Ordonnance Souveraine n° 11.327 du 10 juillet 2025 portant application de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles.

ALBERT II

PAR LA GRÂCE DE DIEU

PRINCE SOUVERAIN DE MONACO

Vu la loi n° 1.165 du 23 décembre 1993 réglementant les traitements d’informations nominatives, modifiée ;

Vu la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;

Vu Notre Ordonnance n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu la délibération du Conseil de Gouvernement en date du 3 juillet 2025 qui Nous a été communiquée par Notre Ministre d’État ;

Avons Ordonné et Ordonnons :

Chapitre I - Droits de la personne concernée

Article Premier.

Pour l’exercice des droits visés aux articles 12 à 19 de la loi n° 1.565 du 3 décembre 2024, susvisée, la personne concernée peut présenter une demande par voie postale, par voie électronique, ou sur place lorsque cela est possible, en justifiant de son identité par tout moyen, y compris en utilisant des données d’identité numérique lorsque ces données sont nécessaires et estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.

Lorsque les informations sont fournies par voie électronique, la transmission de celles-ci s’effectue de manière sécurisée en fonction de la sensibilité des données.

La demande peut être également présentée par une personne spécialement mandatée à cet effet par le demandeur, si celle‑ci justifie de son identité et de l’identité du mandant, de son mandat ainsi que de la durée et de l’objet précis de celui‑ci. Le mandat doit également préciser si le mandataire peut être rendu destinataire de la réponse du responsable du traitement ou du sous-traitant.

Lorsque cela est possible, le responsable du traitement devrait pouvoir donner l’accès à distance à un système sécurisé permettant à la personne concernée d’accéder directement aux données à caractère personnel la concernant.

Art. 2.

Le responsable du traitement prend toutes les mesures raisonnables pour vérifier l’identité d’une personne concernée qui demande l’accès à des données, en particulier dans le cadre des services et identifiants en ligne.

Lorsque le responsable du traitement a des doutes raisonnables sur l’identité de la personne concernée, il peut demander à ladite personne, dans le délai d’un mois à compter de la réception de la demande, aux fins d’exercer les droits visés aux articles 12 à 19 de la loi n° 1.565 du 3 décembre 2024, susvisée, que lui soient fournies des informations complémentaires qui permettent de l’identifier, y compris, lorsque la situation l’exige, la copie, sur support papier, électronique ou numérique d’un titre d’identité portant la signature du titulaire.

Dans ce cas, les délais prévus à l’article 10 de la loi n° 1.565 du 3 décembre 2024, susvisée, sont suspendus dans l’attente de la fourniture des informations complémentaires sollicitées.

Art. 3.

Sans préjudice du deuxième alinéa de l’article 10 de la loi n° 1.565 du 3 décembre 2024, susvisée, si la demande de la personne concernée est imprécise ou ne comporte pas les éléments permettant au responsable du traitement d’y répondre, celui‑ci peut, dans le délai d’un mois à compter de la réception de la demande, inviter le demandeur à lui fournir des informations complémentaires dans les délais prévus au même alinéa. Dans ce cas, les délais de réponse du responsable du traitement prévus au même alinéa sont suspendus jusqu’à réception desdites informations. Lorsque, en méconnaissance des dispositions de l’article 10 de la loi n° 1.565 du 3 décembre 2024, susvisée, le responsable du traitement ne s’est pas prononcé dans un délai d’un mois ou, en cas de demande complexe ou de demandes multiples, dans un délai de trois mois, la demande est réputée rejetée.

Art. 4.

En application du premier tiret du troisième alinéa de l’article 11 de la loi n° 1.565 du 3 décembre 2024, susvisée, la fourniture des informations se révèle impossible ou exige des efforts disproportionnés, notamment dans les cas suivants :

-     lorsque le traitement est mis en œuvre à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve des garanties visées au premier alinéa de l’article 81 de la loi n° 1.565 du 3 décembre 2024, susvisée ; ou

-     lorsque la fourniture de telles informations est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement.

En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

Art. 5.

Pour l’application de l’article 20 de la loi n° 1.565 du 3 décembre 2024, susvisée, l’ascendant, le descendant jusqu’au second degré, le conjoint survivant d’une personne décédée ou le cohabitant ou le partenaire au sens de la loi n° 1.481 du 17 décembre 2019 relative aux contrats civils de solidarité qui souhaite exercer les droits mentionnés audit article doit, lors de sa demande, outre la justification de son identité, apporter la preuve de son lien avec la personne décédée par tout moyen.

Chapitre II - Obligations incombant aux responsables du traitement et aux sous‑traitants

Art. 6.

L’accord visé à l’article 24 de la loi n° 1.565 du 3 décembre 2024, susvisée, reflète les rôles respectifs et responsabilités des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées, notamment un point de contact pour l’exercice de leurs droits.

Art. 7.

La désignation d’un représentant, mentionnée à l’article 25 de la loi n° 1.565 du 3 décembre 2024, susvisée, est effectuée auprès de l’autorité de protection, laquelle est informée du nom et des coordonnées du représentant désigné, ainsi que, le cas échéant, de toute modification ultérieure y afférente.

Art. 8.

Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 26 de la loi n° 1.565 du 3 décembre 2024, susvisée, et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Dans le cas d’une autorisation écrite générale visée au quatrième alinéa de l’article 26 de la loi n° 1.565 du 3 décembre 2024, susvisée, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

Art. 9.

En application du troisième alinéa de l’article 28 de la loi n° 1.565 du 3 décembre 2024, susvisée, lorsque la fonction de délégué à la protection des données est exercée sur la base d’un contrat de service, une ou plusieurs personnes physiques en charge de cette fonction peuvent être spécialement affectées auprès du responsable du traitement ou du sous-traitant.

Ledit contrat désigne, la personne physique qualifiée de contact du responsable de traitement ou du sous-traitant concerné. L’autorité de protection est informée de cette désignation.

Les personnes physiques ainsi affectées, sont soumises aux droits et obligations des délégués à la protection des données.

