Délibération n° 2025‑4 du 19 mars 2025 de l'Autorité de Protection des Données Personnelles portant avis sur la consultation du Ministre d'État relative au projet d'Ordonnance Souveraine portant application de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles.
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole d’amendement adopté par le Comité des Ministres le 18 mai 2018 ;
Vu la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;
Vu la loi n° 1.566 du 3 décembre 2024 portant approbation et ratification du Protocole d’amendement à la Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;
Vu l’Ordonnance Souveraine n° 8.569 du 25 mars 2021 relative aux archives d’intérêt public ;
Vu l’Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l’Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques ;
Vu la délibération n° 2015‑75 du 29 juillet 2015 de la Commission de Contrôle des Informations Nominatives portant avis sur la consultation du Ministre d’État relative au projet de loi portant diverses mesures relatives à la préservation de la sécurité ;
Vu la délibération n° 2020‑151 du 4 novembre 2020 de la Commission de Contrôle des Informations Nominatives portant avis sur le projet de loi relative à la protection des données personnelles ;
Vu la délibération n° 2021‑260 du 1er décembre 2021 de la Commission de Contrôle des Informations Nominatives portant avis sur le projet de loi relative à la protection des données personnelles ;
Vu la saisine du Ministre d’État en date du 20 février 2025 concernant le projet d’Ordonnance Souveraine portant application de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;
L’Autorité de Protection des Données Personnelles,
Préambule
Le 28 novembre 2024 le Conseil National a adopté le projet de loi n° 1054. En conséquence est parue au Journal de Monaco du vendredi 13 décembre 2024 la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles. À la Commission de Contrôle des Informations Nominatives (CCIN) s’est ainsi substituée l’Autorité de Protection des Données Personnelles (APDP).
Ce texte, fortement inspiré du Règlement Général sur la Protection des Données (RGPD) doit permettre à la Principauté de solliciter de la Commission européenne une décision d’adéquation de sa législation en la matière. Il est ainsi dit sur le site du Gouvernement que « Monaco modernise sa législation en matière de protection des données pour se conformer aux plus hauts standards européens, au titre desquels figurent le Règlement Général sur la Protection des Données, la Directive européenne dite « Police Justice » et la Convention 108 du Conseil de l’Europe ».
Pour ce faire, le corpus des textes régissant la protection des données personnelles en Principauté doit être conforme aux standards fixés par le référentiel d’adéquation. C’est donc à l’aune de ces exigences que l’APDP, ayant procédé à l’analyse de la loi n° 1.565 relative à la protection des données personnelles qui l’a instituée et du présent projet d’Ordonnance Souveraine d’application, rendra le présent avis lequel, conformément aux dispositions légales fera l’objet d’une publication.
À cet égard, il apparaît nécessaire de rappeler que l’analyse de l’adéquation de Monaco s’effectuera vraisemblablement avec une acuité renforcée, le Comité Européen à la Protection des Données (CEPD) ayant adressé le 5 décembre 2024 une lettre à la Commission européenne relative à la revue des onze décisions d’adéquation adoptées sous la Directive 95/46/EC.
Ainsi, le CEPD a-t-il demandé à la Commission qu’elle s’assure que les limitations des droits des personnes dans les pays demandant une adéquation aient fait l’objet d’une approche justifiée et proportionnée, et « encourage la Commission à garantir que les autorités de contrôle disposent collectivement de pouvoirs d’exécution adéquats pour garantir le respect des lois sur la protection des données ».
L’APDP se félicite de la nécessaire modernisation du droit monégasque de la protection des données personnelles et de la responsabilisation de ses acteurs. Cependant, elle ne peut ignorer qu’il existe des problématiques pouvant entraver l’objectif affiché d’obtenir une décision d’adéquation. Elle en rappellera quelques-unes au sein de la présente délibération.
Un de ces sujets - qui ne peut être résolu au sein de l’Ordonnance Souveraine dont s’agit mais qu’il convient de rappeler - est le caractère effectif et dissuasif des sanctions prévues pour non-respect des dispositions de la loi n° 1.565.
L’APDP constate que l’objectif est pleinement atteint relativement au secteur privé mais relève qu’il n’y a aucune avancée en matière de sanctions imposables à l’État par rapport à la loi n° 1.165. Il convient de relever que l’avant dernier alinéa de l’article 51 de la loi n° 1.565 prévoit que « les dispositions des chiffres 3 à 8 ne sont pas applicables à l’État et à la Commune ».
Si l’absence de sanctions financières liées à un traitement mis en œuvre par l’État ou la Commune peut s’entendre, l’APDP constate que cette non applicabilité s’étend également à la limitation temporaire ou définitive d’un traitement ou à son interdiction ou encore à la suspension des flux hors Principauté. Ainsi ces dernières ne peuvent être prononcées à l’encontre d’aucun traitement mis en œuvre par l’État ce qui peut conduire à une irresponsabilité de celui‑ci. Aussi, contrairement à la France où de telles sanctions ne sont pas imposables uniquement « aux traitements qui intéressent la sûreté de l’État ou la défense ou de ceux relevant » des dispositions relatives à la Directive Police Justice, Monaco ne fait pas la distinction parmi les traitements mis en œuvre par l’État.
Par ailleurs, s’agissant des sanctions pénales prévues à l’article 308‑7 du Code pénal, l’APDP relève que par comparaison à celles en vigueur en France certains manquements graves à la loi n° 1.565 ne sont pas répressibles pénalement. C’est le cas notamment :
- de la mise en œuvre d’un traitement sans respect des formalités préalables ;
- de la poursuite d’un traitement alors qu’il a fait l’objet d’une limitation temporaire ou définitive, d’une interdiction ou d’un retrait d’autorisation ;
- ou encore de la mise en œuvre d’un traitement à des fins de recherche dans le domaine de la santé :
• sans avoir préalablement informé individuellement les personnes, sur le compte desquelles des données à caractère personnel sont recueillies ou transmises, de leur droit d’accès, de rectification et d’opposition, de la nature des données transmises et des destinataires de celles-ci ;
• malgré l’opposition de la personne concernée ou, lorsqu’il est prévu par la loi, en l’absence du consentement éclairé et exprès de la personne, ou s’il s’agit d’une personne décédée, malgré le refus exprimé par celle‑ci de son vivant.
La Commission Spéciale de Sécurité Nationale (CSSN), et le contrôle des traitements de sécurité nationale y afférent, est un autre sujet de préoccupation de l’APDP. Pour rappel la CSSN :
- n’est pas officiellement érigée en Autorité Administrative Indépendante comme requis par la Convention 108+ ;
- n’est composée que de trois membres dont le juge des libertés, qui change hebdomadairement, ce qui ne permet pas un suivi des contrôles et des demandes d’avis effectif ;
- n’a pas d’effectifs propres et ne dispose pas pour l’instant d’un budget lui permettant d’assurer son autonomie de fonctionnement.
L’APDP relève qu’aucune disposition ne vient au sein du projet d’Ordonnance Souveraine poser les jalons d’une coopération entre les différentes Autorités créées par la loi n° 1.565. En effet, des problématiques peuvent concerner concomitamment différents champs de compétence. Notamment lors de contrôles, une Autorité peut constater de possibles manquements relevant des prérogatives d’une autre Autorité. En outre, certains traitements, tel que celui qui relève de l’arrêté ministériel n° 2019‑333 du 15 avril 2019 portant application de l’article 6 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale, créant un traitement d’informations nominatives dénommé « Fichier des personnes recherchées ou signalées », peuvent avoir une nature mixte et contenir des informations relevant de la loi n° 1.430 ou 1.565. L’exercice des droits ne peut qu’en être rendu plus compliqué.
Toutefois, prévoir des ponts organisationnels apparaît d’autant plus difficile qu’il convient de rappeler qu’il a été choisi d’intégrer les contrôles de l’APDP au sein de l’Ordonnance Souveraine projetée alors même que l’arrêté ministériel d’application prévu à l’article 16 de la loi n° 1.430, modifiée, ne concernera que les modalités de fonctionnement de la CSSN, et non l’organisation des contrôles ni les modalités précises d’exercice des droits d’accès indirects, respectivement prévus aux articles 93 et 94 de la loi n° 1.565.
Aussi l’APDP considère que le présent projet d’Ordonnance Souveraine devrait être enrichi afin de prévoir tout à la fois les modalités de coopération avec la CSSN, et les procédures encadrant les prérogatives de celle‑ci en application des articles 93 et 94 susmentionnés.
L’APDP anticipe que ces problématiques en lien avec le secteur public puissent être aggravées par les choix organisationnels du Gouvernement. En effet, lors de la présentation de la loi faite par le Gouvernement aux Services de l’Administration, le Ministre d’État a été présenté comme étant le seul responsable du traitement de toute l’Administration. Ce choix, que la loi n° 1.565 n’impose pas, et qui, en fonction des problématiques rencontrées, ne pourra pas s’imposer à l’APDP, a conduit le Gouvernement lors de cette présentation, à parler, outre le Ministre d’État responsable du traitement, des Services comme étant des « responsables organisationnels » notion absente de toute disposition légale.
De ce choix de centralisation, il a été induit qu’il n’y aurait qu’un seul Délégué à la Protection des Données (DPD) nommé pour toute l’Administration, qui serait en lien avec des « correspondants techniques » qui ne sont pas formés en protection des données personnelles. L’APDP considère que ce choix risque d’engorger les problématiques entre les mains d’une seule personne (réponse aux droits des personnes concernées, formation/sensibilisation des personnels, présentation des avis à l’APDP, accompagnement de toute problématique en protection des données, supervision des analyses d’impact, des contrats, des contrôles, des registres, etc.), ce qui mécaniquement ne permettra pas d’anticiper ou de résoudre les situations qui se présenteront. Une organisation quelque peu similaire au sein d’un groupe de sociétés luxembourgeois a d’ailleurs conduit l’Autorité de protection du pays à le sanctionner.
