Protection des données personnelles : ratification du Protocole d’amendement (STCE n°223) à la Convention 108 du Conseil de l’Europe (projet de loi n° 1053)

Monaco • Conseil de l’Europe • Données personnelles

Contact privilégié :

Le projet de loi n° 1053 portant approbation de ratification du protocole d’amendement à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (« Convention 108+ ») a été reçu par le Conseil National le 20 décembre 2021, concomitamment au projet de loi n° 1054 relative à la protection des données personnelles.  

Le Protocole d’amendement modernise et renforce l’effectivité de la Convention 108 du 28 janvier 1981 et de son Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données.


La réforme très attendue de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives modifiée, portée par le projet de loi n° 1054, poursuit un double objectif :

—d’une part, transcrire les nouvelles exigences de la Convention 108+ du Conseil de l’Europe (dont l’approbation de ratification par le Parlement est l’objet du projet de loi n°1053 ici présenté),

—d’autre part, aligner la législation monégasque sur les standards du « paquet de protection des données » de l’Union Européenne constitué du Règlement UE) 2016/679  « RGPD » / « GDPR », et de la Directive (UE) 2016/680 « Police Justice » (afin d’obtenir une décision d’adéquation de la Commission Européenne et ainsi faciliter le transfert des données personnelles de l’Union Européenne vers Monaco). 

En savoir plus ici


Signature et ratification par Monaco, entrée en vigueur de la Convention 108+

La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (STE n° 108, dite « Convention 108 » ) et son Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données (STE n° 181) sont en vigueur à Monaco depuis le 1er avril 2009 (Ordonnances Souveraines n° 2.118 et n° 2.119 du 23 mars 2009).

Monaco a été parmi les premiers signataires du Protocole d’amendement (STCE n°223) à la Convention 108 (la Convention 108 amendée est dite « Convention 108+ ») à Strasbourg, le 10 octobre 2018, date de son ouverture à la signature des 53 États parties[1] (membres ou non membres du Conseil de l’Europe)[2]. Au 17 janvier 2022, 28 Etats dont Monaco sont signataires du Protocole d’amendement (sans l’avoir ratifié), et 15 autres Etats l’ont ratifié. [3]

Le Protocole d’amendement à la Convention 108 entrera en vigueur, soit après sa ratification par toutes les Parties à la Convention ( à l’égard de toutes les Parties), soit  à défaut le 11 octobre 2023 si 38 Parties au Protocole l’ont ratifié (à l’égard de ces 38 Parties, suite à l’expiration d’une période de cinq ans après le 10 octobre 2018, date à laquelle le Protocole a été ouvert à la signature).[4]

L’article 14, 2e alinéa, chiffres 2° (traités et accords internationaux dont la ratification entraîne la modification de dispositions législatives existantes) et 4° (traités et accords internationaux dont l’exécution a pour effet de créer une charge budgétaire relative à des dépenses dont la nature ou la destination n’est pas prévue par la loi de budget)[5] de la Constitution monégasque requiert que la ratification du Protocole d’amendement à la Convention 108 soit au préalable approuvée par le Conseil National. Tel est l’objet du projet de loi n° 1053.


♦ Convention 108+ et Règlement général sur la protection des données de l’Union Européenne (RGPD/GDPR)

Le Comité ad hoc sur la protection des données (CAHDATA) chargé de finaliser la modernisation, a été particulièrement attentif à ce que la Convention 108 amendée soit cohérente avec le Règlement général sur la protection des données de l’Union Européenne (RGPD / GDPR) entré en vigueur le 25 mai 2018 qui « amplifie  les principes de la Convention ».[6]

Inversement, le RGPD tient compte s’agissant d’évaluer si un pays tiers à l’UE offre un niveau adéquat de protection des données essentiellement équivalent à celui de l’UE (si oui, les transferts de données personnelles vers ce pays tiers ne nécessitent pas l’obtention d’une autorisation), de son adhésion à la Convention 108[7].

