Loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles.
ALBERT II
PAR LA GRÂCE DE DIEU
PRINCE SOUVERAIN DE MONACO
Avons sanctionné et sanctionnons la loi dont la teneur suit, que le Conseil National a adoptée dans sa séance du 28 novembre 2024.
CHAPITRE I
DISPOSITIONS GÉNÉRALES
Article Premier.
Les traitements automatisés ou non automatisés de données à caractère personnel ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
Les droits des personnes physiques concernées par ces traitements sont garantis par la présente loi et s’exercent selon les modalités qu’elle définit.
Art. 2.
Aux fins de la présente loi on entend par :
1. « autorité de protection » : l’autorité administrative indépendante de protection des données à caractère personnel instituée par l’article 37 ;
2. « chiffrement » : procédé de transformation cryptographique des données permettant de les rendre incompréhensibles à toute personne qui ne dispose pas de la clé de déchiffrement ;
3. « consentement de la personne concernée » : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;
4. « destinataire » : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière ne sont pas considérées comme des destinataires ;
5. « données à caractère personnel ou données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (ci‑après dénommée « personne concernée »). Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
6. « données concernant la santé » : les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ;
7. « données biométriques » : les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ;
8. « données génétiques » : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question ;
9. « données sensibles » : les données à caractère personnel qui révèlent, directement ou indirectement, des opinions ou des appartenances politiques, les origines raciales ou les origines ethniques, les convictions religieuses, philosophiques ou l’appartenance syndicale, ou encore des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique ou des données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique ;
10. « fichier » : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
11. « entreprise » : une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique ;
12. « groupe d’entreprises » : entreprise qui exerce le contrôle et les entreprises qu’elle contrôle du fait, par exemple, de la détention du capital, d’une participation financière ou des règles qui la régissent, ou encore du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel ;
13. « limitation du traitement » : le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ;
14. « organisation internationale » : une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord ;
15. « profilage » : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser celles-ci pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ;
16. « pseudonymisation » : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ;
17. « règles d’entreprises contraignantes » : les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous‑traitant établi sur le territoire de la Principauté pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous‑traitant établi à l’étranger au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe ;
18. « représentant » : une personne physique ou morale établie sur le territoire de la Principauté, ou, à défaut, au sein d’un État membre de l’Union européenne, désignée par tous moyens écrits par le responsable du traitement ou le sous‑traitant dans les conditions de l’article 25 ;
19. « responsable du traitement » : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui détermine, seul ou conjointement avec d’autres, les finalités et les moyens du traitement ;
20. « service de la société de l’information » : tout service, à titre onéreux ou non, rendu à distance et sans que les parties soient simultanément présentes, par voie électronique et à la demande individuelle d’un destinataire de services ;
21. « sous‑traitant » : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
22. « tiers » : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous‑traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous‑traitant, sont autorisées à traiter les données à caractère personnel ;
23. « traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’extraction, la consultation, l’utilisation, l’adaptation ou la modification, la communication, l’archivage, l’effacement ou la destruction de données, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’application d’opérations logiques ou arithmétiques à ces données ;
24. « traitement à grande échelle » : toute opération qui vise à traiter un volume considérable de données à caractère personnel, pouvant affecter un nombre important de personnes concernées apprécié en valeur absolue ou en valeur relative par rapport à la population concernée, et susceptible d’engendrer un risque élevé, compte tenu notamment de la durée ou la permanence de l’activité de traitement et de son étendue géographique ;
25. « violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Art. 3.
1. La présente loi s’applique aux traitements de données à caractère personnel, automatisés en tout ou partie, ainsi qu’aux traitements non automatisés de données contenues ou appelées à figurer dans des fichiers :
- mis en œuvre par un responsable du traitement ou un sous‑traitant établi à Monaco, que le traitement ait lieu ou non à Monaco ;
- relatifs à des personnes concernées se trouvant sur le territoire de la Principauté et mis en œuvre par un responsable du traitement ou un sous‑traitant établi hors du territoire de la Principauté lorsque les activités de traitement sont liées à l’offre de biens ou de services ou au suivi du comportement de ces personnes.
2. Les dispositions de la présente loi ne sont pas applicables aux traitements mis en œuvre par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.
CHAPITRE II
PRINCIPES RELATIFS À LA QUALITÉ DES DONNÉES ET AUX CONDITIONS DE LICÉITÉ DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL
Art. 4.
Le responsable du traitement s’assure que les données à caractère personnel sont :
1. traitées de manière licite, loyale et transparente au regard de la personne concernée ;
2. collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. À l’exception des traitements visés aux articles 64 et 91, un traitement ultérieur de données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, est considéré comme compatible avec les finalités initiales de la collecte des données dès lors que des garanties appropriées s’appliquent ;
3. adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
4. exactes et, si nécessaire, mises à jour. Le responsable du traitement prend toutes les mesures raisonnables pour que les données à caractère personnel inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées dans les meilleurs délais ;
5. conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. Sous réserve de garanties appropriées, la durée de conservation peut être plus longue dans la mesure où les données seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Le choix des données conservées à des fins archivistiques dans l’intérêt public est opéré dans les conditions prévues par la réglementation en vigueur en matière d’archivage ;
6. traitées de façon à garantir une sécurité appropriée des données à caractère personnel y compris la protection contre le traitement non autorisé ou illicite ou contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques et organisationnelles garantissant leur intégrité et leur confidentialité.
Le responsable du traitement est responsable du respect du présent article et est en mesure de démontrer que celui‑ci est respecté.
Art. 5.
Pour être licite, un traitement doit répondre au moins à l’une des exigences suivantes :
1. l’obtention du consentement, pour une ou plusieurs finalités spécifiques, de la personne concernée ;
2. le besoin de respecter une obligation légale à laquelle est soumis le responsable du traitement ;
3. sa nécessité pour l’exécution d’un contrat auquel la personne concernée est partie ou l’exécution des mesures pré-contractuelles prises à la demande de celle‑ci ;
4. sa nécessité pour la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
5. l’existence d’un motif d’intérêt public lorsque les traitements sont mis en œuvre par une personne morale de droit public ou par une personne morale de droit privé investie d’une mission d’intérêt général ou concessionnaire d’un service public ;
6. sa nécessité pour la réalisation d’un intérêt légitime poursuivi par le responsable du traitement ou par un tiers à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un mineur. Sont exclus de ce cas, les traitements effectués par une personne morale de droit public ou par une personne morale de droit privé investie d’une mission d’intérêt général ou concessionnaire d’un service public dans l’exécution de leurs missions.
Lorsque le traitement, mis en œuvre à une fin autre que celle pour laquelle les données ont été collectées, n’est pas fondé sur le consentement de la personne concernée ou sur une obligation légale ou réglementaire, le responsable du traitement, afin de déterminer si ledit traitement est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, notamment :
- de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
- du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
- de la nature des données à caractère personnel, en particulier si le traitement porte sur des données sensibles ou sur des données relatives aux infractions et condamnations pénales ;
- des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
- de l’existence de garanties appropriées pouvant comprendre le chiffrement ou la pseudonymisation.
Art. 6.
Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement est en mesure de démontrer que celle‑ci a donné son consentement au traitement de données à caractère personnel la concernant au moyen d’un acte positif clair résultant d’une action libre, spécifique, éclairée et non équivoque. Si le consentement est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions. Le consentement ne doit pas être exigé en contrepartie d’un bien ou d’un service à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service.
En présence d’une offre directe de service de la société de l’information, le consentement de la personne concernée est requis même lorsqu’elle est mineure. Toutefois, lorsque le mineur est âgé de moins de 15 ans, ce traitement n’est licite qu’en présence d’un consentement donné par le mineur concerné avec l’autorisation de la ou des personnes exerçant l’autorité parentale. Le responsable du traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne. En pareil cas, le responsable du traitement s’efforce de vérifier raisonnablement que le consentement est donné ou autorisé par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.
La personne concernée ou la ou les personnes exerçant l’autorité parentale du mineur de moins de 15 ans ont le droit de retirer le consentement à tout moment. Il est aussi simple de retirer que de donner son consentement. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Cette dernière peut dès lors solliciter du responsable du traitement, la destruction ou l’effacement de ses données.
Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de confiance au sens de la loi n° 1.383 du 2 août 2011, modifiée, pour les besoins de la délivrance et de la conservation des certificats électroniques doivent l’être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.
Art. 7.
Le traitement de données sensibles est interdit.
Ne sont pas soumis à l’interdiction prévue au premier alinéa :
1. les traitements pour lesquels la personne concernée a donné son consentement explicite sauf dans le cas où la loi prévoit que cette interdiction ne peut être levée par le consentement de la personne concernée ;
2. les traitements nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où celle‑ci ne peut valablement donner son consentement par suite d’une altération de ses facultés personnelles, d’une incapacité physique ou juridique ou d’une impossibilité matérielle ;
3. les traitements qui concernent les membres d’une institution ecclésiale ou d’un groupement à caractère politique, religieux, philosophique, humanitaire ou syndical, dans le cadre de l’objet statutaire ou social de l’institution ou du groupement et pour les besoins de son fonctionnement, à condition que le traitement se rapporte aux seuls membres ou anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les informations ne soient pas communiquées à des tiers sans le consentement des personnes concernées ;
4. les traitements portant sur des données à caractère personnel manifestement rendues publiques par la personne concernée ;
5. les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions ou le ministère public agissent dans le cadre de leur fonction juridictionnelle ;
6. les traitements justifiés par des motifs d’intérêt public important prévus par le droit monégasque qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;
7. les traitements nécessaires aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de l’aptitude du travailleur, de diagnostics médicaux, de l’administration de soins, de médications ou de la gestion des services de santé et de prévoyance sociale ou dans l’intérêt de la recherche ou dans le domaine de la santé publique, lorsque le traitement de ces données est effectué par un professionnel de santé soumis au secret professionnel ou par une autre personne également soumise à une obligation de secret ;
8. les traitements réalisés à des fins archivistiques dans l’intérêt public, mis en œuvre par les services ayant une obligation légale de collecte, de conservation et de communication d’archives définitives ou concernant des archives provenant d’entités privées revêtant un caractère d’intérêt public, et les traitements à des fins de recherche scientifique ou historique ou à des fins statistiques ;
9. les traitements mis en œuvre par les employeurs qui portent sur des données biométriques strictement nécessaires aux contrôles de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux employés ;
10. les traitements nécessaires à l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
11. les traitements mis en œuvre par l’Institut Monégasque de la Statistique et des Études Économiques dans le cadre de l’établissement des seules études et enquêtes qui le nécessitent ;
12. les traitements visés aux articles 64, 77 et 91 mis en œuvre par les autorités administratives et judiciaires compétentes dans le cadre des missions qui leur sont légalement conférées ;
13. les traitements nécessaires pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit monégasque qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, dont notamment le secret professionnel.
Le responsable du traitement prévoit des garanties appropriées pour la mise en œuvre des traitements visés aux chiffres 2, 6 et 8 à 11 afin de prévenir les risques pour les intérêts, droits et libertés fondamentales de la personne concernée, notamment un risque de discrimination.
Art. 8.
Aucune interconnexion ne peut être effectuée entre le casier judiciaire et tout autre fichier ou traitement de données à caractère personnel mis en œuvre par une personne quelconque ou par un service ne dépendant pas de la Direction des Services Judiciaires.
Art. 9.
Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui‑ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter la présente loi.
Lorsque, dans les cas visés au premier alinéa du présent article, le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 12 à 16 et 18 de la présente loi ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l’identifier.
CHAPITRE III
DROITS DE LA PERSONNE CONCERNÉE
Art. 10.
Le responsable du traitement prend des mesures appropriées pour fournir toute information et procéder à toute mesure relative à l’exercice des droits de toute personne concernée, de façon concise, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un mineur. Les informations sont fournies gratuitement par écrit ou par tout moyen approprié. Lorsque la personne en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. En cas de demande manifestement infondée ou abusive, notamment en raison de leur caractère répétitif, le responsable du traitement peut, soit exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées, soit refuser de donner suite à la demande. Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
Le responsable du traitement informe par écrit, dans le délai d’un mois à compter de la réception de la demande, la personne concernée des suites données à cette dernière. En cas de demande complexe ou de demandes multiples, ce délai peut être allongé de deux mois. La personne concernée en est informée de manière motivée dans le délai d’un mois à compter de la réception de sa demande. Lorsqu’il ne donne pas suite à la demande, il informe la personne concernée au plus tard dans le même délai d’un mois de la possibilité d’introduire une réclamation auprès de l’autorité de protection ou de former un recours juridictionnel de plein contentieux devant le Tribunal de Première Instance.
Lorsque le responsable du traitement a des doutes raisonnables quant à l’identité d’une personne exerçant un droit, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer son identité.
Les dispositions du présent article ne sont pas applicables aux traitements visés à l’article 91.
Art. 11.
Lorsque les données à caractère personnel sont collectées directement auprès de la personne concernée, le responsable du traitement fournit à celle‑ci, au moment où les données sont obtenues, les informations suivantes :
1. le nom et les coordonnées professionnelles du responsable du traitement et le cas échéant de son représentant établi à Monaco ou, à défaut, au sein d’un État membre de l’Union européenne ;
2. les finalités du traitement ainsi que son fondement juridique ;
3. les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque le traitement est réalisé sur le fondement du chiffre 6 de l’article 5 ;
4. les catégories de données à caractère personnel traitées ;
5. la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
6. le caractère obligatoire ou facultatif des réponses ;
7. les conséquences à son égard d’un défaut de réponse ;
8. l’existence de son droit de retirer son consentement à tout moment lorsque le traitement est fondé sur l’article 5, chiffre 1, ou sur l’article 7, chiffre 1 ;
9. les destinataires ou catégories de destinataires ;
10. les moyens d’exercer son droit d’accès, d’opposition, de rectification, d’effacement, de limitation ou de portabilité relativement aux données personnelles la concernant ;
11. son droit de s’opposer à l’utilisation pour le compte de tiers, ou à la communication à des tiers de données à caractère personnel la concernant à des fins de prospection, notamment commerciale ;
12. son droit d’introduire une réclamation auprès de l’autorité de protection ;
13. le cas échéant, les coordonnées du délégué à la protection des données ;
14. le cas échéant, l’existence d’une prise de décision automatisée, y compris le profilage, et le raisonnement qui sous-tend le traitement ;
15. le cas échéant, le fait que le responsable du traitement effectue ou a l’intention d’effectuer un transfert de données à un destinataire situé hors de la Principauté et, dans l’affirmative, les dispositions mises en œuvre au titre des articles 97 à 100 ;
16. la source de provenance de ces données personnelles, lorsque celles-ci ne sont pas collectées directement auprès de la personne concernée.
Lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à celle‑ci les informations visées aux chiffres 1 à 16 :
- dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ;
- si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne ; ou
- s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.
Dans le cas visé à l’alinéa précédent, le responsable du traitement n’est pas tenu de fournir ces informations lorsque :
- la fourniture de telles informations se révèle impossible ou exige des efforts disproportionnés ;
- l’obtention ou la communication des informations est expressément prévue par la législation ou la réglementation en vigueur, en application d’engagements internationaux rendus exécutoires dans la Principauté offrant des garanties comparables ;
- le responsable du traitement est lié par une obligation légale de secret ;
- la personne concernée dispose déjà de ces informations, que les données aient été collectées directement ou non auprès d’elle.
En cas de traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au premier alinéa.
L’exercice de ce droit n’est pas applicable aux traitements visés à l’article 91.
Art. 12.