Concernant le projet d’Ordonnance Souveraine, le Gouvernement avait associé lors des années 2022‑2023 la CCIN pour qu’elle fasse part de ses remarques ou de ses propositions. L’APDP relève avec satisfaction qu’un certain nombre d’entre elles ont été prises en compte, principalement dans le chapitre concernant l’Autorité et son organisation. Elle remarque néanmoins que depuis cette date, de nombreuses évolutions rédactionnelles sont intervenues. L’APDP estime que ces évolutions seront sujettes à plus d’interprétations ou conduiront à amoindrir la portée de certaines dispositions, qui touchent aux droits des personnes ou aux obligations des responsables du traitement, dès lors que les enjeux et leurs conséquences seront plus importants.
Afin de proposer un avis le plus pratique et clair possible, permettant au Gouvernement s’il le souhaite de se positionner, il sera procédé à une analyse chapitre par chapitre et article par article du projet d’Ordonnance Souveraine, en faisant état, outre ses questionnements, des recommandations de l’APDP portant sur la suppression, la modification ou l’ajout d’éléments.
En l’absence d’Ordonnance Souveraine de nomination, l’APDP constate qu’elle va rendre son avis dans sa composition issue des dispositions transitoires et non dans sa formation plénière de 8 membres.
I. Chapitre I - Droits de la personne concernée
a) Sur l’article 1er
L’APDP constate que la possibilité pour la personne concernée de faire valoir son droit d’accès sur place a été supprimée, alors que cette mention était présente dans les versions précédentes du projet d’Ordonnance Souveraine sur lesquelles elle avait travaillé avec les Services de l’État. Elle considère qu’il y a lieu de réintégrer cette possibilité afin de donner aux personnes concernées davantage de latitude dans l’exercice de leurs droits.
Aussi l’alinéa 1er de l’article 1er en projet devrait être complété comme suit : « (…) la personne concernée peut présenter une demande par voie postale, par voie électronique ou sur place, (…) », et un alinéa supplémentaire devrait être introduit aux termes duquel « Lorsque la demande est présentée sur place et qu’elle ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé », conformément à ce qui avait été convenu avec les Services de l’État.
L’APDP note qu’au 4ème alinéa du projet d’article 1er il est précisé que « Lorsque c’est possible, le responsable du traitement devrait donner l’accès à distance (…) ». Là aussi l’APDP relève que cette formulation, qui n’a pas selon elle sa place dans un texte réglementaire, a été modifiée par rapport aux versions précédentes qui prévoyaient que :
« Lorsque c’est possible, le responsable du traitement donne l’accès à distance (…) ». Afin de faciliter l’exercice des droits des personnes, l’APDP estime que cette formulation initiale doit être retenue.
L’APDP constate par ailleurs que 2 derniers alinéas ont été introduits au sein de ce projet, mentionnant d’une part que lorsque la personne concernée ne réside pas en Principauté, elle peut présenter sa demande d’exercice de ses droits par l’intermédiaire de l’Autorité de protection de son pays de résidence, et d’autre part qu’une demande formulée par une Autorité de contrôle étrangère sans approbation expresse de la personne concernée, est irrecevable.
Elle relève que ces mentions sont d’ores et déjà prévues dans les mécanismes de coopération de la Convention 108+, ratifiée tout récemment par la Principauté, et considère que leur introduction au sein de la présente Ordonnance est source de confusion pour les personnes concernées, lesquelles doivent en premier lieu exercer leurs droits auprès des responsables du traitement situés en Principauté, puis saisir l’APDP en cas de difficulté. Elle note que les mécanismes de coopération déjà existants fonctionnent très bien avec ses homologues, et ne voudrait pas que le maintien de ces deux alinéas apporte de la confusion en matière d’exercice des droits.
En outre, l’article 18 chiffre 2 de la Convention 108+, duquel s’inspire l’alinéa 5 du projet d’article 1er, précise que cette faculté ne concerne que les personnes qui résident sur le territoire d’une autre Partie à la Convention 108+, ce que l’alinéa projeté ne mentionne pas, augmentant de ce fait les risques de difficulté et de complexité. Au demeurant ce même chiffre 2 dispose que « Lorsque la personne concernée réside sur le territoire d’une autre Partie, elle doit avoir la faculté de présenter la demande par l’intermédiaire de l’autorité de contrôle désignée par cette Partie », ce qui n’a pas la même portée que l’alinéa 5 en projet, « l’Autorité de contrôle désignée » au sens de la Convention 108+ n’étant pas forcément « l’Autorité de protection » mentionnée par l’Ordonnance Souveraine projetée.
De plus la saisine préalable d’une Autorité de protection étrangère, laquelle devrait alors saisir l’APDP dans le cadre des mécanismes de coopération de la Convention 108 aux fins d’intervention auprès du responsable du traitement, ralentirait considérablement le processus d’exercice des droits des personnes concernées, ce qui n’est pas l’objet de la loi n° 1.565.
L’APDP relève également, toujours au titre de la coopération, que l’article 19 chiffre 2 de la Convention 108+ précise d’ores et déjà qu’« En aucun cas une autorité de contrôle ne sera autorisée à faire une demande au nom d’une personne concernée, de sa propre initiative et sans l’approbation expresse de cette personne ».
Aussi elle demande que ces alinéas, non indispensables, sources de confusion et pouvant restreindre l’exercice efficace et rapide des droits des personnes concernées, soient supprimés.
b) Sur l’article 2
L’article 2 prévoit la suspension « des délais prévus à l’article 10 de la loi n° 1.565 » quand un responsable du traitement demande des informations complémentaires lorsqu’il a des doutes raisonnables sur l’identité de la personne concernée.
L’APDP estime que la demande d’information complémentaire devrait intervenir dans le délai d’un mois prévu à l’article 10 de la loi susvisée. Pour l’APDP ce délai doit être respecté. De plus le délai d’un mois est suffisant pour que le responsable du traitement vérifie s’il y a nécessité, ou pas, de documents complémentaires aux fins de vérifier l’identité de la personne concernée.
En conséquence elle estime nécessaire que l’alinéa 2 de l’article 2 soit complété comme suit :
« Lorsque le responsable du traitement a des doutes raisonnables sur l’identité de la personne concernée, il peut demander à ladite personne, dans le délai d’un mois, aux fins (…). ».
c) Sur l’article 3
L’APDP prend acte que l’article 3 projeté entend permettre au responsable du traitement de demander des compléments d’information relatifs aux demandes imprécises ou incomplètes. Elle estime que cette possibilité ne doit pas permettre de mesures dilatoires, et être justifiée. À ce titre, elle considère notamment que le délai d’information de la personne concernée doit être encadré et être effectué dans le délai initial d’un mois. En outre, si une telle faculté est offerte au responsable du traitement, il convient d’en tirer les conséquences procédurales et permettre une suspension des délais. Aussi, l’APDP propose de modifier cet article comme suit :
« (…) si la demande de la personne concernée est imprécise ou ne comporte pas les éléments permettant au responsable du traitement d’y répondre, celui‑ci peut, dans le délai d’un mois à compter de la réception de la demande, inviter le demandeur à lui fournir des informations complémentaires dans les délais prévus au même alinéa.
Dans ce cas les délais de réponse du responsable du traitement prévus au même alinéa sont suspendus ».
L’APDP relève en outre que le dernier alinéa en projet précise qu’en cas de non réponse du responsable du traitement dans les délais mentionnés à l’article 10 de la loi n° 1.565, la demande de la personne concernée est réputée rejetée. Elle souligne à cet égard que ledit article 10 prévoit à l’inverse que le responsable du traitement informe la personne concernée des suites réservées à sa demande, et notamment de la possibilité d’introduire un recours lorsqu’il refuse d’y donner suite.
Aussi l’APDP considère que cet alinéa, dont la rédaction est issue du Décret n° 2019‑536 portant application de la loi Informatique et Libertés, contrevient aux obligations fixées à l’article 10 de la loi et doit être supprimé.
d) Sur l’article 4
L’APDP relève que cet article s’inspire de l’article 14 du RGPD et 78 de la loi Informatique et Libertés. Elle constate néanmoins que l’alinéa premier précise que « la fourniture des informations se révèle impossible ou exige des efforts disproportionnés notamment dans les cas suivants », quand le RGPD dispose que « Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où ».
Cette différence permet de prendre en compte la subtilité suivante, le responsable du traitement doit d’abord s’assurer que la recherche de la fourniture des informations « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ». Il y a donc un devoir de vérification à effectuer et à documenter qu’il conviendrait de rappeler au sein de l’Ordonnance Souveraine.
De plus, la loi n° 1.565 et l’Ordonnance Souveraine projetée ne disposent pas d’un article à la rédaction aussi étendue dans la protection que celle de l’article 89 du RGPD.
Cet article dispose :
« 1. Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.
2. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union ou le droit d’un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.
3. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union ou le droit d’un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.
4. Lorsqu’un traitement visé aux paragraphes 2 et 3 sert dans le même temps une autre finalité, les dérogations sont applicables au seul traitement effectué aux fins visées auxdits paragraphes. ».
En conséquence l’APDP considère que l’alinéa 1 de l’article 4 devrait être formulé comme suit :
« (…) se révèle impossible ou exige des efforts disproportionnés, ce dont il conviendra de justifier. Tel est notamment le cas : ».
Enfin, l’APDP estime en outre préférable de retirer le « ou » entre les 2 tirets de l’alinéa 1.
e) Sur la nécessité d’encadrer le traitement de données sensibles par l’IMSEE
L’IMSEE bénéficie en application de l’article 7 de la loi n° 1.565 d’une dérogation au principe d’interdiction d’exploitation de données sensibles.
Lorsque la CCIN avait été saisie pour avis, cette dérogation était formulée comme suit au sein du projet de loi :
« Les traitements mis en œuvre par l’Institut Monégasque de la Statistique et des Études Économiques dans le cadre de ses missions ».
Le texte amendé adopté dispose finalement que « Les traitements mis en œuvre par l’Institut Monégasque de la Statistique et des Études Économiques dans le cadre de l’établissement des seules études et enquêtes qui le nécessitent ».
