Projet de loi n° 1054 relative à la protection des données personnelles : une réforme attendue

Monaco • Données personnelles • Législation

Le projet de loi n° 1054 (114 articles), reçu par le Conseil National le 20 décembre 2021, porte réforme d’ampleur de la législation monégasque en matière de protection des données personnelles, et abrogation de la Loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives modifiée.[1] La nouvelle législation sera applicable aux traitements automatisés en tout ou partie, ou non automatisés, concernant les données personnelles des personnes physiques uniquement.[2]

Les travaux préparatoires de refonte du droit monégasque de la protection des données personnelles ont débuté via le groupe de travail ad hoc mis en place début 2018, réunissant régulièrement les services de l’État et ceux de la Commission de Contrôle des Informations Nominatives (CCIN). Le Gouvernement princier a recueilli l’avis du Conseil d’Etat, du Haut-Commissaire à la Protection des droits, des libertés et à la médiation, et de la CCIN saisie le 31 juillet 2020 de l’avant-projet de loi.[3]

Cette réforme très attendue poursuit un double objectif [4] :

—d’une part, transcrire les nouvelles exigences de la Convention 108+ du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

L’approbation par le Conseil National de la ratification de la Convention 108 modernisée est l’objet du projet de loi n°1053 déposé en parallèle > en savoir plus ici),

—d’autre part, aligner la législation monégasque sur les standards du « paquet de protection des données » de l’Union Européenne constitué du Règlement (UE) 2016/679 « RGPD » ( ou « GDPR ») et de la Directive (UE) 2016/680 « Police Justice » (prévention et détection des infractions pénales, enquêtes et poursuites en la matière ou exécution de sanctions pénales).

Il s’agit pour Monaco d’assurer un niveau de protection substantiellement équivalent à celui de l’Union européenne et d’obtenir ainsi une décision d’adéquation^[5] de la Commission Européenne pour que les transferts de données personnelles depuis l’UE (et la Norvège, le Liechtenstein, l’Islande – membres de l’Espace Economique Européen-EEE) vers Monaco puissent s’opérer sans encadrement spécifique (les transferts vers Monaco seraient assimilés à des transferts intra-UE).[6]

Des dispositions transitoires sont prévues pour les responsables du traitement et les sous-traitants ayant régulièrement mis en œuvre des traitements auprès de la CCIN avant la date d’entrée en vigueur de la nouvelle loi. Ceux-ci disposeraient pour se mettre en conformité avec les nouvelles obligations, d’un délai d’un an (registre des activités de traitement, désignation d’un délégué à la protection des données, code de conduite) ou de cinq ans (analyse d’impact au titre de la réévaluation des risques, et traitements « Police Justice » ).[7]

♦ POINTS-CLEFS du projet de loi n° 1054 (avant passage en Commission et amendements) Pour une présentation détaillée, cliquez ici

—Evolution terminologique: remplacement des termes « informations nominatives » par les termes « données à caractère personnel » ou « données personnelles », à l’instar de la Convention 108 et du RGPD ;

—Inapplicabilité de la nouvelle législation au traitement des données concernant les personnes morales, dans la droite ligne de la Convention 108+ et du RGPD ;

—Champ d’application territorial et extraterritorial inspiré du RGPD ;

—Actualisation des principes et conditions de licéité applicables aux traitements de données personnelles, dans la droite ligne de la Convention 108+ et du RGPD ;

—Reprise des standards du RGPD s’agissant du traitement des données sensibles ;

—Droits des personnes concernées renforcés, avec de nouveaux droits empruntés au RGPD ;

—Suppression des formalités préalables (sauf exceptions*) dans la logique de conformité du RGPD fondée sur le principe d’accountability, avec un régime d’autorégulation et un contrôle a posteriori ;

—Régime du transfert des données personnelles hors de Monaco, conformément à la Convention 108+ et inspiré du RGPD (mais sans régir les transferts ultérieurs de données au départ du pays tiers ou de l’organisation internationale) ;