La personne concernée, justifiant de son identité, a le droit d’obtenir auprès du responsable du traitement, dans le délai d’un mois suivant la réception de la demande, et sous réserve de dispositions législatives spécifiques, confirmation que des données à caractère personnel la concernant sont, ou non, traitées, ainsi que les informations suivantes :
1. les finalités du traitement, les catégories de données à caractère personnel sur lesquelles il porte et les destinataires ou catégories de destinataires auxquels les données sont communiquées ;
2. lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
3. lorsqu’elle fait l’objet d’une décision individuelle automatisée, y compris le profilage, le raisonnement qui sous-tend le traitement ainsi que l’importance et les conséquences prévues pour la personne concernée ;
4. toute information disponible quant à la source des données à caractère personnel non collectées auprès de la personne concernée ;
5. le droit de demander la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel, ou le droit de s’opposer à ce traitement ;
6. l’existence d’un transfert vers un pays, un territoire ou une organisation internationale ne bénéficiant pas de la protection adéquate ou ne présentant pas un niveau approprié de protection au regard des dispositions de la présente loi et les garanties appropriées des articles 76, 98 et 99, en ce qui concerne ce transfert ;
7. l’existence du droit d’introduire une réclamation auprès de l’autorité de protection.
Lorsque les données personnelles sont traitées, leur communication est faite sous une forme lisible et compréhensible. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement et peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée.
La communication de la copie visée à l’alinéa précédent ne doit pas porter atteinte aux droits et libertés d’autrui.
Si la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit fait autrement.
Aux fins de préserver l’intégrité du droit d’accès, le président du Tribunal de première instance ou le magistrat délégué par lui statuant en la forme des référés, peut, en cas de risque de dissimulation ou de disparition des données à caractère personnel, ordonner toutes mesures de nature à éviter cette dissimulation ou cette disparition.
L’accès de la personne concernée aux informations concernant sa santé s’effectue dans les conditions prévues par la législation relative au consentement et à l’information en matière médicale.
Art. 13.
La personne concernée a le droit d’obtenir du responsable du traitement la rectification, dans les meilleurs délais, de ses données personnelles si celles-ci se révèlent inexactes ou incomplètes.
Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
Art. 14.
1. La personne concernée a le droit d’obtenir, dans les meilleurs délais, du responsable du traitement, l’effacement de ses données à caractère personnel, et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, dans les cas suivants :
- lorsqu’elle retire son consentement et qu’il n’existe pas d’autre fondement juridique au traitement ;
- lorsqu’elle s’oppose au traitement en application de l’alinéa premier de l’article 17 et qu’il n’existe pas de motif légitime impérieux pour le traitement ou qu’elle s’oppose au titre de l’alinéa 2 de l’article 17 ;
- lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
- lorsque les données ont fait l’objet d’un traitement illicite ;
- lorsque les données ont été collectées dans le cadre de l’offre de services visée au deuxième alinéa de l’article 6 ;
- pour respecter une obligation légale.
Lorsque les données ont été collectées dans le cadre de l’offre de services et que la personne en fait la demande, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel dès lors que la personne concernée était mineure au moment de la collecte. Lorsqu’il a transmis les données en cause à un tiers lui‑même responsable du traitement, il prend des mesures raisonnables, y compris d’ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci. En cas de non-exécution de l’effacement des données à caractère personnel ou en cas d’absence de réponse du responsable du traitement dans un délai d’un mois à compter de la demande, la personne concernée peut saisir l’autorité de protection, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
2. Les dispositions du présent article ne sont pas applicables lorsque le traitement est nécessaire :
- pour respecter une obligation légale qui requiert le traitement de ces données ;
- pour exercer une mission d’intérêt général par une personne morale de droit privé qui en est investie ou concessionnaire d’un service public ;
- pour exercer une mission relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
- à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où l’exercice de ce droit est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ;
- pour la constatation, l’exercice ou la défense de droits en justice ;
- pour l’exercice du droit à la liberté d’expression publique et d’information.
3. Lorsqu’il est tenu sur demande de la personne concernée de procéder à l’effacement de données personnelles qu’il a rendues publiques, le responsable du traitement, par des mesures raisonnables compte tenu des technologies disponibles et des coûts de mise en œuvre, en informe les autres responsables du traitement qui traitent ces données aux fins d’effacer tout lien vers ces données, toute copie et toute reproduction de ces données.
Art. 15.
La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
1. l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude desdites données ;
2. le traitement est illicite et la personne concernée s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation ;
3. le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
4. la personne concernée s’est opposée au traitement en vertu du premier alinéa de l’article 17 pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
Lorsque le traitement a été limité en vertu du premier alinéa, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée ou que pour la constatation, l’exercice ou la défense de droits en justice pour la protection des droits d’une autre personne physique ou morale ou encore pour des motifs importants d’intérêt public.
Le responsable du traitement informe sans délai la personne concernée de la limitation de ses données.
L’exercice de ce droit n’est pas applicable aux traitements visés aux articles 64, 77 et 91.
Art. 16.
Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément aux articles 13, 14, 15 ou 75, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle‑ci en fait la demande.
Art. 17.
La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur les chiffres 5 et 6 de l’article 5. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
La personne concernée a le droit de s’opposer à tout moment au traitement de ses données personnelles à des fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
Dans ce dernier cas, les données à caractère personnel ne sont plus traitées à ces fins.
Dans le cadre de l’utilisation de services de la société de l’information, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de ses données personnelles, à moins que le traitement soit nécessaire à l’exécution d’une mission d’intérêt général par une personne morale de droit privé qui en est investie ou concessionnaire d’un service public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
L’exercice de ce droit n’est pas applicable aux traitements visés aux articles 64, 77 et 91.
Par exception à l’article 11, le responsable du traitement informe clairement la personne concernée de son droit d’opposition au plus tard au moment de la première communication de manière séparée de toute autre information.
Art. 18.
La personne concernée a le droit de recevoir ses données personnelles qu’elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque les deux conditions suivantes sont remplies :
- la personne concernée a consenti au traitement de ses données à caractère personnel ou lorsque le traitement est prévu par un contrat, tel que visé au chiffre 3 de l’article 5 ;
- le traitement est effectué à l’aide de procédés automatisés.
Lorsque la personne concernée exerce son droit à la portabilité des données en application des dispositions du premier alinéa, elle a le droit d’obtenir que ses données personnelles soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
Le droit visé au premier alinéa s’exerce sans préjudice de l’article 14. Il ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt général par une personne morale de droit privé qui en est investie ou concessionnaire d’un service public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Le droit mentionné au premier alinéa ne doit pas porter atteinte aux droits et libertés des tiers.
Art. 19.
La personne concernée a le droit de ne pas faire l’objet d’une décision produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé, y compris le profilage.
Une personne peut toutefois être soumise à une décision mentionnée au précédent alinéa lorsque cette décision est soit :
1. prise dans le cadre de la conclusion ou de l’exécution d’un contrat entre la personne concernée et un responsable du traitement, à condition que la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, ait été satisfaite ;
2. autorisée par des dispositions législatives ou réglementaires qui précisent les mesures garantissant la sauvegarde des droits et libertés et de l’intérêt légitime de la personne concernée ;
3. fondée sur le consentement explicite de la personne concernée ;
4. en présence de données sensibles, fondée sur le consentement explicite de la personne concernée ou justifiée par des motifs d’intérêt public important, à condition que des garanties appropriées et spécifiques aient été prises par le responsable du traitement.
Dans les cas visés aux paragraphes 1, 3 et 4, le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
Art. 20.
Sauf dispositions législatives et règlementaires contraires, l’ascendant, le descendant jusqu’au second degré, le conjoint survivant d’une personne décédée ou le cohabitant ou le partenaire au sens de la loi n° 1.481 du 17 décembre 2019, peut, s’il justifie d’un intérêt, exercer les droits prévus aux articles 12, 13, 14, 15, 17 et 18 pour ce qui est des informations concernant cette personne.
Art. 21.
Dans l’exercice des missions qui leur sont légalement conférées, le responsable du traitement ou le sous‑traitant peuvent, sous réserve d’y être autorisés par des dispositions législatives ou réglementaires qui respectent l’essence des libertés et droits fondamentaux et constituent une mesure nécessaire et proportionnée dans une société démocratique, faire exception à l’article 4 ainsi qu’aux droits et obligations énumérés aux articles 10 à 19 et au chiffre II. de l’article 32 afin de garantir :
1. la sécurité nationale ;
2. la sécurité publique ;
3. la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique ou la prévention de telles menaces ;
4. l’indépendance de la justice et des procédures judiciaires ;
5. les intérêts économiques et financiers importants de l’État, notamment dans les domaines monétaire, budgétaire et fiscal, la santé publique ou la sécurité sociale ;
6. une mission de contrôle, d’inspection et de réglementation liée à l’exercice de l’autorité publique dans le cadre des traitements visés aux chiffres 1 et 5 ;
7. la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière ;
8. la liberté d’expression publique ;
9. l’exécution en matière civile, des décisions ou actes au sens de l’article 470 du Code de procédure civile et des titres de créance au sens des articles 490 et 495 du même Code.
Les dispositions spécifiques relatives aux finalités du traitement ou des catégories de traitement, aux catégories de données à caractère personnel, à l’étendue des limitations, aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicite, à la détermination du responsable du traitement ou des catégories de responsables du traitement, aux durées de conservation et aux garanties applicables, aux risques pour les droits et libertés des personnes concernées et au droit des personnes concernées d’être informées de la limitation, sont en tant que de besoin précisées dans l’acte juridique qui crée le traitement.
CHAPITRE IV
OBLIGATIONS INCOMBANT AU RESPONSABLE DU TRAITEMENT ET AU Sous‑traitant
Section I - Obligations générales
Art. 22.
Au regard de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement s’assure que le traitement est effectué conformément aux dispositions de la présente loi et est en mesure de le démontrer.
Le responsable du traitement et le sous‑traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de protection, à la demande de celle‑ci, dans l’exécution de ses missions.
L’application d’un code de conduite validé dans les conditions de l’article 33 ou de mécanismes de certification approuvés dans les conditions de l’article 34 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.
Art. 23.
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, présentés par le traitement et de la nature des données personnelles, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui‑même, des mesures techniques et organisationnelles appropriées afin de protéger les droits de la personne concernée.
Lesdites mesures consistent à :
- assurer dès la conception la conformité du traitement aux principes relatifs à la protection des données de façon effective ;
- assortir le traitement des garanties nécessaires afin de répondre aux exigences de la présente loi.
Le responsable du traitement met également en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne concernée.
Art. 24.
Si deux responsables du traitement ou plus déterminent ensemble les finalités et les moyens du traitement, ils sont considérés comme étant les responsables conjoints du traitement.
De ce fait, ils définissent de manière transparente au sein d’un accord leurs obligations respectives, notamment en ce qui concerne l’exercice des droits de la personne concernée et la communication des informations visées à l’article 11. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
Indépendamment des termes de l’accord visé à l’alinéa précédent, la personne concernée peut exercer les droits que lui confère la présente loi à l’égard de l’un ou de l’autre, et contre chacun des responsables de traitement.
Art. 25.
Lorsque le traitement concerne le second tiret du chiffre 1 de l’article 3, le responsable du traitement ou le sous‑traitant désigne par tous moyens écrits un représentant dans la Principauté de Monaco ou, à défaut, au sein d’un État membre de l’Union européenne. Ce dernier est mandaté pour être le contact des personnes concernées par le traitement et de l’autorité de protection à qui elles peuvent s’adresser pour toutes questions.
Cette obligation ne s’applique pas :
- à un traitement occasionnel, qui n’implique pas un traitement à grande échelle de données sensibles ;
- à un traitement de données à caractère personnel relatives à des condamnations pénales ou à des infractions mis en œuvre au titre des articles 64, 80 et 91 ;
- si le responsable du traitement est une personne morale de droit public ou un organisme public.
La désignation d’un représentant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous‑traitant.
Art. 26.
Lorsque le responsable du traitement a recours aux services d’un sous‑traitant, celui‑ci doit présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à assurer la protection des données personnelles et le respect des droits des personnes concernées.
La réalisation de traitements par un sous‑traitant est régie par un contrat qui se présente sous une forme écrite définissant l’objet et la durée du traitement, la nature et la ou les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées ainsi que les obligations et les droits du responsable du traitement. Ce contrat prévoit notamment, que le sous‑traitant :
1. ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement ;
2. veille au respect de la confidentialité ;
3. prend toutes les mesures requises en matière de sécurité des données à caractère personnel ;
4. selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes à moins que le droit auquel il est soumis n’exige la conservation des données à caractère personnel ;
5. aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III ;
6. met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations ;
7. apporte son concours au responsable du traitement pour garantir le respect des obligations prévues aux articles 31, 32, 35 et 36 compte tenu de la nature du traitement et des informations à la disposition du sous‑traitant.
Le sous‑traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation de la présente loi.
Le sous‑traitant ne peut lui‑même sous-traiter un traitement à un tiers qu’avec l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement et dans le respect des dispositions énoncées au présent article.
Le sous‑traitant est considéré comme responsable du traitement, si en violation de la présente loi, il détermine les finalités et les moyens du traitement.
Lorsqu’un sous‑traitant a recours à un autre sous‑traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, ils concluent un contrat qui prévoit les mêmes obligations en matière de protection des données que celles fixées dans le contrat conclu entre le responsable du traitement et le sous‑traitant conformément au deuxième alinéa du présent article.
Lorsque cet autre sous‑traitant ne remplit pas ses obligations en matière de protection des données, le sous‑traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous‑traitant de ses obligations.
L’application, par un sous‑traitant, d’un code de conduite validé dans les conditions de l’article 33 ou de mécanismes de certification approuvés dans les conditions de l’article 34 peut servir d’élément pour démontrer l’existence des garanties suffisantes prévues au premier alinéa du présent article.
Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous‑traitant, le contrat visé aux alinéas 2 et 6 du présent article peut être fondé, en tout ou en partie, sur des clauses contractuelles types, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous‑traitant en vertu de l’article 34.
Art. 27.
1. Le responsable du traitement, ou le cas échéant son représentant, tient un registre des activités de traitement effectuées, sous une forme écrite, sous sa responsabilité.
Ce registre contient au moins les indications suivantes :
- le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint, du représentant du responsable du traitement et du délégué à la protection des données ;
- les finalités du traitement ;
- les catégories de personnes concernées et les catégories de données à caractère personnel traitées ;
- les catégories de destinataires ;
- dans la mesure du possible, le délai de conservation des données à caractère personnel ou les critères pour déterminer la durée de conservation ;
- dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données visées à l’article 31 ;
- en cas de transfert de données à caractère personnel hors de la Principauté l’identification du pays destinataire ou de l’organisation internationale et, le cas échéant, les garanties prévues à l’article 98 ;
- le cas échéant, le recours au profilage pour les traitements visés à l’article 64 ;
- une indication de la base juridique de l’opération de traitement, y compris les transferts, pour les traitements visés aux articles 64 et 91.
2. Le sous‑traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du ou des responsables du traitement.
Ce registre contient au moins les indications suivantes :
- le nom et les coordonnées du sous‑traitant et de chaque responsable du traitement pour le compte duquel le sous‑traitant agit, et, le cas échéant, le nom et les coordonnées du représentant du responsable du traitement ou du sous‑traitant et du délégué à la protection des données ;
- les catégories de traitements effectuées pour le compte de chaque responsable du traitement ;
- dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données visées à l’article 31 ;
- en cas de transfert de données à caractère personnel hors de la Principauté ou à une organisation internationale, l’identification du pays destinataire ou de l’organisation internationale et, le cas échéant, les garanties prévues à l’article 97.
3. Le responsable du traitement ou le sous‑traitant et, le cas échéant, leurs représentants mettent leur registre à la disposition de l’autorité de protection sur simple demande.
4. Les obligations visées aux précédents alinéas ne s’appliquent pas aux entreprises ou organisations établies en Principauté comptant moins de 50 salariés sauf si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ou s’il n’est pas occasionnel ou s’il porte sur des données sensibles ou sur des données personnelles relatives à des infractions, des condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites.
Art. 28.
