Travaux du Conseil d'État.
En application de l’article 11 de l’Ordonnance Souveraine n° 3.191 du 29 mai 1964, modifiée, sur l’organisation et le fonctionnement du Conseil d’État, S.A.S. le Prince Souverain a bien voulu autoriser la publication de travaux du Conseil d’État dont la diffusion apparaît utile aux intérêts généraux de la Principauté, au sens de ce texte.
Il s’agit de l’introduction d’un rapport de M. le Conseiller Philippe Orengo, sur un projet de loi relative à la protection des données personnelles, présenté au cours de séances du Conseil d’État des mois de janvier et février 2021.
Le texte publié possède sa cohérence propre et présente de manière la plus exhaustive possible, les principes, les références, le cadre juridique et les enjeux pour la Principauté de Monaco dans le domaine de la protection des données personnelles.
* * *
« Dans le cadre du premier alinéa de l’article 52 de la Constitution, S.E. M. le Ministre d’État, déférant aux instructions de S.A.S. le Prince Souverain, a, par lettre en date du 18 août 2020 saisi le Président de notre Assemblée du projet de loi relative à la protection des données personnelles répondant au souci du Gouvernement princier de moderniser le cadre juridique actuellement applicable et appelé à remplacer la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée, dont il prévoit l’abrogation.
I.- Tant lors de son adoption initiale voici maintenant 27 ans que lors de sa réactualisation il y a douze ans déjà, le numérique n’était encore que l’une des composantes de la troisième révolution industrielle. Or, depuis le début des années 2010, il est désormais le moteur même de la quatrième révolution industrielle. C’est là dire à quel point les circonstances de fait n’ont cessé d’évoluer tandis que de leur côté, les circonstances de droit font désormais obstacle à un simple toilettage de la loi et nécessitent sa remise à plat.
A.- L’évolution des circonstances de fait
1.- D’une part, l’intensification et la diversification des flux de données numériques se poursuit non plus de manière linéaire mais exponentielle avec en corollaire une complexification, une automatisation et une massification de ces données. À ce saut quantitatif ininterrompu s’est ajouté le franchissement, à l’ère des réseaux sociaux, des mégadonnées (Big-Data), des courtiers en données (Data brokers) et du profilage des comportements, d’un saut qualitatif dans la collecte et le traitement des données à caractère personnel. De fait, les nouvelles technologies et leurs applications, entrées dans le quotidien des citoyens et développées par des opérateurs mondiaux, ne connaissent plus de frontières physiques et sont devenues des instruments de pouvoir autant que des sujets de discordes interétatiques.
2.- D’autre part, la valeur économique et financière des données à caractère personnel augmente encore plus vite que leur volume. Elle est devenue la matière première de nombreux métiers et la raison d’être de nouveaux marchés, témoignant d’une tendance généralisée qui est celle d’une économie concurrentielle guidée par les données. Il apparaît au surplus qu’avec les progrès des nouvelles technologies et de leurs applications (objets connectés, « cloud computing », intelligence artificielle et ses applications comme le « machine learning », etc…), nous ne sommes encore qu’au début d’un ample mouvement de mutations économiques, politiques et sociales qui rend indispensable une prise en compte des enjeux de protection des données personnelles le plus en amont possible, dès la conception même des technologies, pour tendre à la meilleure conciliation possible entre innovation et vie privée.
3.- Par ailleurs, le poids respectif des différents acteurs numériques dans l’apparition, l’essor et la gestion de risques parfois nouveaux appelle un nouveau partage de responsabilité entre les personnes concernées, les responsables du traitement des données et les autorités publiques. Dans cette perspective, où sont aussi en cause des enjeux politiques, certains objectifs sont apparus primordiaux : égale accessibilité aux réseaux, collecte transparente et loyale des données numériques, collaboration active à la lutte contre les pratiques illégales et même criminelles.
B.- L’évolution des circonstances de droit
Face à l’essor exponentiel du numérique depuis les années 1970, le droit s’est déjà beaucoup transformé par vagues successives n’arrivant en réalité à chaque phase qu’à un point d’équilibre provisoire entre la nécessité de ne pas entraver son potentiel positif tout en prévenant ses aspects négatifs : comme le remarquait M. Jean-Marc Sauvé, alors Vice-président du Conseil d’État français, il est clair que : « si les technologies du numérique encouragent la liberté d’expression, facilitent l’accès à l’information et ouvrent à la liberté d’entreprendre des voies nouvelles d’expansion (…), elles synthétisent aussi des risques inédits qui impactent la manière d’innover : elles favorisent des discriminations illégales, permettent des atteintes graves à la vie privée et servent de points d’appui à des pratiques anticoncurrentielles ou à des activités illicites ».
La recherche permanente de l’équilibre le plus adéquat possible pour gérer l’ambivalence croissante des rapports qu’entretiennent les technologies numériques avec les droits fondamentaux, implique d’une part que des règles pratiques susceptibles de garantir l’effectivité de ces droits et leur emprise sur les technologies numériques soient prises ou réaffirmées et que leurs modalités de mise en œuvre soient précisées ou améliorées et d’autre part, que le fonctionnement des réseaux et le traitement des données numériques soient mieux encadrés.
