Arrêté Ministériel n° 2025‑361 du 14 juillet 2025 portant application de l'article 35 de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles.

Nous, Ministre d’État de la Principauté,

Vu la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;

Vu la délibération du Conseil de Gouvernement en date du 3 juillet 2025 ;

Arrêtons :

Article Premier.

Les critères permettant de déterminer si un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, au sens de l’article 35 de la loi n° 1.565 du 3 décembre 2024, susvisée, sont :

1.  L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, y compris le profilage ;

2.  La prise de décision automatisée produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;

3.  La surveillance systématique des personnes concernées ;

4.  Le traitement de données sensibles au sens du chiffre 9 de l’article 2 de la loi n° 1.565 du 3 décembre 2024, susvisée, ou relatives aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activité illicites ;

5.  Le croisement ou la combinaison d’ensembles de données ;

6.  Le traitement de données personnelles concernant des personnes vulnérables ;

7.  L’utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles ;

8.  Le traitement empêchant la personne concernée d’exercer un droit ou de bénéficier d’un service ou d’un contrat.

Art. 2.

Les traitements qui remplissent au moins deux des critères visés à l’article premier sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Le responsable de traitement peut également considérer qu’un traitement ne satisfaisant qu’un seul de ces critères est susceptible d’engendrer un risque élevé.

Art. 3.

Les opérations qui visent à traiter un volume considérable de données à caractère personnel, pouvant affecter un nombre important de personnes concernées apprécié en valeur absolue ou en valeur relative par rapport à la population concernée, compte tenu notamment de la durée ou la permanence de l’activité de traitement et de son étendue géographique, lorsqu’elles remplissent au moins l’un des critères visés à l’article premier, sont des traitements susceptibles d’engendrer un risque élevé au sens de l’article 35 de la loi n° 1.565 du 3 décembre 2024, susvisée.

Art. 4.

Les opérations qui visent à traiter un volume considérable de données à caractère personnel, pouvant affecter un nombre important de personnes concernées apprécié en valeur absolue ou en valeur relative par rapport à la population concernée, compte tenu notamment de la durée ou la permanence de l’activité de traitement et de son étendue géographique, lorsqu’elles donnent lieu à l’utilisation d’un identifiant numérique, sont des traitements susceptibles d’engendrer un risque élevé au sens de l’article 35 de la loi n° 1.565 du 3 décembre 2024, susvisée.

Art. 5.

Le Ministre d’État, le Conseiller de Gouvernement-Ministre des Affaires Sociales et de la Santé, le Conseiller de Gouvernement-Ministre de l’Équipement, de l’Environnement et de l’Urbanisme, le Conseiller de Gouvernement-Ministre de l’Intérieur, le Conseiller de Gouvernement-Ministre des Finances et de l’Économie et le Conseiller de Gouvernement-Ministre des Relations Extérieures et de la Coopération sont chargés, chacun en ce qui le concerne, de l’exécution du présent arrêté.

Fait à Monaco, en l’Hôtel du Gouvernement, le quatorze juillet deux mille vingt-cinq.

Le Conseiller de Gouvernement-Ministre

des Relations Extérieures et de la Coopération

en charge des fonctions de Ministre d’État,

I. Berro-Amadeï.