Art. 10.

Le délégué à la protection des données est rendu destinataire par le responsable du traitement des avis de l’autorité de protection lorsqu’elle est saisie d’un traitement visé aux articles 64 et 77 de la loi n° 1.565 du 3 décembre 2024, susvisée.

Art. 11.

Lorsqu’en application du deuxième alinéa de l’article 29 de la loi n° 1.565 du 3 décembre 2024, susvisée, plusieurs personnes morales de droit public ou plusieurs personnes morales de droit privé investies d’une mission d’intérêt général ou concessionnaire d’un service public désignent un seul délégué à la protection des données, une convention détermine les conditions dans lesquelles s’exerce la mutualisation. Chacune des parties à la convention de mutualisation demeure responsable des traitements qu’elle met en œuvre ainsi que de ses sous-traitants.

Art. 12.

En application du cinquième alinéa de l’article 30 de la loi n° 1.565 du 3 décembre 2024, susvisée, les responsables du traitement ou sous-traitants doivent adopter des règles internes pour définir et prévenir les conflits d’intérêts et s’assurent que le délégué à la protection des données ne peut pas dans l’exercice des missions qui lui sont confiées, en dehors de ses fonctions de délégué à la protection des données, exercer des missions ou des tâches qui le conduiraient à déterminer concomitamment les moyens et les finalités d’un traitement de données personnelles.

En application du sixième alinéa de l’article 30 de la loi n° 1.565 du 3 décembre 2024, susvisée, les coordonnées communiquées à l’autorité de protection comportent le nom et le prénom du Délégué à la protection des données ou, si cette fonction est assurée par une personne morale, de la personne physique qualifiée de contact.

Art. 13.

Afin de garantir la sécurité des données à caractère personnel conformément à l’article 31 de la loi n° 1.565 du 3 décembre 2024, susvisée, le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins de répondre à une obligation légale.

Lorsque le traitement relève des articles 64, 77 et 91 de la loi n° 1.565 du 3 décembre 2024, susvisée, ou qu’il comporte des données sensibles, les mesures de sécurité mentionnées au premier alinéa peuvent notamment viser à :

-     empêcher l’accès non autorisé aux installations utilisées pour le traitement ;

-     empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée ;

-     empêcher que les systèmes de traitement puissent être utilisés par des personnes qui n’y sont pas autorisées ;

-     garantir qu’il puisse être vérifié et constaté à quels destinataires des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de données ;

-     garantir qu’il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé et à quel moment et par quelle personne elles y ont été introduites ;

-     empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du traitement de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée ;

-     garantir que les systèmes installés puissent être rétablis en cas d’interruption ;

-     garantir la fiabilité et l’intégrité du système de traitement.

Art. 14.

En application du chiffre I de l’article 32 de la loi n° 1.565 du 3 décembre 2024, susvisée, lorsque la notification à l’autorité de protection n’a pas lieu dans un délai de soixante-douze heures, le responsable du traitement doit être en mesure de démontrer qu’il a adressé la notification dans les meilleurs délais.

Si le responsable du traitement estime qu’il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques, il doit être en mesure de le démontrer.

Lorsqu’il n’est pas possible de fournir en même temps toutes les informations visées au deuxième alinéa du chiffre I de l’article 32 de la loi n° 1.565 du 3 décembre 2024, susvisée, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

La documentation constituée par le responsable du traitement conformément au troisième alinéa de l’article 32 de la loi n° 1.565 du 3 décembre 2024, susvisée, permet à l’autorité de protection de vérifier le respect des alinéas 1 à 4 dudit article.

Si la communication de la violation n’a pas été faite à la personne concernée conformément au chiffre II de l’article 32 de la loi n° 1.565 du 3 décembre 2024, susvisée, l’autorité de protection peut, après avoir examiné si la violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à la communication de ladite violation ou constater que l’une ou l’autre des conditions visées au sixième alinéa du même article est remplie.

Art. 15.

Les codes de conduite prévoient les mécanismes permettant à l’organisme visé au septième alinéa de l’article 33 de la loi n° 1.565 du 3 décembre 2024, susvisée, de procéder au contrôle du respect de leurs dispositions par les responsables du traitement ou sous-traitants qui ont adhéré audit code, sans préjudice des missions et pouvoirs de l’autorité de protection.

Les associations et organismes visés à l’article 33 de la loi n° 1.565 du 3 décembre 2024, susvisée, qui ont l’intention d’élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modification ou la prorogation à l’autorité de protection. L’autorité de protection vérifie que le projet de code, la modification ou la prorogation respecte la loi susvisée et valide ce projet de code, cette modification ou cette prorogation si elle estime qu’il offre les garanties de protection appropriées, dans un délai de quatre mois à compter de la réception de la demande.

Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque l’autorité de protection ne s’est pas prononcée dans ces délais, la demande est réputée rejetée.

L’autorité de protection vérifie que l’organisme chargé du contrôle du code visé à l’alinéa premier dispose d’un niveau d’expertise approprié et d’une indépendance au regard de l’objet du code et que ses tâches et ses missions n’entraînent pas de conflit d’intérêts.

Art. 16.

L’organisme visé au septième alinéa de l’article 33 de la loi n° 1.565 du 3 décembre 2024, susvisée :

-     démontre, à la satisfaction de l’autorité de protection, son indépendance et son expertise au regard de l’objet du code ;

-     établit des procédures qui lui permettent d’apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d’examiner périodiquement son fonctionnement ;

-     établit des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public ;

-     démontre, à la satisfaction de l’autorité de protection, que ses tâches et ses missions n’entraînent pas de conflit d’intérêts.

Ledit organisme prend des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l’application du code. Il informe l’autorité de protection de ces mesures et des raisons pour lesquelles elles ont été prises.

Art. 17.

Les organismes indépendants portent à la connaissance de l’autorité de protection les certifications délivrées en application de l’article 34 de la loi n° 1.565 du 3 décembre 2024, susvisée.