La Convention 108 vise le traitement des données des personnes physiques, mais le droit interne peut prévoir l’extension de la protection aux données des personnes morales afin de protéger leurs intérêts légitimes (ce que prévoient les dispositions de la Loi n° 1.165 actuellement en vigueur à Monaco). 


♦ Nouveautés introduites par le Protocole d’amendement 

Préambule

> Mention de la dignité humaine(les personnes ne doivent pas être traitées comme de simples objets) et du droit à l’autonomie personnelle (contrôler ses propres données et leur traitement).

> Rôle du droit à la protection des données personnelles dans la société et conciliation avec d’autres droits de l’homme et libertés fondamentales dont la liberté d’expression.

> Principe du droit d’accès aux documents officiels.

> Intensification de la coopération internationale entre les autorités de contrôle.

 Objet et but

> Le traitement des données personnelles peut permettre de manière positive l’exercice d’autres libertés et droits fondamentaux.

 Définitions et champ d’application

> Suppression du concept de « fichier ».

> Le « maître du fichier » devient le « responsable du traitement ».

> Insertion du « sous-traitant » et du « destinataire ».

> Le traitement des données par une personne physique dans l’exercice d’activités personnelles ou domestiques ne fait plus partie du champ d’application de la Convention.

> Suppression de la possibilité de déclarer que la Convention ne s’applique pas à certains types de traitements listés par l’État partie.

Principes de base

> Assurer l’application effective de dispositions de la Convention (mesures internes devant être entrées en vigueur au moment de la ratification de la Convention, évaluation par le Comité conventionnel de leur efficacité).

> Légitimité du traitement (principe de proportionnalité à chaque étape du traitement, principe de limitation des données, traitement basé sur le consentement « libre, spécifique, éclairé et non-équivoque » de la personne concernée ou d’autres fondements légitimes prévus par la loi).

> Élargissement de la liste des données sensibles (données génétiques et biométriques, données traitées pour les informations qu’elles révèlent sur l’appartenance syndicale ou l’origine ethnique).

> Respect de la vie privée dès la conception (privacy by design).

> Obligation de notification du responsable du traitement des violations en matière de sécurité des données, limitée au cas où celles-ci sont susceptibles de porter une atteinte grave aux droits et libertés fondamentales des personnes concernées (« sans délai excessif, à tout le moins à l’autorité de contrôle »).

> Garantie de la transparence du traitement par le responsable du traitement, tenu de fournir une série d’informations sauf si le traitement est expressément prévu par la loi ou si cela lui est impossible ou implique des efforts disproportionnés (identité et résidence ou lieu d’établissement habituel, base légale et finalité du traitement, catégories de données traitées, destinataires, moyens d’exercer les droits).

> Octroi de nouveaux droits aux personnes concernées (élargissement des informations à transmettre en cas d’exercice du droit d’accès, droit d’obtenir connaissance du raisonnement sous-tendant le traitement – profilage – et de ne pas être soumis à une décision fondée uniquement sur un traitement automatisé, droit de s’opposer à tout moment au traitement).

> Ajout d’exceptions et de restrictions aux droits (« objectifs essentiels d’intérêt public », traitements à des fins de sécurité nationale et défense soumis à un contrôle et à une supervision indépendants et effectifs).

Flux transfrontières

> Exception aux flux de données entre les Parties à la Convention (risque réel et sérieux que le transfert conduise à contourner les dispositions de la Convention).

> Clarification de la garantie d’un niveau de protection des données approprié pour les transferts vers des juridictions non parties (« règles de droit », « garanties ad hoc ou standardisées agréées, établies par des instruments juridiquement contraignants et opposables » et correctement mises en œuvre).

Autorités de contrôle

> Sensibilisation du public, de fourniture de renseignements et d’information de tous les acteurs concernés.

> Décisions relatives aux violations des dispositions de la Convention et pouvoir d’infliger des sanctions administratives.

Coopération et entraide

> Formes (échange d’informations, coordination des investigations et interventions, actions conjointes)

> Les autorités de contrôle doivent se constituer en réseau.

