose le principe de l’interdiction des données sensibles. Cependant, il prévoit 13 situations dérogatoires dans lesquelles la collecte et le traitement de ces données sont autorisés, sous réserve que ces conditions soient rigoureusement respectées pour garantir les droits et libertés des personnes concernées.

Exemples :

Le consentement de la ou des personne(s) concernée(s) : lorsque celle(s)-ci donne(nt) son/leur accord explicite et éclairé pour participer à une recherche biomédicale
Sauvegarde des intérêts vitaux : en cas d’urgence la collecte de données sensibles est nécessaire pour protéger la vie de la personne concernée ou celle d’un tiers
Exigences légales ou réglementaires : le traitement est requis pour satisfaire à une obligation prévue par la loi (par exemple, dans un contexte de santé publique)

[Pour plus d’informations, voir la fiche pratique Le consentement des personnes concernées]

Toute information qui se rapporte à une personne physique et qui n’est pas une donnée sensible.

Exemples :

Données d’identité : nom, prénom, photographie, date et lieu de naissance, adresse postale, etc.
Formation et vie professionnelle : parcours éducatif, diplômes obtenus, poste occupé, service rattaché, zones d’accès autorisées, jours de congé, etc.
Données d’identification électronique : adresse IP, identifiants de connexion, logs d’accès aux systèmes informatiques, etc.
Données financières : coordonnées bancaires ou historiques de paiements, etc.

[Pour plus d’informations, voir Glossaire]

Les données personnelles ne peuvent être conservées indéfiniment sous une forme permettant l’identification des personnes concernées. La durée de conservation doit être strictement limitée à ce qui est nécessaire pour atteindre la finalité pour laquelle les données ont été collectées. Une fois la finalité atteinte, les données doivent être supprimées ou anonymisées, sauf si une obligation légale impose leur conservation.

Exemples :

Vidéosurveillance : conservation des enregistrements pendant 1 mois maximum, sauf si une infraction justifie leur maintien pour enquête
Abonnement à une lettre d’information (« newsletter ») : les données sont conservées tant que l’utilisateur souhaite rester abonné et n’a pas retiré son consentement

[Pour plus d’informations, voir la fiche pratique Les grands principes en matière de protection des données personnelles]

La ou les source(s) désigne(nt) l’origine des données personnelles collectées dans le cadre d’un traitement. Ces informations peuvent provenir de différents systèmes/dispositifs ou de tiers. Leur identification est essentielle pour garantir la transparence et la conformité avec la législation en matière de protection des données.

Exemples :

Fichiers RH : pour l’identité des salariés, comme les noms, prénoms et coordonnées
Dispositif de vidéosurveillance : pour les images capturées par les caméras
Les internautes : lorsqu’ils remplissent un formulaire de contact ou s’inscrivent à une lettre d’information (« newsletter »)

Tout service, personne ou direction, placé sous l’autorité directe du responsable du traitement, qui, au sein de la structure, va accéder aux données.
Ces accès doivent être strictement nécessaires pour accomplir les missions confiées et respecter les finalités définies du traitement.

Exemples :

Département des Ressources Humaines : gestion des données des salariés, telles que les contrats, les paies et les congés
Directeur commercial : consultation des informations clients pour superviser les actions commerciales et développer des stratégies de vente
Service en charge de la conformité : accès aux données pour vérifier que les traitements respectent les obligations légales et réglementaires
Prestataire de maintenance : accès limité aux données lors d’opérations techniques, comme la maintenance ou la mise à jour des systèmes informatiques

Pays/territoire(s) dans le(s)quel(s) se trouvent les catégories de personnes ayant accès aux données.
Cette information est essentielle pour évaluer les implications légales et les éventuels risques liés à la protection des données, notamment en cas d’accès aux données depuis l’étranger.

Exemples :

Le siège social en France : les employés du siège social situés en France ont accès aux données des clients pour des besoins administratifs ou commerciaux
Le prestataire basé en Europe : une société de maintenance informatique localisée en Italie intervient sur les systèmes et a accès aux données

Tout service, personne ou organisme, à l’exception des autorités publiques, qui, en dehors de la structure, va être destinataire des données.

Exemples :

Le commissaire aux comptes : consultation des données financières et comptables dans le cadre de l’audit légal
Le comptable externe : accès aux informations nécessaires pour réaliser des opérations comptables ou fiscales
Les sous-traitants : transmission des données à des prestataires pour des services spécifiques, comme par exemple une campagne marketing
Une agence de recrutement : traitement des données des candidats pour le compte de l’entreprise

[Pour plus d’informations, voir la fiche pratique Les acteurs clés de la protection des données en Principauté]

Pays/territoire(s) dans le(s)quel(s) se trouvent les catégories de personnes habilitées à recevoir communication des données.
Cette information est essentielle pour évaluer les éventuels risques liés à ces communications de données, notamment lorsque ces personnes sont situées dans des pays tiers soumis à des régimes de protection des données différents.

Exemples :

Cabinet comptable en France : les données financières sont communiquées à un comptable basé en France en charge de la gestion comptable pour le compte d’une société monégasque
Partenaire commercial en Allemagne : partage d’informations clients à des fins marketing

Tout responsable du traitement doit mettre en place des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes physiques.

Ces mesures visent à prévenir tout accès non autorisé, divulgation non autorisée, altération, destruction ou encore perte de données personnelles.