II.- C’est ainsi que le Conseil de l’Europe puis l’Union européenne se sont avisés, à l’image de l’OCDE ou de l’APEC (Coopération économique pour l’Asie-Pacifique) de la nécessité de moderniser les instruments juridiques qu’ils avaient mis en place.
A.- En ce qui concerne le Conseil de l’Europe, son Assemblée parlementaire avait adressé dès 1968 au Comité des Ministres une Recommandation n° 509 dans laquelle elle lui demandait de déterminer si la Convention européenne des Droits de l’Homme et les législations internes des États membres suffisaient à protéger le droit à la vie privée face à la science et à la technologie modernes.
1.- Les résultats de l’étude diligentée à cet effet avaient révélé que les législations nationales n’offraient pas une protection suffisante à la vie privée ainsi qu’aux autres droits et intérêts des personnes physiques vis-à-vis des banques de données automatisées. À ce constat, deux Résolutions furent adoptées l’une en 1973, l’autre en 1974 énonçant respectivement les principes de la protection des données pour le secteur privé et pour le secteur public et énumérant les règles fondamentales à observer en cas d’enregistrement d’informations à caractère personnel dans les banques de données électroniques. La majeure partie des États membres décidèrent alors de légiférer la matière.
Néanmoins au regard des difficultés que pouvaient poser ces lois tant par elles-mêmes que pour leur application pratique, notamment lorsque le traitement automatisé de données à caractère personnel mettant en jeu des parties dans différents pays, et du fait que cela rendait difficile la détermination de la compétence juridictionnelle et de la loi nationale applicable, il devint évident que la prochaine étape devait être le renforcement de ces règles nationales au moyen d’un accord international contraignant.
2.- C’est dans ce cadre que fut élaborée une Convention pour la protection de la vie privée par rapport au traitement des données à l’étranger et au traitement transfrontière des données dont le texte final, approuvé par le Comité européen de coopération juridique (CDCJ) après quatre années de travail, fut adopté par le Comité des Ministres qui décida de l’ouvrir à la signature le 28 janvier 1981.
Cette Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite Convention 108, complétée en 2001 par un protocole additionnel qui lui ajouta deux nouvelles dispositions substantielles, l’une concernant l’institution par les États Parties d’une ou de plusieurs autorités de contrôle, l’autre concernant les flux transfrontières de données à caractère personnel vers les pays ou organisations n’étant pas parties à la Convention, a été signée par Monaco le 1er octobre 2008 puis ratifiée le 24 décembre de la même année.
3.- Avec le temps, il est apparu que sa modernisation était devenue inéluctable : c’est à ce constat qu’a répondu le Protocole d’amendement n° 223, adopté par le Comité des Ministres lors de sa 128ème session à Elseneur (Danemark) le 18 mai 2018.
Cette modernisation du premier instrument international juridiquement contraignant dans le domaine de la protection des données correspond à la triple nécessité de répondre aux nouveaux défis de l’ère digitale dans laquelle nous sommes entrés, de permettre des échanges plus sûrs de données personnelles à l’échelle internationale et de renforcer la mise en œuvre effective de ses dispositions. À ces fins, le champ d’application de la Convention initiale a été élargi, l’efficacité de son application améliorée et le niveau de protection des données, relevé.
Ce Traité, désormais connu sous le nom de Convention 108+ qui, outre son Préambule comporte 31 articles répartis en huit chapitres et une annexe, fait dans son article 4, paragraphe 1, obligation aux États-Parties de prendre dans leurs lois, les mesures nécessaires pour donner effet aux dispositions de la Convention ainsi que pour en assurer l’application effective.
4.- Monaco a signé ce Protocole d’amendement le jour même de son ouverture à sa signature le 10 octobre 2018.
Certes, lorsque, ainsi que tel est le cas, l’État n’est pas Partie à la Convention de Vienne sur le droit des traités, la signature d’une Convention équivaut, sauf clause contraire, à une simple approbation préliminaire. Si elle n’entraîne pas encore d’obligation exécutoire, elle engage néanmoins la Principauté à ne pas commettre d’actes contraires aux objectifs ou à la raison d’être de la Convention et donc à ne pas ne pas prendre les mesures nécessaires.
C’est la raison pour laquelle la Principauté doit s’attacher à une remise à plat de sa législation nationale d’autant plus incontournable que, malgré les améliorations ponctuelles apportées en 2008 à la loi de 1993, celle-ci n’offre plus un cadre juridique permettant de satisfaire aux exigences conventionnelles approuvées par elle.
5.- En outre, cette mise à jour ne saurait raisonnablement être retardée et ce pour trois raisons.
En premier lieu, à partir du moment où la Principauté a approuvé le contenu du texte d’une Convention modernisée dont elle avait ratifié la version initiale, il convient naturellement, par principe, qu’elle honore désormais sa signature par le dépôt de ses instruments de ratification dans les meilleurs délais possibles. C’est d’ailleurs ce qu’entend faire le Gouvernement princier ainsi qu’il l’indique de manière non ambiguë dans le Rapport de présentation du projet de loi.