Le responsable du traitement et le sous‑traitant peuvent désigner un délégué à la protection des données chargé :
- d’informer et conseiller le responsable du traitement ou le sous‑traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la présente loi ;
- de contrôler le respect de la présente loi en matière de protection des données personnelles ainsi que des règles internes du responsable du traitement ou du sous‑traitant en matière de protection des données personnelles y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
- de dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données personnelles ;
- de coopérer avec l’autorité de protection et d’être son correspondant sur les questions relatives au traitement ;
- de présenter à l’autorité de protection les demandes d’avis lorsqu’elles portent sur un traitement visé aux articles 64 et 77.
Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions précitées.
Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous‑traitant, ou exercer ses missions sur la base d’un contrat de service.
Le délégué à la protection des données tient compte du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Le responsable du traitement et le sous‑traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
Art. 29.
À l’exception des juridictions et du ministère public dans l’exercice de leurs fonctions juridictionnelles, la désignation du délégué à la protection des données visé au précédent article est obligatoire, lorsque :
- le traitement est effectué par une personne morale de droit public ou une personne morale de droit privé investie d’une mission d’intérêt général ou concessionnaire d’un service public ;
- les activités de base du responsable du traitement ou du sous‑traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- les activités de base du responsable du traitement ou du sous‑traitant consistent en un traitement à grande échelle de données sensibles ou de données à caractère personnel relatives à des condamnations pénales ou à des infractions.
Un seul délégué à la protection des données peut être désigné pour plusieurs personnes morales de droit public ou pour plusieurs personnes morales de droit privé investies d’une mission d’intérêt général ou concessionnaires d’un service public compte tenu de leur structure organisationnelle et de leur taille.
Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’il soit facilement joignable à partir de chaque lieu d’établissement.
Art. 30.
Le responsable du traitement et le sous‑traitant fournissent au délégué à la protection des données les ressources nécessaires pour exercer sa mission ainsi que l’accès aux données et aux opérations de traitement, à l’exception des traitements visés à l’article 91, et lui assure une formation continue lui permettant d’entretenir ses connaissances spécialisées. Dans ce cadre, ce dernier agit en toute indépendance et ne reçoit d’instructions d’aucune autorité en ce qui concerne l’exercice de ses missions.
Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous‑traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous‑traitant.
Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère la présente loi.
Indépendamment des règles instituées par la loi en matière de secret professionnel dans les conditions et sous les peines prévues à l’article 308 du Code pénal, le délégué à la protection des données est soumis à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.
Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous‑traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
Le responsable du traitement ou le sous‑traitant publient les coordonnées professionnelles du délégué à la protection des données et les communiquent à l’autorité de protection.
Section II - Obligations spécifiques
Art. 31.
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, le responsable du traitement et le sous‑traitant prennent des mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes physiques, notamment la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
À cette fin, le responsable du traitement et le sous‑traitant prennent des mesures telles que la pseudonymisation et le chiffrement des données, ou tout moyen permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement de même que tout moyen permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique, ou encore la mise en place d’une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Lorsque le responsable du traitement ou le sous‑traitant a recours aux services d’un ou plusieurs prestataires, il s’assure que ces derniers sont en mesure de satisfaire aux obligations visées aux précédents alinéas.
La mise en œuvre d’un code de conduite tel que décrit à l’article 33 ou d’un mécanisme de certification tel que prévu à l’article 34 participe à la démonstration, par le responsable du traitement ou le sous‑traitant, du respect de ses obligations en matière de sécurité.
Les dispositions prévues au précédent alinéa ne sont pas applicables aux traitements visés aux articles 64, 77 et 91.
Art. 32.
I. Le responsable du traitement notifie à l’autorité de protection dans les meilleurs délais, et si possible dans un délai maximum de soixante-douze heures après en avoir pris connaissance, les violations de données à caractère personnel dont il a connaissance à moins que la violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Lorsque la notification à l’autorité de protection n’a pas lieu dans les soixante-douze heures, elle est accompagnée des motifs du retard.
La notification visée au premier alinéa précise :
1. la nature de la violation y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées par la violation ;
2. le nom et les coordonnées du délégué à la protection des données lorsque celui‑ci a été désigné ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
3. les conséquences probables de la violation ;
4. les mesures prises ou celles qu’il propose de prendre pour remédier à la violation y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Le responsable du traitement documente toute violation de données à caractère personnel en indiquant les faits concernant la violation, ses effets et les mesures prises pour y remédier.
Le sous‑traitant notifie au responsable du traitement toute violation de données à caractère personnel dès qu’il en a connaissance.
II. Lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique ladite violation à la personne concernée dans les meilleurs délais. Cette communication décrit en termes clairs la nature de la violation, et contient les informations et mesures visées aux chiffres 2, 3 et 4.
La communication visée à l’alinéa précédent n’est pas nécessaire si l’une des conditions ci‑après est remplie :
- les données affectées par la violation ont préalablement fait l’objet de mesures de protection technique et organisationnelle qui rendent lesdites données incompréhensibles pour toute personne n’étant pas autorisée à y accéder ;
- le devoir d’informer individuellement la personne concernée nécessiterait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace ;
- les mesures ultérieures prises par le responsable du traitement garantissent que le risque n’est plus susceptible de se matérialiser.
L’autorité de protection peut exiger du responsable du traitement qu’il procède à la communication de la violation à la personne concernée si cela n’a pas été fait.
Art. 33.
Les associations et organismes professionnels représentant des catégories de responsables du traitement ou de sous‑traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application de la présente loi telles que :
- le traitement loyal et transparent ;
- les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques ;
- la collecte des données à caractère personnel ;
- la pseudonymisation des données à caractère personnel ;
- les informations communiquées au public et aux personnes concernées ;
- l’exercice des droits des personnes concernées ;
- les informations communiquées aux mineurs et la protection dont bénéficient les mineurs et la manière d’obtenir le consentement des titulaires de la responsabilité parentale à l’égard du mineur ;
- les mesures et les procédures visées aux articles 22 et 23 et les mesures visant à assurer la sécurité du traitement visées à l’article 31 ;
- la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées ;
- le transfert de données à caractère personnel en dehors de la Principauté ou à des organisations internationales ; ou
- les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées.
Les codes de conduite de même que leurs modifications ultérieures ou, le cas échéant, les prorogations de codes existants sont transmis à l’autorité de protection qui vérifie qu’ils offrent les garanties de protection appropriées.
Lorsque le code de conduite a déjà été approuvé par une autorité de protection étrangère, le responsable du traitement ou le sous‑traitant transmet ledit code à l’autorité de protection qui en vérifie les dispositions au regard de la présente loi.
L’autorité de protection valide et publie les codes de conduite applicables à Monaco.
L’application des codes de conduite approuvés et publiés revêt un caractère obligatoire pour leurs adhérents.
Les codes de conduite, leurs modifications et, le cas échéant, leurs prorogations sont répertoriés par l’autorité de protection dans un registre accessible au public.
Sans préjudice des missions et pouvoirs de l’autorité de protection au titre de l’article 38, le contrôle du respect du code de conduite peut être effectué par un organisme qui dispose d’un niveau d’expertise approprié au regard de l’objet du code et choisi par le porteur de celui‑ci.
Les dispositions du présent article ne sont pas applicables aux traitements visés aux articles 64, 77 et 91.
Art. 34.
I. Une procédure de certification est instituée en matière de protection des données à caractère personnel. Elle peut être mise en œuvre par l’autorité de protection ou par des organismes indépendants agréés par ladite autorité.
II. L’organisme demandant l’agrément doit justifier d’une expertise au regard de l’objet de la certification et répondre à des critères pris par arrêté ministériel sur proposition de l’autorité de protection.
Au regard des garanties apportées, ladite autorité agrée l’organisme demandeur pour une durée de cinq ans, renouvelable selon les mêmes procédures et conditions tant que l’organisme satisfait aux critères. L’autorité de protection révoque l’agrément d’un organisme de certification si les conditions d’agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l’organisme de certification constituent une violation des dispositions de la présente loi.
Les organismes de certification ainsi agréés sont chargés de procéder à l’évaluation appropriée conduisant à la délivrance de la certification, son renouvellement ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous‑traitant.
III. L’autorité de protection et les organismes de certification agréés sont habilités à délivrer une certification, attestant que le responsable du traitement ou le sous‑traitant respecte les dispositions de la présente loi et des textes réglementaires pris pour son application. Elle est délivrée pour une durée maximale de trois ans, et peut être renouvelée selon les mêmes procédures et conditions tant que les exigences applicables continuent d’être satisfaites. La certification est retirée, s’il y a lieu, par l’autorité de protection ou l’organisme de certification agréés qui l’a délivrée lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites.
Préalablement à la décision de délivrance ou de renouvellement de la certification, les organismes de certification agréés informent l’autorité de protection qui peut prononcer au besoin la mesure prévue au chiffre 4 du cinquième alinéa de l’article 51.
La certification est volontaire et accessible via un processus transparent.
Une certification en vertu du présent article ne diminue pas la responsabilité du responsable du traitement ou du sous‑traitant quant au respect de la présente loi et est sans préjudice des missions et des pouvoirs de l’autorité de protection qui est compétente en vertu de l’article 38.
Le responsable du traitement ou le sous‑traitant qui soumet son traitement au mécanisme de certification fournit à l’organisme de certification indépendant agréé ou, le cas échéant, à l’autorité de protection toutes les informations ainsi que l’accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification.
La certification délivrée par un organisme de certification agréé d’un État membre de l’Union européenne ou justifiant d’un niveau de protection adéquat peut être reconnue par l’autorité de protection.
Les dispositions du présent article ne sont pas applicables aux traitements visés aux articles 64, 77 et 91.
Art. 35.
Lorsque le traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et de ses finalités, est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement effectue préalablement au traitement, et après avoir pris conseil auprès du délégué à la protection des données lorsque celui‑ci a été désigné, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse d’impact peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.
Un risque élevé existe notamment dans les cas suivants :
a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
b) le traitement à grande échelle de données sensibles ou de données à caractère personnel relatives aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites ;
c) la surveillance systématique à grande échelle de zone accessible au public ;
d) l’utilisation à grande échelle d’un identifiant numérique.
Cette analyse d’impact contient au moins :
- une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 ;
- les mesures envisagées pour faire face aux risques.
Le respect, par les responsables du traitement ou sous‑traitants concernés, de codes de conduite approuvés, visés à l’article 33, est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous‑traitants, en particulier aux fins d’une analyse d’impact relative à la protection des données.
Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.
Un arrêté ministériel établit, après avis de l’autorité, la liste des critères, permettant de déterminer si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
L’analyse d’impact est conservée à titre probatoire par le responsable du traitement et communiquée sur demande à l’autorité de protection.
Le responsable du traitement procède à une réévaluation de l’analyse d’impact en cas de modification du risque.
Les dispositions du présent article ne sont pas applicables aux traitements soumis aux formalités préalables prévues aux articles 58 et 92.
Art. 36.
Le responsable du traitement consulte l’autorité de protection préalablement à la mise en œuvre du traitement lorsque l’analyse d’impact effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesure pour atténuer le risque.
Le responsable du traitement communique alors à l’autorité de protection :
1. les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous‑traitants participant au traitement et les coordonnées du délégué à la protection des données lorsque celui‑ci a été désigné ;
2. les finalités et les moyens du traitement envisagé ;
3. les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées ;
4. l’analyse d’impact relative à la protection des données prévue à l’article 35 ;
5. toute autre information demandée par l’autorité de protection.
L’autorité de protection fournit dans un délai maximum de huit semaines un avis écrit au responsable du traitement. Le délai peut être prolongé de six semaines lorsqu’il s’agit d’un traitement complexe. Si l’autorité de protection considère que le traitement constituerait en l’état une violation, elle impose au responsable du traitement de prendre les mesures appropriées et peut faire usage des pouvoirs prévus à l’article 46.
CHAPITRE V
DE L’AUTORITÉ DE PROTECTION DES DONNÉES PERSONNELLES
Section I - Fonctionnement
Art. 37.
Il est créé une autorité administrative indépendante dénommée Autorité de Protection des Données Personnelles (A.P.D.P.).
L’autorité de protection se réunit en formation plénière ou en formation restreinte telle que définie à l’article 41.
Elle est chargée de contrôler et vérifier que les données personnelles sont traitées en conformité avec les dispositions législatives et réglementaires en vigueur en matière de protection des données à caractère personnel.
Sont exclus de la compétence de l’autorité :
1. les traitements effectués par les juridictions et le ministère public dans l’exercice de leurs fonctions juridictionnelles ainsi que ceux effectués dans le cadre des procédures d’entraide judiciaire internationale, dont le contrôle relève d’un Délégué judiciaire à la protection des données désigné par arrêté directorial du Secrétaire d’État à la Justice, Directeur des Services Judiciaires ;
2. les traitements intéressant la sûreté de l’État et la sécurité nationale régis par les dispositions des articles 9 à 15 et 18 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale qui relèvent de l’autorité de contrôle spécifique formée par la Commission Spéciale de Sécurité Nationale instituée par l’article 16 de ladite loi, et qui sont contrôlés au regard de la réglementation en vigueur en matière de données personnelles conformément aux dispositions de la Section VII du Chapitre VII de la présente loi.
Art. 38.
L’autorité de protection a pour missions :
1. de favoriser la sensibilisation du public à ses fonctions, à ses pouvoirs et à ses activités ainsi que sa compréhension des risques, des règles, des garanties et des droits relatifs à la protection des données personnelles et de l’attention particulière portée au droit à la protection des données des mineurs et des personnes vulnérables, et de promouvoir, dans le cadre de ses missions, l’utilisation des technologies protectrices de la vie privée ;
2. d’informer les personnes concernées des droits et obligations issus de la présente loi, notamment par la communication sur demande à toute personne, ou par la publication, si l’autorité de protection l’estime utile à l’information du public, de ses délibérations, avis ou recommandations de portée générale, sauf lorsqu’une telle communication ou publication serait de nature à porter atteinte à la sécurité publique ou au respect dû à la vie privée et familiale ;
3. de conseiller les responsables du traitement et les sous‑traitants en ce qui concerne les obligations qui leur incombent en vertu de la présente loi ;
4. d’émettre un avis motivé sur les traitements visés à l’article 58 ;
5. de tenir à la disposition du public la liste des traitements visés à l’article 58 ;
6. d’émettre un avis motivé sur les analyses d’impact présentant un risque élevé conformément aux dispositions de l’article 36 ;
7. d’autoriser le transfert de données à caractère personnel conformément aux dispositions de l’article 100 ;
8. de procéder à des vérifications et des investigations conformément à l’article 46 et de notifier au responsable du traitement ou au sous‑traitant les manquements constatés à la présente loi ;
9. de tenir des registres internes des violations de la loi et des mesures correctrices prises par ses soins ;
10. de dénoncer sans délai au procureur général les faits qui lui paraissent constitutifs de crimes et délits dont elle a connaissance dans l’exercice de ses missions ;
11. d’instruire toutes réclamations, pétitions et plaintes introduites par les personnes concernées sur le fondement de la présente loi et de les informer des suites données ;
12. d’assurer la mise en œuvre du droit d’accès indirect, dans les conditions prévues à l’article 74 ;
13. de valider et publier les codes de conduite visés à l’article 33 ;
14. de délivrer des certifications et des agréments aux organismes de certification dans les conditions visées à l’article 34 et de procéder à l’examen périodique des certifications délivrées ;
15. d’adopter et de publier des lignes directrices ou des recommandations destinées à faciliter l’application des règles prévues par la présente loi, notamment au titre des articles 33, 34 et 35 ;
16. d’approuver et de publier les clauses contractuelles types établies conformément aux règles de l’art et les règles d’entreprises contraignantes visées à l’article 98 ;
17. d’alerter le Ministre d’État de l’évolution des pratiques, des législations et des réglementations qui ne permettrait plus à un État d’être reconnu comme disposant d’un niveau de protection adéquat par la Principauté ;
18. de publier la liste des pays disposant d’un niveau de protection adéquat au sens de l’article 97 ;
19. de coopérer avec les autorités de protection étrangères conformément aux dispositions de l’article 45 ;
20. d’établir un rapport annuel d’activité remis au Ministre d’État, au Secrétaire d’État à la Justice, Directeur des Services Judiciaires et au Président du Conseil National. Ce rapport est public.
