Une nouvelle loi n°1.565 du 3 décembre 2024 relative à la protection des données personnelles, remplaçant la précédente loi n°1.165 du 23 décembre 1993, vient d’être adoptée avec pour objectif principal de moderniser la législation monégasque et de l’aligner sur les standards européens.
- Le champ d’application
La loi s’applique aux traitements d’informations se rapportant à une personne physique identifiée et identifiable, mis en œuvre par une entité établie à Monaco, et les traitements relatifs à des personnes se trouvant sur le territoire monégasque mis en œuvre par une entité se trouvant hors du territoire de la Principauté.
Elle ne couvre pas les traitements mis en œuvre par une personne physique pour des raisons exclusivement personnelles ou domestiques.
- L’assouplissement des formalités
La philosophie générale de la loi est de passer d’un régime de formalités contraignantes à un régime plus souple de responsabilisation, dans lequel un grand nombre de traitements ne fera plus l’objet de formalités préalables, sauf exception.
Sont ainsi soumis à l’avis préalable de l’Autorité de Protection des Données Personnelles nouvellement créée (A.P.D.P) :
- Les traitements relatifs aux procédures pénales
- Les traitements de données génétiques ou biométriques
- Les traitements de données dans le domaine de la santé
- Le transfert de données vers des pays dont la législation n’offre pas une protection équivalente à la loi monégasque (sauf si des garanties appropriées sont mises en place)
Les systèmes de vidéosurveillance, quant à eux, doivent être portés sans délai à la connaissance de l’A.P.D.P lorsqu’ils concernent des lieux non ouverts au public, et sont soumis à l’autorisation préalable du Ministre d’Etat pour les lieux ouverts au public.
- Les principes directeurs du traitement des données
Le traitement des données doit se conformer aux grands principes déjà prévus par les textes européens, et repris à l’article 4 de la loi, à savoir :
- les données doivent être traitées de manière licite, loyale et transparente
- leur collecte et leur traitement doit se faire pour des finalités déterminées, explicites et légitimes
- le traitement doit se limiter à ce qui est strictement nécessaire aux finalités de la collecte
- les données doivent être exactes et mises à jour si besoin
- les données ne doivent pas être conservées plus longtemps que nécessaire
- enfin, elles doivent être traitées de manière à garantir leur sécurité
Le responsable du traitement des données désigné au sein de l’entité concernée par le traitement répond du respect de ces principes.
Le traitement de données dites sensibles (opinions politiques, caractéristiques génétiques…) est interdit, sauf cas particuliers (consentement explicite, sauvegarde d’intérêts vitaux, données rendues publiques par l’intéressé…).
- L’encadrement de la sous-traitance
Tout sous-traitant doit présenter des garanties suffisantes quant au respect de la protection des données personnelles et des droits des personnes concernées.
A cette fin, la loi oblige à introduire certaines stipulations dans tout contrat de sous-traitance, lesquelles sont détaillées à l’article 26 de la loi – la liste n’étant pas exhaustive.
- L’entrée en vigueur
Les responsables du traitement disposent de manière générale d’un délai d’un an (soit jusqu’au 14 décembre 2025) pour se mettre en conformité avec la loi. Le délai est de trois ans (soit jusqu’au 14 décembre 2027) pour la réévaluation de l’analyse des risques relatifs notamment aux traitements occasionnant des risques élevés pour les droits et libertés des personnes (article 35 de la loi) et ceux relatifs à des infractions pénales (articles 64, 69 et 70 de la loi).
Les recommandations émises par l’ancienne C.C.I.N sur le fondement de l’ancienne loi n°1.165 restent en vigueur jusqu’à leur modification, remplacement ou abrogation par l’A.P.D.P.
N’hésitez pas à contacter notre Etude pour davantage de précisions ou pour vous accompagner dans vos démarches.
Commentaires récents