La loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles a été publiée au Journal de Monaco le 13 décembre 2024 (ci-après la « Loi ») et remplace la loi n° 1.165 du 23 décembre 1993. Cette réforme vise à moderniser et à renforcer la protection des données personnelles en Principauté de Monaco, tout en l’alignant sur les standards européens, notamment le Règlement Général sur la Protection des Données (« RGPD »).
Voici les points essentiels à retenir :
Champ d’application élargi :
La Loi s’applique désormais aux traitements de données personnelles effectués par des responsables ou sous-traitants établis à Monaco, mais également, dans certains cas, à ceux relatifs aux personnes situées sur le territoire monégasque, même si le traitement est effectué à l’extérieur. De plus, elle exclut les traitements réalisés dans un cadre personnel ou domestique.
Renforcement des droits des personnes concernées :
La Loi renforce plusieurs droits des personnes concernées, dont les droits à l’information, l’accès, la rectification, l’effacement et la portabilité des données. Un point essentiel est l’élargissement des informations à fournir, afin de garantir une plus grande transparence pour les personnes dont les données sont collectées.
Obligations du responsable de traitement et du sous-traitant :
La Loi impose aux responsables de traitement et aux sous-traitants plusieurs obligations visant à garantir la conformité des traitements de données. Cela inclut, selon les cas, la désignation d’un représentant en Principauté ou dans l’Union européenne, ainsi que la tenue d’un registre des traitements. Les responsables doivent intégrer la protection des données dès la conception, notifier les violations de données et, en cas de risques élevés, réaliser une analyse d’impact. Le recours à un sous-traitant nécessite des garanties adéquates et des mesures appropriées.
Rôle de l’Autorité de Protection des Données Personnelles (« APDP ») :
L’APDP, qui remplace la Commission de Contrôle des Informations Nominatives, dispose désormais de pouvoirs étendus, notamment en matière de sanctions. Elle peut infliger des amendes administratives pouvant aller jusqu’à 10 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les entreprises non conformes. Elle a également le pouvoir de suspendre ou d’interrompre les flux de données vers l’étranger.
Transfert international de données :
La réforme modifie la gestion des transferts de données. Les transferts vers des pays jugés adéquats, comme ceux de l’Union européenne, ne nécessitent plus de formalité préalable. En revanche, les transferts vers des pays non adéquats nécessitent de répondre à des exigences strictes, comme l’utilisation de clauses contractuelles types, la certification ou l’obtention d’une autorisation préalable de l’APDP.
Simplification des formalités préalables :
La réforme réduit les formalités préalables. La plupart des traitements de données ne nécessitent plus d’autorisation préalable de l’APDP, sauf dans des cas spécifiques (recherche en santé, vidéosurveillance dans les lieux publics, etc.). Les autorités publiques doivent obtenir une autorisation avant de traiter des données à des fins de prévention des infractions pénales ou pour des données très sensibles comme les données biométriques.
Délais de mise en conformité :
La Loi étant d’application immédiate à compter de sa publication, les responsables de traitement et les sous-traitants doivent, en principe, d’ores et déjà s’être conformé aux nouvelles exigences. Cependant, certaines dispositions relatives à la licéité des traitements peuvent être régularisées dans un délai d’un an. Quant à l’analyse d’impact, à la réévaluation des risques, ainsi qu’à certains traitements mis en place par les autorités administratives ou judiciaires, un délai plus long de trois ans est accordé pour leur mise en conformité.
Notre équipe reste à votre disposition afin de vous accompagner et répondre à vos questions en la matière.
A.L.F.A. MONACO