L’autorité de protection est consultée par le Ministre d’État ou par le Secrétaire d’État à la Justice, Directeur des Services Judiciaires, lors de l’élaboration de mesures législatives, réglementaires, ou d’arrêtés directoriaux pris au titre de l’administration de la justice, ayant pour objet la protection des données à caractère personnel ou au traitement de telles données et peut l’être également sur toutes mesures ayant trait à la protection des données.
L’autorité de protection peut être consultée par le Président du Conseil National lors de l’étude de propositions de loi ou de projets de loi relatives à la protection des données à caractère personnel ou au traitement de telles données.
Lorsqu’elle est consultée dans le cadre des deux précédents alinéas, elle rend son avis dans un délai de deux mois, renouvelable une fois sur décision motivée de son président. Ces avis peuvent être rendus publics par l’autorité de protection à son initiative ou, avec son accord, par l’autorité qui l’a saisie.
En cas d’urgence avérée et motivée, ce délai peut être réduit à la demande du Ministre d’État ou du Secrétaire d’État à la Justice, Directeur des Services Judiciaires, sans qu’il puisse être inférieur à un mois, sauf circonstances exceptionnelles justifiées qui exigeraient une durée plus courte.
L’autorité de protection peut également proposer au Ministre d’État l’instauration de dispositions particulières dans le domaine de la protection des données, notamment à l’égard de l’utilisation des nouvelles technologies.
Les propositions de l’autorité de protection visées au précédent alinéa peuvent être rendues publiques à son initiative.
L’accomplissement des missions de l’autorité de protection est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données. Toutefois, lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de protection peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de protection de démontrer le caractère manifestement infondé ou excessif de la demande.
Art. 39.
Sans préjudice de tout recours juridictionnel, la personne concernée dont les droits conférés par la présente loi ou les textes pris pour son application ont été méconnus, ou celle ayant des raisons de présumer que ces droits ont été méconnus, peut saisir le président de l’autorité de protection, aux fins, le cas échéant, de mise en œuvre des mesures prévues à la Section II.
L’autorité de protection informe, dans les meilleurs délais, la personne concernée auteur de la saisine de l’état d’avancement et de l’issue de sa réclamation.
Cette information mentionne le droit de la personne concernée d’introduire un recours juridictionnel auprès du Tribunal de première instance.
Les réclamations portant sur les traitements mis en œuvre par les juridictions dans l’exercice de leurs fonctions juridictionnelles et par le ministère public relèvent de la juridiction concernée par la procédure au cours de laquelle les données ont été collectées.
Art. 40.
Les membres de l’autorité de protection sont nommés par ordonnance souveraine pour un mandat de cinq ans renouvelable une fois.
L’autorité de protection est composée de huit membres titulaires proposés, en raison de leur compétence comme suit :
1. un membre par le Ministre d’État ;
2. un membre par le Conseil National ;
3. un membre par le Conseil d’État ;
4. un membre ayant qualité de magistrat du siège en activité ou en retraite ayant exercé pendant une durée d’au moins cinq ans au sein d’une juridiction monégasque par le premier Président de la Cour d’Appel, président de la formation restreinte ;
5. un membre par le Conseil Communal ;
6. un membre par le Conseil Économique, Social et Environnemental ;
7. un membre ayant qualité de magistrat en activité ou en retraite ayant exercé pendant une durée d’au moins cinq ans au sein d’une juridiction monégasque par le premier Président de la Cour de Révision ;
8. un membre qualifié dans le domaine de la santé par le Comité de la Santé Publique.
Le premier Président de la Cour d’Appel et le premier Président de la Cour de Révision proposent chacun, pour suppléer le membre titulaire en cas d’empêchement, un membre suppléant ayant la qualité de magistrat répondant aux mêmes conditions.
Compte tenu des fonctions qui lui sont dévolues par l’article 46, le membre ayant qualité de magistrat en activité ou en retraite proposé par le premier Président de la Cour de Révision ne peut siéger dans la formation restreinte prévue à l’article 41.
Les propositions concernant les membres visés aux chiffres 1, 2, 3, 5, 6 et 8 sont faites hors des autorités, conseils et institutions concernés selon des modalités fixées par ordonnance souveraine.
L’autorité de protection élit en son sein à la majorité absolue, un président et un Vice‑président, lesquels ne peuvent siéger dans la formation restreinte prévue à l’article 41. Le président et le Vice‑président sont élus pour la durée de leur mandat de membres de l’autorité.
Lorsqu’au cours de son mandat, un membre cesse ou n’est plus en mesure d’exercer ses fonctions, le président en informe l’autorité proposante concernée en vue de la nomination d’un nouveau titulaire pour la période courant jusqu’à l’expiration dudit mandat.
Sauf démission ou empêchement, il ne peut être mis fin aux fonctions d’un membre de l’autorité de protection sauf en cas d’agissement grave constitutif d’un manquement fautif aux devoirs de bonne moralité et de probité et aux règles de déontologie auxquels il est tenu.
Dans l’exercice de leurs attributions, les membres de l’autorité de protection ne reçoivent d’instruction d’aucune autorité.
La voix du président est prépondérante en cas de partage égal des voix.
Art. 41.
La formation restreinte instituée par l’article 37 est chargée de prendre les mesures et de prononcer les sanctions prévues à l’article 51 à l’encontre des responsables du traitement ou des sous‑traitants qui ne respectent pas les dispositions de la présente loi.
Cette formation est composée du magistrat du siège, mentionné à l’article 40, en qualité de président, et de deux autres membres élus par l’autorité en son sein pour la durée de leur mandat.
Ses membres ne peuvent exercer aucune attribution en matière d’instruction et de poursuites.
La formation restreinte délibère hors la présence du personnel des services de l’autorité de protection, à l’exception d’un secrétaire de séance.
Chaque membre de la formation restreinte est tenu d’informer le président de ladite formation de toute situation de conflit d’intérêts dans laquelle il se trouve ou peut se trouver. En pareil cas, le président de la formation restreinte demande à l’autorité d’élire, en son sein, un remplaçant pour la seule procédure concernée. Lorsque cette situation de conflit d’intérêts concerne le président de la formation restreinte, il est remplacé par son suppléant désigné conformément aux dispositions du troisième alinéa de l’article précédent. À défaut, le président demande à l’autorité d’élire, en son sein, une personne pour le remplacer pour la seule procédure concernée.
Art. 42.
Les membres de l’autorité de protection s’abstiennent de tout acte incompatible avec leur mandat.
La qualité de membre de l’autorité de protection est incompatible avec :
- celle de conseiller national ou communal ;
- celle de conseiller d’État ;
- celle de magistrat en position d’activité, sauf pour les membres visés aux chiffres 4 et 7 de l’article 40 ;
- celle de fonctionnaire ou d’agent de l’État, de la Commune ou d’un établissement public, en position d’activité ;
- l’exercice de fonctions ou la détention de participations dans des entreprises monégasques ou étrangères concourant à la fabrication de matériel utilisé en informatique ou en communications électroniques ou à la fourniture de services en informatique ou en communications électroniques ou concourant au commerce de biens matériels et immatériels ou de prestations de service dans ces domaines.
Art. 43.
Les membres de l’autorité de protection, le personnel de ses services ainsi que toute personne dont elle s’assure le concours, sont tenus pour tout ce qui concerne les faits et informations dont ils ont connaissance dans l’exercice de leurs fonctions, au secret professionnel sous les sanctions prévues à l’article 308 du Code pénal et sous peine de se voir relever de leurs fonctions par application de l’article 40 ou de l’article 44.
Ils sont également tenus, sous peine de poursuites, à une obligation de discrétion y compris après la fin de leur mandat ou de leurs fonctions par rapport aux éléments qu’ils ont eu à connaître en raison de leur mandat ou de leurs fonctions.
Art. 44.
L’autorité de protection dispose d’un budget propre inscrit dans un Chapitre spécifique du budget de l’État.
Dans le cadre de la préparation des projets de loi de budget primitif ou rectificatif de l’État, le président de l’autorité de protection transmet au Ministre d’État les propositions concernant le budget de cette autorité.
Les dépenses sont ordonnancées par le président de l’autorité de protection ou le secrétaire général. Les comptes de l’autorité de protection sont vérifiés annuellement dans les conditions fixées par ordonnance souveraine.
Le président de l’autorité de protection représente ladite autorité et conclut à ce titre tous contrats nécessaires au bon fonctionnement de ses services.
En cas d’absence ou d’empêchement du président, son remplacement est assuré par le Vice‑président.
Les services de l’autorité de protection sont dirigés par le président. Ils comprennent le secrétaire général et les agents du secrétariat. Le secrétaire général est chargé du fonctionnement et de la coordination des services.
Le personnel de ses services peut être composé de fonctionnaires, placés en position de détachement auprès de l’autorité de protection en application des dispositions législatives et réglementaires en vigueur en la matière.
Les autres membres du personnel sont choisis et recrutés par le président sur le fondement d’un contrat établi selon les formes et règles générales applicables aux agents de l’État.
Sauf dispositions législatives ou réglementaires spécifiques, le personnel des services de l’autorité de protection est soumis aux règles générales applicables aux fonctionnaires et agents de l’État.
Toutefois, les pouvoirs hiérarchiques et disciplinaires sont exercés à son endroit par le président de l’autorité de protection.
L’autorité de protection établit et publie sur son site Internet son règlement intérieur. Ce dernier, ainsi que toute modification de celui‑ci, fait l’objet d’une publication au Journal de Monaco.
Le président de l’autorité de protection est chargé de représenter l’État en justice à raison des activités et du fonctionnement de ladite autorité.
Art. 45.
1. L’autorité de protection coopère avec les autorités étrangères chargées de la protection des données offrant un niveau de garantie équivalent ou approprié. À ce titre, elle prête assistance pour l’accomplissement de leurs missions en :
- échangeant des informations pertinentes ou des données à caractère personnel faisant l’objet d’un traitement à la condition que ces données soient essentielles à la coopération ou que la personne concernée ait préalablement donné son consentement ;
- fournissant des informations sur ses pratiques en matière de protection des données à caractère personnel ;
- en coordonnant ses vérifications ou investigations ou en menant des actions conjointes.
2. Pour faire droit à la demande d’assistance, celle‑ci doit notamment contenir la finalité et les motifs de la demande, ainsi que toutes informations utiles.
3. Lorsqu’elle est sollicitée par une autorité de contrôle étrangère et qu’elle entend donner suite à la demande, l’autorité de protection prend toute mesure appropriée pour répondre à cette demande dans les meilleurs délais à compter de sa réception. Elle informe l’autorité étrangère des résultats obtenus ou, selon le cas, des mesures envisagées ou prises pour donner suite à la demande.
Elle ne perçoit pas de frais pour les actions qu’elle entreprend à la suite d’une demande d’assistance mutuelle. Toutefois, dans des circonstances exceptionnelles, elle peut convenir avec l’autorité de contrôle demanderesse de règles de dédommagements pour des dépenses spécifiques liées à la demande d’assistance mutuelle.
4. L’autorité de protection refuse de donner suite à une demande de coopération si :
- la demande est incompatible avec ses compétences ;
- la demande n’est pas conforme aux dispositions de la présente loi ;
- l’exécution de la demande est incompatible avec la souveraineté, la sécurité nationale, l’ordre public ou le droit monégasque ;
- la réciprocité n’est pas garantie ;
- les données personnelles échangées ne sont pas utilisées exclusivement aux fins pour lesquelles elles ont été demandées ;
- l’autorité étrangère de protection ne s’est pas engagée à ne pas divulguer les informations ou données communiquées à des tiers sans son accord préalable.
Dans ces cas, l’autorité de protection communique à l’autorité de contrôle étrangère les motifs de son refus d’assistance.
Section II - Du contrôle de la mise en œuvre des traitements
Art. 46.
1. L’autorité de protection, hors formation restreinte, fait procéder d’office ou sur signalement aux vérifications et investigations, nécessaires au contrôle de la mise en œuvre des traitements, par des membres de l’autorité de protection ou par des agents de son secrétariat qui peuvent être accompagnés par des investigateurs nommés par le président sur proposition de l’autorité de protection et qui sont soumis aux dispositions de l’article 43. Les agents et les investigateurs sont commissionnés et assermentés à cet effet.
2. Lorsque les investigations ou vérifications portent sur un traitement visé à l’article 64 ou mis en œuvre par le Secrétaire d’État à la Justice, Directeur des Services Judiciaires, par les juridictions et par le ministère public hors de leurs fonctions juridictionnelles, le président de l’autorité de protection désigne le magistrat visé au chiffre 7 de l’article 40 pour procéder auxdites investigations ou vérifications, ou son suppléant en cas d’empêchement. Ce magistrat est accompagné des agents ou investigateurs commissionnés et assermentés mentionnés au chiffre 1 nécessaires à l’exercice de sa mission.
3. Lorsque les investigations ou vérifications portent sur les traitements mis en œuvre par les juridictions et le ministère public dans l’exercice de leurs fonctions juridictionnelles, ainsi que ceux effectués dans le cadre des procédures d’entraide judiciaire internationale, l’autorité de protection n’est pas compétente et lesdites investigations ou vérifications sont conduites par le Délégué judiciaire à la protection des données visé au quatrième alinéa de l’article 37 ou son suppléant en cas d’empêchement. Lorsqu’un signalement effectué auprès de l’autorité de protection porte sur un traitement mentionné au présent alinéa, l’autorité de protection en avise le Délégué judiciaire à la protection des données.
4. Le magistrat visé au chiffre 7 de l’article 40, de même que les agents ou les investigateurs mentionnés aux chiffres 1 et 2 doivent être munis d’une lettre de mission du président de l’autorité de protection précisant expressément le nom et l’adresse de la personne physique ou morale faisant l’objet du contrôle, ainsi que l’objet de la mission.
5. Les opérations de contrôle ne peuvent être effectuées qu’entre 6 et 21 heures ou, en dehors de ces heures, lorsque l’accès au public est autorisé ou lorsqu’une activité est en cours.
Lors desdites opérations, les membres de l’autorité de protection, les agents ou les investigateurs peuvent procéder à toutes vérifications nécessaires, consulter sur place ou sur convocation, tout traitement, demander communication, quel qu’en soit le support, ou prendre copie, par tous moyens, de tout document professionnel et recueillir, auprès de toute personne compétente, les renseignements utiles à leur mission. Ils peuvent accéder aux programmes informatiques et aux informations et en demander la transcription, par tout traitement approprié, dans des documents directement utilisables pour les besoins du contrôle.
6. En dehors des contrôles sur place et sur convocation, les membres de l’autorité de protection, les agents ou les investigateurs peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé d’information le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.
7. Pour mener à bien le contrôle d’un service de communication en ligne, les membres de l’autorité de protection, les agents ou les investigateurs mentionnés au premier alinéa peuvent faire l’usage d’une identité d’emprunt dans les conditions définies par ordonnance souveraine. Cet usage est sans incidence sur la régularité des constations effectuées au titre du présent article.
8. Il est dressé contradictoirement procès-verbal des constatations, vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation. En cas de contrôle en ligne, le procès-verbal de constatation est adressé au responsable du traitement afin qu’il puisse faire valoir ses observations.
Art. 47.
Dans le cadre des opérations de vérifications et d’investigations visées à l’article 46, le responsable du traitement, le sous‑traitant ou toutes personnes interrogées sont tenus de fournir les renseignements demandés et ne peuvent opposer le secret ou une obligation de confidentialité aux membres de l’autorité de protection, à ses agents ou à ses investigateurs.
Toutefois, sont opposables le secret de sécurité nationale, le secret professionnel applicable aux relations entre un avocat et son client ou le secret des sources des traitements journalistiques.