Les organismes de certification communiquent à l’autorité de protection les raisons de la délivrance ou du retrait de la certification.

L’autorité de protection consigne dans un registre tous les mécanismes de certification en matière de protection des données et les met à la disposition du public par tout moyen approprié.

La procédure de certification peut être mise en œuvre aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis à ladite loi en vertu de son article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays, un territoire ou à une organisation internationale dans les conditions visées au quatrième tiret de l’article 98 de la loi susvisée. Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et exécutoire d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

Art. 18.

L’analyse d’impact visée au troisième alinéa de l’article 35 de la loi n° 1.565 du 3 décembre 2024, susvisée, contient les mesures envisagées pour faire face aux risques y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect de la loi susvisée, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées par les opérations de traitement envisagées.

Si le responsable du traitement ne procède pas à l’analyse d’impact prévue par l’article 35 de la loi n° 1.565 du 3 décembre 2024, susvisée, il doit être en mesure de démontrer que son traitement ne porte pas atteinte aux droits et libertés des personnes concernées.

Chapitre III - De l’autorité de protection des données personnelles

Section 1 - Des réclamations

Art. 19.

Les réclamations effectuées auprès de l’autorité de protection en application des dispositions du premier alinéa de l’article 39 de la loi n° 1.565 du 3 décembre 2024, susvisée, sont effectuées par écrit sur tout support et en langue française.

Section 2 - De la nomination des membres de l’autorité de protection des données personnelles

Art. 20.

Les propositions en vue de la nomination des nouveaux membres ou du renouvellement du mandat des membres en fonction en application du deuxième et du troisième alinéas de l’article 40 de la loi n° 1.565 du 3 décembre 2024, susvisée, doivent être adressées par les autorités proposantes visées aux chiffres 2 à 8 du deuxième alinéa de l’article 40 de la loi n° 1.565 du 3 décembre 2024, susvisée, au Ministre d’État six mois avant l’expiration du mandat de ces derniers.

Art. 21.

Dans l’hypothèse où le président cesse ou n’est plus en mesure d’exercer ses fonctions de président, celles-ci sont assurées provisoirement par le Vice‑président pour la période courant jusqu’à l’élection d’un nouveau président.

Dans l’hypothèse où le Vice‑président cesse ou n’est plus en mesure d’exercer ses fonctions, il est procédé à l’élection d’un nouveau Vice‑président pour la période du mandat restant à courir.

Lorsqu’au cours de son mandat, un membre suppléant cesse ou n’est plus en mesure d’exercer ses fonctions, le président en informe l’autorité proposante concernée en vue de la nomination d’un nouveau membre titulaire pour la période courant jusqu’à l’expiration dudit mandat.

Art. 22.

En application du huitième alinéa de l’article 40 de la loi n° 1.565 du 3 décembre 2024, susvisée, en cas d’agissement grave constitutif d’un manquement fautif il peut être mis fin aux fonctions d’un membre à l’issue d’une procédure contradictoire.

Un membre ne peut être relevé de ses fonctions pour des opinions qu’il exprime dans l’exercice de ses fonctions.

La demande de révocation est à l’initiative du président ou de la moitié des membres de l’autorité de protection. La révocation ne peut intervenir qu’après audition de l’intéressé quant aux motifs invoqués.

Préalablement à l’audition, l’autorité de protection établit un dossier reprenant l’ensemble des pièces relatives aux motifs invoqués.

Au moins cinq jours avant l’audition, l’intéressé est convoqué par lettre recommandée avec accusé de réception ou par tout autre moyen permettant d’attester la date de réception, mentionnant au moins :

1° les motifs graves invoqués ;

2° le fait que la levée de son mandat est envisagée ;

3° le lieu, la date et l’heure de l’audition ;

4° le droit pour l’intéressé de se faire assister du conseil de son choix ;

5° le lieu où il peut consulter le dossier et le délai pour ce faire ;

6° le droit de faire appeler des témoins ;

7° la possibilité de produire toute pièce utile à la procédure.

Dès la convocation et jusqu’au jour inclus de l’audition, l’intéressé et le cas échéant le conseil qui l’assiste peuvent consulter le dossier.

Il est établi procès-verbal de l’audition.

La décision de révocation fait l’objet d’une délibération adoptée à la majorité des membres de ladite autorité, hors le membre concerné, constatant l’agissement grave du manquement fautif au sens du huitième alinéa de l’article 40 de la loi n° 1.565 du 3 décembre 2024, susvisée.

Le Ministre d’État ainsi que l’autorité ayant proposé la nomination du membre concerné sont informés de la révocation et la nomination d’un nouveau membre pour la période courant jusqu’à l’expiration dudit mandat s’effectue dans les conditions prévues au septième alinéa de l’article 40 de la loi n° 1.565 du 3 décembre 2024, susvisée.

La décision de révocation est rendue exécutoire par Ordonnance Souveraine.

Section 3 - Des séances de l’autorité de protection des données personnelles

Art. 23.

L’autorité de protection ne peut valablement délibérer que si plus de la moitié de ses membres assistent à la séance.

Par exception à l’alinéa précédent, lorsque l’autorité de protection hors formation restreinte, décide de faire procéder aux contrôles conformément à l’article 46 de la loi n° 1.565 du 3 décembre 2024, susvisée, elle ne peut valablement délibérer que si au moins trois de ses membres assistent à la séance.

Les décisions sont adoptées à la majorité absolue des suffrages exprimés, ou à la majorité absolue des membres composant l’autorité de protection lorsqu’elles portent sur l’élection du président et du Vice‑président de l’autorité, la désignation des membres de la formation restreinte et l’adoption du règlement intérieur.

Le président peut s’assurer le concours pour tout ou partie de la séance, sans voix délibérative, de toute personne ou expert de son choix dont la participation aux débats paraît utile.

Chaque séance donne lieu à un procès-verbal signé par tous les membres y ayant assisté et consigné dans un registre tenu à cet effet au siège de l’autorité de protection.

Section 4 - De la formation restreinte

Art. 24.