À cet égard, le rapport de la Commission pour le Développement du Numérique explique que :
« La Commission a ensuite précisé l’utilisation des données sensibles par l’Institut Monégasque de la Statistique et des Études Économiques (IMSEE) établie par le chiffre 11. À ce titre, elle a modifié la référence à « ses missions », qu’elle a considéré comme trop large. En effet, ces missions sont définies par l’article 2 de l’Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l’Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques, modifiée. Cet article prévoit dix missions, qui ne semblent pas toutes justifier impérativement l’utilisation de données sensibles. La Commission a donc préféré limiter cette utilisation à « l’établissement des seules études et enquêtes qui le nécessitent ». Cette rédaction conduit ainsi à une limitation du champ dans lesquelles les données sensibles peuvent être employées et instaure un principe de nécessité qu’il reviendra à l’IMSEE d’établir au cas par cas ».
Cette modification résulte vraisemblablement de la prise en compte des inquiétudes de la CCIN qui exposait dans son avis n° 2020‑151, précité, que « Si elle conçoit que l’IMSEE doive, pour certaines études statistiques, collecter et agréger de la donnée sensible, elle rappelle qu’il convient, comme dans les pays voisins, d’encadrer leur utilisation. En effet le projet de rédaction ne permet pas de prévoir le quantum des données sensibles qui pourraient être traitées par l’IMSEE.
Aussi, la Commission considère opportun que les dispositions régissant l’IMSEE soient mises à jour pour apporter un plus haut niveau de sécurité juridique dans l’encadrement de l’utilisation de données sensibles, si possible par voie législative afin que celui‑ci ne soit pas dans la hiérarchie des normes en deçà du principe dérogatoire porté par le projet de loi dont s’agit. ».
Toutefois, si l’APDP estime que la disposition finale va dans le bon sens, les implications pratiques qui en découlent devraient être précisées soit dans la présente Ordonnance Souveraine en projet, soit au sein de l’Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l’Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques. Cela aurait pour conséquence à la fois d’afficher auprès des personnes concernées une collecte protégée de leurs données de santé, et, pour l’IMSEE, d’être dans un cadre sécurisé lui permettant d’accomplir sereinement ses missions.
La rédaction d’un tel complément pourrait être la suivante :
« Les données à caractère personnel relatives à la santé recueillies dans les conditions prévues à l’article 2 alinéa 1 chiffre 3 de l’Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l’Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques ne peuvent être communiquées, sur demande du Ministre d’État et du Conseiller Ministre en charge de la santé, à l’Institut Monégasque de la Statistique et des Études Économiques, que dans le cadre d’établissement de statistiques sur l’état de santé de la population, les politiques de santé publique ou les dispositifs de prise en charge par les systèmes de santé et de protection sociale en lien avec la morbidité des populations. Des enquêtes complémentaires sur demande du Conseiller de Gouvernement-Ministre des Affaires Sociales et de la Santé peuvent être réalisées auprès d’échantillons de ces populations.
Les modalités de communication des données à caractère personnel relatives à la santé recueillies dans les conditions prévues à l’alinéa précédent ne doivent pas permettre l’identification des personnes.
Il ne peut être dérogé à cette dernière obligation que lorsque les conditions d’élaboration des statistiques prévues au premier alinéa nécessitent de disposer d’éléments d’identification directe ou indirecte des personnes, notamment aux fins d’établissement d’échantillons de personnes et d’appariement de données provenant de diverses sources, dans le respect des dispositions de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles.
Seules les personnes responsables de l’opération, désignées à cet effet par la personne morale autorisée à mettre en œuvre le traitement, peuvent recevoir les données à caractère personnel relatives à la santé transmises à l’Institut Monégasque de la Statistique et des Études Économiques. Après utilisation de ces données, les éléments d’identification des personnes doivent être détruits.
Sous réserve de l’article 308 du Code pénal les dispositions des alinéas précédents s’appliquent nonobstant toutes dispositions contraires relatives au secret professionnel.
Les transmissions de données de santé doivent faire l’objet de conventions entre le cédant et le cessionnaire qui prévoient les modalités de la transmission, la finalité du traitement envisagé et le sort des informations après leur utilisation aux fins du traitement statistique.
Sous réserve des dispositions des articles 34, 61, 100, 255, 257 et 268‑12 du Code de procédure pénale, les informations transmises en application du présent article et permettant l’identification des personnes physiques auxquelles elles s’appliquent ne peuvent faire l’objet d’aucune communication de la part du service bénéficiaire.
L’Institut Monégasque de la Statistique et des Études Économiques ne peut en aucun cas procéder à la collecte de données relatives à la vie sexuelle et à l’appartenance raciale ou ethnique. ».
f) Sur l’article 6
Afin d’alléger la rédaction de cet article, l’APDP suggère que l’énumération des personnes visées à l’article 20 de la loi n° 1.565 soit remplacée par la formulation « (…) les personnes visées à cet article qui souhaitent (…) » et que le reste de l’article soit mis en cohérence avec cette formulation.
II. Chapitre II - Obligations incombant aux responsables du traitement et aux sous-traitants
L’APDP relève une erreur matérielle dans l’intitulé du chapitre, le mot traitement étant au pluriel.
a) Sur l’article 7
L’APDP constate qu’au titre des mesures de sécurité devant être mises en œuvre afin de protéger les données personnelles, l’article 7 en projet ne mentionne que la pseudonymisation. Elle s’interroge sur la pertinence d’intégrer un tel article limité à la seule pseudonymisation, et estime, notamment dans une démarche pédagogique vis-à-vis des responsables du traitement, opportun que l’article 7 en projet soit étoffé en mentionnant également notamment le chiffrement des données, la mise en œuvre de moyens permettant de garantir la confidentialité, l’intégrité et la disponibilité des données.
Ainsi l’article 7 serait alors rédigé comme suit :
« (…) peuvent notamment consister en la pseudonymisation, le chiffrement, ainsi qu’en la mise en œuvre de moyens permettant de garantir la confidentialité, l’intégrité et la disponibilité des données.
b) Sur la nécessité d’insérer un article relatif à la désignation du représentant
L’APDP constate qu’en application de l’article 25 de la loi n° 1.565, le représentant du responsable du traitement ou du sous- traitant doit être désigné dans la Principauté ou, à défaut, au sein d’un État membre de l’Union européenne.
Elle relève que la Commission pour le Développement du Numérique, à l’origine de cette insertion, précise dans son Rapport relatif au projet de loi n° 1054 que la possibilité de désigner un représentant sur le territoire d’un État membre de l’UE a pour objet de laisser une certaine souplesse, tout en rejoignant les standards européens pour garantir l’accès aux services numériques en Principauté.
L’APDP en prend acte, et rappelle qu’en application de l’article 25 de la loi n° 1.565, ce représentant est mandaté pour être le contact des personnes concernées par le traitement et de l’autorité de protection à qui elles peuvent s’adresser pour toutes questions.
L’Autorité est surprise par la possibilité de choisir un représentant n’importe où dans l’Union européenne. À cet égard l’article 27 du RGPD précise que le représentant est établi dans un des États membres de l’UE dans lesquels se trouvent les personnes concernées ; la coopération entre les Autorités des pays Membres de l’UE étant régie par les dispositions de ce Règlement.
L’APDP souligne que le représentant a une vocation territoriale afin d’avoir un interlocuteur dans le pays concerné pour atteindre le responsable du traitement. Que pourra faire l’APDP si elle n’a pas accès au représentant, situé hors Principauté ou si elle ne parle pas sa langue ?
Elle rappelle qu’en application de l’article 11 de la loi n° 1.565, les personnes concernées doivent être informées du nom et des coordonnées professionnelles du représentant du responsable du traitement, qu’il soit établi à Monaco ou au sein d’un État membre de l’Union européenne.
Cependant aucune disposition ne prévoit l’information de l’APDP, à laquelle les personnes concernées doivent pourtant pouvoir s’adresser pour toutes questions, comme le précise l’article 25 de la loi n° 1.565.
Aussi, afin d’une part de donner sa pleine efficacité à cet article, et d’autre part d’être en mesure de répondre aux personnes concernées qui lui adresseront leurs questions, l’APDP estime indispensable qu’un article pris en application de l’article 25 de la loi n° 1.565 soit intégré au sein de la présente Ordonnance Souveraine afin de mentionner que lorsqu’un responsable du traitement ou un sous-traitant désigne un représentant, cette désignation est portée sans délais à la connaissance de l’APDP. Cette désignation devra comporter le nom et les coordonnées professionnelles de ce représentant. Toute modification intervenant dans ces éléments devra également être portée sans délai à la connaissance de l’APDP.
De plus, prenant en considération que :
- l’article 25 de la loi n° 1.565 dispose que la désignation d’un représentant situé au sein d’un État membre de l’Union européenne doit se faire « à défaut » de la désignation d’un représentant situé à Monaco ;
- le Rapport de la Commission pour le Développement du Numérique précise que « le représentant des responsables du traitement établis à l’étranger devra en priorité être établi à Monaco ».
L’APDP souligne que l’information qui lui sera adressée devra justifier des raisons pour lesquelles le responsable du traitement, ou le sous-traitant, n’a pas désigné de représentant à Monaco, mais en Union européenne.
Aussi cette précision devrait elle aussi être mentionnée dans le nouvel article que l’APDP appelle de ses vœux.
L’APDP souligne enfin qu’il devrait être également mentionné au sein de cet article nouveau que l’APDP peut prendre contact avec les représentants situés sur le territoire de l’UE. En effet à défaut de cette précision, qui aurait eu davantage sa place dans la loi n° 1.565 elle‑même, l’APDP devra avoir recours aux mécanismes de coopération tels que prévus à la Convention 108, alourdissant d’autant son intervention, et rallongeant les délais de réponse aux personnes l’ayant saisie.
c) Sur les articles 10, 11, 12 et 13
L’APDP note avec satisfaction que de nombreuses remarques qu’avait formulées la CCIN dans le cadre des travaux préparatoires à la rédaction de projet d’Ordonnance Souveraine ont été prises en compte. Elle considère cependant qu’il serait opportun de préciser qu’en application de l’alinéa 6 de l’article 30 de la loi n° 1.565, l’information de l’APDP doit comporter les nom et prénom du délégué à la protection des données, ou, si cette fonction est assurée par une personne morale, de la personne physique qualifiée de contact, ainsi que, le cas échéant, les noms et coordonnées professionnelles du représentant du responsable du traitement ou du sous-traitant, reprenant en cela les informations devant être communiquées par exemple à la CNIL.
