icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Délibérations-Décisions APDP

Délibération n° 2025‑5 du 9 avril 2025 de l'Autorité de Protection des Données Personnelles portant avis sur le projet d'arrêté ministériel portant application de l'article 35 de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles.

  • N° journal 8744
  • Date de publication 25/04/2025
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole d’amendement adopté par le Comité des Ministres le 18 mai 2018 ;

Vu la loi n° 1.483 du 17 décembre 2019 relative à l’identité numérique ;

Vu la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;

Vu la loi n° 1.566 du 3 décembre 2024 portant approbation et ratification du Protocole d’amendement à la Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la délibération n° 2020‑151 du 4 novembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis sur le projet de loi relative à la protection des données personnelles ;

Vu la délibération n° 2021‑260 du 1er décembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis sur le projet de loi relative à la protection des données personnelles ;

Vu la délibération n° 2025‑4 du 19 mars 2025 de l’Autorité de Protection des Données Personnelles portant avis sur la consultation du Ministre d’État relative au projet d’Ordonnance Souveraine portant application de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;

Vu la saisine du Ministre d’État en date du 20 février 2025 concernant le projet d’Arrêté Ministériel portant application de l’article 35 de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;

L’Autorité de Protection des Données Personnelles,

Préambule

La loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles, parue au Journal de Monaco du vendredi 13 décembre 2024, nécessite la publication de textes d’application.

Ainsi, l’APDP est saisie pour avis sur le projet d’Arrêté Ministériel portant application de l’article 35 de ladite loi, qui dispose que :

« Lorsque le traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et de ses finalités, est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement effectue préalablement au traitement, et après avoir pris conseil auprès du délégué à la protection des données lorsque celui‑ci a été désigné, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse d’impact peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

Un risque élevé existe notamment dans les cas suivants :

a)  l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;

b)  le traitement à grande échelle de données sensibles ou de données à caractère personnel relatives aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activités illicites ;

c)  la surveillance systématique à grande échelle de zone accessible au public ;

d)  l’utilisation à grande échelle d’un identifiant numérique.

Cette analyse d’impact contient au moins :

-    une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;

-    une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

-    une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 ;

-    les mesures envisagées pour faire face aux risques.

Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés, visés à l’article 33, est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d’une analyse d’impact relative à la protection des données.

Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

Un arrêté ministériel établit, après avis de l’autorité, la liste des critères, permettant de déterminer si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

L’analyse d’impact est conservée à titre probatoire par le responsable du traitement et communiquée sur demande à l’autorité de protection.

Le responsable du traitement procède à une réévaluation de l’analyse d’impact en cas de modification du risque.

Les dispositions du présent article ne sont pas applicables aux traitements soumis aux formalités préalables prévues aux articles 58 et 92. ».

À titre liminaire, l’APDP rappelle que l’établissement de la liste des critères permettant de déterminer si un traitement est susceptible d’engendrer un risque élevé par le biais d’un Arrêté Ministériel, et non de lignes directrices de l’APDP, résulte du fait que doter cette Autorité Administrative Indépendante serait contraire à la Constitution.

En cela l’exposé des motifs de la loi n° 1.565, précitée, mentionne que « l’article premier de la Constitution -et plus particulièrement la référence qui y est faite aux principes généraux du droit international - fournit une base juridique à la possibilité exceptionnelle de création de telles autorités [administratives indépendantes]. Il peut être ainsi rappelé que ces principes incluent la règle de l’effet obligatoire des conventions de telle sorte que la nécessité de donner effet aux engagements internationaux de l’État monégasque devient une exigence constitutionnelle.

Il en résulte que des autorités administratives indépendantes peuvent être créées à Monaco mais uniquement lorsque cela est requis par l’exécution des engagements internationaux de la Principauté. Dans ce cas, elles ne peuvent être investies que des compétences strictement nécessaires à la satisfaction desdits engagements. ».

C’est sur ce fondement que le Gouvernement n’a pas doté l’APDP de pouvoirs normatifs, car ceux‑ci ne sont pas requis par la Convention 108 modernisée.

L’APDP note cependant une évolution certaine en la matière, l’exposé des motifs de la loi n° 1.549 du 6 juillet 2023 portant adaptation de dispositions législatives en matière de lutte contre le blanchiment de capitaux, le financement du terrorisme et la prolifération des armes de destruction massive, qui a érigé l’Autorité Monégasque de Sécurité Financière en AAI, précisant en effet que cette érection fait suite à des préconisations du rapport Moneyval.

Il y est en outre souligné que le Comité Moneyval constitue un partenaire international de tout premier plan dans le réseau mondial des organismes d’évaluation de la lutte anti-blanchiment de sorte que les recommandations qu’il émet forment l’interprétation officielle des standards internationaux en la matière.

Aussi l’APDP pense que cette évolution aurait pu être prise en compte s’agissant de la possibilité de la doter de pouvoirs lui permettant d’édicter la liste des critères visée à l’article 35 de la loi n° 1.565, comme tel est le cas, en application du RGPD, pour les Autorités de protection situées en Union européenne.

Les observations de l’APDP sur le projet d’Arrêté Ministériel se fondent pour l’essentiel sur les critères applicables en Union européenne, afin de se rapprocher des plus hauts standards en la matière, l’objectif commun étant que la Principauté bénéficie d’une reconnaissance d’adéquation de la part des Instances européennes.

Paragraphe unique : sur le projet d’Arrêté Ministériel portant application de l’article 35 de la loi n° 1.565 relative à la protection des données personnelles

L’APDP souligne que la présence du critère de surveillance systématique et du critère de personnes vulnérables permettra de soumettre à une analyse d’impact la surveillance constante sur le lieu de travail, ce que la CCIN appelait de ses vœux, et s’en félicite.