Lorsque l’un des membres élus au sein de la formation restreinte cesse d’exercer ses fonctions en cours de mandat, il est remplacé pour la durée du mandat restant à courir dans les conditions fixées au troisième alinéa de l’article précédent.

Dans l’hypothèse où le président de la formation restreinte cesse ou n’est plus en mesure d’exercer ses fonctions, un nouveau président est désigné dans les meilleurs délais dans les conditions prévues au septième alinéa de l’article 40 de la loi n° 1.565 du 3 décembre 2024, susvisée. Le Ministre d’État est tenu informé.

Dans l’attente de cette nomination, la Présidence de la formation restreinte est assurée par le membre suppléant désigné sur proposition du premier président de la cour d’appel.

En cas de situation de conflit d’intérêt d’un membre de la formation restreinte, hors Président, telle que mentionnée au dernier alinéa de l’article 41 de la loi susvisée, le membre élu par l’autorité de protection, qui ne doit pas avoir pris part à la décision de mener un contrôle relatif à la procédure soumise à la formation restreinte, peut être un membre suppléant.

Art. 25.

La formation restreinte se réunit sur convocation de son président.

La convocation précise l’ordre du jour arrêté par le président de ladite formation.

La formation restreinte ne peut valablement délibérer qu’en présence de la totalité de ses membres.

Chaque décision prise par la formation restreinte, appelée « délibération » est notifiée au mis en cause selon les modalités définies par le règlement intérieur.

Section 5 - Du fonctionnement de l’autorité de protection des données personnelles

Art. 26.

Par délégation de signature du président de l’autorité de protection, à l’exclusion de toute délégation de pouvoir, le secrétaire général peut signer tous actes ayant pour objet le recrutement et la gestion du personnel du secrétariat, la gestion du budget ainsi que tous marchés et conventions nécessaires au fonctionnement de l’autorité de protection.

Les décisions de délégation sont publiées sur le site Internet de l’autorité de protection.

Art. 27.

Le règlement intérieur de l’autorité de protection visé au onzième alinéa de l’article 44 de la loi n° 1.565 du 3 décembre 2024, susvisée, précise notamment les règles de fonctionnement de l’autorité dont notamment l’organisation des séances de l’autorité de protection et de la formation restreinte, la mise à disposition de formulaires dans le cadre de ses missions de sensibilisation et des formalités préalables.

Art. 28.

Le personnel de l’autorité de protection visé aux septième, huitième et neuvième alinéas de l’article 44 de la loi n° 1.565 du 3 décembre 2024, susvisée, est recruté conformément aux dispositions relatives au recrutement des fonctionnaires et agents contractuels de l’État.

L’autorité de protection définit les qualifications requises dans l’avis de recrutement.

Les dossiers de candidature sont adressés directement au président de l’autorité de protection.

Art. 29.

Lorsque le recrutement nécessite un contrat d’engagement, ce contrat est signé par le président de l’autorité de protection et visé par le Directeur des Ressources Humaines et de la Formation de la Fonction Publique ou son adjoint.

Art. 30.

En application du troisième alinéa de l’article 44 de la loi n° 1.565 du 3 décembre 2024, susvisée, un contrôle financier a posteriori de légalité est exercé sur les dépenses de l’autorité de protection.

Art. 31.

L’autorité de protection fait établir chaque année un bilan comptable qu’elle communique au Ministre d’État.

Section 6 - Du contrôle de la mise en œuvre des traitements

Art. 32.

Lorsqu’une délibération porte sur une opération de vérifications qui nécessite une connaissance et une technicité particulière, elle peut charger le secrétariat de l’autorité de protection de proposer à son président la nomination d’un ou plusieurs investigateurs dans le domaine concerné.

Le recours à un ou plusieurs investigateurs peut faire l’objet d’une délibération complémentaire à tout moment lors d’un contrôle.

Les investigateurs proposés par l’autorité de protection, en application des dispositions du chiffre 1 de l’article 46 de la loi n° 1.565 du 3 décembre 2024, susvisée, sont nommés par le président pour la durée nécessaire à leur mission.

Le président peut, pour un motif légitime, refuser la nomination d’un ou plusieurs investigateurs. Dans ce cas, la nomination d’autres personnes lui est proposée.

Les investigateurs perçoivent, en rémunération des missions accomplies, des émoluments dont le montant est calculé sur la base d’un tarif fixé par l’autorité de protection et agréé par le président.

Ce tarif est publié sur le site Internet de l’autorité de protection et au Journal de Monaco.

Art. 33.

Nul agent de l’autorité de protection ou investigateur ne peut être désigné pour procéder aux vérifications et investigations auprès d’une entité s’il détient ou a détenu au cours des deux années précédant la vérification ou l’investigation, un intérêt direct ou indirect, a exercé des fonctions ou une activité professionnelle ou détenu un mandat au sein de ladite entité.

Art. 34.

Chaque mission d’investigation est décidée par une délibération de l’autorité de protection qui précise :

-     le nom et l’adresse de la personne physique ou morale concernée ;

-     l’objet de la mission ;

-     le cas échéant, la possibilité de recourir à un ou plusieurs investigateurs.

La délibération de l’autorité de protection est visée dans la lettre de mission prévue au chiffre 4 de l’article 46 de la loi n° 1.565 du 3 décembre 2024, susvisée.

La lettre de mission susmentionnée précise le nom ou les noms des personnes chargées d’accomplir la mission. En cas de modification survenant dans l’un de ces éléments, il est délivré une nouvelle lettre de mission.

Art. 35.

Lorsque, en application des articles 46 et 48 de la loi n° 1.565 du 3 décembre 2024, susvisée, l’autorité de protection effectue un contrôle sur place, elle informe au plus tard lors de son arrivée sur place le responsable des lieux ou son représentant de l’objet des opérations de contrôle qu’elle compte entreprendre, de l’identité et de la qualité des personnes chargées desdites opérations ainsi que, le cas échéant, de son droit d’opposition à la visite.