En deuxième lieu, le texte même de la Convention modernisée prévoit, dans son article 4, paragraphe 2 que les mesures nécessaires que chaque Partie est tenue de prendre dans son droit interne doivent être prises et être entrées en vigueur au moment de la ratification ou de l’adhésion - ce qui a pour corollaire que tout État qui entend adhérer ou ratifier la Convention doit démontrer que ces mesures ont été prises et qu’elles sont effectives.
En troisième lieu, la qualité de Partie à la Convention modernisée disposant d’une législation conforme à cette dernière est l’un des critères d’appréciation sur lequel se fonde la Commission européenne pour évaluer si elle peut prendre une décision d’adéquation au droit de l’Union européenne en la matière, à savoir au Règlement Général sur la Protection des Données à caractère personnel et à la Directive Police-Justice. Or, comme nous allons le voir dans un instant, la Principauté aspire à l’obtention de telles décisions d’adéquation qui revêtent une importance capitale pour les acteurs économiques monégasques et, plus généralement, pour la protection des droits fondamentaux des personnes concernées par le traitement des données à caractère personnel puisqu’en effet depuis le Traité de Lisbonne, la protection des données à caractère personnel est un droit fondamental au regard de la législation de l’UE, reconnu par le traité sur le fonctionnement de l’Union européenne et la Charte des droits fondamentaux de l’UE.
6.- Compte tenu de ce que la lettre de saisine du Conseil d’État fait expressément apparaître que le Gouvernement Princier entend que la Principauté adhère au Protocole d’amendement modernisant la Convention 108, notre examen tiendra compte du contenu de cette dernière pour nous assurer de la conformité du projet de loi avec elle.
B.- En ce qui concerne l’Union européenne, la Commission a proposé en janvier 2012 un ensemble de mesures législatives afin d’actualiser et moderniser les règles contenues d’une part dans la Directive 95/46/CE de 1995 sur la protection des données et d’autre part dans la Décision-cadre de 2008 relative à la protection des données traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
1.- Cette réforme, qui avait comme conséquence corollaire d’amplifier les principes de l’ancienne Convention 108, visait à créer un ensemble de règles uniformes à travers l’Union européenne adaptées à l’ère numérique, à améliorer la sécurité juridique et à renforcer la confiance des citoyens et des entreprises dans le marché unique du numérique.
Elle comprenait une Communication exposant les objectifs de la Commission, ainsi que deux propositions législatives : un Règlement général sur la protection des données et une Directive spécifique pour le domaine de la police et de la justice formant deux volets complémentaires l’un de l’autre avec des champs matériels d’application distincts.
2.- Finalisant plus de quatre ans de travaux, ce « paquet européen de protection des données à caractère personnel » a été approuvé par le Parlement européen et le Conseil le 27 avril 2016.
Si l’on parle de « paquet », c’est que les deux textes qui le composent sont complémentaires et s’articulent selon la ligne de partage expliquée à la fois par le Considérant 19 du Règlement (UE) du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données) et par le considérant 12 de la Directive (UE) 2016/680 du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la Décision-cadre 2008/977/JAI du Conseil.
Ce dernier Considérant indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d’autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non ». Il précise que « ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes », et que « parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ». Il indique en revanche, qu’entrent dans le champ d’application du Règlement, pour autant qu’ils relèvent du droit de l’Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».
III.- Conformément à son article 99, le Règlement (UE) 2016/679 précité, dit RGPD, est entré en vigueur le vingtième jour suivant sa publication au Journal officiel de l’Union européenne, soit le 25 mai 2018.
1.- Depuis cette date, il est directement applicable à tous les acteurs actifs sur le territoire de l’Union européenne dès lors que conformément au droit de l’Union européenne, un règlement est obligatoire dans tous ses éléments dès son entrée en vigueur sans nécessiter de transposition dans les différents États membres, contrairement à une Directive. Les nouvelles règles qu’il comporte consistent à donner aux citoyens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises tout en réduisant leurs charges déclaratives et à renforcer le rôle des autorités de protection des données.
Ce Règlement dénombre 173 considérants et 99 articles répartis en 11 chapitres. Son titre se cale sur son objet tel que défini au 1 de son Article premier.
Il a vocation à s’appliquer à l’ensemble des traitements de données à caractère personnel dans les États membres, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit de l’Union européenne, telles que les activités de sûreté de l’État ou de défense nationale, et ceux mis en œuvre aux fins de la Directive n° 2016/680 précitée dite Directive « Police-Justice ».
2.- Mais il a aussi une portée extraterritoriale en concernant directement les pays tiers, et donc Monaco, de manière générale en matière de protection des données personnelles et, plus singulièrement, de transfert de ces données en provenance ou à destination d’un État membre de l’Union.
Cette portée extraterritoriale se manifeste dans l’article 3 relatif à son champ d’application territorial.
En effet, l’application du RGPD dépend des deux critères de rattachement suivants :
- en premier lieu, le critère de l’établissement qui existait déjà dans la Directive 95/46/CE mais est désormais étendu au sous-traitant, est exposé au 1er paragraphe et dispose que lorsque le responsable de traitement ou le sous-traitant est établi dans l’Union européenne, le règlement s’applique d’office que le traitement ait lieu ou non dans l’Union.