De plus elle estime nécessaire qu’il soit précisé que l’APDP doit être informée dans les meilleurs délais de toute modification apportée à ces éléments.
S’agissant par ailleurs des situations de conflit d’intérêt mentionnées à l’article 13 en projet, l’APDP souligne que conformément aux dispositions projetées, il appartient au responsable du traitement ou au sous-traitant d’adopter des règles internes visant à définir et à prévenir les conflits d’intérêt. Elle se félicite de l’introduction de ces dispositions, et précise que cette documentation devra lui être fournie sur demande, afin le cas échéant de recourir aux dispositions de l’article 51 de la loi n° 1.565.
d) Sur l’article 14
L’APDP constate que l’alinéa 1 du projet d’article 14 reprend la formulation des travaux préparatoires conjoints menés avec les Services de l’État. Elle note cependant que la rédaction de l’alinéa 2 n’intègre pas les souhaits de la CCIN, entrainant ainsi un énoncé de points non cumulatifs, et indicatifs, alors qu’il s’agit des mesures de sécurité devant entourer les traitements particulièrement intrusifs, ainsi que ceux comportant des données sensibles.
Aussi elle considère que la formulation du second alinéa de l’article 14 doit être modifiée comme suit :
« (…) les mesures de sécurité visées au premier alinéa portent notamment sur : (le reste sans changement) », en lieu et place de la rédaction projetée. ».
e) Sur l’article 15
L’APDP relève une erreur matérielle au 3ème alinéa : « Lorsqu’il n’est pas (…) ».
III. Chapitre III - De l’Autorité de Protection des Données Personnelles
Comme évoqué en préambule, le présent chapitre du projet d’Ordonnance Souveraine relatif au fonctionnement de l’APDP reprend en grande partie les observations faites par la CCIN lors des réunions du Groupe de travail ad hoc. Aussi les observations ci‑après ont vocation à clarifier, compléter ou préciser certains points, afin de parfaire le fonctionnement de l’APDP.
a) Sur l’article 20
Cet article porte application de l’article 39 de la loi n° 1.565 relatif aux réclamations dont est saisie l’APDP. Il est ainsi prévu que l’APDP doit informer le requérant d’un certain nombre d’éléments, dont l’issue de sa réclamation et le droit d’introduire un recours juridictionnel auprès du Tribunal de première instance (TPI). À cet égard l’APDP considère que l’article 20 en projet devrait apporter des précisions sur ce recours (procédure applicable, délais, dernier ressort, …).
Elle souligne qu’en cas de recours à l’encontre de l’une de ses décisions, le recours formé auprès du TPI (statuant en matière administrative ?) devrait être en dernier ressort, comme cela était le cas s’agissant des recours contre les décisions de la CCIN devant le Tribunal Suprême, et comme tel est également le cas s’agissant des recours à l’encontre des décisions de la CNIL, devant le Conseil d’État. À défaut, elle considèrerait que la position des Autorités Administratives Indépendantes, l’AMSF étant également concernée, s’en trouverait fragilisée.
b) Sur l’article 21
Afin de tenir compte de l’introduction dans la composition de l’APDP, à l’article 40 de la loi n° 1.565, de 2 Membres suppléants, il y a lieu de compléter l’article 21 en projet afin de faire référence également au 3ème alinéa de l’article 40, susmentionné.
c) Sur l’article 22
L’article 22 alinéa 1 en projet a trait aux situations dans lesquelles le Président de l’APDP cesserait ou ne serait plus en mesure d’exercer ses fonctions. Il est ainsi prévu que celles-ci sont assurées provisoirement par le Vice‑président pour la période courant jusqu’à l’élection du nouveau Président. Il est cependant précisé en fin de cet alinéa qu’« Il en est de même en cas d’impossibilité temporaire ». L’APDP souligne que cette mention, qui porte à confusion, doit être supprimée dans la mesure où l’article 44 alinéa 5 de la loi n° 1.565 dispose d’ores et déjà qu’en cas d’absence ou d’empêchement du Président, son remplacement est assuré par le Vice‑président.
L’APDP constate également que l’article 40 alinéa 7 de la loi n° 1.565 n’a pas pris en compte l’introduction de Membres suppléants. En ce sens ledit alinéa prévoit uniquement la nomination d’un nouveau titulaire, lorsqu’un membre de l’APDP cesse ou n’est plus en mesure d’exercer ses fonctions. Aussi elle considère qu’il y a lieu que l’article 22 en projet soit complété d’un alinéa mentionnant la désignation d’un nouveau membre suppléant en cas de cessation de fonction du membre suppléant assurant précédemment ces fonctions.
d) Sur l’article 23
L’APDP se félicite que son souhait d’introduire des dispositions relatives à la procédure entourant les situations d’agissement grave de l’un de ses Membres ait été entendu.
Elle estime cependant qu’afin de parfaire ces dispositions, il y aurait lieu de compléter l’article 23 projeté. Ainsi, il pourrait être ajouté un point 7°) au sein de l’alinéa 5, mentionnant la possibilité de produire toute pièce utile à la procédure.
De plus, afin d’introduire la désignation d’un nouveau membre, et non uniquement d’un nouveau membre titulaire en cas de révocation d’un membre de l’APDP, il y aurait également lieu de modifier l’article 23 alinéa 9 projeté, afin d’une part de ne plus restreindre la nomination à un seul membre titulaire, d’autre part de ne plus faire référence à l’alinéa 7 de l’article 40 de la loi n° 1.565, pour les raisons sus évoquées, et également de ne pas faire mention de la procédure de révocation, mais de la décision de révocation.
L’alinéa 9 de l’article 23 pourrait être rédigé ainsi : « Le Ministre d’État ainsi que l’autorité ayant proposé la nomination du membre concerné sont informés de la décision de révocation aux fins de procéder à la nomination d’un nouveau membre pour la période courant jusqu’à l’expiration dudit mandat. ».
e) Sur l’article 25
Afin de donner sa pleine efficacité au fonctionnement de la formation restreinte, l’APDP considère que l’article 25 alinéa 2 devrait être complété de la mention selon laquelle :
« Dans l’attente de cette nomination, la Présidence de la formation restreinte est assurée par le membre suppléant désigné sur proposition du premier Président de la Cour d’Appel. ».
De plus, dans la perspective d’éviter toute situation qui pourrait faire peser un risque juridique sur les décisions de la formation restreinte, comme elle avait déjà eu l’occasion de le souligner, l’APDP considère important d’introduire un dernier alinéa à l’article 25, aux termes duquel :
« En cas de situation de conflit d’intérêt d’un membre de la formation restreinte, hors Président, telle que prévue à l’article 41 de la loi n° 1.565, le Membre élu par l’APDP, qui ne peut avoir pris part à la décision de mener un contrôle relatif à la procédure soumise à la formation restreinte, peut être un membre suppléant. ».
f) Sur l’opportunité de modifier l’intitulé de la Section 5 et de prévoir une possibilité de coopération avec d’autres Autorités
L’APDP relève que la Section 5 en projet s’intitule « Du fonctionnement interne de l’autorité de protection des données personnelles », et que de cet intitulé découle le fait que les articles qui y sont inclus ne prévoient pas la possibilité pour son Président de signer tout accord avec d’autres Autorités, qu’elles soient étrangères ou non. En ce sens l’APDP renvoie à ses observations relatives à la nécessité de prévoir des mécanismes de coopération, par exemple avec la CSSN, mais également le cas échéant avec l’AMSF.
Sur ce point elle souligne que l’article 46‑5 de la loi n° 1.362 ouvre cette possibilité au Directeur de l’AMSF sans que l’APDP puisse, en cas de besoin, conclure de protocole ou d’accord avec lui.
Aussi, afin de ne pas fermer la porte à cette possibilité, l’APDP estime que l’intitulé de la Section 5 devrait être modifié afin de ne plus faire mention du seul fonctionnement interne de l’autorité, et que le projet d’article 27 soit complété de la possibilité pour le Président de signer, le cas échéant sous réserve de l’accord de l’APDP, tout protocole d’entente ou d’autres accords avec d’autres autorités, y compris étrangères.
g) Sur l’article 28
L’article 28 projeté mentionne certains domaines qui peuvent être précisés par le règlement intérieur de l’APDP (organisation des séances, mise à disposition de formulaires par exemple). Cependant, l’APDP considère que, même si cet énoncé n’est qu’indicatif, la formulation de cet article devrait être modifiée, afin d’élargir le périmètre de ce règlement intérieur, en s’inspirant de celle retenue s’agissant du règlement intérieur de l’AMSF, en mentionnant :
« Le règlement intérieur de l’autorité de protection (…) précise les règles de fonctionnement de l’autorité dont notamment l’organisation des séances (…). »
L’APDP souligne en effet que cette modification permettra d’offrir davantage de souplesse dans la prise en compte d’éléments dont la pratique ferait apparaître la nécessité qu’ils soient précisés dans le règlement intérieur.
h) Sur l’article 33
Dans la perspective d’apporter des précisions relatives à l’assermentation des agents de l’Autorité et des investigateurs désignés aux fins de procéder à des opérations de vérifications, l’APDP estime utile de préciser que ses Agents prêtent serment devant la Cour d’Appel, et que la prestation de serment des investigateurs s’effectue auprès du Président de l’APDP, lequel procède à leur nomination comme mentionné à l’article 46 de la loi n° 1.565.