Dans le cadre de leurs vérifications, les personnes chargées desdites opérations remettent au responsable des lieux ou son représentant un exemplaire de la lettre de mission.

Lorsqu’en application du premier alinéa de l’article 49 de la loi n° 1.565 du 3 décembre 2024, susvisée, le droit d’opposition ne s’applique pas, le responsable des locaux se voit remettre une copie de l’ordonnance du Président du Tribunal de première instance en vertu de laquelle ces opérations peuvent avoir lieu sans que le droit d’opposition puisse y contrevenir.

Art. 37.

Lorsqu’il est saisi sur requête par le président de l’autorité de protection sur le fondement du deuxième alinéa de l’article 48 de la loi n° 1.565 du 3 décembre 2024, susvisée, aux fins d’autoriser une visite sur place, le président du Tribunal de première instance statue dans un délai de quarante-huit heures.

Art. 38.

Le procès-verbal mentionné au chiffre 8 de l’article 46 de la loi n° 1.565 du 3 décembre 2024, susvisée, est établi à la fin de chaque journée de contrôle.

Ce procès-verbal journalier énonce la nature, le jour, l’heure et le lieu des opérations de contrôles effectuées. Il indique également l’objet de la mission, les personnes chargées de sa réalisation, les personnes rencontrées, le cas échéant, leurs déclarations, les demandes formulées à cette occasion et les éventuelles difficultés rencontrées. L’inventaire des pièces et documents dont il a été fait copie est annexé au procès-verbal.

Lorsque la visite n’a pu se dérouler, le procès-verbal mentionne les motifs qui ont empêché ou entravé son déroulement, ainsi que, le cas échéant, les motifs de l’opposition du responsable des lieux ou de son représentant.

Le procès-verbal est signé par les personnes chargées des opérations de contrôle et par le responsable des lieux ou par son représentant ainsi que par les personnes entendues à cette occasion. En cas de refus ou d’absence de signature, mention en est portée au procès-verbal, lequel précise également les motifs de cette absence.

Le procès-verbal est remis au responsable des lieux ou à son représentant.

Art. 39.

Lorsque les membres ou agents de l’autorité de protection font usage d’une identité d’emprunt au sens du chiffre 7 de l’article 46 de la loi n° 1.565 du 3 décembre 2024, susvisée, pour mener à bien le contrôle d’un service de communication en ligne d’un responsable du traitement ou d’un sous-traitant, ils dressent un procès-verbal des opérations en ligne réalisées, des modalités de consultation et d’utilisation de ces services, des réponses obtenues et de leurs constatations. Les pages pertinentes du site ou toute autre information au regard des constatations effectuées y sont annexées.

Ce procès-verbal est adressé au responsable du traitement ou au sous-traitant par tout moyen permettant à l’autorité de protection d’apporter la preuve de la date de cette notification.

À compter de la réception du procès-verbal, le responsable du traitement ou le sous-traitant concerné dispose d’un délai de quinze jours pour faire des observations à l’autorité de protection.

Art. 40.

Lorsqu’il est procédé à une convocation, en application du chiffre 5 de l’article 46 de la loi n° 1.565 du 3 décembre 2024, susvisée, celle‑ci est adressée à l’intéressé par lettre recommandée avec accusé de réception, ou par tout moyen permettant à l’autorité de protection d’apporter la preuve de la date de cette notification, et doit lui parvenir au moins huit jours avant la date de son audition.

La convocation fait référence à l’objet de la mission et précise à la personne convoquée qu’elle est en droit de se faire assister d’un conseil de son choix.

La personne convoquée peut être entendue par tout moyen y compris par un système de visioconférence ou d’audioconférence. Dans ce cas, la convocation susvisée doit le mentionner et préciser le cas échéant, si l’audition sera ou non enregistrée.

L’enregistrement ne peut être effectué qu’avec l’accord exprès de la personne concernée.

Un procès-verbal de l’audition est dressé dans les conditions prévues au chiffre 8 de l’article 46 de la loi n° 1.565 du 3 décembre 2024, susvisée. Lorsque l’intéressé ne se rend pas à l’audition, il en est fait mention dans un procès-verbal de carence adressé à l’intéressé.

Lorsque la personne est entendue par un système de visioconférence ou d’audioconférence, le procès-verbal lui est adressé par tout moyen permettant à l’autorité de protection d’apporter la preuve de la date de cette notification. La personne entendue dispose d’un délai de quinze jours à compter de la réception du procès-verbal pour faire connaître ses observations.

Toute personne convoquée peut utiliser les documents en sa possession et exiger que ces documents soient joints au procès-verbal d’audition.

Art. 41.

Lorsqu’une personne interrogée dans le cadre des vérifications faites par l’autorité de protection oppose l’un des secrets visés au deuxième alinéa de l’article 47 de la loi n° 1.565 du 3 décembre 2024, susvisée, mention de cette opposition est portée au procès-verbal établi par les personnes chargées des opérations de contrôle.

Section 7 - Des mesures correctrices et des sanctions

Art. 42.

Lorsque l’autorité de protection instruit une réclamation ou une plainte en application du chiffre 11 de l’article 38 de la loi n° 1.565 du 3 décembre 2024, susvisée, et que celle‑ci nécessite d’échanger avec le responsable du traitement ou le sous-traitant, l’identité de l’auteur de la réclamation ou de la plainte n’est pas communiquée au responsable du traitement ou au sous-traitant, à moins que cela ne soit nécessaire à la cessation du ou des manquements allégués.

Art. 43.

La mise en demeure visée à l’article 50 de la loi n° 1.565 du 3 décembre 2024, susvisée, précise le ou les manquements constatés du responsable du traitement ou du sous-traitant.

Elle fixe le délai au terme duquel le responsable du traitement ou le sous-traitant est tenu d’avoir fait cesser le ou les manquements constatés. Ce délai ne peut, sauf urgence, être inférieur à dix jours. Il court à compter du jour de la notification au responsable du traitement ou au sous-traitant de la mise en demeure. Lorsque la complexité de l’affaire le justifie, ce délai peut être prolongé une fois sur demande motivée du responsable du traitement ou du sous-traitant.