- en second lieu, le critère du ciblage. Ce critère nouveau et conforme à la jurisprudence Google Spain de 2014 est posé par le deuxième paragraphe de l’article 3, relatif au lieu de situation des personnes concernées par le traitement. Ce critère joue lorsque le responsable du traitement est établi en dehors de l’Union européenne mais que ses activités de traitement concernent soit l’offre de biens ou services à des personnes qui se trouvent sur le territoire de l’Union soit la surveillance des comportements de ces personnes pour autant que ce comportement a lieu au sein de l’Union européenne. En d’autres termes, le RGPD s’applique dans tous les cas où un résident européen est directement visé par un traitement de données.
Pour en donner quelques exemples concrets, le RGPD a un impact direct lorsqu’une entité monégasque :
- possède un établissement (filiale ou succursale) au sein d’un État-Membre ou sur le territoire couvert par l’espace économique européen ;
- procède au traitement de données personnelles - même sporadiquement - au sein d’un État membre ;
- offre des biens ou services par le truchement d’un site Internet ayant pour cible un marché de l’Union européenne ;
- procède au profilage de personnes physiques se trouvant au sein d’un État-Membre avec pour finalité de prendre des décisions les concernant, d’analyser ou de prédire leurs dispositions d’esprit, comportements, et préférences ;
- et procède au traitement des données personnelles pour le compte d’un tiers tombant lui-même dans le champ d’application du RGPD.
Par ailleurs, le Règlement a maintenu la césure qu’avait introduite la Directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière d’échange de données entre États membres de l’Union, régis par un strict principe de libre circulation, et les échanges avec des États tiers, régis par un principe d’adéquation.
3.- Il en résulte que les pays tiers peuvent se trouver dans l’une des deux situations suivantes :
* soit ils bénéficient d’une décision d’adéquation au RGPD prise sur le fondement de l’article 45 de ce dernier et alors, parce que cette décision lie tous les États membres de l’Union et parce qu’une décision du Comité Mixte de l’Espace Économique Européen a incorporé le RGPD dans l’Accord signé le 2 mai 1992 entre les États membres de la Communauté Européenne et les pays de l’Association européenne de libre-échange (AELE), les données à caractère personnel peuvent circuler librement et en toute sécurité entre l’Espace Économique Européen - c’est-à-dire les 28 États membres de l’Union et trois des quatre pays membres de l’AELE (en l’occurrence l’Islande, le Liechtenstein et la Norvège) et le pays tiers concerné sans que des autorisations ou des garanties supplémentaires soient nécessaires.
* soit ils ne bénéficient pas d’une telle décision et alors, conformément à ce que prévoit l’article 46 du RGPD, les exportateurs européens de données (responsables du traitement ou sous-traitant) ne peuvent transférer des données vers le pays tiers s’ils n’ont pas adopté des garanties appropriées précisément définies aux paragraphes 2 et 3 du même article, et à la condition que les personnes concernées disposent de droits opposables et de voies de droit.
4.- Ces garanties appropriées relèvent de deux catégories :
a) En premier lieu, celle dans laquelle elles peuvent être fournies sans qu’une autorisation d’une autorité de contrôle soit nécessaire. Elles peuvent être constituées par :
* un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;
* des règles d’entreprise contraignantes ; elles permettent à des groupes d’entreprise, essentiellement des multinationales, d’encadrer juridiquement leurs transferts de données hors de l’Union européenne tout en leur offrant la possibilité d’engager une démarche de mise en conformité globale à l’échelle de tout le groupe ;
* des clauses types de protection des données adoptées par la Commission en conformité avec une procédure d’examen particulière ; il s’agit de modèles de contrat de transfert de données personnelles adoptés par la Commission européenne dont il existe deux types, l’un pour les relations entre deux responsables du traitement, l’autre entre un responsable du traitement et un sous-traitant. Elles doivent être juridiquement contraignantes, mises en application par toutes les entités du groupe, conférer expressément aux personnes concernées des droits sur le traitement de leurs données personnelles, répondre aux exigences prévues par l’article 47 du RGPD ;
* des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2 du RGPD ;
* un code de conduite approuvé, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ;
* un mécanisme de certification approuvé, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
b) En second lieu, celles qui peuvent être fournies sous réserve de l’autorisation de l’autorité de contrôle compétente. Elles sont notamment constituées par :
- des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous‑traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale ; ou
- des dispositions juridiquement contraignantes à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.
5.- Autrement dit, le choix est clair :
* avec une décision d’adéquation, les données des personnes recueillies sur le territoire de l’espace économique européen peuvent être directement transférées vers le territoire monégasque et vice-versa pour celles recueillies sur le territoire monégasque sans aucune autre formalité ;
* sans décision d’adéquation, les transferts sont soumis à des contraintes qui ont un lourd impact économique, financier et humain sur les responsables du traitement ou leurs sous-traitants et même un impact stratégique, les opérateurs étrangers pouvant être conduits à revoir l’intérêt de transférer les données vers la Principauté ou à exiger la conformité au RGPD de leurs partenaires monégasques avant que de poursuivre ou de s’engager dans une relation commerciale.
