Tout savoir sur la future loi sur la protection des données personnelles à Monaco
Comment est né le Projet de loi sur la protection des données personnelles n° 1054 ?
En 2008, l’actualisation de loi sur la protection des données personnelles n° 1.165 du 23 décembre 1993 avait permis à la Principauté de Monaco d’adhérer, dès l’année suivante, à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n° 108) du Conseil de l’Europe, plus communément appelée Convention 108.
Cependant, comme souligné en introduction du projet de loi, « force est de constater que le développement toujours plus rapide des technologies, conjugué à la mondialisation des flux, nécessite que la Principauté modernise à nouveau son cadre juridique de protection des données ».
Le 20 décembre 2021, le Projet de loi n° 1054 relative à la protection des données personnelles a été déposé au Conseil National de Monaco pour réformer la Loi n° 1.165 du 23 décembre 1993 modifiée.
Le principal objectif de cette réforme de grande ampleur est l’obtention pour la Principauté de Monaco du statut de « pays adéquat » auprès de la Commission européenne.
La proclamation de cette « adéquation » apporterait notamment l’assurance que la législation monégasque offre un niveau de protection des données personnelles équivalent à celui de l’Union européenne.
NOTE : le vote de ce projet de loi est conditionné au vote préalable du projet de loi n°1053 portant approbation de ratification du protocole d’amendement à la Convention sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.
Quels sont les principaux objectifs du Projet de loi n° 1054 ?
À travers cette réforme réglementaire, la Principauté vise principalement à accomplir les objectifs suivants :
Aligner la législation monégasque sur la protection des données personnelles du Règlement Général sur la Protection des Données (RGPD).
Prendre en compte les dispositions de la Convention 108 modernisée.
Prendre en compte les dispositions de la Directive dite Police Justice (DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL).
Faire reconnaître Monaco par la Commission européenne comme un pays disposant d’un niveau de protection adéquat en matière de protection des données personnelles, et ainsi faciliter les transferts de données vers Monaco.
Instaurer l’Autorité de Protection des Données Personnelles (APDP), en remplacement de l’actuelle CCIN (Commission de Contrôle des Informations Nominatives).
Quels sont les points clés et principaux changements introduits par le Projet de loi n° 1054 ?
1. Assimiler la Principauté de Monaco à l’UE en termes de transferts de données personnelles
La reconnaissance de Monaco en tant que « pays adéquat » permettrait d’opérer les transferts de données personnelles depuis et vers l’Union européenne en toute transparence.
C’est par exemple déjà le cas pour des pays du continent, mais hors-UE, tels que la Suisse ou le Royaume-Uni, mais aussi pour des pays plus lointains comme le Japon ou la Nouvelle-Zélande.
Cette « décision d’adéquation » permettrait de facto à Monaco d’être considéré comme un pays de l’Union européenne eu égard à la législation du RGPD.
2. Exclure les personnes morales de la législation sur la protection des données personnelles
Contrairement à la loi n° 1.165 du 23 décembre 1993 modifiée, le Projet de loi n° 1054 prévoit de ne pas maintenir les obligations en matière de traitement de données personnelles, aux personnes morales.
M. Franck JULIEN, Rapporteur du Projet de Loi et Président de la Commission des Finances et de l’Économie Nationale, explique ainsi en substance que « la pratique ayant démontré que l’exercice de ces droits était extrêmement limité, voire inexistante et source de difficulté pour l’autorité de protection ».
Le projet de loi n° 1054 reprend ainsi les dispositions de la Loi n° 1.383 pour une Principauté numérique modifiée en 2011 qui définit les données personnelles comme « information se rapportant à une personne physique identifiée ou identifiable ».
Cette exclusion des personnes morales s’inscrit par ailleurs dans les dispositions similaires du RGPD et de la Convention 108 modernisée, à l’instar de la France ou du Luxembourg.
3. Faire appliquer la protection des données à Monaco et hors de Monaco
Cette disposition s’inspire directement du principe de « champ d’application territorial » de l’Article 3 du RGPD et confèrent au projet de loi une portée à la fois territoriale et extraterritoriale.
Cela permettra notamment de mieux protéger les personnes concernées, y compris dans le cas usuel d’un traçage par cookies, et ce que le responsable du traitement (ou le sous-traitant concerné) soient établis à l’intérieur ou à l’extérieur du territoire monégasque.
Ainsi, la localisation prise en compte sera bien le lieu physique des personnes concernées, et non pas celui des moyens de traitement.
4. Créer de nouveaux droits et renforcer les droits existants pour les personnes concernées
L’Article 14 du Projet de loi n° 1054 reprend l’Article 18 du RGPD pour créer un nouveau droit concernant la limitation du traitement des données personnelles.