La mise en demeure est adressée au responsable du traitement ou au sous-traitant par tout moyen permettant à l’autorité de protection d’apporter la preuve de la date de cette notification. Une copie en est adressée au délégué à la protection des données lorsque celui‑ci a été désigné et que son identité et ses coordonnées ont été communiquées à l’autorité de protection.

Le responsable du traitement ou le sous-traitant doit justifier auprès du président de l’autorité de protection de la mise en conformité dans le délai fixé.

Art. 44.

Le rapport visé à l’article 51 de la loi n° 1.565 du 3 décembre 2024, susvisée, est établi sur la base des éléments transmis par le service de l’autorité de protection en charge des investigations ou par celui en charge des réclamations et contient les manquements reprochés.

Il est également notifié par le président de l’autorité de protection au responsable du traitement ou au sous-traitant concerné par tout moyen permettant d’attester de sa date de notification. Les pièces ayant permis son établissement sont jointes à celui‑ci ou le cas échéant, sont consultables au siège de l’autorité de protection.

Il est transmis aux fins de saisine au président de la formation restreinte.

Le responsable du traitement ou le sous-traitant dispose d’un délai d’un mois pour transmettre au président de la formation restreinte ses observations écrites.

Le rapporteur, avec le concours des services de l’autorité de protection, peut répondre au responsable du traitement ou au sous-traitant dans les quinze jours suivant la réception de ses observations. Le responsable du traitement ou le sous-traitant dispose d’un nouveau délai de quinze jours pour, le cas échéant, produire des observations écrites.

Le président de la formation restreinte est rendu destinataire des observations échangées en application du cinquième alinéa.

Lorsque les circonstances de l’espèce ou la complexité de l’affaire le justifient, le président de la formation restreinte peut décider, sur demande du rapporteur ou du responsable du traitement ou du sous-traitant mis en cause, de prolonger, dans la limite d’un mois supplémentaire, les délais mentionnés aux quatrième et cinquième alinéas.

Le responsable du traitement ou le sous-traitant est informé qu’à l’issue des délais mentionnés aux alinéas ci‑dessus l’instruction est close et que ses observations écrites seront déclarées irrecevables.

Art. 45.

Le président de la formation restreinte inscrit l’affaire à l’ordre du jour d’une séance et convoque, par tout moyen permettant d’en attester la date, le responsable du traitement ou le sous-traitant dans un délai qui ne peut être inférieur à quinze jours avant la séance.

Le responsable du traitement ou le sous-traitant est informé lors de sa convocation que l’audition visée à l’alinéa 4 de l’article 51 de la loi n° 1.565 du 3 décembre 2024, susvisée, peut se faire au moyen d’un système de visioconférence ou audioconférence, permettant l’identification des personnes auditionnées et garantissant la sécurité et la confidentialité des échanges, et de la possibilité de se faire assister ou représenter par le conseil de son choix. Le rapporteur est informé de la date de la séance et peut, sur demande du président de la formation restreinte, présenter ses observations.

Art. 46.

La décision de la formation restreinte énonce les considérations de droit et de fait sur lesquelles elle est fondée.

Le président de la formation restreinte porte à la connaissance du président de l’autorité de protection la décision de ladite formation avant de la notifier, par tout moyen permettant d’attester de sa date, au responsable du traitement ou au sous-traitant ou à la personne qui a été désignée pour le représenter.

Art. 47.

Lorsque la formation restreinte prononce une obligation de mise en conformité en application du chiffre 2 de l’article 51 de la loi n° 1.565 du 3 décembre 2024, susvisée, le responsable du traitement ou le sous-traitant transmet au président de la formation restreinte, au plus tard à la date fixée dans la décision de cette dernière, les éléments attestant qu’il s’est conformé à la décision prononcée à son encontre.

En cas d’inexécution totale ou partielle ou d’exécution tardive d’une obligation de mise en conformité assortie d’une astreinte, le président de la formation restreinte procède à sa liquidation. Le montant de l’astreinte est liquidé en tenant compte des éléments transmis, le cas échéant, par le responsable du traitement ou le sous-traitant, de son comportement et des difficultés d’exécution qu’il a rencontrées, notamment s’il est établi que l’inexécution ou le retard dans l’exécution provient, en tout ou partie, d’une cause étrangère aux capacités de mise en conformité.

La décision prononçant la liquidation de l’astreinte est précédée d’une procédure écrite au cours de laquelle le président de ladite formation porte à la connaissance du responsable du traitement ou du sous-traitant les motifs de la liquidation envisagée et son montant.

Le responsable du traitement ou le sous-traitant dispose d’un délai de quinze jours à compter de la notification des motifs de la liquidation et de son montant pour transmettre au président de la formation restreinte ses observations écrites.

À l’issue de ce délai le président de la formation restreinte prononce soit la liquidation définitive de l’astreinte lorsque les mesures de mise en conformité associées à l’astreinte ont été mises en œuvre, soit la liquidation provisoire de l’astreinte lorsque les mesures de mise en conformité associées à l’astreinte n’ont pas été mises en œuvre. Il notifie le responsable du traitement ou le sous-traitant concerné.

Le président de la formation restreinte en informe le président de l’autorité de protection.

Art. 48.

Lorsqu’un organisme de certification agréé ou un organisme certifié en application de l’article 34 de la loi n° 1.565 du 3 décembre 2024, susvisée, ou un organisme chargé du respect d’un code de conduite tel que prévu à l’article 33 de ladite loi, a manqué à ses obligations ou n’a pas respecté les dispositions de ladite loi, le président de l’autorité de protection peut saisir la formation restreinte sur la base d’un rapport tel que prévu à l’article 51 de la loi n° 1.565 du 3 décembre 2024, susvisée. Ce rapport est notifié à l’organisme concerné.