Pour l’exercice des missions visées à l’article 46, l’accès aux traitements relevant de la compétence de l’autorité de protection, qui seraient hébergés dans une zone protégée par le secret de sécurité nationale, est garanti aux membres de l’autorité, agents ou investigateurs visés à l’alinéa premier dudit article.
Le secret médical est également opposable en ce qui concerne les données de santé figurant dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé ou des institutions chargées de la médecine du travail ou de la protection sociale. Toutefois, la communication des données médicales individuelles incluses dans cette catégorie de traitement est faite à un médecin désigné par le président de l’autorité de protection parmi les médecins figurant sur une liste établie par le Conseil de l’Ordre et comprenant au moins cinq noms.
Le médecin ainsi désigné transmet à l’autorité de protection les seules informations nécessaires aux besoins du contrôle sans faire état, en aucune manière, des informations médicales individuelles auxquelles il a eu accès.
Art. 48.
Pour l’exercice des missions mentionnées à l’article 46, les membres de l’autorité de protection, ses agents ou ses investigateurs peuvent accéder aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement, à l’exclusion des parties de ceux‑ci affectés à l’usage privé, après avoir informé le responsable desdits lieux, locaux, enceintes, installations ou établissements ou son représentant de son droit de s’opposer aux vérifications et investigations. Les opérations de contrôle ont lieu en présence de ce responsable ou de son représentant.
Lorsque le droit de s’opposer aux vérifications et investigations est exercé, les opérations de contrôle ne peuvent avoir lieu qu’après l’autorisation du Président du Tribunal de première instance, saisi sur requête par le président de l’autorité de protection. Le Président du Tribunal statue en tenant compte notamment du motif ou de l’absence de motif justifiant l’opposition.
Toutefois, lorsque l’urgence ou un risque imminent de destruction ou de disparition de pièces ou de documents le justifie, les opérations de vérifications et investigations peuvent avoir lieu sans que le responsable des locaux ou son représentant puisse s’y opposer. Ces opérations peuvent faire l’objet dans tous les cas d’un recours devant le Président du Tribunal de première instance, saisi et statuant comme en matière de référé, lequel prononce leur nullité ainsi que la nullité ou la destruction des preuves recueillies lors de celles-ci, lorsque l’urgence ou le risque imminent n’était pas suffisamment caractérisé au moment du déclenchement desdites opérations.
Art. 49.
Lorsqu’il existe des raisons de soupçonner que la mise en œuvre des traitements n’est pas conforme aux dispositions de la présente loi, les membres de l’autorité de protection, ses agents ou ses investigateurs peuvent, avec l’autorisation préalable du Président du Tribunal de première instance, saisi par le président de l’autorité de protection, et statuant par ordonnance sur requête, accéder aux lieux, locaux, enceintes, installations ou établissements mentionnés au premier alinéa de l’article 48, y compris les parties de ceux‑ci affectées à usage privé sans que le droit d’opposition prévu audit article puisse être exercé.
La requête énonce les éléments de faits et de droit de nature à justifier lesdites opérations de contrôle et à permettre au Président du Tribunal de première instance d’en apprécier le bien-fondé.
L’ordonnance autorisant les opérations de contrôle est exécutoire au seul vu de la minute. Elle peut faire l’objet du recours mentionné à l’article 852 du Code de procédure civile dans le délai de huit jours à compter du contrôle. Ce recours n’est pas suspensif.
Lorsqu’il y est fait droit, le Président du Tribunal de première instance peut déclarer la nullité de ces opérations et des preuves recueillies lors de celles-ci, qui devront être détruites.
L’ensemble de ces opérations a lieu en présence du responsable des lieux, locaux, enceintes, installations ou établissements ou de son représentant ou, en cas d’empêchement ou d’impossibilité, d’au moins un témoin requis à cet effet par les membres de l’autorité de protection, ses agents ou ses investigateurs et ne se trouvant pas placé sous leur autorité.
Art. 50.
Le président de l’autorité de protection peut signaler à un responsable du traitement ou à son sous‑traitant que les opérations de traitement envisagées sont susceptibles de méconnaître les dispositions de la présente loi.
Lorsqu’un manquement constaté est susceptible de faire l’objet d’une mise en conformité, le président de l’autorité de protection prononce à son égard une mise en demeure, dans le délai qu’il fixe :
1. de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, dans le respect des dispositions du Chapitre III ;
2. de mettre les opérations de traitement en conformité avec les dispositions de la présente loi ;
3. de communiquer à la personne concernée une violation de données à caractère personnel, à l’exception des traitements visés à l’article 64 ;
4. de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données. Dans ce cas, le président de l’autorité de protection peut, dans les mêmes conditions, mettre en demeure le responsable du traitement ou son sous‑traitant de notifier aux destinataires des données les mesures qu’il a prises.
Après avoir constaté la mise en conformité, le président de l’autorité de protection prononce la clôture de la procédure de mise en demeure.
Le président peut décider de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité.
Art. 51.
Lorsque la mise en demeure faite au responsable du traitement ou son sous‑traitant de se mettre en conformité est demeurée infructueuse ou lorsque le manquement n’est pas susceptible de faire l’objet d’une mise en conformité ou que l’intéressé ne respecte pas les obligations de la présente loi, le président de l’autorité peut, le cas échéant sans avoir à lui adresser la mise en demeure visée à l’article 50, saisir la formation restreinte en vue du prononcé de l’une des sanctions prévues ci‑après. Cette saisine s’effectue sur la base d’un rapport établi par l’un des membres de l’autorité de protection, hors formation restreinte, désigné par le président.
Ce rapport est notifié au responsable du traitement ou à son sous‑traitant qui peut déposer des observations et se faire représenter ou assister par le conseil de son choix.
Le rapporteur peut présenter ses observations à la formation restreinte. Il ne prend pas part à ses délibérations.
Aux fins du prononcé des sanctions, la formation restreinte entend le responsable du traitement, son sous‑traitant ou leurs représentants, ainsi que toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris les agents de l’autorité de protection.
À l’issue de cette procédure contradictoire, la formation restreinte peut prononcer à l’encontre de l’entité juridique, personne physique ou morale mise en cause qui assume la responsabilité des traitements ou qui a été qualifiée de sous‑traitant, l’une ou plusieurs des sanctions suivantes :
1. un avertissement ;
2. une obligation de mettre en conformité le traitement avec les dispositions de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État ou la Commune, d’une astreinte dont le montant ne peut excéder 10.000 euros par jour de retard calendaire à compter de la date fixée par le président de la formation restreinte ;
3. la limitation temporaire ou définitive du traitement ou son interdiction ;
4. le retrait de l’agrément ou l’injonction, à l’organisme de certification concerné, de refuser une certification ou de retirer la certification accordée ;
5. le retrait de la certification délivrée en vertu de l’article 34 ;
6. la suspension partielle ou totale de la décision d’approbation des règles d’entreprises contraignantes visées à l’article 98 ;
7. la suspension des flux de données adressées à un destinataire situé hors de la Principauté ou à une organisation internationale ;
8. une amende administrative telle que prévue aux articles 53 et 54.
La formation restreinte prend en compte, dans la détermination du montant de l’astreinte et de l’amende, les critères précisés à l’article 52.
Le président de la formation restreinte notifie les mesures prises au titre des chiffres 1 à 8 susvisés au responsable du traitement ou au sous‑traitant et en informe le président de l’autorité de protection.
Ladite formation peut décider de procéder à la publicité des décisions qu’elle prend en application du présent article. Les mesures de publicité peuvent, en cas d’atteinte grave et disproportionnée à la sécurité publique, au respect de la vie privée et familiale ou aux intérêts légitimes des personnes concernées, faire l’objet d’un recours devant le président du Tribunal de première instance, saisi et statuant comme en matière de référé, aux fins qu’il ordonne la suppression de la publication.
Les dispositions des chiffres 3 à 8 ne sont pas applicables à l’État et à la Commune.
Les manquements constitutifs d’infractions pénales sont signalés sans délai au Procureur Général.
Art. 52.
Lorsque la formation restreinte de l’autorité de protection prononce, au titre du chiffre 2 de l’article 51, une astreinte, et du chiffre 8 du même article, une amende administrative parmi celles prévues aux articles 53 et 54 dont le montant est proportionné à la violation qu’elle sanctionne, elle prend notamment en compte, pour chaque cas d’espèce, les éléments suivants :
- la nature, la gravité et la durée du manquement ;
- le caractère délibéré ou la commission par négligence du manquement, ou de sa répétition ;
- les mesures prises par le responsable du traitement ou le sous‑traitant pour atténuer le dommage subi par les personnes concernées ;
- le degré de coopération avec l’autorité de protection en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;
- les catégories de données à caractère personnel concernées par la violation ;
- les éventuelles circonstances aggravantes ou atténuantes applicables au cas d’espèce.
Afin de permettre à la formation restreinte de déterminer le montant de cette amende administrative et le plafond qui lui est applicable conformément aux articles 53 et 54 de la présente loi, le président de la formation restreinte peut exiger du responsable du traitement ou du sous‑traitant la communication de tous documents de nature à évaluer le chiffre d’affaires global consolidé de l’entreprise.
Art. 53.
Est puni d’une amende administrative ne pouvant excéder 5.000.000 d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, le manquement aux obligations relatives :
- à la vérification de l’obtention du consentement prévu à l’article 6 ;
- à la coopération avec l’autorité de protection prévue à l’article 22 ;
- à la protection par défaut et à la protection dès la conception prévue à l’article 23 ;
- aux exigences en matière de responsabilité conjointe, de désignation d’un représentant, de sous-traitance, de tenue du registre ou de désignation d’un délégué à la protection des données prévues aux articles 24 à 28 ;
- aux mesures de sécurité des traitements prévues à l’article 31 ;
- à la notification des violations de données à caractère personnel à l’autorité de protection et, le cas échéant, la communication à la personne concernée dans les conditions prévues à l’article 32 ;
- aux codes de conduite prévus à l’article 33 ;
- aux exigences en matière d’analyses d’impact prévues aux articles 35 et 36 ;
- à l’information de l’autorité de protection de l’existence d’un système de vidéosurveillance tel que prévu par le second alinéa de l’article 85.
Art. 54.
Est puni d’une amende administrative ne pouvant excéder 10.000.000 d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, le manquement aux obligations relatives :
- aux caractéristiques des données à caractère personnel, à la licéité du traitement, au consentement et à l’information visés respectivement aux articles 4, 5, 6 et 87 ;
- à l’information des personnes concernées en application de l’article 11 ;
- à la collecte, l’enregistrement, la conservation ou l’utilisation de données sensibles, sauf les dérogations prévues par la loi ;
- aux droits des personnes concernées visés aux articles 12 à 20 ;
- à la communication de renseignements ou documents inexacts soit aux personnes concernées soit à celles chargées d’effectuer les vérifications ou investigations ;
- à l’exception des autorités administratives et judiciaires compétentes, à la collecte, l’enregistrement, la conservation ou l’utilisation de données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ;
- aux transferts de données à caractère personnel hors de la Principauté sans respecter les dispositions prévues aux articles 96 à 101 ;
- à la méconnaissance des injonctions et des prescriptions prononcées par la formation restreinte de l’autorité de protection des données personnelles en vertu de l’article 51.
Art. 55.
Les amendes administratives et, après liquidation par le président de la formation restreinte de l’autorité de protection, les astreintes visées à l’article 51 sont à régler à la Trésorerie Générale des Finances de la Principauté dans un délai de trois mois suivant la date de leur notification et portent intérêt au taux légal à l’expiration de ce délai.
Art. 56.
Lorsque le non-respect des dispositions de la présente loi entraîne une violation des libertés et droits fondamentaux visés à l’article premier et que l’urgence le justifie le président de l’autorité de protection saisit la formation restreinte qui, après procédure contradictoire, définie par ordonnance souveraine, peut prendre une mesure provisoire de suspension du traitement ou toute mesure conservatoire, qui ne peut excéder un délai de 6 mois.
En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article premier de la présente loi, le président de l’Autorité de protection peut en outre demander, par la voie du référé, au Président du Tribunal de première instance d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.
Art. 57.
Les décisions de la formation restreinte de l’autorité de protection prises en application des dispositions de l’article 51 sont susceptibles de recours de plein contentieux devant le Tribunal de première instance, dans un délai de deux mois suivant la date de leur notification.
CHAPITRE VI
TRAITEMENTS SOUMIS À FORMALITÉS PRÉALABLES
Art. 58.
Sont soumis à l’avis de l’autorité de protection :
1. les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces visés à l’article 64, sous réserve des dispositions du deuxième alinéa de l’article 59 ;
2. les traitements portant sur des données génétiques ou biométriques visés à l’article 77 ;
3. les traitements relatifs à la recherche dans le domaine de la santé visés aux articles 78 et 79.
Sont soumis à l’autorisation de l’autorité de protection les transferts de données à caractère personnel visés à l’article 100.
Section I - Dispositions communes
Art. 59.
Les traitements visés aux articles 64 et 77 ne peuvent être mis en œuvre que par les autorités administratives et judiciaires compétentes dans le cadre exclusif des missions qui leur sont légalement conférées.
À l’exception des traitements mis en œuvre par l’autorité judiciaire pour les besoins des procédures diligentées devant les diverses juridictions et des procédures d’entraide judiciaire internationale, les traitements visés à l’article 58 font l’objet d’une demande d’avis ou d’une demande d’autorisation auprès de l’autorité de protection.
Les traitements visés aux articles 64 et 77 sont autorisés par arrêté ministériel ou par arrêté du Secrétaire d’État à la Justice, Directeur des Services Judiciaires. L’arrêté et l’avis motivé qui l’accompagne font l’objet d’une publication au Journal de Monaco. Pour les traitements visés à l’article 64, l’avis fait l’objet d’une publication sauf décision motivée du Ministre d’État. Dans ce cas, seul est publié le sens de l’avis.
L’avis est rendu dans un délai de deux mois à compter du dépôt du dossier comportant les mentions visées à l’article 60.
Le délai prévu à l’alinéa précédent peut être renouvelé une fois sur décision motivée du président de l’autorité de protection. Lorsqu’il n’est pas rendu à l’expiration du délai précité, l’avis est réputé favorable.
Art. 60.
Les demandes d’avis et les demandes d’autorisation adressées à l’autorité de protection sont recevables dès lors qu’elles comportent les mentions suivantes :
1. le nom et les coordonnées professionnelles du responsable du traitement ou son représentant ;
2. le fondement juridique du traitement et, le cas échéant, le projet d’arrêté ministériel ou le projet d’arrêté du Secrétaire d’État à la Justice, Directeur des Services Judiciaires ;
3. la ou les finalités du traitement ;
4. la dénomination du traitement s’il y a lieu ;
5. les catégories de données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
6. la durée de conservation des données à caractère personnel traitées ou, en cas d’impossibilité, les critères utilisés pour déterminer cette durée ;
7. le ou les services chargés de la mise en œuvre du traitement ;
8. l’analyse des risques relative à la sécurité des traitements y compris les mesures de sécurité ;
9. l’autorité ou la fonction de la personne ou le service auprès de laquelle s’exerce le droit d’accès ainsi que les mesures prises pour faciliter l’exercice de ce droit ;
10. les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont accès aux données à caractère personnel enregistrées ;
11. les destinataires ou catégories de destinataires habilités à recevoir communication des données à caractère personnel ;
12. le cas échéant, les interconnexions, les rapprochements ou toute autre forme de mise en relation avec d’autres traitements ;
13. le cas échéant, l’identité et l’adresse du sous‑traitant ;
14. le cas échéant, les transferts de données hors de la Principauté et les garanties appropriées encadrant lesdits transferts.
Art. 61.
L’autorité de protection est tenue informée sans délai de tout changement affectant les informations visées à l’article 60 et de la suppression du traitement.