En effet l’introduction de ces précisions présenterait l’avantage d’améliorer le processus de contrôle par un gain de temps destiné à ne pas retarder trop longuement le déroulement d’une opération de contrôle. À cet égard l’APDP souligne que la procédure de prestation de serment devant la Cour d’Appel peut prendre jusqu’à 2 mois, retardant d’autant le déroulement de la mission de contrôle concernée.
Aussi, s’inspirant des procédures en matière civile ou pénale concernant l’assermentation des experts judiciaires, l’APDP souhaite que l’article 33 soit complété par un alinéa qui pourrait être rédigé comme suit :
« Les agents de l’autorité prêtent serment devant la Cour d’Appel. Les investigateurs nommés par le Président de l’Autorité prêtent serment devant lui d’effectuer leur mission loyalement et d’observer les devoirs qu’elle impose. Dans ce cas la prestation de serment peut s’effectuer soit en personne, soit par écrit. ».
L’APDP estime également souhaitable qu’un alinéa 2 soit introduit, précisant que :
« Le recours à un ou plusieurs investigateurs peut faire l’objet d’une délibération complémentaire à tout moment lors d’un contrôle. ».
Elle souligne en effet que cette insertion permettrait de faire face à des situations au cours desquelles la technicité ou la complexité du contrôle ne pouvait être anticipée lors de la décision de mener cette investigation.
i) Sur l’article 35
En cohérence avec l’article 33 projeté, aux termes duquel « Lorsqu’une délibération porte sur une opération de vérification qui nécessite une connaissance et une technicité particulière, elle peut charger le secrétariat de l’autorité de protection de proposer à son président la nomination d’un ou plusieurs investigateurs dans le domaine concerné » l’APDP souligne qu’il y a lieu de supprimer le deuxième tiret de l’article 35, lequel prévoit que la délibération portant mission de contrôle mentionne :
« - le nom ou les noms des personnes chargées d’accomplir la mission » ;
en effet la délibération susvisée ne pourra mentionner le nom des investigateurs, non connus à ce stade.
L’APDP souligne de plus que la mention, au sein de la délibération, des personnes chargées d’effectuer le contrôle objet de ladite délibération est problématique dans la mesure où certains aléas (absence non prévue par exemple) pourraient conduire à retarder le déroulement d’un contrôle dans l’hypothèse où l’agent désigné au sein de la délibération serait indisponible au moment d’initier ledit contrôle. En revanche cette mention a toute sa place dans la Lettre de Mission délivrée par le Président de l’APDP, lequel aura également connaissance, le cas échéant, du nom du ou des investigateurs.
Aussi l’APDP considère opportun qu’un dernier alinéa vienne compléter l’article 35 en projet, lequel se substituerait à la formulation du second tiret de ce même article, et soit enrichi de la possibilité d’avoir recours à un ou plusieurs investigateurs en cours de contrôle :
« La lettre de mission susmentionnée précise le nom ou les noms des personnes chargées d’accomplir la mission. En cas de modification survenant dans l’un de ces éléments il est délivré une nouvelle lettre de mission ».
Il pourrait de plus être ajouté, toujours en cohérence avec l’article 33, un tiret supplémentaire à l’article 35 afin de préciser que la délibération décidant de procéder à une mission d’investigation précise également :
« - le cas échéant la possibilité de recourir à un ou plusieurs investigateurs ».
L’article 35 serait ainsi modifié :
« Chaque mission d’investigation est décidée par une délibération de l’autorité de protection qui précise :
- le nom et l’adresse de la personne physique ou morale concernée ;
- l’objet de la mission ;
- le cas échéant la possibilité de recourir à un ou plusieurs investigateurs.
La délibération de l’autorité de protection est visée dans la lettre de mission prévue au chiffe 4 de l’article 46 de la loi n° 1.565 du 3 décembre 2024, susvisée.
La lettre de mission susmentionnée précise le nom ou les noms des personnes chargées d’accomplir la mission. En cas de modification survenant dans l’un de ces éléments il est délivré une nouvelle lettre de mission. ».
j) Sur l’article 37
L’APDP note que la rédaction de l’article 37 en projet, relatif aux décisions de procéder aux investigations qui concernent les traitements visés au chiffre 2 de l’article 46 de la loi n° 1.565, est source de difficulté :
- en premier lieu parce qu’elle fait peser un risque sur le quorum prévu à l’article 24 du présent projet d’Ordonnance Souveraine (au moins 3 membres) ;
- en second lieu parce qu’elle ne mentionne plus la participation du magistrat suppléant aux fins d’effectuer le contrôle, si le magistrat titulaire a pris part à la décision de procéder à celui‑ci.
Aussi l’APDP considère opportun que l’article 37 soit rédigé comme suit :
« Lorsque l’investigation concerne un traitement visé au chiffre 2 de l’article 46 de la loi n° 1.565, le magistrat visé au chiffre 7 de l’article 46 de ladite loi ne peut participer à ce contrôle s’il a pris part à la décision de le réaliser. Dans ce cas le contrôle est effectué par le magistrat suppléant désigné sur proposition du premier Président de la Cour de Révision. ».
k) Sur l’article 39
Afin de prendre en compte les situations, qui devraient autant que possible demeurer l’exception, dans lesquelles une ou plusieurs personnes entendues ne pourraient signer le procès-verbal journalier (personnes entendues le matin du contrôle mais indisponibles le reste de la journée), et même si l’alinéa 4 en projet prévoit d’ores et déjà l’absence de signature du procès-verbal, l’APDP estime qu’il serait opportun d’assoir davantage cette éventualité dans la rédaction de cet alinéa, lequel pourrait être complété comme suit :
« (…) En cas d’impossibilité, de refus ou d’absence de signature, mention en est portée au procès-verbal, lequel précise également les motifs de cette absence de signature. ».
l) Sur l’article 41
L’APDP souligne que l’alinéa 5 de l’article 41 en projet ne concerne que les cas dans lesquels la convocation donnerait lieu à une audition à distance. En effet en cas de présence physique des personnes convoquées, le procès-verbal est établi au fil de l’audition et signé, en fin d’audition, par les personnes y ayant pris part.
De plus le renvoi à l’article précédent doit être supprimé, ledit article ayant en effet trait aux contrôles en ligne, pour lesquels une procédure spécifique est prévue, tenant compte du fait que les procès-verbaux établis au moment de ces contrôles ne peuvent par essence être contradictoires au moment de leur rédaction.
Il conviendrait cependant de prendre en compte les différentes situations lors d’un contrôle sur convocation qui s’effectuerait à distance.
Aussi il convient que l’alinéa 5 soit modifié comme suit : « En cas d’audition à distance le procès-verbal, si les moyens techniques le permettent, est signé électroniquement à l’issue de celle‑ci.
À défaut, il est notifié à l’intéressé par tout moyen permettant à l’autorité de protection d’apporter la preuve de la date de cette notification. La personne entendue dispose d’un délai de 8 jours à compter de la réception du procès-verbal pour faire connaître ses observations. ».
m) Sur l’article 46
À l’alinéa 2 de cet article l’APDP considère que la précision selon laquelle le responsable du traitement ou le sous-traitant doit être informé, lors de sa convocation, qu’il a la possibilité d’être entendu par la formation restreinte doit être supprimée, en effet l’article 51 de la loi n° 1.565 dispose expressément que « la formation restreinte entend le responsable du traitement, son sous-traitant, (…) ».
En revanche cet alinéa pourrait utilement préciser la possibilité d’être entendu par un système de visioconférence ou d’audioconférence, à charge au règlement intérieur d’en préciser les modalités.
n) Sur l’article 47
L’APDP souligne, en écho à ses observations relatives à l’article 20 du projet d’Ordonnance Souveraine, que l’article 47 devrait prévoir les règles de procédure applicables aux recours qui seraient introduits à l’encontre de décisions de la formation restreinte.
Il devrait ainsi être précisé si le recours de plein contentieux devant le Tribunal de première instance prévu à l’article 57 de la loi n° 1.565 est suspensif ou non, et si la décision de cette juridiction est prononcée ou non en dernier ressort. Sur ce point elle renvoie à ses observations formulées au titre de l’article 20.
o) Sur l’article 48
L’APDP relève que l’alinéa 5 de l’article 48 apporte selon elle une certaine confusion, et a du mal à en appréhender la portée, s’agissant notamment de la mention de la liquidation provisoire de l’astreinte.
Pour rappel la formulation initiale dont elle avait eu connaissance lors des travaux préparatoires mentionnait :
« À l’issue de ce délai le Président de la formation restreinte prononce la liquidation définitive de l’astreinte et la notifie au responsable de traitement ou au sous-traitant concerné. ».
Aussi elle invite les Services du Gouvernement à apprécier la pertinence de la rédaction de cet alinéa, dans les choix qui seront opérés.
p) Sur l’article 49
En cohérence avec l’alinéa 1 de l’article 51 de la loi n° 1.565, et afin d’éviter toute ambiguïté, l’APDP estime que l’alinéa 1 de l’article 49 devrait être modifié comme suit :
« (…) le président de l’autorité de protection peut, le cas échéant sans avoir à lui adresser une mise en demeure (…) ».
Pour rappel, le Président de l’APDP peut, en application de l’article 51 alinéa 1, susvisé, saisir la formation restreinte sans avoir à mettre le responsable du traitement en demeure, concomitamment à une mise en demeure, ou postérieurement à celle‑ci.
IV. Chapitre IV - Traitements soumis à formalité préalable
a) Sur l’article 52
L’article 52 dispose qu’est souscrite sur un formulaire « toute modification intervenant dans l’un des éléments énoncés aux chiffres 2, 3, 5 et 6 de l’article 60 de la loi susvisée ».
Ce faisant, l’article 52 projeté vient notamment préciser les modalités d’application pratique de l’article 61 de la loi n° 1.565, qui prévoit dans quels cas l’APDP est notifiée ou saisie pour avis ou autorisation en cas de modification affectant un traitement soumis à formalité.