Elle relève en outre que :

-    le critère 1 « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, y compris le profilage » se substitue en Principauté au critère européen « évaluation ou notation, y compris les activités de profilage et de prédiction (…) » ;

-    le critère 4 est à Monaco « le traitement de données sensibles au sens du chiffre 9 de l’article 2 de la loi n° 1.565 du 3 décembre 2024 susvisée, ou relatives aux infractions, condamnations pénales et mesures de sûreté ou portant sur des soupçons d’activité illicite » tandis qu’en Europe il est fait mention de « données sensibles ou données à caractère hautement personnel » ;

-    le critère 8, non mentionné dans la liste du Groupe 29, concerne « l’utilisation d’un identifiant numérique au sens de la loi n° 1.483 du 17 décembre 2019 relative à l’identité numérique » ;

-    le critère européen du traitement à grande échelle est devenu au sein de l’Arrêté Ministériel projeté un article 3 dédié.

L’APDP constate ainsi que la liste de critères définie à l’article premier de l’Arrêté Ministériel reprend dans l’essence la liste de critères telle qu’adoptée le 4 avril 2017 par le Groupe de travail « Groupe 29 » sur la protection des données personnelles au sein des « lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 ».

Toutefois, comme indiqué précédemment, ces critères ont une rédaction parfois légèrement différente et ne sont pas expliqués aux responsables du traitement, un Arrêté Ministériel ne pouvant, par nature, qu’énoncer une simple liste, sans éléments de contexte.

Dès lors, à des fins pédagogiques, l’APDP en explicitera la portée, pour éclairer les responsables du traitement et les personnes concernées sur les contours précis de ces critères.

Elle relève par ailleurs que les alinéas 2 et 6 de l’article 35 de la loi n° 1.565 ne sont pas liés, et qu’elle pourra dès lors mentionner à un responsable du traitement qu’il aurait dû réaliser une analyse d’impact en application de l’alinéa 2 susmentionné.

Concernant le critère 1, l’APDP s’interroge sur la volonté du Gouvernement d’en changer la rédaction, ainsi que sur les objectifs de ce changement rédactionnel, et, le cas échéant, ses conséquences pratiques. Elle souligne ainsi que la notion de « notation » est particulièrement importante et mériterait d’être introduite au chiffre 1 de l’article premier en projet.

Concernant le critère 4, l’APDP suggère qu’il soit modifié afin d’y ajouter la notion de « données à caractère hautement personnel » comme mentionné par le Groupe 29. En effet, l’Arrêté Ministériel limite strictement son application aux données sensibles définies dans la loi n° 1.565 et aux traitements relevant de l’article 80 de ladite loi. Or, le critère européen, s’il concerne également ces données, précise qu’« Au-delà des dispositions du RGPD, certaines catégories de données peuvent être considérées comme augmentant le risque possible pour les droits et libertés des personnes. Ces données à caractère personnel sont considérées comme sensibles (au sens commun du terme) dans la mesure où elles sont liées à des activités domestiques et privées (communications électroniques dont la confidentialité doit être protégée, par exemple), dans la mesure où elles ont un impact sur l’exercice d’un droit fondamental (données de localisation dont la collecte met en cause la liberté de circulation, par exemple) ou dans la mesure où leur violation aurait clairement des incidences graves dans la vie quotidienne de la personne concernée (données financières susceptibles d’être utilisées pour des paiements frauduleux, par exemple). À cet égard, il peut être pertinent de déterminer si les données ont déjà été rendues publiques par la personne concernée ou par des tiers. Le fait que les données à caractère personnel soient publiquement disponibles peut être pris en compte en tant que facteur dans l’analyse lorsqu’il est prévu une utilisation ultérieure des données pour certaines finalités. Ce critère peut également inclure les données telles que les documents personnels, les courriers électroniques, les agendas, les notes des liseuses équipées de fonctions de prise de notes ainsi que les informations à caractère très personnel contenues dans les applications de « life-logging » ». Une telle extension d’interprétation, pourtant nécessaire, n’est pas possible avec le projet de rédaction monégasque.

Par ailleurs, l’article 35 de la loi n° 1.565 définit comme critère l’utilisation d’un identifiant numérique tandis que le critère 8 de l’Arrêté Ministériel en projet indique que cet identifiant doit être compris au sens de la loi n° 1.483 relative à l’identité numérique. L’APDP estime que cette précision devrait être supprimée car elle restreint le champ d’application potentiel du critère défini au sein de la loi, notamment en ce que l’identifiant numérique y est lié à la notion de fournisseur d’identité et donc, à une typologie particulière de responsable du traitement chargé, au sens de la loi n° 1.483 du 17 décembre 2019 relative à l’identité numérique, « de l’émission des moyens d’identification électronique ainsi que de la maintenance et la gestion du cycle de vie des données d’identification correspondant auxdits moyens d’identification ».

Enfin, l’APDP relève que le « traitement à grande échelle », légalement défini à l’article 2 de la loi n° 1.565, n’est pas intégré sous cette notion à l’article premier mais fait l’objet d’un article 3 dédié au sein de l’Arrêté Ministériel.

De ce fait, ce critère n’est pas autonome et ne peut à lui seul, conformément à l’article 2 alinéa 2 en projet, conduire un responsable du traitement à considérer que le traitement dont il envisage la mise en œuvre nécessite une analyse d’impact, ce que l’APDP estime dommage.

Aussi elle considère que le critère de traitement à grande échelle devrait être introduit au sein de l’article premier.

Tel est l’avis de l’Autorité de Protection des Données Personnelles.

Le Président

de l’Autorité de Protection

des Données Personnelles.

Visualiser le journal
au format PDF 1,17 MB
Télécharger le journal
au format PDF 1,17 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14