Toute modification intervenant dans l’un des éléments énoncés aux chiffres 2, 3, 5 et 6 de l’article précédent fait l’objet, selon le cas, d’une nouvelle demande d’avis ou d’autorisation dans les mêmes conditions que celles prévues aux articles 58 et 59.
Art. 62.
L’arrêté ministériel et l’arrêté du Secrétaire d’État à la Justice, Directeur des Services Judiciaires visés à l’article 59 portant autorisation du traitement précisent :
- la dénomination et la finalité du traitement ;
- les catégories de données à caractère personnel enregistrées ;
- les destinataires ou catégories de destinataires habilités à recevoir les données à caractère personnel ;
- le cas échéant, les dérogations prévues à l’article 21 de la présente loi.
Art. 63.
L’autorité de protection tient à la disposition du public la liste des traitements ayant fait l’objet d’une des formalités prévues à l’article 58.
Section II - Traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces
Art. 64.
Les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, sont régis par les dispositions de la présente section et, sous réserve de leur compatibilité avec ces dernières, par les autres dispositions de la présente loi.
Ces traitements ne sont licites que s’ils sont fondés sur une disposition législative ou réglementaire et dans la mesure où ils sont nécessaires à l’exécution d’une mission effectuée pour l’une des finalités énoncées au précédent alinéa par les autorités administratives et judiciaires compétentes.
Art. 65.
Les données à caractère personnel collectées par les autorités administratives et judiciaires visées à l’article 59 pour l’une des finalités énoncées à l’article 64 ne peuvent être traitées pour d’autres finalités qu’en application d’une disposition législative ou réglementaire ou d’engagements internationaux rendus exécutoires dans la Principauté.
Art. 66.
Les traitements effectués pour l’une des finalités énoncées à l’article 64 autre que celles pour lesquelles les données personnelles ont été collectées peuvent être mis en œuvre s’ils sont nécessaires et proportionnés à cette finalité, sous réserve de garanties appropriées.
Ces traitements peuvent comprendre l’archivage dans l’intérêt public, à des fins scientifiques, statistiques ou historiques.
Art. 67.
Toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l’affecte de manière significative, est interdite, à moins qu’elle ne soit autorisée par arrêté ministériel ou par arrêté du Secrétaire d’État à la Justice, Directeur des Services Judiciaires, pris après avis de l’autorité de protection, et que le responsable du traitement fournisse des garanties appropriées, pour les droits et libertés de la personne concernée et au minimum le droit d’obtenir une intervention humaine, notamment lorsqu’elle souhaite exprimer son point de vue, obtenir une explication quant à la décision prise ou contester la décision.
Cette décision ne peut être fondée sur des données sensibles à moins que des mesures appropriées pour la sauvegarde des droits et des libertés et des intérêts légitimes de la personne concernée n’aient été prises.
Tout profilage qui entraîne une discrimination à l’égard des personnes concernées sur la base de données sensibles est interdit.
Art. 68.
Le responsable du traitement prend toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées, rectifiées ou complétées.
Toute transmission de données à caractère personnel doit, dans la mesure du possible, être complétée d’informations permettant au destinataire de juger de l’exactitude, de l’exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.
S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé dans les meilleurs délais par le responsable du traitement, dès que ce dernier en a eu connaissance. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées.
Art. 69.
Le responsable du traitement établit, dans la mesure du possible et le cas échéant, une distinction claire entre les différentes catégories de personnes concernées par le traitement, telles que :
1. les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;
2. les personnes reconnues coupables d’une infraction pénale ;
3. les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ;
4. les personnes autres que celles mentionnées aux chiffres 1, 2 et 3 ci‑dessus, telles que celles pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l’une des personnes mentionnées aux chiffres 1 et 2.
Les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.
Art. 70.
Le responsable du traitement ou son sous‑traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation et de communication, y compris les transferts, l’interconnexion et l’effacement, portant sur de telles données.
Les journaux des opérations de consultation et de communication permettent d’en établir le motif, la date et l’heure. Ils permettent également, dans la mesure du possible d’identifier, les personnes qui consultent ou communiquent les données et les destinataires de celles‑ci.
Ce journal est exclusivement utilisé à des fins de vérification de la licéité des opérations du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données et à des fins de procédures pénales.
Il est mis à la disposition de l’autorité de protection à sa demande.
Art. 71.
Par dérogation à l’article 10, le responsable du traitement prend toutes les mesures raisonnables pour fournir toute information et procéder à toute mesure relative à l’exercice des droits de la personne concernée de façon concise, compréhensible et aisément accessible. Les informations sont fournies gratuitement par tout moyen approprié. Il informe la personne concernée des suites données à sa demande dans les meilleurs délais.
Art. 72.
Par dérogation à l’article 11, le responsable du traitement met à la disposition de la personne concernée les informations suivantes :
- le nom et les coordonnées professionnelles du responsable du traitement ;
- le cas échéant, les coordonnées professionnelles du délégué à la protection des données ;
- les finalités du traitement ;
- le droit d’introduire une réclamation auprès de l’autorité de protection ;
- l’existence d’un droit d’accès, de rectification ou d’effacement ;
- le fondement juridique du traitement ;
- la durée de conservation des données à caractère personnel ou lorsque ce n’est pas possible les critères utilisés pour déterminer cette durée ;
- le cas échéant, les catégories de destinataires ;
- au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l’insu de la personne concernée.
Le responsable du traitement peut, toutefois, décider de retarder ou de limiter la mise à disposition de ces informations ou de ne pas les fournir pour éviter de porter atteinte aux enquêtes, recherches ou procédures officielles ou judiciaires en cours, de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, à la sécurité publique ou à la sécurité nationale ou pour protéger les droits et libertés d’autrui, dès lors et aussi longtemps qu’une telle décision est nécessaire et proportionnée et tient compte des droits et intérêts des personnes concernées.
Art. 73.
Par dérogation au dernier alinéa de l’article 32, la communication d’une violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée par le responsable du traitement dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée, en tenant compte des droits fondamentaux et des intérêts légitimes de la personne, pour éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, pour éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, pour protéger la sécurité publique, pour protéger la sécurité nationale ou pour protéger les droits et libertés d’autrui.
Art. 74.
Le droit d’accès prévu à l’article 12 s’exerce auprès de l’autorité de protection.
La personne concernée par un traitement relevant de l’article 64 peut saisir l’autorité de protection d’une demande de vérification pour savoir si ses données font l’objet d’un traitement.
Lorsque l’autorité de protection est saisie, le président désigne le magistrat visé au chiffre 7 de l’article 40 ou, en cas d’empêchement de celui‑ci, le magistrat suppléant pour effectuer toutes les vérifications. Celui-ci peut se faire assister d’un agent de l’autorité de protection dûment commissionné et assermenté. À l’issue de ces vérifications, le président de l’autorité de protection met en demeure le responsable du traitement, s’il y a lieu, de procéder aux modifications nécessaires.
Le président de l’autorité de protection informe la personne concernée que les vérifications ont été effectuées. Avec l’accord du responsable du traitement, il peut porter à sa connaissance les informations dont la communication ne porte pas atteinte aux enquêtes ou procédures judiciaires en cours, à la sécurité publique ou à la préservation de la sécurité nationale.
En cas de refus de communication pour les motifs susvisés, l’autorité de protection indique à la personne concernée ses voies de recours.
Art. 75.
Le droit de rectification et le droit d’effacement prévus aux articles 13 et 14 de la présente loi s’exercent auprès du responsable du traitement.
La personne concernée par un traitement relevant de l’article 64 peut saisir le responsable du traitement d’une demande de rectification ou d’effacement de ses données.
À l’appui de sa demande, la personne concernée produit toutes pièces justificatives utiles, et notamment la copie des éventuelles décisions de classement sans suite, de non-lieu, de relaxe ou d’acquittement afin :
1. que soient rectifiées les données à caractère personnel la concernant qui sont inexactes ;
2. que soient complétées les données à caractère personnel la concernant incomplètes ;
3. que soient effacées les données à caractère personnel la concernant en cas d’erreur manifeste. Toutefois, au lieu de procéder à l’effacement, le responsable de traitement peut limiter le traitement lorsque l’exactitude des données à caractère personnel est contestée par la personne concernée sans qu’il soit possible de déterminer si les données sont exactes, ou lorsque les données à caractère personnel doivent être conservées à des fins probatoires. Il informe la personne concernée de la limitation du traitement.
Si la demande de rectification ou d’effacement est susceptible de porter atteinte aux enquêtes ou procédures judiciaires en cours, à la sécurité publique ou à la préservation de la sécurité nationale, le responsable du traitement lorsqu’il est saisi, informe la personne concernée du refus de procéder à la rectification ou à l’effacement de ses données ainsi que de ses voies de recours.
Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la demande de la personne concernée des informations sur ces destinataires si celle‑ci en fait la demande.
Lorsque les données à caractère personnel inexactes proviennent d’une autorité administrative ou judiciaire visée à l’article 59, qui les a traitées pour l’une ou plusieurs des finalités visées à l’article 64, le responsable du traitement communique la rectification des données à caractère personnel inexactes à cette autorité.
Art. 76.
1. Sans préjudice de l’article 97, le transfert de données à caractère personnel relatif aux traitements relevant de la présente section vers un pays, un territoire ou une organisation internationale, n’assurant pas un niveau de protection des données adéquat, peut toutefois s’effectuer lorsque :
a) des garanties appropriées sont offertes dans un instrument juridiquement contraignant exécutoire dans la Principauté et dans le pays, le territoire ou l’organisation internationale destinataire et assurant la protection des données à caractère personnel, notamment le droit à un recours effectif ; ou
b) l’analyse de toutes les circonstances du transfert permet d’estimer qu’il existe des garanties appropriées en matière de protection des données à caractère personnel.
Le responsable du traitement informe l’autorité de protection des catégories de transfert relevant de la lettre b) du chiffre 1.
2. En l’absence de niveau adéquat de protection des données à caractère personnel au sens de l’article 97 ou de garanties visées au chiffre 1 du présent article, le transfert peut s’effectuer :
a) s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
b) pour la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit de l’État transférant les données à caractère personnel le prévoit ;
c) pour prévenir une menace grave et immédiate pour la sécurité publique ou préserver les intérêts fondamentaux de l’État ;
d) s’il est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice.
3. Nonobstant le niveau de protection du pays, du territoire ou de l’organisation internationale vers lequel s’opère le transfert, des limites peuvent être fixées au transfert de catégories spécifiques de données pour des motifs importants d’intérêt public.
4. Sans préjudice des chiffres 1 à 3 du présent article, le transfert de données à caractère personnel relatif aux traitements relevant de la présente section ne peut s’effectuer, hors de la Principauté, qu’auprès d’une autorité publique ou de tout autre organisme ou entité à qui a été confié l’exercice de l’autorité publique et des prérogatives de puissance publique et que si le transfert est nécessaire aux fins énoncées à l’article 64 ou, du fait du renvoi opéré par l’article 95, aux fins énoncées au chiffre 2 du quatrième alinéa de l’article 37, c’est-à-dire pour les traitements qui intéressent la sécurité nationale mis en œuvre dans le cadre des articles 9 à 15 et 18 de la loi n° 1.430 du 13 juillet 2016, précitée.
5. Le transfert, hors de la Principauté, de données à caractère personnel provenant d’un autre État ne peut s’effectuer que si ledit État a donné son accord préalable à ce transfert. Toutefois, si cet accord ne peut être obtenu en temps utile, ces données peuvent être transmises vers un autre État lorsque cette nouvelle transmission est nécessaire à la prévention d’une menace grave et immédiate pour la sécurité publique d’un autre État ou pour la sauvegarde des intérêts fondamentaux de la Principauté. L’autorité publique, l’organisme ou l’entité dont provenaient ces données en est informé sans retard.
6. Un transfert ultérieur vers un autre pays, territoire ou vers une organisation internationale peut, en l’absence de l’accord mentionné à l’alinéa précédent, être autorisé par l’autorité publique compétente au regard de facteurs pertinents, y compris la finalité pour laquelle les données à caractère personnel ont été transférées initialement, le niveau de protection des données à caractère personnel dans le pays, territoire ou au sein de l’organisation internationale vers lesquels les données à caractère personnel sont transférées ultérieurement et la gravité de l’infraction pénale, ou, du fait du renvoi au présent article par l’article 95, pour la préservation de la sécurité nationale.
Section III - Traitements à caractère personnel relatifs aux données génétiques ou biométriques
Art. 77.
Les traitements mis en œuvre par les autorités administratives et judiciaires, agissant dans le cadre de leurs prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes sont soumis à l’avis de l’autorité de protection dans les conditions prévues à l’article 59.
Ces traitements ne peuvent être mis en œuvre que sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et de mesures d’organisation et de sécurité adéquates telles que notamment le cloisonnement des données lors de leur transmission et de leur conservation, le stockage séparé des données personnelles brutes et des modèles créés à partir de ces données brutes.
Si le traitement est mis en œuvre pour l’une des finalités énoncées à l’article 64, le transfert des données s’effectue dans les conditions prévues à l’article 76.
Section IV - Traitements relatifs à la recherche dans le domaine de la santé
Art. 78.
Sous réserve des dispositions de l’article 79, le traitement ayant pour finalité la recherche dans le domaine de la santé est mis en œuvre après avis motivé de l’autorité de protection dans les conditions prévues aux articles 60 et 61.
Préalablement au prononcé de cet avis, l’autorité de protection peut, dans des conditions fixées par ordonnance souveraine, consulter un service public compétent dans le domaine de la santé.
Cette consultation suspend le délai visé au quatrième alinéa de l’article 59.
Art. 79.
Le traitement devant être effectué dans le cadre d’une recherche impliquant la personne humaine, au sens de la législation relative à la protection des personnes se prêtant à la recherche biomédicale, ne peut être mis en œuvre qu’après avis de l’autorité de protection dans les conditions prévues aux articles 60 et 61.
Le dossier produit à l’appui de la demande d’avis comporte, en sus des éléments prévus à l’article 60, la mention de l’objectif de la recherche, de la population concernée, de la méthode d’observation ou d’investigation retenue, de la justification du recours aux données à caractère personnel traitées, de la durée et des modalités d’organisation de la recherche, de la méthode d’analyse des données, ainsi que, le cas échéant, une copie de l’avis émis par le comité compétent en application de la législation mentionnée à l’alinéa précédent.
L’autorité de protection n’est pas compétente pour apprécier la qualification d’une recherche impliquant la personne humaine.
CHAPITRE VII
DISPOSITIONS PARTICULIÈRES À CERTAINS TRAITEMENTS
Section I - Traitements relatifs aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites
Art. 80.
Les traitements relatifs aux infractions, aux condamnations pénales, mesures de sûreté ou portant sur des soupçons d’activités illicites peuvent être mis en œuvre, sous réserve de garanties appropriées, par :
1. les personnes morales de droit public et les organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public, agissant dans le cadre de leurs attributions légales ;
2. les personnes physiques et morales de droit privé collaborant au service public de la justice, et appartenant à des catégories dont la liste est fixée par arrêté du Secrétaire d’État à la Justice, Directeur des Services Judiciaires, pris après avis de l’autorité de protection dans la mesure strictement nécessaire à leur mission ;
3. les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
4. les personnes physiques ou morales de droit privé agissant dans le cadre de leurs obligations légales ;
5. les personnes physiques ou morales victimes ou mises en cause dans une procédure judiciaire, ainsi que les témoins assistés et tout tiers concerné par une mesure de saisie, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice pour une durée strictement proportionnée à cette finalité.
Section II - Traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques
Art. 81.
Les traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques sont soumis à des garanties appropriées pour les droits et libertés de la personne concernée.
Les droits visés aux articles 12, 13, 15, 16, 17 et 18 ne sont pas applicables aux traitements mis en œuvre à des fins archivistiques dans l’intérêt public, lorsque l’exercice de ces droits risquerait de rendre impossible ou d’entraver sérieusement la réalisation des finalités pour lesquelles les données à caractère personnel sont collectées.