Ces limitations sont applicables en cas de contestation, d’opposition au traitement ou à l’effacement des données, de nécessité pour la défense de droits en justice, et requièrent le consentement de la personne concernée, sauf exceptions.
Est aussi créé un nouveau droit permettant à la personne concernée de transmettre ces données à un autre responsable du traitement, et ce, sans accord préalable du responsable du traitement.
Enfin, de nombreux droits seront renforcés, dont : droit à l’information (Art. 10), droit d’accès (Art. 11), de rectification (Art. 12), d’effacement (Art. 13) et d’opposition (Art. 16), à la limitation du traitement (Art. 14), ainsi que le droit au refus de traitement automatisé, profilage compris (Art. 18).
5. Sauf exceptions, supprimer l’obligation de formalités préalables
Selon les Articles 21 et 22 du Projet de loi n° 1054, les obligations légales de déclaration ou autorisation préalable au traitement effectif de données personnelles seraient remplacées par un principe d’autorégulation.
Ainsi, il ne serait plus nécessaire de procéder aux formalités usuelles, assurément complexes et lourdes à mettre en œuvre dans le cadre des obligations actuelles de la loi n° 1.165.
Toutefois, cela ne dispensera pas le responsable de la conformité légale du traitement des données personnelles, en particulier eu égard aux nouvelles dispositions si ces dernières viennent à voir le jour au sein de la nouvelle loi.
Surtout, cette capacité d’autorégulation suppose la mise en place de nombre de mesures préventives et d’outils techniques appropriés, à l’instar des prérequis pour adéquation au RGPD, ainsi que de la capacité à démontrer l’efficacité de ces mesures sur demande de l’autorité régulatrice.
Enfin, des exceptions notables à la dispense de déclaration ou d’autorisation préalable :
- Transferts de données personnelles vers des pays ou des organisations « non adéquats ».
- Traitements de données particulièrement sensibles.
- Autorisations de vidéosurveillance.
6. Inclure de nouvelles obligations en adéquation avec le RGPD
Bien que la plupart des organismes ne seront plus soumis à l’obligation de déclaration préalable, l’adéquation de la nouvelle réglementation monégasque avec le RGPD induit de nouvelles dispositions et obligations dans la mise en œuvre proprement dite des traitements de données personnelles, notamment :
- Protection des données dès la conception / par défaut
- Responsabilité conjointe du traitement avec sous-traitant, le cas échéant
- Désignation d’un représentant à Monaco
- Obligations supplémentaires pour les sous-traitants
- Registre des activités de traitement si les effectifs dépassent 50 salariés
- Désignation obligatoire d’un Délégué à la Protection des Données (similaire au DPO du RGPD), sous conditions
- Réalisation obligatoire d’une analyse d’impact relative à la protection des données, sous conditions.
- Obligations de sécurité des données à la charge du responsable du traitement et du sous-traitant.
- Obligation de signalement des violations de données notables
Pour plus d’informations sur ces nouvelles obligations, et d’autres points-clés non évoqués ici, vous pouvez consulter l’article très complet sur le sujet du cabinet GIACCARDI & BREZZO Avocats.
7. Créer de nouvelles autorités administratives indépendantes
La nouvelle autorité sera dénommée Autorité de Protection des Données Personnelles (A.P.D.P.), et devra contrôler et vérifier que les données personnelles sont traitées en conformité avec les nouvelles dispositions législatives et réglementaires.
L’APDP sera commissionnée pour la mise en place et l’explication de la nouvelle loi et des nouvelles obligations, et aura pouvoir de sanction par le biais d’amendes administratives. Dans ce but, l’autorité régulatrice s’est dotée deux membres supplémentaires.
L’autorité aura également une mission de conseil, d’accompagnement des responsables du traitement, des sous-traitants et des personnes concernées, et accueillera 2 membres supplémentaires.
Sera par ailleurs désigné un Délégué judiciaire à la protection des données en charge des investigations ou vérifications portant sur un traitement mis en oeuvre par les juridictions et par le ministère public dans l’exercice de leurs fonctions juridictionnelles.
Enfin, les données liés à la sécurité nationale et à la défense seront soumises à l’autorité d’une Commission composée de trois membres (telle que détaillée à l’Article 16 de la Loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale)
Sécurité + Conformité CCIN / RGPD : CONSULTATION GRATUITE
Consultation Gratuite : Sécurité et Conformité à Monaco
Protégez vos données et celles de vos clients et utilisateurs ! Baccana Digital Consulting vous aide à mettre votre site et votre entreprise en sécurité et en conformité !
Contactez-nous dès aujourd’hui pour une consultation gratuite (30 mins) avec nos experts en conformité et sécurité CCIN / RGPD à Monaco.