Sans doute, les entreprises monégasques ont-elles conclu des contrats ou se sont efforcées de se doter des garanties voulues mais comme elles appliquent déjà indirectement le RGPD autant vaut en avoir tous les bénéfices économiques et même politiques puisque ce texte n’est pas sans incidence sur l’attractivité de la Principauté, sur sa crédibilité et sa capacité de rayonnement internationales.
IV.- Pour sa part, conformément à son article 64, la Directive UE 2016/680 précitée est entrée en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne, soit le 5 mai 2016.
1.- Cette Directive, dite « Police-Justice », qui comporte 107 considérants et 65 articles répartis en 10 chapitres, a pour objet, exposé au 1 de son article premier et partiellement repris dans son intitulé, d’établir des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
2.- Pour entrer dans son champ d’application, un traitement de données doit donc répondre à deux conditions cumulatives :
* D’une part, il doit poursuivre l’une des finalités qui viennent d’être mentionnées. La Directive a ainsi vocation à s’appliquer en « matière pénale » et, en particulier, aux activités menées par la police par exemple dans le cadre de la prévention et de la constatation de certaines infractions ou encore aux traitements permettant la gestion des mesures d’application des peines prononcées par l’autorité judiciaire.
Les dispositions de cette Directive peuvent également avoir vocation à encadrer les traitements mis en œuvre dans le cadre d’activités qui ne relèvent pas spécifiquement de la sphère pénale mais qui se rapportent à des activités de police effectuées en amont de la commission d’une infraction pénale.
Peuvent ainsi relever des finalités qu’elle encadre, les activités préventives de police aux fins de protection contre les menaces pour la sécurité publique susceptibles de déboucher sur une qualification pénale (activités de police lors de manifestations, d’évènements sportifs, maintien de l’ordre public, etc.) et les traitements mis en œuvre pour ces finalités.
* D’autre part, et quelle que soit sa finalité, le traitement doit être mis en œuvre par une « autorité compétente », c’est-à-dire :
- toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en matière pénales ou l’exécution de sanctions pénales (les autorités judiciaires, la police, toutes autres autorités répressives, etc.) ;
- ou tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique aux fins de mettre en œuvre un traitement relevant de la Directive.
En revanche, elle n’est pas applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union européenne.
3.- Dans les six articles de son chapitre V elle précise également les conditions applicables aux transferts de données à caractère personnel vers les autres États membres, vers les États tiers et vers des entités privées au sein d’États tiers en instaurant un mécanisme à plusieurs niveaux en fonction du degré « d’adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel. Il en résulte un modèle complexe dont il faudra s’assurer qu’il a été correctement pris en compte par le projet de loi.
4.- Si la Directive comporte un certain nombre d’obligations identiques à celles du RGPD, elle s’en distingue néanmoins sur ce point et il en va de même en matière de droits.
a) Au titre des obligations identiques, l’on peut relever celles de :
- mettre en œuvre des mesures techniques et organisationnelles appropriées pour que le traitement soit conforme à la Directive ;
- mettre en œuvre une protection des données dès la conception et par défaut (« privacy by design and by default ») ;
- faire appel à des sous-traitants qui présentent des garanties suffisantes et qui ne pourront agir que sur instruction du responsable du traitement ;
- tenir un registre des activités de traitement ;
- mettre en œuvre des mesures de journalisation ;
- coopérer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions ;
- réaliser une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ;
- consulter préalablement l’autorité de contrôle dans les cas énumérés à l’article 28 de la Directive ;
- mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, en particulier pour les données dites sensibles ;
- notifier à l’autorité de contrôle les violations de données à caractère personnel dans les meilleurs délais, et si possible au plus tard dans un délai de 72h après en avoir pris connaissance, en cas de risques pour les droits et libertés d’une personne physique ;
- communiquer à la personne concernée la violation de ses données à caractère personnel lorsqu’il y a un risque élevé pour les droits et libertés de celle-ci ;
- désigner un délégué à la protection des données dans les conditions prévues à l’article 32 de la Directive ;
- respecter les conditions définies pour le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales (articles 35 et suivants).
b) En revanche, sont spécifiques à la Directive, les obligations :
- d’établir, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, comme par exemple les personnes reconnues coupables d’une infraction pénale, les personnes victimes d’une infraction pénale, les tiers à une infraction pénale, etc. (article 6) ;
- de distinguer entre les données à caractère personnel (données fondées sur des faits/données fondées sur des appréciations personnelles) et de vérifier la qualité des données (article 7) ;
- de garantir que le traitement est licite, c’est-à-dire nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités prévues aux fins de la présente directive, et fondé sur le droit de l’Union ou le droit d’un État membre (article 8) ;
- de prévoir que le traitement portant sur des données sensibles ne peut être autorisé qu’en cas de nécessité absolue (article 10).
c) De même, en raison de la spécificité de son champ d’application, certains des droits présents dans le RGPD ne se retrouvent pas dans la Directive (c’est le cas, par exemple, du droit à la portabilité) ou peuvent être assortis de limitations.