Les droits visés aux articles 12, 13, 15 et 17 ne sont pas applicables aux traitements mis en œuvre à des fins de recherche scientifique ou historique ou à des fins statistiques lorsque l’exercice de ces droits risquerait de rendre impossible ou d’entraver sérieusement la réalisation des finalités pour lesquelles les données à caractère personnel sont collectées.
Section III - Traitements relatifs à la liberté d’expression
Art. 82.
Aux fins de concilier la protection des données à caractère personnel et la liberté d’expression, il peut être dérogé, indépendamment des dispositions prévues à l’article 21, aux dispositions prévues au chiffre 5 de l’article 4, aux articles 7, 11, 12, 13, 15, 80, 94 et 97 à 99, lorsque le traitement est effectué à des fins journalistiques ou à des fins de liberté d’expression notamment l’expression universitaire, artistique ou littéraire.
Section IV - Traitements relatifs à la vidéosurveillance
Art. 83.
Des systèmes de vidéosurveillance peuvent être installés dans des lieux ouverts ou non au public à des fins de sécurité des biens et des personnes.
Au sens de la présente loi, on entend par système de vidéosurveillance toute opération consistant en la captation, la transmission, l’enregistrement et l’exploitation d’images prises en tout lieu, qu’il soit public, ouvert au public ou privé, par une personne physique ou morale de droit privé ou une personne morale de droit public agissant en dehors de l’exercice de ses prérogatives de puissance publique.
Art. 84.
Sans préjudice des dispositions de l’article 11, l’information du public de la présence d’un système de vidéosurveillance dans des lieux ouverts au public est réalisée par le responsable du traitement de façon visible et permanente au moyen d’un panneau placé à l’extérieur des lieux concernés.
L’information de la personne concernée de la présence d’un système de vidéosurveillance dans des lieux non ouverts au public est réalisée par le responsable du traitement de façon visible et permanente au moyen d’un panneau placé à l’intérieur des lieux concernés ou par une information appropriée des personnes concernées.
Le panneau comporte au minimum les informations relatives aux finalités du traitement, à l’identité du responsable du traitement et à l’exercice des droits de la personne concernée, à la durée de conservation, aux coordonnées du délégué à la protection aux données personnelles s’il a été désigné, et un renvoi vers une information plus complète.
La conservation des images issues des systèmes de vidéosurveillance ne doit pas excéder 30 jours.
Seules les personnes dûment autorisées dans le cadre de leurs fonctions peuvent visualiser et enregistrer les images.
Art. 85.
Les systèmes de vidéosurveillance installés dans des lieux ouverts au public ou filmant les abords de voies publiques, d’espaces ouverts au public ou à la circulation du public, sont soumis à l’autorisation préalable du Ministre d’État.
Les systèmes de vidéosurveillance installés dans les lieux non ouverts au public sont portés, sans délai, à la connaissance de l’autorité de protection.
Art. 86.
Les modalités d’application de la présente section sont définies par arrêté ministériel.
Section V - Traitements dans le secteur des communications électroniques
Art. 87.
L’utilisation de réseaux de communications électroniques en vue d’accéder ou de collecter des données à caractère personnel conservées dans l’équipement terminal d’un abonné ou d’un utilisateur est précédée d’une information claire et complète de l’utilisateur ou de l’abonné, sur la finalité du traitement et sur les moyens dont il dispose pour s’y opposer.
Sont qualifiés de réseaux de communications électroniques les systèmes de transmission et, le cas échéant, les équipements de commutation ou de routage ainsi que les autres ressources qui permettent l’acheminement de signaux par câble, par voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques.
Il est interdit de subordonner l’accès à un service disponible sur un réseau de communications électroniques à l’acceptation, par l’abonné ou l’utilisateur concerné, du traitement des données stockées dans son équipement terminal, sauf si la conservation ou l’accès technique visent exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou sont strictement nécessaires à la fourniture d’un service expressément demandé par l’abonné ou l’utilisateur.
Section VI - Traitements effectués par les juridictions et le ministère public dans l’exercice de leurs fonctions juridictionnelles ainsi que ceux effectués dans le cadre des procédures d’entraide judiciaire internationale
Art. 88.
I- Les traitements de données personnelles effectués par les juridictions et le ministère public dans l’exercice de leurs fonctions juridictionnelles ainsi que ceux effectués dans le cadre des procédures d’entraide judiciaire internationale relèvent du contrôle du Délégué judiciaire à la protection des données.
Le Délégué judiciaire à la protection des données mentionné au premier alinéa et son suppléant sont désignés par arrêté directorial du Secrétaire d’État à la Justice, Directeur des Services Judiciaires.
II- Le Délégué judiciaire à la protection des données a pour missions :
- d’informer, conseiller et sensibiliser le responsable du traitement ou le sous‑traitant et les personnels des services judiciaires qui procèdent au traitement sur les obligations qui leur incombent en vertu de la présente loi ;
- de contrôler le respect des règles de la présente loi et des règles internes du responsable du traitement ou du sous‑traitant en matière de protection des données personnelles, y compris en procédant aux investigations et vérifications visées au chiffre 3 de l’article 46 ;
- de notifier au responsable du traitement ou au sous‑traitant les manquements à la présente loi dont il a connaissance et, le cas échéant, de proposer des mesures pour y remédier et en atténuer les éventuelles conséquences négatives.
La Direction des Services Judiciaires met à la disposition du Délégué judiciaire à la protection des données les ressources nécessaires à l’accomplissement de ses missions.
III- Le Délégué judiciaire à la protection des données agit en toute indépendance dans l’exercice de ses missions et, dans ce cadre, ne reçoit d’instruction d’aucune autorité.
IV- Le Délégué judiciaire à la protection des données est tenu au secret professionnel.
V- Les modalités d’application du présent article sont définies par arrêté directorial du Secrétaire d’État à la Justice, Directeur des Services Judiciaires.
Section VII - Traitements mis en œuvre dans le cadre des dispositions des articles 9 à 15 et 18 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale
Art. 89.
L’article 16 de la loi n° 1.430 du 13 juillet 2016, précitée, est modifié comme suit :
« I. Il est institué une commission chargée de veiller au respect des dispositions prévues aux articles 9 à 15, dénommée Commission Spéciale de Sécurité Nationale.
La Commission accomplit les missions qui lui sont dévolues par la présente loi en toute indépendance.
Cette commission est composée de trois membres :
1. un membre titulaire et deux membres suppléants proposés par le Conseil d’État, président ;
2. le Président du Conseil National en tant que membre titulaire et le Vice‑président du Conseil National et le président de la Commission des finances et de l’économie nationale en tant que membres suppléants ;
3. le juge des libertés.
Les membres visés au chiffre 1 sont nommés par ordonnance souveraine pour une période de cinq ans.
Les membres de la Commission sont autorisés à connaître des informations ou des éléments d’appréciation protégés au titre de l’article 18 et utiles à l’exercice de leurs fonctions.
Dans l’exercice de leurs attributions, les membres de la Commission ne reçoivent d’instruction d’aucune autorité.
II. Les autorisations mentionnées aux articles 9 à 15 sont, dans un délai de vingt-quatre heures au plus, communiquées à la commission, qui en contrôle alors la régularité dans un délai de quarante-huit heures.
La Commission ne peut valablement délibérer sur une demande d’avis que si la totalité de ses membres assiste à la séance.
Lorsqu’elle est d’avis que les conditions de régularité d’une interception ou d’un recueil de l’information ne sont pas réunies, elle adresse au Ministre d’État une recommandation motivée demandant que cette opération soit interrompue ou suspendue.
Les effets de la décision du Ministre d’État sont alors suspendus. Le Ministre d’État peut alors décider de clore l’opération ou de la poursuivre après y avoir été autorisé par une autorité juridictionnelle selon les modalités déterminées par ordonnance souveraine. À défaut d’autorisation délivrée par cette autorité juridictionnelle, les informations qui auraient été recueillies sont détruites sans délai.
Lorsque la Commission est d’avis que les conditions de régularité d’une interception ou d’un recueil de l’information sont réunies, elle en informe le Ministre d’État.
De sa propre initiative ou sur réclamation de toute personne y ayant un intérêt direct et personnel, la Commission peut procéder au contrôle de toute mesure d’interception ou de recueil d’informations, en vue de vérifier si elle est effectuée dans le respect des dispositions de l’article 14. La Commission notifie à l’auteur de la réclamation que les vérifications nécessaires ont été effectuées, sans jamais confirmer ou infirmer la mise en œuvre de l’une des opérations de police administrative visées au présent titre. Les dispositions du huitième alinéa sont applicables.
III. Les membres de la Commission, son personnel ainsi que toute personne dont elle s’assure le concours sont tenus au secret professionnel dans les conditions prévues à l’article 308‑1 du Code pénal.
Les travaux de la Commission sont couverts par le secret de sécurité nationale.
Les crédits nécessaires au fonctionnement de la Commission sont inscrits dans un chapitre spécifique du budget de l’État.
La Direction des Services Judiciaires met à la disposition de la Commission les moyens humains nécessaires à l’accomplissement de ses missions. Le président de la Commission peut en outre recruter tout personnel nécessaire sur le fondement d’un contrat établi selon les formes et règles générales applicables aux agents de l’État.
Ce personnel est placé sous l’autorité du président de la Commission pour la durée nécessaire à l’exercice des missions qu’il leur confie.
Le secrétaire de la Commission est nommé, hors de son sein, par ordonnance souveraine pour une durée de cinq ans, renouvelable, sur proposition du président de la Commission.
Le personnel mis à disposition et le secrétaire sont soumis à la procédure d’habilitation au secret de sécurité nationale aux fins d’accéder aux informations et aux documents nécessaires à l’accomplissement de leurs missions dans les modalités fixées par arrêté ministériel.
IV. La Commission établit un règlement intérieur. Ce dernier, ainsi que toute modification de celui‑ci, fait l’objet d’une publication au Journal de Monaco ainsi que sur le site Internet de la Commission.
Sous réserve des dispositions relatives au secret de sécurité nationale, la Commission établit un rapport d’activité, sur une durée n’excédant pas trois ans, remis au Ministre d’État, au Secrétaire d’État à la Justice, Directeur des Services Judiciaires et au Président du Conseil National. Ce rapport est public.
V. Les modalités d’application du présent article sont définies par arrêté ministériel. ».
Art. 90.
La Commission Spéciale de Sécurité Nationale instituée par l’article 16 de la loi n° 1.430 du 13 juillet 2016, précitée, est également chargée de contrôler, en toute indépendance, les traitements mis en œuvre dans le cadre des articles 9 à 15 et 18 de ladite loi conformément à ses dispositions ainsi qu’à celles de la présente loi en matière de protection des données personnelles applicables à ces traitements.
Art. 91.
Les traitements qui intéressent la sécurité nationale visés au chiffre 2 du quatrième alinéa de l’article 37 sont régis par les dispositions de la présente section et, sous réserve de leur compatibilité avec ces dernières, par les autres dispositions de la présente loi.
Ces traitements ne sont licites que s’ils sont fondés sur une disposition législative ou réglementaire et dans la mesure où ils sont nécessaires à l’exécution d’une mission effectuée pour l’une des finalités énoncées au précédent alinéa par les autorités administratives compétentes dans le cadre exclusif des missions qui leur sont conférées par la loi n° 1.430 du 13 juillet 2016, précitée.
Art. 92.
Les traitements visés à l’article précédent font l’objet d’une demande d’avis auprès de la Commission Spéciale de Sécurité Nationale instituée par l’article 16 de la loi n° 1.430 du 13 juillet 2016, précitée. La demande d’avis contient les informations visées à l’article 60.
L’avis motivé est rendu dans un délai de deux mois à compter du dépôt du dossier comportant lesdites informations.
Le délai prévu à l’alinéa précédent peut être renouvelé une fois sur décision motivée du président de la Commission. Lorsqu’il n’est pas rendu à l’expiration du délai précité, l’avis est réputé favorable.
La Commission est informée de tout changement affectant les informations visées à l’article 60 et de la suppression du traitement.
Les traitements visés au premier alinéa sont autorisés par arrêté ministériel.
L’arrêté ministériel portant autorisation du traitement précise les informations visées à l’article 62.
Cet arrêté ministériel portant autorisation du traitement ainsi que l’avis préalable qui l’accompagne sont dispensés de publication au Journal de Monaco.
Art. 93.
1. Le contrôle de la mise en œuvre des traitements est assuré par les membres de la Commission Spéciale de Sécurité Nationale, avec le concours de son personnel habilité dans les conditions prévues par l’article 16 de la loi n° 1.430 du 13 juillet 2016, précitée, laquelle vérifie que les données personnelles sont collectées et traitées dans le respect des dispositions de la présente loi.
À cette fin, la Commission peut accéder aux données de ces traitements, sous réserve des nécessités de la protection des sources et de la protection des données communiquées par les services de renseignements étrangers.
2. En cas d’irrégularités constatées, le président de la commission saisit le Ministre d’État pour qu’il prenne toutes mesures afin de faire cesser lesdites irrégularités ou pour que leurs effets soient supprimés. Sous réserve des dispositions relatives au secret de sécurité nationale, la Commission Spéciale de Sécurité Nationale rend compte publiquement et périodiquement de ses activités de contrôle au titre de la présente loi dans le cadre du rapport prévu au second alinéa du paragraphe IV de l’article 16 de la loi n° 1.430 du 13 juillet 2016, précitée.
Art. 94.
Toute personne ayant un intérêt direct et personnel peut exercer auprès de la Commission ses droits d’accès, de rectification et d’effacement dans les conditions suivantes.
À cet effet, elle saisit la Commission soit d’une demande de vérification pour savoir si ses données font l’objet d’un traitement, soit d’une demande de rectification ou d’effacement de ses données. Dans ces deux derniers cas, elle produit à l’appui de sa demande, toute pièce justificative utile afin :
1. que soient rectifiées les données à caractère personnel la concernant qui sont inexactes ;
2. que soient complétées les données à caractère personnel la concernant incomplètes ;
3. que soient effacées les données à caractère personnel la concernant en cas d’erreur manifeste.
Si la Commission considère qu’il peut être fait droit à la demande de rectification ou d’effacement, le président de la Commission saisit le Ministre d’État afin qu’il prenne toutes mesures pour y procéder.
Dans tous les cas, la Commission notifie, dans les meilleurs délais, à la personne auteur de la demande que les vérifications nécessaires ont été effectuées, sans jamais confirmer ou infirmer la mise en œuvre de l’une des opérations de police administrative visées par les articles 9 à 15 de la loi n° 1.430 du 13 juillet 2016, précitée, ou d’un traitement institué dans le cadre de l’article 18 de cette loi.
Art. 95.
Les transferts de données hors de la Principauté s’effectuent dans les conditions prévues à l’article 76 de la présente loi.
CHAPITRE VIII
TRANSFERT DES DONNÉES À CARACTÈRE PERSONNEL
Art. 96.
Un transfert hors de la Principauté, vers un pays, un territoire ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions de la loi, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous‑traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays, territoire ou de l’organisation internationale destinataire vers un autre pays, territoire ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par la loi ne soit pas compromis.
Art. 97.
Des données à caractère personnel peuvent être transférées à l’étranger si le pays, le territoire ou l’organisation internationale vers lequel s’opère ledit transfert dispose d’une législation ou d’une réglementation présentant un niveau de protection adéquat bénéficiant notamment aux personnes concernées dont les données sont collectées dans la Principauté.
Les États membres de l’Union européenne sont réputés disposer d’une législation ou d’une réglementation présentant un niveau de protection adéquat au sens de l’alinéa précédent.
En dehors desdits États membres, des données à caractère personnel peuvent être transférées à l’étranger si la Principauté a constaté que le pays, le territoire ou l’organisation internationale vers lesquels s’opère ledit transfert dispose d’une législation ou d’une réglementation présentant le niveau de protection adéquat visé au premier alinéa.