Dès lors, ce n’est pas sur l’article 52 projeté que l’APDP compte formuler ses remarques, mais sur la rédaction très préjudiciable de l’article 61 de la loi n° 1.565, eu égard aux risques qu’il emporte, étant précisé que sont soumis à formalités préalables les traitements les plus sensibles (traitements Police-justice, données génétiques ou biométriques traitées par les Autorités administratives ou judiciaires, recherches dans le domaine de la santé).
Pour rappel, l’article 61 de la loi n° 1.565 correspond à l’article 58 du projet de loi qui prévoyait que « L’autorité de protection est tenue informée de tout changement affectant les informations visées à l’article 57 et de la suppression du traitement ».
La CCIN avait indiqué dans sa délibération n° 2020‑151 que « La Commission considère que la terminologie « tout changement substantiel » est trop restrictive. Elle recommande donc que celle‑ci soit remplacée par « tout changement » [NB : la rédaction en 2020 était encore plus restrictive et le projet de loi en 2021 avait intégré cette modification].
La Commission souhaiterait par ailleurs que le terme « préalablement » soit ajouté à la phrase afin qu’elle soit informée en amont de tout changement.
Enfin, elle considère opportun qu’il soit prévu que l’Autorité puisse s’auto-saisir aux fins de rendre un avis sur les modifications envisagées, si elle considère qu’elles sont de nature à justifier qu’elle se prononce sur celles-ci. Dans cette hypothèse, elle informerait le responsable de traitement de cette auto saisine.
Aussi elle suggère la rédaction suivante pour le nouvel alinéa 2 : « L’autorité de protection peut s’auto saisir aux fins de rendre un avis sur les modifications envisagées, et en informe le responsable du traitement. Son avis est alors rendu dans les mêmes délais que ceux mentionnés à l’article 55 ».
Or, l’article 61 de la loi n° 1.565 dispose que « L’autorité de protection est tenue informée sans délai de tout changement affectant les informations visées à l’article 60 et de la suppression du traitement.
Toute modification intervenant dans l’un des éléments énoncés aux chiffres 2, 3, 5 et 6 de l’article précédent fait l’objet, selon le cas, d’une nouvelle demande d’avis ou d’autorisation dans les mêmes conditions que celles prévues aux articles 58 et 59. ».
Ainsi, il appert que sont considérés comme des changements substantiels les éléments énoncés aux chiffres 2, 3, 5 et 6 de l’article 60 de la loi n° 1.565. A contrario, n’est pas considéré comme tel pour les colégislateurs le fait d’ouvrir les accès au traitement à de nouvelles personnes en matière de données de police, d’interconnecter un traitement de police à un autre traitement, la refonte totale des mesures de sécurité d’un traitement, ou bien encore le fait de transférer de telles données à l’étranger dans un pays ne disposant pas d’une législation adéquate. Partant de ce constat, un responsable du traitement exploitant des données en matière de recherche médicale pourrait par exemple, prévoir de communiquer des données à un assureur sans solliciter l’avis de l’Autorité, mais simplement le lui signaler.
Dès lors, il ne restera à l’APDP comme recours effectifs, que d’utiliser des mesures correctrices ou des sanctions, extrêmement limitées pour le secteur public, et le cas échéant d’agir par voie de presse pour les traitements les plus intrusifs. Elle estime que ce n’est pas un mode de fonctionnement sain, ni le sens de l’évolution de la loi, étant rappelé que l’APDP est déjà concrètement confrontée à des notifications concernant des recherches dans le domaine de la santé qui devraient relever de la demande d’avis modificative. Entre temps, l’APDP fixera les modalités de cette « information » sans délai dans son règlement intérieur si l’Ordonnance Souveraine est silencieuse sur ce point.
L’Autorité trouve à cet égard préjudiciable l’absence de transparence du processus législatif, les amendements de la loi n° 1.565 n’étant découverts qu’à quelques jours du vote de la loi.
Par ailleurs, l’APDP souligne que ce point est géré en France au sein du règlement intérieur de la CNIL qui précise que « Lorsque la Commission considère qu’un traitement relevant de la procédure de demande d’avis ou d’autorisation est affecté par une modification substantielle, le traitement ainsi modifié est de nouveau soumis aux formalités applicables ».
Enfin, l’APDP alerte sur le fait que les mentions obligatoires au titre de l’article 60 de la loi n° 1.565 pour qu’une formalité soit recevable seraient adaptées pour une autorisation relative aux données de santé, non prévue au sein de la loi, mais s’avèrent inadaptées au cas des transferts qu’il régit pourtant.
En conclusion, l’APDP demande à ce qu’une solution effective soit rapidement trouvée à ces problématiques hautement sensibles et préjudiciables à la préservation des droits des personnes concernées.
b) Sur l’article 53
S’agissant du délai conféré à l’APDP aux fins d’examiner si un dossier de demande d’avis ou de demande d’autorisation de transfert est complet, elle souligne que le délai de huit jours envisagé au sein de cet article est bien trop court, et devrait être porté à un mois, comme tel était le cas précédemment dans le cadre de l’instruction des dossiers par la CCIN.
Il est de plus indispensable de préciser que les délais fixés aux articles 59 et 100 de la loi n° 1.565 courent à compter de la réception du dossier complet.
c) Sur les articles 61 et 62
Les articles 61 et 62 du projet d’Ordonnance Souveraine viennent encadrer la mise en œuvre du droit d’accès indirect visé à l’article 74 de la loi n° 1.565, qui concerne les « traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces » « par les autorités administratives et judiciaires compétentes ».
Avant d’analyser les articles 61 et 62 du projet d’Ordonnance Souveraine, il apparaît nécessaire de rappeler une insécurité juridique résultant de la rédaction des articles 72 et 74 de la loi n° 1.565 sur laquelle la CCIN avait à plusieurs reprises appelé l’attention.
L’article 72 de la loi n° 1.565 dispose en effet que « Par dérogation à l’article 11, le responsable du traitement met à la disposition de la personne concernée les informations suivantes :
• (…)
• l’existence d’un droit d’accès, de rectification ou d’effacement ;
• (…)
Le responsable du traitement peut, toutefois, décider de retarder ou de limiter la mise à disposition de ces informations ou de ne pas les fournir pour éviter de porter atteinte aux enquêtes, recherches ou procédures officielles ou judiciaires en cours, de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, à la sécurité publique ou à la sécurité nationale ou pour protéger les droits et libertés d’autrui, dès lors et aussi longtemps qu’une telle décision est nécessaire et proportionnée et tient compte des droits et intérêts des personnes concernées ».
Ainsi, il s’en infère que les traitements intéressants la Section II du Chapitre VI de la loi n° 1.565 sont par principe soumis au droit d’accès direct en application de l’alinéa 1 mais les droits ouverts aux personnes concernées peuvent être limités en application de l’alinéa 2.
Cependant, l’article 74 de la loi n° 1.565 dispose quant à lui que « Le droit d’accès prévu à l’article 12 s’exerce auprès de l’autorité de protection.
La personne concernée par un traitement relevant de l’article 64 peut saisir l’autorité de protection d’une demande de vérification pour savoir si ses données font l’objet d’un traitement. (…) ».
Cet article prévoit ainsi, au contraire, que tous les traitements du Chapitre VI Section II de la loi n° 1.565 sont soumis à la procédure du droit d’accès indirect.
Il est surtout par essence contraire à la Directive Police Justice de l’Union européenne (ou encore de la Suisse) dont l’exposé des motifs de la loi n° 1.565 entend démontrer la volonté à Monaco d’en intégrer les principes aux fins de solliciter une décision d’adéquation.
À cet égard, il convient de préciser que la Belgique a fait le choix de soumettre au droit d’accès indirect tous ses traitements de police, ce qui a été jugé le 16 novembre 2023 par la Cour de Justice de l’Union Européenne (CJUE aff C.333/22), répondant à une question préjudicielle, non conforme au droit européen (le droit d’accès doit par principe être direct, absence de recours effectif, refus systématique de communiquer des informations aux demandeurs). Elle doit donc réviser ses dispositions.
L’alinéa premier de l’article 74 doit donc être modifié pour indiquer que le droit d’accès indirect s’effectue auprès de l’APDP quand une limitation justifiée du traitement est intervenue en application de l’alinéa 2 de l’article 72 de la loi n° 1.565.
Par ailleurs, en ce qui concerne le droit d’accès effectué auprès de la CSSN sur les traitements des articles 9 à 15 et 18 de la loi n° 1.430 sur la préservation de la sécurité nationale, l’article 94 de la loi n° 1.565 est silencieux quant à l’effectivité d’une réelle vérification, et donc de la portée réelle des droits ouverts aux personnes concernées. En outre, le seul texte d’application relatif à la CSSN se trouve au sein de la loi n° 1.430 et est limité à un seul Arrêté Ministériel d’application de l’article 16. Ainsi, l’APDP rappelle qu’aucune procédure n’est précisée au sein de la loi n° 1.565, de la loi n° 1.430 ou de l’Ordonnance Souveraine dont s’agit, alors qu’elle y aurait toute sa place. À cet égard, l’APDP met en perspective les différences procédurales majeures envisagées entre elle‑même et la CSSN.
Une fois ce rappel effectué, il convient de s’attarder sur la procédure projetée de droit d’accès indirect, qui préjudicie gravement les droits des personnes.
Les articles 61 et 62 du projet d’Ordonnance Souveraine disposent que :
« Article 61 : L’autorité de protection transmet la demande au responsable du traitement par voie postale ou par voie électronique, accompagnée des éléments communiqués par le demandeur.
Dans un délai de deux mois à compter de la date de réception de la transmission par l’autorité de protection de la demande d’accès, le responsable du traitement rassemble les éléments objets de la demande. Ce délai peut être prorogé pour la même durée lorsque le traitement de la demande nécessite des investigations complexes. Le responsable du traitement en informe alors par écrit l’autorité de protection avant la fin du délai prorogé.