Par contre, les droits des personnes qu’elle reconnaît expressément sont les suivants :
- l’information de la personne concernée, sous réserve de possibles limitations (article 13) ;
- le droit d’accès (article 14) sous réserve des limitations, entières ou partielles, qui peuvent lui être apportées notamment pour ne pas gêner les enquêtes, éviter de nuire à la prévention et à la détection des infractions pénales, etc. (article 15). En pratique, la limitation du droit d’accès pourra avoir pour conséquence de conduire à la mise en œuvre d’un « droit d’accès indirect », c’est-à-dire exercé par l’intermédiaire de l’autorité de contrôle compétente (article 17) ;
- le droit de rectification ou d’effacement des données à caractère personnel (article 16).
5.- Comme le RGPD, la Directive pose le principe au 1 de son article 36 qu’un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat, auquel cas un tel transfert ne nécessite pas d’autorisation spécifique.
Au paragraphe 2 du même article 36 dont la rédaction est identique à celle du deuxième paragraphe de l’article 45 du RGPD, elle indique certains des éléments pris en compte par la Commission pour évaluer le caractère adéquat du niveau de protection existant dans le pays tiers.
V.- Ainsi que cela ressort tant de la lettre de saisine du Conseil d’État que de la partie introductive du Rapport de présentation du projet de loi, le Gouvernement a entendu se référer expressément à ce « paquet » et vise à obtenir les décisions d’adéquation chacune afférente à l’une de ses deux composantes.
1.- Ces décisions d’exécution de la Commission européenne, qui sont des actes non législatifs obligatoires dans tous leurs éléments, sont prises sur un fondement complexe qui va bien au-delà de la simple compatibilité des dispositions spécifiques adoptées par les États tiers avec le RGPD et la Directive.
2.- L’adoption des décisions d’adéquation par le collège des commissaires européens intervient à l’issue d’un processus incluant l’émission d’un avis du Comité Européen de la Protection des Données, la consultation d’un Comité composé de représentants des États membres (procédure de comitologie) et l’information de la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen.
3.- Les conditions auxquelles sont soumis les transferts internationaux de données à caractère personnel n’ont pas fondamentalement changé par rapport à ce qui régissait les transferts hors UE sous l’empire de la Directive 95/46. Toutefois le RGPD, enrichi des enseignements tirés de la jurisprudence de la Cour de justice de l’Union européenne et des avis du Groupe de travail de l’article 29, c’est-à-dire du groupe de travail européen indépendant dont l’organisation et les missions étaient définies par les articles 29 et 30 de la Directive 95/46/CE (d’où son nom) et par l’article 14 de la Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, qui traitait les questions relatives à la protection de la vie privée et aux données personnelles avant l’entrée en vigueur du RGPD, a clarifié les critères à prendre en considération pour déterminer si un pays tiers offre une protection adéquate et a élargi la palette des instruments juridiques permettant d’apporter des garanties appropriées pour encadrer les flux de données.
a) En premier lieu, selon la norme définie par la Cour de Justice de l’Union européenne (CJUE) dans l’arrêt Schrems (17), si le « niveau de protection » dans le pays tiers doit être « substantiellement équivalent » à celui garanti dans l’UE, « les moyens auxquels ce pays tiers a recours, à cet égard, pour assurer un tel niveau de protection peuvent être différents de ceux mis en œuvre au sein de [l’Union] ».
En conséquence, il ne s’agit pas pour un pays tiers comme Monaco de refléter point par point la législation de l’Union européenne, mais seulement d’établir dans son droit les exigences essentielles et fondamentales de cette législation.
b) En second lieu, l’article 45, paragraphe 2, du RGPD et l’article 36 paragraphe 2 de la Directive définissent les éléments dont la Commission européenne doit tenir compte lorsqu’elle évalue le caractère adéquat du niveau de protection dans un pays tiers ou une organisation internationale.
Elle doit ainsi notamment prendre en considération :
* l’état de droit ;
* le respect des droits de l’homme et des libertés fondamentales ;
* la législation pertinente ;
* l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes ;
* et les engagements internationaux pris par le pays tiers ou l’organisation internationale en question ou d’autres obligations découlant de conventions ou d’instruments juridiquement contraignants, ainsi que sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.
Autrement dit, pour que le système d’un pays tiers puisse être reconnu comme substantiellement équivalent, il doit comporter des principes et mécanismes fondamentaux déterminés touchant au contenu des règles sur la protection des données d’une part, et aux exigences en matière de procédure et d’application d’autre part.
VI.- Plus précisément, les éléments que prend en compte la commission doivent être regardés à la lumière des critères de référence pour l’adéquation qu’avait adoptés le Groupe de travail de l’article 29 et auxquels doit répondre le projet de loi pour permettre à la Principauté d’obtenir la reconnaissance d’un niveau de protection adéquat comme l’ont déjà obtenue plusieurs pays tiers sous l’empire soit de l’ancienne Directive 95/46 soit du RGPD (18).