La liste des pays, territoires et organisations internationales disposant du niveau de protection adéquat visé au premier alinéa est adoptée par arrêté ministériel, après avis de l’autorité de protection. Elle est régulièrement mise à jour et publiée au Journal de Monaco et sur le site Internet de l’autorité de protection.
Art. 98.
Le transfert de données à caractère personnel vers un pays, un territoire ou une organisation internationale n’assurant pas, au sens de l’article 97 un niveau de protection adéquat, peut toutefois s’effectuer s’il est garanti par :
- le respect d’un engagement international exécutoire dans la Principauté ;
- l’utilisation de clauses types de protection préalablement approuvées par l’autorité de protection ;
- le respect des règles d’entreprises contraignantes approuvées par l’autorité de protection ou par une autorité chargée de la protection des données relevant d’un État qui assure un niveau de protection adéquat ;
- un mécanisme de certification approuvé conformément aux dispositions de l’article 34 ;
- l’adhésion à un code de conduite approuvé et publié par l’autorité de protection.
Art. 99.
1. En l’absence de niveau de protection adéquat prévu à l’article 97 ou de garanties appropriées visées à l’article 98, le transfert de données peut toutefois s’effectuer si la personne à laquelle se rapportent les données a explicitement consenti à leur transfert après avoir été informée de l’absence du niveau de protection ou de garanties appropriées et de la nature des risques introduits par cette absence.
2. Le transfert de données peut également s’effectuer :
a) s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
b) pour des motifs importants d’intérêt public ;
c) s’il est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice ;
d) pour la consultation d’un registre public prévu par la loi destiné à l’information du public et ouvert à la consultation de celui‑ci ou de toute personne justifiant d’un intérêt légitime ;
e) s’il est nécessaire à l’exécution d’un contrat entre le responsable du traitement ou son représentant et la personne concernée ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
f) s’il est nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement ou son représentant et un tiers.
L’autorité de protection peut obtenir de la part du responsable du traitement ou du sous‑traitant toute information pertinente relative aux transferts de données personnelles lorsqu’ils sont effectués pour des motifs importants d’intérêt public.
3. Si le transfert ne peut être fondé sur les dispositions de l’article 97 ou 98 et qu’aucune des dérogations prévues aux chiffres 1 et 2 du présent article n’est applicable, un transfert hors de la Principauté peut avoir lieu s’il ne revêt pas de caractère répétitif, s’il ne touche qu’un nombre limité de personnes, s’il est nécessaire aux fins d’intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et que des garanties appropriées ont été prises. Le responsable du traitement informe l’autorité de protection de ce transfert.
Les chiffres 1. et 3., ainsi que les lettres e) et f) du chiffre 2. du présent article ne sont pas applicables aux activités des autorités publiques dans l’exercice de leurs prérogatives de puissance publique.
4. Nonobstant le niveau de protection du pays, du territoire ou de l’organisation internationale vers lequel s’opère le transfert, des limites peuvent être fixées au transfert de catégories spécifiques de données pour des motifs importants d’intérêt public.
Art. 100.
Le transfert de données à caractère personnel vers un pays, un territoire ou une organisation internationale ne répondant pas aux exigences fixées aux articles 97 à 99 peut toutefois s’effectuer avec l’autorisation de l’autorité de protection sur la base de mesures de protection particulières ou des clauses contractuelles spécifiques entre le responsable du traitement et le sous‑traitant ou entre l’un de ceux‑ci et le responsable du traitement, le sous‑traitant et le destinataire de ces données.
L’Autorité de Protection des Données Personnelles se prononce dans un délai de deux mois à compter de la réception de la demande. Ce délai peut être renouvelé une fois sur décision motivée du président.
L’autorisation demandée à l’autorité de protection sur le transfert mentionné au premier alinéa qui n’est pas délivrée à l’expiration du délai mentionné ci‑dessus, est réputée refusée.
Art. 101.
Le transfert ou la divulgation de données à caractère personnel hors de la Principauté fondé sur une décision d’une juridiction ou d’une autorité administrative exigeant d’un responsable du traitement ou d’un sous‑traitant un tel transfert ou une telle divulgation ne peut être reconnue ou rendue exécutoire qu’en vertu d’un accord international en vigueur entre l’État demandeur et la Principauté de Monaco, sans préjudice d’autres motifs de transferts en vertu du présent chapitre.
CHAPITRE IX
COMPÉTENCE JURIDICTIONNELLE, SANCTIONS PÉNALES ET DROIT À RÉPARATION
Art. 102.
Les tribunaux de la Principauté sont compétents pour connaître de toute action contre un responsable du traitement ou un sous‑traitant qui dispose d’un établissement à Monaco dans lequel le traitement en cause a été effectué. Une telle action peut aussi être intentée devant les tribunaux monégasques lorsque la personne concernée a sa résidence habituelle à Monaco, sauf si le responsable du traitement ou le sous‑traitant est une autorité publique d’un État agissant dans l’exercice de ses prérogatives de puissance publique.
Lorsqu’un tribunal de la Principauté, compétent pour connaître de la demande, est informé qu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous‑traitant et est pendante devant un tribunal d’un autre État, il contacte cette juridiction pour confirmer l’existence d’une telle action.
Dans le cas prévu à l’alinéa précédent, le tribunal monégasque, s’il n’a pas été saisi en premier lieu, peut suspendre l’action introduite devant lui.
Sans préjudice de l’article 12 du Code de droit international privé, lorsque cette action est pendante devant des juridictions du premier degré, le tribunal monégasque peut également se dessaisir, à la demande de l’une des parties, à condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction.
Art. 103.
La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, autorisé à Monaco ou reconnu, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation auprès de l’Autorité de protection des données en son nom, exerce les recours juridictionnels et exerce en son nom le droit d’obtenir réparation visé à l’article 106.
Art. 104.
Il est inséré au Livre III, Titre II, Chapitre 1er du Code pénal, une Section XII intitulée Protection des données personnelles composée de l’article 308‑7 rédigé comme suit :
« Sont punis d’un emprisonnement d’un à six mois et de l’amende prévue au chiffre 3 de l’article 26 ou de l’une de ces deux peines seulement :
1. ceux qui empêchent ou entravent les investigations opérées pour l’application de la loi ou ne fournissent pas les renseignements ou documents demandés ;
2. ceux qui ne tiennent pas un registre des activités de traitements conformément aux dispositions de l’article 27 de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;
3. ceux qui conservent des données personnelles au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles sont traitées ;
4. ceux qui, par suite d’imprudences ou de négligences, ne préservent pas ou ne font pas préserver la sécurité des données personnelles au sens de l’article 31 de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ou divulguent ou laissent divulguer des données personnelles ayant pour effet de porter atteinte à la réputation d’une personne ou à sa vie privée ou familiale ;
5. ceux qui méconnaissent les dispositions des articles 23 et 32 de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;
6. ceux qui transfèrent ou font procéder au transfert de données à caractère personnel en violation des dispositions du Chapitre VIII de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles.
Sont punis d’un emprisonnement de trois mois à un an et de l’amende prévue au chiffre 4 de l’article 26 ou de l’une de ces deux peines seulement :
1. ceux qui collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser des données à caractère personnel à des fins de surveillance d’une personne à partir d’un système de vidéosurveillance sans avoir obtenu l’autorisation du Ministre d’État prévue à l’article 85 de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;
2. ceux qui collectent des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ;
3. ceux qui à l’occasion de leur traitement, détournent des données à caractère personnel à des fins incompatibles avec les finalités pour lesquelles elles ont été collectées ;
4. ceux qui collectent, enregistrent, conservent ou utilisent des données à caractère personnel en dépit de l’opposition des personnes concernées, hors des cas prévus par la loi ;
5. ceux qui, à l’exception des autorités compétentes ou des responsables de traitements visés à l’article 80 de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles, collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser des données à caractère personnel relatives à la prévention, la recherche, la constatation, la poursuite des infractions pénales ou l’exécution des condamnations pénales ou relatives aux infractions, condamnations, mesures de sûreté ou portant sur des soupçons d’activités illicites ;
6. ceux qui, sauf les dérogations prévues par la loi, collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser des données à caractère personnel qui révèlent, directement ou indirectement, des opinions ou des appartenances politiques, raciales ou ethniques, religieuses, philosophiques ou syndicales, ou encore des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique ou des données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.
En cas de récidive, les peines d’emprisonnement prévues aux deux alinéas précédents ne pourront être inférieures au double de celle précédemment prononcée sans toutefois qu’elles puissent dépasser le double du maximum de la peine encourue. ».
Art. 105.
Toute condamnation prononcée en application de l’article précédent entraîne, de plein droit, la suppression des traitements.
Le Tribunal de première instance peut, en outre, décider la confiscation et la destruction, sans indemnité, des supports des données à caractère personnel incriminées et interdire de procéder à des traitements pendant un délai qui ne peut excéder trois ans ni être inférieur à six mois.
Il peut également ordonner que la personne morale de droit privé soit tenue, solidairement avec son représentant statutaire, au paiement de l’amende prononcée à l’encontre de ce dernier.
Le procureur général avise le président de l’autorité de protection de toutes les poursuites relatives aux infractions prévues par la Section XII du Chapitre 1er, du Livre III, du Titre II, du Code pénal et, le cas échéant, des suites qui leur sont données.
Le juge d’instruction ou la juridiction de jugement peut appeler le président de l’autorité de protection ou son représentant à déposer ses observations écrites au moins quinze jours avant l’audience et, le cas échéant, à les développer oralement à l’audience.
L’Autorité de Protection des Données Personnelles est rendue destinataire des décisions de justice prononcées en application de l’article 104 ainsi que du présent article.
Art. 106.
1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation de la présente loi a le droit d’obtenir du responsable du traitement ou du sous‑traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation de la présente loi. Un sous‑traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par la présente loi qui incombent spécifiquement aux sous‑traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
3. Un responsable du traitement ou un sous‑traitant est exonéré de responsabilité, au titre du chiffre 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
4. Lorsque plusieurs responsables du traitement ou sous‑traitants ou lorsque, à la fois, un responsable du traitement et un sous‑traitant participent au même traitement et, lorsque, au titre des chiffres 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous‑traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.
5. Lorsqu’un responsable du traitement ou un sous‑traitant a, conformément au chiffre 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous‑traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au chiffre 2.
CHAPITRE X
DISPOSITIONS FINALES
Art. 107.
L’Autorité de Protection des Données Personnelles succède à la Commission de Contrôle des Informations Nominatives, créée par la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée, en tous ses droits et obligations.
Art. 108.
Par dérogation aux trois premiers alinéas de l’article 40, l’autorité de protection est composée des membres de la Commission de Contrôle des Informations Nominatives en exercice à la date d’entrée en vigueur de la présente loi, dont le mandat se poursuit jusqu’à la publication de l’ordonnance souveraine procédant à la nomination de ses huit membres.
Jusqu’à cette publication, et par dérogation au sixième alinéa de l’article 40, le président et le Vice‑président de la Commission de Contrôle des Informations Nominatives en exercice à la date d’entrée en vigueur de la présente loi sont respectivement président et Vice‑président au sein de l’autorité de protection.
Jusqu’à la publication de l’ordonnance souveraine précitée, et par dérogation au deuxième alinéa de l’article 41, la formation restreinte est composée du membre ayant qualité de magistrat proposé par la Direction des Services Judiciaires, président, et de deux autres membres élus par l’autorité en son sein.
Dans un délai de quinze jours suivant l’entrée en vigueur de la présente loi, le Ministre d’État invite chacune des autorités visées aux chiffres 2 à 8 du deuxième alinéa de l’article 40 à lui faire connaître sa proposition aux fins de nomination des membres de l’autorité de protection.
Art. 109.
Les responsables du traitement ayant mis en œuvre régulièrement auprès de la Commission de Contrôle des Informations Nominatives des traitements de données à caractère personnel avant la date d’entrée en vigueur de la présente loi, et dont l’exploitation se poursuit après son entrée en vigueur, disposent, à compter de cette date, d’un délai d’un an pour mettre leur traitement en conformité avec les dispositions du Chapitre II de la présente loi sous réserve que lesdits traitements n’aient pas été modifiés de manière substantielle.
Les responsables du traitement et les sous‑traitants ayant mis en œuvre régulièrement auprès de la Commission de Contrôle des Informations Nominatives des traitements de données à caractère personnel avant la date d’entrée en vigueur de la présente loi, et dont l’exploitation se poursuit après son entrée en vigueur, disposent, à compter de cette date, d’un délai d’un an pour se mettre en conformité avec les obligations prévues aux articles 27, 28, 29, 30 et au quatrième alinéa de l’article 31. Ce délai est porté à trois ans pour les responsables du traitement afin de procéder à l’analyse d’impact prévue à l’article 35 au titre de la réévaluation des risques.
Les responsables du traitement dont les traitements de données à caractère personnel relèvent de l’article 64 disposent, à compter de l’entrée en vigueur de la présente loi, d’un délai de trois ans pour mettre leurs traitements en conformité avec les dispositions des articles 69 et 70. Ce délai n’est pas applicable aux traitements déjà soumis à l’obligation de journalisation.
Art. 110.
Lorsque des formalités préalables à la mise en œuvre des traitements, initiées sous l’empire de la loi n° 1.165 du 23 décembre 1993, modifiée, précitée, sont en cours d’instruction auprès de l’autorité de protection, celle‑ci informe les responsables du traitement de la nature de leurs nouvelles obligations.
Art. 111.
La liste des traitements inscrits au répertoire institué par l’article 10 de la loi n° 1.165 du 23 décembre 1993, modifiée, précitée, est mise à la disposition du public par l’Autorité de Protection des Données Personnelles pendant une durée de dix ans à compter de l’entrée en vigueur de la présente loi.
Art. 112.
Les recommandations adoptées par la Commission de Contrôle des Informations Nominatives sur le fondement de la loi n° 1.165 du 23 décembre 1993, modifiée, précitée, demeurent en vigueur jusqu’à ce qu’elles soient modifiées, remplacées ou abrogées par l’autorité de protection.
Art. 113.
À l’article premier de la loi n° 1.444 du 19 décembre 2016 portant diverses mesures en matière de protection des informations nominatives et de confidentialité dans le cadre de l’échange automatique de renseignements en matière fiscale, la référence à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, précitée, est remplacée par la référence à l’article 11 de la présente loi.
Art. 114.
À l’article 2 de la loi n° 1.444 du 19 décembre 2016, précitée, la référence aux articles 18 à 19 de la loi n° 1.165 du 23 décembre 1993, modifiée, précitée, est remplacée par la référence aux articles 46 à 50 de la présente loi.
Art. 115.
Aux articles 24 et 25 de la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, la référence à l’article 15‑1 de la loi n° 1.165 du 23 décembre 1993, modifiée, précitée, est remplacée par la référence à l’article 74 de la présente loi.
À l’article 64‑5 de la loi n° 1.362 du 3 août 2009, modifiée, précitée, la référence à l’article 15 de la loi n° 1.165 du 23 décembre 1993, modifiée, précitée, est remplacée par la référence à l’article 12 de la présente loi.
Art. 116.
Les termes « informations nominatives » s’entendent au sens « données personnelles » ou de « données à caractère personnel » dans les textes législatifs et réglementaires pris avant l’entrée en vigueur de la présente loi.
Art. 117.
Les modalités d’application de la présente loi sont fixées par ordonnance souveraine.
Art. 118.
La mention de la présente loi se substitue à celle de la loi n° 1.165 du 23 décembre 1993, modifiée, précitée, dans tous les textes législatifs et réglementaires pris avant son entrée en vigueur.
La loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives est abrogée.
La présente loi est promulguée et sera exécutée comme loi de l’État.
Fait en Notre Palais à Monaco, le trois décembre deux mille vingt-quatre.
ALBERT.
Par le Prince,
Le Secrétaire d’État :
Y. Lambin Berti.
-------
Le Dossier Législatif - Travaux Préparatoires de la loi est en annexe du présent Journal de Monaco.