À l’issue de ce délai, l’autorité de protection dispose d’un délai d’un mois pour prendre connaissance desdits éléments dans les locaux du responsable du traitement sans toutefois en prendre copie. Pour ce faire, l’autorité de protection prend l’attache du responsable de traitement afin d’organiser la prise de connaissance des éléments rassemblés.
Article 62 : Aux termes des vérifications prévues à l’article 74 de la loi n° 1.565 du 3 décembre 2024, susvisée, le président de l’autorité de protection saisit, dans le délai d’un mois, le responsable du traitement pour solliciter son accord pour communiquer tout ou partie des éléments dès lors que leur communication ne porte pas atteinte aux enquêtes, ou procédures judiciaires en cours, à la sécurité publique ou la préservation de la sécurité nationale.
Le responsable du traitement dispose d’un délai de trois mois pour répondre à l’autorité de protection.
Lorsque des modifications des données sont nécessaires, le président de l’autorité de protection met en demeure le responsable du traitement de procéder aux dites modifications prévues dans le délai d’un mois et de l’informer dans les plus brefs délais qu’il a été procédé auxdites modifications.
Lorsque le responsable du traitement donne son accord, l’autorité de protection transmet au demandeur ces informations. Le cas échéant, celles-ci sont communiquées selon des modalités définies d’un commun accord entre l’autorité de protection et le responsable du traitement.
Lorsque le responsable du traitement s’oppose à la communication au demandeur de tout ou partie des informations le concernant pour les motifs visés au premier alinéa, l’autorité de protection l’informe qu’il a été procédé aux vérifications nécessaires. La réponse de l’autorité de protection mentionne au demandeur son droit de former un recours juridictionnel.
Lorsque le traitement ne contient aucune information concernant le demandeur, l’autorité de protection informe celui‑ci, avec l’accord du responsable de traitement. ».
Il convient de relever que la procédure de droit d’accès indirect envisagée à Monaco peut durer plus de 9 mois avant qu’il ne soit répondu à la personne ayant exercé son droit.
En effet, le responsable du traitement dispose de deux mois pour répondre, renouvelable pour deux mois en cas de demande complexe. Il convient de préciser que l’appréciation du caractère complexe de la demande est uniquement à la main du responsable du traitement, qui n’informe même pas l’APDP de son intention de proroger le délai. Il l’informera avant la fin du délai de la prorogation après 4 mois.
Ensuite, l’APDP dispose d’un mois pour demander à se rendre dans les locaux du responsable du traitement. Une fois cela fait, elle dispose d’un mois aux fins de solliciter l’accord du responsable du traitement de communiquer les données, tandis que ce dernier a 3 mois pour répondre à l’APDP. L’APDP se charge enfin de répondre à la personne concernée, sans qu’aucun délai ne lui soit applicable. Ce qui fait donc 2+2+1+1+3 qui font 9 mois.
Sur ce délai de 9 mois, plus de 7 mois sont à la maîtrise du responsable du traitement. L’APDP n’a qu’un mois pour exercer ses missions, principalement pour consulter au sein des locaux du responsable du traitement les informations qu’il voudra bien mettre lui‑même à sa disposition.
Aussi, le projet d’Ordonnance Souveraine impose à l’APDP, dans tous les scénarios, une procédure par courrier. L’APDP ne peut se rendre dans les locaux du responsable du traitement que pour « prendre connaissance desdits éléments » préalablement rassemblés par ce dernier. Ainsi, le support est choisi par le responsable du traitement et ne permet pas à l’APDP d’effectuer une véritable « vérification » en lien avec la réalité des fichiers exploités comme le fait la Suisse, ou de mener son « investigation », comme le fait la CNIL, mais seulement une lecture de documents présélectionnés par le responsable du traitement.
L’APDP constate ainsi que la procédure de droit d’accès, qui concerne les traitements les plus sensibles dont ceux de la Direction de la Sûreté Publique (DSP), est rendue inefficace, et à la main du responsable du traitement.
La procédure envisagée vient modifier le mode de fonctionnement appliqué par la CCIN qui n’a pas posé dans la pratique de difficultés. Il conviendrait donc principalement de fixer un délai contraint de réponse à la personne concernée qui s’applique tant à l’APDP qu’au responsable du traitement.
À titre d’exemple, la procédure française se déroule dans la très grande majorité des cas comme suit :
- la CNIL prévient le responsable du traitement qu’elle viendra effectuer une investigation portant sur l’exercice d’un droit d’accès indirect, sans prévenir sur le nom des personnes concernées ;
- elle se rend le jour choisi pour effectuer les investigations. C’est à ce moment-là que le responsable du traitement connaît le nom des personnes concernées ;
- le droit d’accès indirect devient un échange avec le responsable du traitement, sur les données présentes directement au sein des traitements concernés. Il est discuté des suites qu’il convient d’y donner, telles qu’une rectification ou une suppression ;
- il est décidé lors des investigations de la communicabilité des informations à la personne concernée ;
- ces éléments sont consignés dans une fiche de vérification signée par le responsable du traitement.
Dans le cas de fichiers décentralisés, il peut être procédé selon les dispositions de l’article 142 du décret n° 2019‑536 du 29 mai 2019 pris en application de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, disposant que :
« Saisie dans les conditions fixées à l’article 141, la commission notifie au demandeur, dans un délai de quatre mois à compter de sa saisine, sans préjudice des dispositions spécifiques applicables à certains traitements, le résultat de ses investigations. Si la demande ne comporte pas tous les éléments permettant à la commission de procéder aux investigations qui lui ont été demandées, celle‑ci invite le demandeur à les lui fournir. À défaut de réponse du demandeur dans un délai de deux mois, la demande peut être rejetée. Le délai de quatre mois court à compter de la date de réception par la commission de ces informations complémentaires.
Si la réponse à la demande nécessite la centralisation préalable de pièces et d’éléments, le responsable du traitement y procède dans un délai de trois mois à compter de la date à laquelle il reçoit la demande de la commission. Ce délai peut être prorogé d’un mois lorsque le traitement de la demande nécessite des investigations complexes. La commission est informée de la prorogation de ce délai par le responsable du traitement. Le délai dans lequel la commission répond au demandeur est alors porté à cinq mois. Le délai dont bénéficie le responsable du traitement s’impute sur le délai prévu à l’alinéa précédent.
Sans préjudice des dispositions spécifiques applicables à certains traitements, lorsque la commission sollicite l’avis d’une autorité exerçant des compétences analogues aux siennes dans un autre État membre de l’Union européenne ou un État tiers, le délai de quatre mois mentionné au premier alinéa court à compter de la réception par la commission des informations qu’elle a demandées. ».
Cette disposition est peu utilisée et en grande partie désuète. Dans tous les cas la personne concernée est informée de l’issue dans une durée maximale de 4 mois pouvant être portée à 5.
Il s’infère que la relation CNIL/responsable du traitement n’est pas encadrée, et la procédure est à l’initiative de la CNIL. Elle trouve dans la majorité des cas son issue après la seule journée d’investigation opérée par la CNIL. La procédure décentralisée ne s’active que si la « demande nécessite la centralisation préalable de pièces et d’éléments », ce qui n’est désormais presque jamais le cas en France et ne devrait jamais l’être en Principauté…
En ce qui concerne le Luxembourg ou encore la Suisse, il n’a été trouvé aucune procédure détaillée des modalités du droit d’accès indirect, vraisemblablement parce que les vérifications sont elles aussi sous la responsabilité et à la main des Autorités de protection des données desdits pays. En tout état de cause, dans les pays européens, la décision de la CJUE précitée accorde de larges pouvoirs aux autorités de protection des données pour mener les investigations/vérifications et les suites qui en découlent. Ainsi, le fait même d’imposer que le Président de l’APDP doive recourir au formalisme lourd de la mise en demeure pour demander des modifications du traitement apparaît contraire au sens de la décision de la CJUE.
Comme indiqué en préambule du présent avis, l’effectivité des droits ouverts aux personnes concernées sera nécessairement prise en compte lors de l’analyse de la législation monégasque en vue d’obtenir une décision d’adéquation.
En outre, il convient de souligner qu’en application du dernier alinéa de l’article 24 de la loi n° 1.362 relative à la lutte contre le blanchiment de capitaux, modifiée, « Les informations conservées en application du présent article sont accessibles par les personnes concernées dans les conditions prévues à l’article 74 de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles. ».
La procédure prévue aux articles 61 et 62 de l’Ordonnance projetée, outre le fait d’altérer les droits des personnes concernées eu égard aux traitements de la Section II du Chapitre VI, impactera également le droit des personnes eu égard aux traitements mis en œuvre par les entités assujetties dans le cadre de leurs obligations en matière de lutte contre le blanchiment, le terrorisme et la corruption.
Enfin, il est fait mention à l’article 62 que l’APDP informe la personne concernée d’un recours juridictionnel, sans que l’Autorité ne sache de quel recours il s’agit.
L’APDP souligne à cet égard qu’il y a lieu de préciser si ledit recours concerne le courrier de réponse de l’APDP au requérant, ou la décision du responsable du traitement, lequel, pour rappel, peut être le Ministre d’État, ou un établissement assujetti à la loi n° 1.362. Elle relève que, comme précisé dans la décision de la CJUE, précitée, le recours ne pourrait concerner l’APDP que tout autant qu’elle dispose de « pouvoirs d’enquête effectifs [qui] comprennent au moins celui d’obtenir du responsable du traitement ou du sous-traitant l’accès à toutes les données à caractère personnel qui sont traitées et à toutes les informations nécessaires à l’exercice de ses missions ». Dès lors, l’APDP considère que les articles 61 et 62 doivent être profondément modifiés au bénéfice d’une meilleure efficacité des vérifications qu’elle doit effectuer en la matière pour assurer pleinement le respect des droits des personnes concernées, et consacrer un pouvoir lui permettant de prendre des décisions en la matière pouvant justifier alors un recours des personnes concernées à son endroit.
