11 Avril 2022
Le projet de loi n°1054 sur la protection des données personnelles pour ambition de se référer non seulement aux exigences de la Convention 108+ du Conseil de l’Europe (la version modernisée de la Convention 108) mais également au «paquet européen de protection des données» adopté par le Parlement européen et le Conseil le 27 avril 2016 qui se compose :
- du règlement (UE) 2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données (« G.P.D. ») ;
- de la Directive (UE) 2016/680 du 27 avril 2016, dite «police-justice».
Dans un souci de lisibilité et de cohérence du droit monégasque applicable aux traitements de données à caractère personnel, le Gouvernement a fait le choix de proposer un projet de loi unique relatif à la protection des données et d’abroger la loi n° 1.165 du 23 décembre 1993.
Ce renouvellement de législation s’accompagne d’une évolution terminologique permettant une interopérabilité juridique plus grande avec les notions relevant de la législation monégasque, d’une part, du droit du Conseil de l’Europe et du droit de l’Union européenne, d’autre part. Ainsi, la notion d’«informations nominatives» est abandonnée au profit de la notion de
«données à caractère personnel» ou de «données personnelles».
Le projet de loi introduit donc les obligations nouvelles du R.G.P.D. et les nouveaux droits des personnes, en particulier la portabilité des données et la limitation du traitement. Il renforce également le droit à l’information. Il crée un registre des activités du traitement et prévoit la désignation d’un délégué à la protection des données dans certains cas.
Il simplifie les règles auxquelles les acteurs publics et privés traitant des données personnelles sont soumis. Les formalités préalables qui s’imposent aujourd’hui à tous les acteurs dans la loi n° 1.165 du 23 décembre 1993, modifiée, précitée, sont supprimées conformément à la logique européenne de responsabilisation du responsable du traitement.
Le Gouvernement a cependant souhaité maintenir des formalités pour certaines catégories de traitement particulièrement sensibles en préférant s’entourer de l’avis de la future autorité de protection.
Est ainsi créée une nouvelle autorité administrative indépendante appelée Autorité de Protection des Données Personnelles (A.P.D.P), qui succède à la Commission de Contrôle des Informations Nominatives (C.C.I.N.).
Cette nouvelle dénomination positionne l’autorité comme étant avant tout «protectrice» des personnes physiques lorsque leurs données personnelles font l’objet d’un traitement. Cette autorité sera également chargée de contrôler les traitements relevant de la directive (UE) 2016/680, dite «police-justice» comme le préconise le G29 de confier à une même autorité de protection le contrôle des traitements relevant du «paquet européen de protection des données».
En considération de l’engagement de la Principauté à la Convention 108 modernisée, les pouvoirs de la nouvelle autorité de protection des données seront renforcés, en particulier dans le domaine des sanctions.