—Plusieurs autorités de contrôle: Autorité de protection des données personnelles « APDP » (succédant à la CCIN), Délégué judiciaire à la protection des données, et Commission instituée par l’art. 16 de la Loi n° 1.430 du 13/07/2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;

—Droit d’opposition aux investigations de l’APDP, mise en demeure et sanctions administratives ;

—Droit à réparation et droit de recours juridictionnel contre le responsable du traitement ou le sous-traitant en cas de dommage matériel ou moral, largement inspiré du RGPD (sans prévoir un droit de recours collectif indépendamment de tout mandat confié par une personne concernée), sanctions pénales.

♦ Structure du projet de loi n° 1054

Le projet de loi n° 1054 est structuré en dix chapitres :

Chapitre I – Dispositions générales (art. 1 à 3)

Chapitre II – Principes relatifs à la qualité des données et aux conditions de licéité des traitements de données à caractère personnel (art. 4 à 8)

Chapitre III – Droits de la personne concernée (art. 9 à 20)

Chapitre IV – Obligations incombant au responsable du traitement et au sous-traitant (art. 21 à 33)

Section 1 – Obligations générales

Section 2 – Obligations spécifiques

Chapitre V – De l’Autorité de Protection des Données Personnelles (art. 34 à 54)

Section 1 – Fonctionnement

Section 2 – Du contrôle de la mise en œuvre des traitements

Chapitre VI – Traitements soumis à formalités préalables (art. 55 à 76)

Section I – Dispositions communes

Section II – Traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces

Section III – Traitements à caractère personnel relatifs aux données génétiques ou biométriques

Section IV – Traitements relatifs à la recherche dans le domaine de la santé

Chapitre VII – Dispositions particulières à certains traitements (art. 77 à 92)

Section I – Traitements relatifs aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites

Section II – Traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques

Section III – Traitements relatifs à la liberté d’expression

Section IV – Traitements relatifs à la vidéosurveillance

Section V – Traitements dans le secteur des communications électroniques

Section VI – Traitements mis en œuvre dans le cadre des dispositions des articles 9 à 15 et 18 de la Loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale

Chapitre VIII – Transfert de données à caractère personnel (art. 93 à 97)

Chapitre IX – Compétence juridictionnelle, sanctions pénales et droit à réparation (art. 98 à 102)

Chapitre X – Dispositions finales (art. 103 à 114)

[1] Art. 114 Projet de loi n° 1054.

[2] Art. 3, 1. Projet de loi n° 1054.

[3] Les grandes lignes de l’avis de la CCIN sont retranscrites dans le 12^e Rapport d’activité de la CCIN publié en 2021.

[4] Ce que rappelle l’Exposé des motifs du projet de loi n° 1054, 2021-26, 14 décembre 2021 p. 2.

[5] Décisions d’adéquation régies par les articles 45 RGPD et 36 Directive „Police Justice“. Sous l’empire de la Directive 95/46/CE du 24 octobre 1995 (remplacée par le RGPD), Monaco avait entrepris d’obtenir une décision d’adéquation à partir de 2009. Un avis positif relatif au niveau d’adéquation de la législation monégasque en matière de protection des données à caractère personnel avait été adopté par le G29 le 19 juillet 2012 (01446/12/EN WP 198, consultable dans les archives du site officiel de la Commission Européenne ici). Le processus avait été suspendu du fait de la modification de la législation européenne et de l’entrée en vigueur du RGPD.

[6] Au 18/01/2022, les pays suivants ont obtenu une décision d’adéquation au RDPD de la Commission européenne (sauf pour le Royaume-Uni, la décision d’adéquation obtenue par les pays suivants ne couvre pas la Directive (UE) 2016/680 « Police Justice ») : Andorre, Argentine, Canada (organisations commerciales), îles Féroé, Guernesey, Israël, île de Man, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, le Royaume-Uni, Uruguay.

[7] Art. 104 Projet de loi n° 1054.