La formation restreinte peut prononcer dans les conditions prévues à l’article 51 de la loi n° 1.565 du 3 décembre 2024, susvisée, le retrait de la certification ou de l’agrément délivré audit organisme.

Art. 49.

Lorsque la formation restreinte prononce, en application du chiffre 5 de l’article 51 de la loi n° 1.565 du 3 décembre 2024, susvisée, une injonction de retirer la certification accordée par un organisme agréé, ledit organisme rend compte dans les meilleurs délais au président de la formation restreinte qu’il y a procédé.

Art. 50.

Lorsque le président de l’autorité de protection saisit la formation restreinte en vertu des dispositions du premier alinéa de l’article 56 de la loi n° 1.565 du 3 décembre 2024, susvisée, la procédure définie aux articles 45 et 46, est applicable sous réserve de l’observation des délais suivants :

-     les délais visés au quatrième, cinquième et septième alinéas de l’article 45 sont fixés à huit jours ;

-     le délai visé au premier alinéa de l’article 46 relatif à la convocation du responsable du traitement ou du sous-traitant par la formation restreinte, est fixé à huit jours au plus tard avant la date de l’audition.

Chapitre IV - Traitements soumis à formalités préalables

Section 1 - Dispositions générales

Art. 51.

Les demandes d’avis et les demandes d’autorisation visées au deuxième alinéa de l’article 59 de la loi n° 1.565 du 3 décembre 2024, susvisée, ainsi que toute modification intervenant dans l’un des éléments énoncés aux chiffres 2, 3, 5 et 6 de l’article 60 de la loi susvisée, sont souscrites sur un formulaire dont le modèle est établi par l’autorité de protection, assorti d’annexes le cas échéant.

Les formulaires sont obtenus sans frais auprès de l’autorité de protection sous forme d’imprimés ou par voie électronique sur le site Internet de ladite autorité.

Art. 52.

Lorsque la demande d’avis ou d’autorisation ne comporte pas l’ensemble des éléments énumérés à l’article 60 de la loi n° 1.565 du 3 décembre 2024, susvisée, l’autorité de protection informe le responsable du traitement, dans un délai de quinze jours à compter de la réception de la demande, des documents ou renseignements à fournir.

Cette notification est adressée au responsable du traitement par tout moyen permettant à l’autorité de protection d’apporter la preuve de la date de sa réception.

En l’absence de réponse à une demande de complément sous un délai d’un mois à compter de la notification visée à l’alinéa précédent, la demande est déclarée irrecevable.

Art. 53.

Les demandes d’avis ou d’autorisations sont signées par le responsable du traitement ou par la personne ayant qualité pour le représenter.

Art. 54.

Les services de l’autorité de protection instruisent les dossiers de formalités préalables. Dans le cadre de l’instruction d’un dossier, l’autorité de protection peut demander communication de toutes pièces utiles et entendre toute personne susceptible de fournir les informations nécessaires.

Art. 55.

Lorsque qu’une décision de prorogation du délai est prise conformément au dernier alinéa de l’article 59 de la loi n° 1.565 du 3 décembre 2024, susvisée, notification en est faite au responsable du traitement par lettre recommandée avec demande d’avis de réception ou par tout moyen permettant à l’autorité de protection d’apporter la preuve de la date de cette notification.

Art. 56.

L’avis ou l’autorisation de l’autorité de protection est notifié au responsable du traitement par lettre recommandée avec demande d’avis de réception ou par tout moyen permettant à l’autorité de protection d’apporter la preuve de la date de cette notification.

Art. 57.

Le sens de l’avis émis par l’autorité de protection en application des dispositions du troisième alinéa de l’article 59 de la loi n° 1.565 du 3 décembre 2024, susvisée, ne peut porter que la mention « favorable », « favorable avec réserve » ou « défavorable ».

Art. 58.

La liste des traitements mis à la disposition du public par l’autorité de protection, conformément à l’article 63 de la loi n° 1.565 du 3 décembre 2024, susvisée, précise, sous réserve des dispositions du troisième alinéa de l’article 59 de ladite loi, pour chacun des traitements :

1° Le cas échéant, les références de l’arrêté ministériel ou l’arrêté du Secrétaire d’État à la Justice, Directeur des Services Judiciaires autorisant le traitement ;

2° Les finalités du traitement et, le cas échéant sa dénomination ;

3° Le nom et les coordonnées professionnelles du responsable du traitement ou de son représentant ;

4° L’Autorité ou la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu ;

5° Les catégories de données à caractère personnel traitées ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;

6° Le cas échéant, les transferts de données hors de la Principauté.

Section 2 - Des traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces

Art. 59.

Pour la mise en œuvre du droit d’accès visé à l’article 74 de la loi n° 1.565 du 3 décembre 2024, susvisée, la personne concernée présente une demande à l’autorité de protection, par voie postale ou par voie électronique sécurisée mise à disposition par ladite autorité, y compris en utilisant des données d’identité numérique.

La demande doit être signée et accompagnée de la photocopie d’un titre d’identité portant la signature du titulaire. Elle doit préciser l’adresse à laquelle doit parvenir la réponse. Lorsqu’il existe un doute sur l’adresse indiquée ou sur l’identité du demandeur, l’autorité de protection peut demander les informations supplémentaires lui apparaissant nécessaires.

La demande peut être également présentée au nom du demandeur par un avocat ou un conseil spécialement mandaté à cet effet, si celui‑ci justifie de sa qualité et de l’identité du mandant, de son mandat ainsi que de l’objet précis de celui‑ci. Le mandat doit également préciser si le mandataire peut être rendu destinataire de la réponse de l’autorité de protection.

Toute demande manifestement abusive peut être rejetée.

Art. 60.

L’autorité de protection transmet la demande au responsable du traitement par voie postale ou par voie électronique, accompagnée des éléments communiqués par le demandeur.

Dans un délai de deux mois à compter de la date de réception de la transmission par l’autorité de protection de la demande d’accès, le responsable du traitement rassemble les éléments objets de la demande. Ce délai peut être prorogé d’un mois supplémentaire par le responsable du traitement lorsque le traitement de la demande nécessite des investigations complexes. Le responsable du traitement en informe par écrit l’autorité de protection.