En ce qui concerne les principes touchant au contenu tant formel que fondamental, il s’agit d’inclure dans le droit monégasque d’abord des notions qui, sans nécessairement reprendre la terminologie du RGPD, doivent refléter les notions ancrées dans la législation européenne relative à la protection des données et être cohérents avec ces dernières, ensuite des fondements, des principes et des droits qui correspondent à ceux défendus par l’Europe en matière de protection des données et, enfin des mécanismes de procédure et d’application cohérents avec le système européen.
a) Ainsi, parmi les notions clefs à prendre en considération figurent celles de « données à caractère personnel », de « traitement de données à caractère personnel », de « responsable du traitement », de « sous-traitant », de « destinataire » ou encore de « données sensibles ».
b) Ainsi encore, à partir du moment où les données doivent être traitées de manière loyale, licite et légitime, les fondements au titre desquelles des données à caractère personnel peuvent être traitées de la sorte doivent être définis de façon suffisamment claire. Parmi les fondements reconnus dans le cadre européen figurent notamment telle ou telle disposition appropriée de la législation nationale, le consentement de la personne concernée, l’exécution d’un contrat ou l’intérêt légitime du responsable du traitement ou d’une tierce partie qui ne l’emporte pas sur les intérêts de la personne concernée.
c) De même, cinq principes généraux et trois principes supplémentaires, applicables, pour ce qui les concerne, à certains types de traitements, doivent transparaître dans la législation nationale.
* Pour les principes généraux, il s’agit :
- du principe de limitation de la finalité qui implique que les données doivent être traitées dans un but précis et être ensuite utilisées uniquement dans la mesure où cela n’est pas incompatible avec la finalité du traitement ;
- du principe de qualité et de proportionnalité des données qui se traduit par le fait que les données à caractère personnel doivent non seulement être exactes et, au besoin, actualisées mais encore adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;
- du principe de conservation des données qui repose sur l’idée qu’en règle générale, les données à caractère personnel ne doivent pas être conservées plus longtemps que ce qui est nécessaire à la réalisation des finalités pour lesquelles elles sont traitées ;
- du principe de sécurité et de confidentialité en vertu duquel toute entité procédant au traitement de données à caractère personnel doit veiller à ce que les données soient traitées de façon à garantir la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées, étant précisé que le niveau de sécurité doit tenir compte de l’état des connaissances et des coûts correspondants ;
- du principe de transparence voulant que chaque personne soit informée de façon claire, aisément accessible, concise, transparente et compréhensible des principaux éléments du traitement des données à caractère personnel la concernant. Corollairement, ces informations doivent comprendre la finalité du traitement, l’identité du responsable du traitement, les droits mis à sa disposition et d’autres informations dans la mesure où celles-ci sont nécessaires pour garantir un traitement loyal. Toutefois, dans certaines conditions, il peut y avoir des exceptions à ce droit à l’information, notamment pour protéger des enquêtes criminelles, la sécurité nationale, l’indépendance de la justice et des procédures judiciaires ou d’autres objectifs importants d’intérêt public général, conformément à l’article 23 du RGPD.
* Pour les principes particuliers à certains types de traitement, la législation nationale doit contenir :
- des catégories particulières de données qui correspondent à celles énoncées aux articles 9 et 10 du RGPD, c’est-à-dire d’abord celles que l’on peut qualifier de sensibles au regard de la protection des droits fondamentaux et celles, ensuite, relatives aux condamnations pénales et aux infractions, et leur assurer une protection par des garanties spécifiques ;
- un droit d’opposition de la personne concernée dont les données sont traitées à des fins de démarchage ;
- des garanties particulières encadrant le régime des décisions prises sur le seul fondement d’un traitement automatisé, y compris le profilage, qui produisent des effets juridiques ou affectent la personne concernée de manière significative. À cet égard, la législation nationale doit au minimum prévoir pour la personne concernée le droit d’être informée des raisons particulières sous-tendant la décision et la logique concernée, le droit de corriger des informations inexactes ou incomplètes et le droit de contester la décision si elle est adoptée sur une base factuelle incorrecte et, dans l’idéal, le droit pour cette personne de ne pas être soumise à cette décision.
d) En outre, la législation nationale de l’État tiers doit contenir en faveur de la personne concernée un droit d’accès, de rectification, d’effacement et d’opposition. Ces droits peuvent éventuellement être limités, notamment pour protéger des enquêtes criminelles, la sécurité nationale, l’indépendance de la justice et des procédures judiciaires ou d’autres objectifs importants d’intérêt public général conformément à l’article 23 du RGPD.
e) Elle doit également comporter des restrictions concernant les transferts ultérieurs. C’est ainsi que les transferts ultérieurs des données à caractère personnel par le destinataire initial du transfert original de données ne doivent normalement être autorisés que si le nouveau destinataire (c’est-à-dire le destinataire du transfert ultérieur) est également soumis à des règles (y compris des règles contractuelles) assurant un niveau de protection adéquat et suivant les instructions pertinentes lors du traitement des données pour le compte du responsable du traitement. Le niveau de protection des personnes physiques dont les données sont transférées ne doit pas être compromis par le transfert ultérieur. Le destinataire initial des données transférées depuis l’UE doit s’assurer que les garanties appropriées sont prévues pour les transferts ultérieurs de données en l’absence d’une décision d’adéquation. Ces transferts ultérieurs de données ne doivent au demeurant avoir lieu qu’à des fins limitées et précises et tant que ce traitement a un fondement juridique.