Exemples :

– identifiants et mots de passe individuels
– journalisation des accès
– mises à jour de sécurité, antivirus, etc.
– sauvegardes régulières
– pseudonymisation et chiffrement des données
– contrôle d’accès aux installations

[Pour plus d’informations, voir la fiche pratique Mesures de sécurité : les questions à se poser pour une bonne hygiène informatique]

Tout flux de données vers un pays, un territoire ou une organisation internationale hors Principauté dont la législation ou la règlementation des données personnelles ne dispose d’un niveau de protection adéquat constaté par la Principauté.

Il peut s’agir d’une communication d’informations ou d’un accès aux données, que ce soit à l’intérieur d’un groupe ou à destination d’un tiers.

Exemple : un prestataire situé aux Etats-Unis, chargé de la maintenance d’une application, accède à distance aux bases de données contenant des informations personnelles des clients, avec des mesures contractuelles strictes pour garantir leur sécurité (par exemple, clauses contractuelles types ou mécanismes équivalents).

[Pour plus d’informations, voir la fiche pratique Les transferts de données hors Principauté : les scénarios à envisager]

L’article 97 de la Loi pose le principe selon lequel tout transfert de données personnelles hors de la Principauté peut s’effectuer sans aucune formalité préalable dès lors que la législation ou la règlementation des données personnelles du pays, du territoire ou de l’organisation internationale destinataire dispose d’un niveau de protection adéquat constaté par la Principauté.

La liste de ces pays, territoires et organisations internationales présentant un niveau de protection adéquat est adoptée par le Gouvernement par Arrêté Ministériel.

[voir Liste des pays, territoires et organisations internationales disposant d’un niveau de protection adéquat]

Si une des 5 garanties prévues à l’article 98 de la Loi n° 1.565 du 3 décembre 2024 a été mise en place, le transfert vers un pays, un territoire ou une organisation internationale ne disposant d’un niveau de protection adéquat constaté par la Principauté peut être effectué.

Exemples : adhésion à un code de conduite, adoption de règles d’entreprise contraignantes

[Pour plus d’informations, voir la fiche pratique Les transferts de données hors Principauté : les scénarios à envisager]

En l’absence d’un niveau de protection adéquat et de garanties appropriées, le transfert de données vers un pays, un territoire ou une organisation internationale ne disposant pas d’un niveau de protection adéquat, peut être effectué si une des 7 dérogations prévues par l’article 99 de la Loi n° 1.565 du 3 décembre 2024 s’applique.

Exemples :

– motifs importants d’intérêt public
– transfert nécessaire à la sauvegarde des intérêts vitaux de la personne concernée

[Pour plus d’informations, voir la fiche pratique Les transferts de données hors Principauté : les scénarios à envisager]

En l’absence de niveau de protection adéquat et de garanties appropriées et si aucune des dérogations prévues à l’article 99 n’est applicable, un transfert de données vers un pays, un territoire ou une organisation internationale ne disposant pas d’un niveau de protection adéquat est possible, si les 4 conditions suivantes sont réunies :
• le transfert ne revêt pas de caractère répétitif ;
• le transfert ne touche qu’un nombre limité de personnes ;
• le transfert est nécessaire aux fins d’intérêts légitimes impérieux poursuivis par le responsable du traitement ;
• des garanties appropriées ont été prises.

NB : l’APDP doit être informée de ces transferts!

[Pour plus d’informations, voir la fiche pratique Les transferts de données hors Principauté : les scénarios à envisager]

Si :
• le transfert des données est à destination d’un Etat, d’un territoire ou d’une organisation internationale n’assurant pas un niveau de protection adéquat, et
• des garanties appropriées n’ont pas été mises en place, et
aucune des dérogations prévues à l’article 99 de la Loi n° 1.565 du 3 décembre 2024 ne s’applique, et
• les 4 conditions prévues par le chiffre 3 de l’article 99 ne sont pas réunies,

le responsable du traitement doit demander l’autorisation préalable de l’APDP.

[Pour plus d’informations, voir la fiche pratique Les transferts de données hors Principauté : les scénarios à envisager]

Le responsable du traitement doit fournir à toute personne concernée par le traitement des informations sur l’utilisation de ses données (Qui collecte ses données ? Pour quelle(s) finalité(s) ? Pendant combien de temps ? Quels sont ses droits ?,…) afin que celle-ci puisse en garder la maitrise.

L’information fournie doit être délivrée :

• de façon concise, compréhensible et aisément accessible ;
• en des termes clairs et simples ;
• à titre gratuit ;
• par tous moyens appropriés.

Exemples :

– un affichage
– une rubrique dédiée à la protection des données personnelles disponible sur le site Internet
– un message vocal préalable à l’enregistrement des conversations téléphoniques

[Pour plus d’informations, voir la fiche pratique Information des personnes concernées]

Droits que le responsable du traitement doit conférer aux personnes concernées pour leur permettre de garder la maîtrise des données les concernant.

Exemples :

– le droit d’accès à ses données
– le droit à l’effacement de ses données
– le droit d’opposition au traitement de ses données

[Pour plus d’informations, voir la fiche pratique Droits des personnes concernées sur leurs données personnelles]

Champ à remplir uniquement pour les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.
Le profilage est toute forme de traitement permettant d’évaluer certains aspects personnels d’un individu, notamment ses préférences de consommation dans différents domaines, culturels, sportifs, alimentaires ou encore ses sensibilités politiques.

Si le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés, notamment en cas de recours à une nouvelle technologie de traitement, une analyse d’impact doit impérativement être effectuée.

Exemple : un dispositif de vidéosurveillance installé dans un centre commercial

Abonnez-vous à la lettre d’information
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.