En ce sens ces articles devraient conforter l’APDP dans ses prérogatives en précisant notamment qu’elle peut vérifier directement le traitement mis en œuvre par le responsable du traitement, encadrer les délais de réponse dans une durée maximale proportionnée et justifiée applicable tant aux responsables du traitement qu’à l’APDP, et si nécessaire préciser que lors de ces vérifications l’APDP ne prend copie d’aucun élément (comme tel est déjà le cas en pratique).
Elle souligne à nouveau que la procédure telle qu’envisagée concernera également les droits d’accès indirects exercés auprès des établissements assujettis à la loi n° 1.362 relative à la lutte contre le blanchiment des capitaux et estime que cette procédure, si elle devait rester en l’état, serait extrêmement préjudiciable à l’effectivité des missions de l’APDP, et aux droits des personnes concernées.
Afin de modifier en conséquence les articles 61 et 62 en projet, ses Services se tiennent à la disposition des Services de l’État, s’ils souhaitent s’assurer de leur concours, pour procéder à ces modifications.
d) Sur l’article 63
L’article 63 concerne les modalités d’exercice des droits de rectification et d’effacement et précise que « la personne concernée présente sa demande au responsable du traitement par voie postale ou électronique » et que « les informations sont fournies par le responsable du traitement par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement ».
S’agissant de données d’une particulière sensibilité, une disposition relative à la sécurité de la communication, équivalente à l’article 5 du projet d’Ordonnance Souveraine, serait souhaitable.
e) Sur l’article 65
L’article 65 concerne les traitements relatifs à la recherche dans le domaine de la santé et plus précisément la saisine de la Direction de l’Action Sanitaire.
L’APDP considère qu’aux fins de réciprocité et d’effectivité, le Directeur de l’Action Sanitaire, saisi directement par le Président de l’APDP, devrait également répondre au Président sans avoir à passer par la voie hiérarchique.
En outre, l’APDP estime qu’il n’est pas dans ses missions de sélectionner et de mentionner au Directeur de l’Action Sanitaire « les points requérants son expertise » et demande donc que cet élément soit supprimé du second alinéa de l’article 65.
Enfin, comme évoqué au sein du Groupe de travail, elle souhaite que le délai de 8 semaines ouvert à la Direction de l’Action Sanitaire pour se prononcer soit ramené à 5 semaines, et ce afin de ne pas retarder trop longtemps le début des recherches concernées.
V. Chapitre V - Dispositions particulières à certains traitements
a) Sur l’article 67
L’article 67 s’inspire de l’article 116 du Décret français n° 2019‑536, précité, à la différence près qu’il ne prévoit pas de régime d’autorisation par le responsable du traitement qui met à disposition des archives contenant des données personnelles.
L’APDP relève néanmoins que le projet de loi portant modification de diverses dispositions en matière de numérique entend prévoir un régime de réutilisation des données mises à disposition. L’APDP rendra prochainement un avis sur ce projet de texte mais s’inquiète de l’éclatement des dispositions archivistiques entre de nombreux textes, et donc d’une potentielle déperdition dans la qualité des garanties mises en place.
VI. Chapitre VI - Transferts de données à caractère personnel
a) Sur l’article 68
L’article 68 en projet énonce les critères devant en particulier être pris en compte aux fins de constater si un pays, un territoire ou une organisation internationale dispose d’une législation ou d’une réglementation présentant un niveau de protection adéquat « bénéficiant notamment aux personnes concernées dont les données sont collectées dans la Principauté », comme précisé à l’article 97 de la loi n° 1.565.
Cette mention permet de limiter l’impact d’un changement intervenu ces dernières années dans les décisions d’adéquation prononcées par la Commission européenne. En effet, précédemment, les reconnaissances d’adéquation européenne portaient sur le constat que le pays tiers comportait une législation générale, protectrice de l’ensemble des données qui y étaient transférées, et traitées. Ceci n’est plus le cas, les décisions d’adéquation de la Commission européenne s’assurant désormais du niveau de protection dont bénéficient les données transférées des personnes concernées situées sur le territoire de l’Union européenne. En ce sens, depuis quelques années, la liste des pays bénéficiant d’une reconnaissance d’adéquation n’est plus la même pour l’UE et pour Monaco ou encore pour la Suisse, qui se trouve sur ce point dans une situation identique à celle de la Principauté.
En cela il avait été convenu, lors des travaux préparatoires à la rédaction du projet d’Ordonnance Souveraine, que l’article 68 devait s’inspirer des dispositions applicables en Suisse s’agissant des critères devant, en particulier, être pris en compte.
L’APDP relève que l’article 8 de l’Ordonnance 235.11 suisse sur la protection des données ne mentionne pas au titre de ces critères la prise en compte d’une décision de reconnaissance d’adéquation émanant de l’UE.
Aussi l’APDP souligne qu’en application de l’article 97 de la loi n° 1.565, susmentionné, le pays, le territoire ou l’organisation internationale doit, pour bénéficier d’une reconnaissance d’adéquation par Monaco, disposer d’une législation ou d’une réglementation présentant « un niveau de protection adéquat bénéficiant notamment aux personnes concernées dont les données sont collectées dans la Principauté », et considère que le tiret 6 de l’article 68 en projet doit être supprimé.
Elle précise en outre que la prise en compte des engagements internationaux du pays, territoire ou organisation internationale concerné en matière de protection des données, visée au 5ème tiret de l’article 68, doit être assortie de l’examen de l’effectivité de leur mise en œuvre.
S’agissant de la réévaluation périodique du niveau de protection du pays, du territoire ou de l’organisation internationale bénéficiant d’une reconnaissance d’adéquation de la part de Monaco, l’APDP estime que l’alinéa 2 pourrait mentionner que cette réévaluation est au moins quinquennale, et qu’à l’instar notamment de la Suisse et de l’Union européenne, elle soit publiée ou a minima transmise à l’autorité de protection.
L’APDP souligne en effet que la connaissance des éléments ayant conduit aux décisions d’adéquation lui permettra, conformément au chiffre 17 de l’article 38 de la loi n° 1.565, d’être en mesure d’alerter le Ministre d’État dans l’hypothèse où surviendraient des modifications qui affecteraient ces éléments et justifieraient une remise en cause de l’adéquation.
Enfin, le dernier alinéa de l’article 68 vient préciser que la mise à jour de la liste des pays, territoires et organisations internationales disposant d’un niveau de protection adéquat n’a pas d’effet sur les transferts de données à caractère personnel déjà effectués.
Sur ce point l’APDP souligne qu’en cas de retrait d’une décision d’adéquation, les transferts « continus » ayant eu pour objet par exemple un hébergement de données ou un accès distant devront soit être garantis par d’autres mécanismes, soit être arrêtés, et le lieu d’hébergement des données modifié en conséquence.
b) Sur l’article 70
L’APDP relève à la lecture du texte projeté qu’il s’inspire de la rédaction de l’article 47 du RGPD. Toutefois, elle s’interroge sur l’absence de certains points dans la rédaction monégasque qui lui semblent opportun d’intégrer, notamment :
- les modalités d’exercice des droits des personnes concernées y compris le droit de ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage ;
- les missions de tout délégué à la protection des données ou de toute autre personne ou entité, chargé de la surveillance du respect des règles d’entreprise contraignantes ainsi que le suivi du traitement des réclamations ;
- les procédures de réclamation ;
- les mécanismes mis en place pour communiquer et consigner les modifications aux règles ;
- les mécanismes de coopération avec l’autorité de contrôle ;
- les mécanismes permettant de communiquer à l’autorité les obligations juridiques issues de la réglementation d’un pays tiers qui sont susceptibles d’avoir un effet négatif important sur les garanties fournies par les règles d’entreprise contraignantes ;
- la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent et régulier aux données personnelles.
Par ailleurs, l’APDP constate qu’aucun alinéa du texte projeté ne prévoit le régime applicable aux modifications apportées aux règles d’entreprise contraignantes qui ont déjà été approuvées par l’APDP. Ainsi, elle considère qu’un alinéa devrait être ajouté à cet article, lequel pourrait être rédigé comme suit :
« Toute modification apportée aux règles d’entreprise contraignantes préalablement approuvées par l’Autorité de protection des données personnelles lui est soumise pour approbation. ».
Enfin, l’APDP considère qu’un alinéa devrait également être dédié aux règles d’entreprise contraignantes approuvées par des autorités de contrôle étrangères afin d’y indiquer que l’ensemble des garanties énoncées au présent article (article 70 de l’OS) doivent être effectives, il pourrait être rédigé comme suit :
« L’ensemble des garanties énoncées par le présent article doivent être effectives lorsque les règles d’entreprise contraignantes ont été approuvées par une autorité de contrôle étrangère. ».
a) Sur l’article 72
L’APDP relève que le chiffre 3 de l’article 99 de la loi n° 1.565, largement inspiré du dernier alinéa du point 1 de l’article 49 du RGPD, comporte un ensemble d’éléments cumulatifs permettant d’effectuer le transfert concerné, au titre desquels : un caractère non répétitif, un nombre limité de personnes, et la non prévalence des intérêts ou des droits et libertés de la personne concernée sur les intérêts légitimes impérieux poursuivis par le responsable du traitement.
Aussi, afin de permettre à l’APDP d’intervenir dans l’hypothèse où l’ensemble des éléments mentionnés à l’article 99 chiffre 3 de la loi n° 1.565 ne serait pas conforme, il lui apparaît nécessaire de modifier l’alinéa 2 du projet d’article 72 comme suit :
« Ces mêmes informations, de même que tout élément permettant de s’assurer que les conditions visées au chiffre 3 de l’article 99 de la loi n° 1.565 sont réunies, sont communiquées à l’autorité de protection, laquelle peut demander tout complément d’information. ».
Elle souligne en effet que le Décret n° 2019‑536, susmentionné, précise en son article 128 que lorsqu’un transfert s’effectue en application du dernier alinéa du point 1 l’article 49 du RGPD il appartient à la CNIL de fixer la liste des informations devant lui être communiquées.
Tel est l’avis de l’Autorité de Protection des Données Personnelles
Le Président
de l’Autorité de Protection
des Données Personnelles.