Comité conventionnel

> Pouvoir d’évaluation avant la ratification (avis sur le niveau de protection).

> Pouvoir de surveillance (effectivité des mesures prises, normes légales régissant les transferts de données).

 

[1] État parties à la « Convention 108 » : [membres du Conseil de l’Europe] Albanie, Allemagne, Andorre, Arménie, Autriche, Azerbaïdjan, Belgique, Bosnie-Herzégovine, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Fédération de Russie, Finlande, France, Géorgie, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Ex-République yougoslave de Macédoine, Liechtenstein, Lituanie, Luxembourg, Malte, Monaco, Monténégro, Norvège, Pays-Bas, Pologne, Portugal, république de Moldova, République slovaque, république tchèque, Roumanie, Royaume-Uni, Saint-Marin, Serbie, Slovénie, Suède, Suisse, Turquie, Ukraine ;[non membres du Conseil de l’Europe]Argentine, Burkina Faso, Cap-Vert, Maroc, Maurice, Mexique, Sénégal, Tunisie, Uruguay. Les organisations internationales peuvent être également parties à la « Convention 108 » modernisée.

[2] Ont signé le Protocole d’amendement le même jour que Monaco, 19 autres États membres du Conseil de l’Europe (Allemagne, Autriche, Belgique, Bulgarie, Espagne, Estonie, Finlande, France, Irlande, Lettonie, Lituanie, Luxembourg, Norvège, Pays-Bas, Portugal, Russie, Suède, République tchèque, Royaume-Uni), ainsi que l’Uruguay, État non membre du Conseil de l’Europe.

[3] Au 17/01/2022, le Protocole d’amendement a été ratifié par : [Etats membres du Conseil de l’Europe] Allemagne (O5/10/2021), Bulgarie (10/12/2019), Chypre (21/09/2020), Croatie (18/12/2019). Espagne (28/01/2021), Estonie (16/09/2020), Finlande (10/12/2020), IItalie (08/07/2021), Lituanie (23/01/2020), Macédoine du Nord (26/11/2021), Malte (02/11/2020), Pologne (10/06/2020) , Serbie (26/05/2020) ; [Etats non-membres du Conseil de l’Europe] Maurice (04/09/2020), Uruguay (05/08/2021).

[4] Article 37 – Entrée en vigueur du Protocole d’amendement.

[5] En vertu de la Convention 108+ (nouvel article 11, dernier alinéa  de la Convention 108+ introduit par l’article 14 du Protocole d’amendement), les activités de traitement à des fins de sécurité nationale et de défense (articles 9 à 19 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale) doivent être  contrôlés et supervisés par une Commission indépendante (article 15 de la loi n° 1.430 précitée) dont il est projeté qu’elle fera l’objet d’une ligne spécifique au sein du budget de l’Etat pour retracer ses dépenses.

[6] Rapport explicatif de la Convention n°108 telle qu’amendée par le Protocole STCE n° 223, 10 octobre 2018.

[7] Considérant 105 du RGPD.

 

Principales publications liées :

Projet de loi n° 1054 relative à la protection des données personnelles : une réforme attendue

Données personnelles : RGPD et action en justice (Questions préjudicielles à la Cour de Justice de l’Union Européenne)

Le Règlement (UE) n° 2016/79 sur la protection des données personnelles (GDPR) : pourquoi les entreprises à Monaco doivent s’y préparer

Lignes directrices sur la réglementation UE des données non personnelles et son interaction avec le RGPD/GDPR

RGPD : vigilance sur la marge d’appréciation laissée aux États-membres de l’Union Européenne !

UE•USA : La réglementation américaine fédérale relative à l’accès et à l’utilisation par les autorités publiques, des données personnelles transférées depuis l’UE, ne répond pas aux exigences de protection du RGPD/GDPR

BREXIT et transfert des données personnelles de Monaco vers le Royaume-Uni

Contribution dans le cadre de l’International Network of Privacy Law Professionals (INPLP)

 
Abonnez-vous à notre newsletter