f) Enfin, en matière de mécanismes relatifs à la procédure et à l’application, un système ne peut être reconnu cohérent avec le système européen que s’il se caractérise par l’existence des quatre éléments principaux suivants :
* l’existence d’une, ou de plusieurs, Autorité de contrôle indépendante compétente, chargée de surveiller et d’assurer le respect des dispositions relatives à la protection des données et à la vie privée dans le pays tiers et de les faire appliquer. À ce titre, l’examen porte sur la vérification que l’autorité de contrôle exerce en toute indépendance et impartialité les fonctions et les pouvoirs dont elle est investie et, ce faisant, ni ne sollicite ni n’accepte d’instructions. Dans ce contexte, sont pris en considération le fait qu’elle se soit vu confier tous les pouvoirs et missions nécessaires et disponibles pour assurer le respect des droits en matière de protection des données et favoriser la sensibilisation, qu’elle dispose des effectifs et du budget adaptés et enfin le fait qu’elle est en mesure de mener des enquêtes, de sa propre initiative.
* le système d’un pays tiers doit garantir un niveau élevé de responsabilité et de connaissance, parmi les responsables du traitement et ceux procédant au traitement de données à caractère personnel pour leur compte, de leurs obligations, missions et responsabilités et, parmi les personnes concernées, de leurs droits et des moyens de les exercer. L’existence de sanctions effectives et dissuasives peut jouer un rôle important pour garantir le respect des règles, tout comme les systèmes de vérification directe par les autorités, les auditeurs ou des responsables indépendants de la protection des données.
* la mise en place d’un principe de responsabilité en vertu duquel le cadre de protection des données d’un pays tiers doit obliger les responsables du traitement et/ou ceux procédant au traitement de données à caractère personnel pour leur compte à le respecter et à être en mesure de démontrer qu’il est respecté, notamment auprès de l’autorité de contrôle. Ces mesures peuvent notamment consister en des analyses d’impact de la protection des données, la tenue de registres ou de journaux des activités de traitement des données pour une période appropriée, la désignation d’un responsable de la protection des données ou la protection des données dès la conception et par défaut.
* le système de protection des données doit soutenir et aider les personnes concernées dans l’exercice de leurs droits et fournir des mécanismes de recours appropriés. Ainsi, la personne concernée doit être en mesure d’exercer des voies de recours pour faire valoir ses droits rapidement et effectivement, sans coût prohibitif, et pour assurer le respect des règles. Pour ce faire, il est examiné si le pays tiers a mis en place des mécanismes de contrôle permettant d’enquêter sur les plaintes de manière indépendante, de détecter et de sanctionner en pratique toute infraction du droit à la protection des données et au respect de la vie privée. Si les règles ne sont pas respectées, la personne concernée doit également disposer de recours judiciaires et administratifs effectifs, y compris pour la réparation du préjudice subi en raison du traitement illicite des données à caractère personnel la concernant. Il s’agit là d’un élément essentiel qui nécessite un système d’arbitrage indépendant permettant de réparer le dommage et d’imposer des sanctions le cas échéant.
Par ailleurs, la législation de l’État tiers doit contenir des garanties essentielles en matière d’application des lois et d’accès des autorités publiques aux données personnelles pour raison de sécurité nationale afin de limiter les ingérences dans les droits fondamentaux.
En effet, lorsqu’elle évalue le caractère adéquat du niveau de protection, en vertu de l’article 45, paragraphe 2, point a) du RGPD, la Commission doit tenir compte « de la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation (...) ».
Cela implique au minimum que quatre garanties soient respectées pour que l’accès aux données - que ce soit à des fins de sécurité nationale ou à des fins d’application de la loi -, par tous les pays tiers, soit considéré comme adéquat :
* le traitement doit reposer sur des règles claires, précises et accessibles (base juridique) ;
* la nécessité et la proportionnalité au regard des objectifs légitimes poursuivis doivent être démontrées ;
* le traitement doit faire l’objet d’un contrôle indépendant ;
* les particuliers doivent disposer de voies de recours effectives. »
* * *
À l’issue de son examen, le Conseil d’État a constaté qu’avec ce projet, la Principauté s’est efforcée d’adopter des lignes directrices claires pour que son droit, sans dénaturer les normes européennes et sans méconnaître la différence des champs d’application respectifs des textes du paquet européen, ne présente pas d’écart significatif avec le droit du Conseil de l’Europe et de l’Union européenne.
Sous réserve d’observations mentionnées en conclusion du rapport du Conseil d’État, le projet de loi constitue une avancée probante de la législation nationale en matière de protection des données à caractère personnel (…). Il apparaît former un système cohérent de protection des données ayant intégré les impératifs de la Convention 108+ et se présentant substantiellement équivalent à celui applicable au sein de l’Union européenne. Il semble donc au Conseil d’État qu’au prix d’efforts mesurés d’améliorations telles que suggérées dans le présent rapport et des compléments qu’apporteront en leur temps les textes réglementaires d’application de la loi prévus par le projet lui-même, ce dernier conforterait sa conformité et son adéquation aux règles européennes, à même de doter ainsi la Principauté d’un socle juridique modernisé en matière de protection des droits des personnes physiques à l’égard du traitement de leurs données personnelles et à la libre circulation de ces données.