À l’issue de ce délai, l’autorité de protection dispose d’un délai d’un mois pour prendre connaissance desdits éléments dans les locaux du responsable du traitement sans toutefois en prendre copie. Pour ce faire, l’autorité de protection prend l’attache du responsable de traitement afin d’organiser la prise de connaissance des éléments rassemblés.

Art. 61.

Au terme des vérifications prévues à l’article 74 de la loi n° 1.565 du 3 décembre 2024, susvisée, le président de l’autorité de protection saisit, dans le délai d’un mois, le responsable du traitement pour solliciter son accord pour communiquer tout ou partie des éléments dès lors que leur communication ne porte pas atteinte aux enquêtes, ou procédures judiciaires en cours, à la sécurité publique ou à la préservation de la sécurité nationale.

Le responsable du traitement dispose d’un délai d’un mois pour répondre à l’autorité de protection.

Au terme des vérifications prévues à l’article 74 de la loi n° 1.565 du 3 décembre 2024, susvisée, lorsque des modifications des données sont nécessaires, le président de l’autorité de protection met en demeure le responsable du traitement de procéder auxdites modifications prévues dans le délai d’un mois et de l’informer dans les plus brefs délais qu’il a été procédé auxdites modifications.

Lorsque le responsable du traitement donne son accord, l’autorité de protection transmet au demandeur ces informations. Le cas échéant, celles-ci sont communiquées selon des modalités définies d’un commun accord entre l’autorité de protection et le responsable du traitement.

Lorsque le responsable du traitement s’oppose à la communication au demandeur de tout ou partie des informations le concernant pour les motifs visés au premier alinéa, l’autorité de protection l’informe qu’il a été procédé aux vérifications nécessaires. La réponse de l’autorité de protection mentionne au demandeur son droit de former un recours juridictionnel.

Lorsque le traitement ne contient aucune information concernant le demandeur, l’autorité de protection informe celui‑ci, avec l’accord du responsable du traitement.

Art. 62.

Pour la mise en œuvre des droits de rectification et d’effacement visés à l’article 75 de la loi n° 1.565 du 3 décembre 2024, susvisée, la personne concernée présente sa demande au responsable du traitement par voie postale ou voie électronique. Elle justifie de son identité par tout moyen, y compris en utilisant des données d’identité numérique.

Les informations sont fournies par le responsable du traitement par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

La demande peut être également présentée par une personne spécialement mandatée à cet effet par le demandeur, si celle‑ci justifie de son identité et de l’identité du mandant, de son mandat ainsi que de la durée et de l’objet précis de celui‑ci. Le mandat doit également préciser si le mandataire peut être rendu destinataire de la réponse du responsable du traitement ou du sous-traitant.

En application de l’article 64 de la loi n° 1.565 du 3 décembre 2024, susvisée, et conformément aux articles 10 et 71 de la même loi, lorsque la demande est manifestement infondée ou abusive, notamment en raison de son caractère répétitif, ce qu’il incombe au responsable du traitement de démontrer, celui‑ci peut :

1.    exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées,

2.    ou refuser de donner suite à ces demandes.

Art. 63.

Lorsqu’un transfert de données à caractère personnel est effectué en application de l’article 76 de la loi n° 1.565 du 3 décembre 2024, susvisée, celui‑ci est documenté et comprend :

1.    la date et l’heure du transfert ;

2.    les informations sur l’autorité compétente destinataire ;

3.    la justification du transfert ;

4.    les données à caractère personnel transférées.

La documentation est mise, sur demande, à la disposition de l’autorité de protection ou de la commission visée au chiffre 2 de l’article 37 de la loi n° 1.565 du 3 décembre 2024, susvisée, lorsque le transfert est effectué en vertu des dispositions de l’article 95 de ladite loi.

Section 3 - Des traitements relatifs à la recherche dans le domaine de la santé

Art. 64.

Le service public compétent dans le domaine de la santé, visé au deuxième alinéa de l’article 78 de la loi n° 1.565 du 3 décembre 2024, susvisée, est la Direction de l’Action Sanitaire.

Lorsque l’autorité de protection souhaite solliciter la consultation dudit service public, le président de ladite autorité saisit par écrit le Directeur de l’Action Sanitaire en précisant les points requérant son expertise.

L’avis de la Direction de l’Action Sanitaire est transmis au président de l’autorité de protection dans un délai qui ne saurait excéder six semaines à compter de la demande d’avis.

Chapitre V - Dispositions particulières à certains traitements

Section unique - Des traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques

Art. 65.

Les garanties appropriées applicables aux traitements de données personnelles mis en œuvre à des fins archivistiques dans l’intérêt public, en application de l’article 81 de la loi n° 1.565 du 3 décembre 2024, susvisée, sont déterminées par les dispositions législatives et réglementaires relatives aux archives.

Ces garanties sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Art. 66.

Le responsable du traitement ou son sous-traitant définit et met à jour la liste des personnes autorisées à accéder aux traitements à des fins de recherche scientifique ou historique ou à des fins statistiques, ainsi qu’aux données qui en sont issues, et à les modifier le cas échéant, dans le respect de ces finalités et des garanties appropriées prévues à l’alinéa suivant.

Les données issues de ces traitements ne peuvent pas être diffusées sans avoir été préalablement anonymisées sauf si l’intérêt des tiers à cette diffusion prévaut sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Pour les résultats de la recherche, cette diffusion doit être absolument nécessaire à sa présentation. Les données diffusées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Chapitre VI - Transferts de données à caractère personnel

Art. 67.

Pour constater si un pays, un territoire ou une organisation internationale dispose d’une législation ou d’une réglementation présentant le niveau de protection adéquat visé au troisième alinéa de l’article 97 de la loi n° 1.565 du 3 décembre 2024, susvisée, il est en particulier tenu compte des critères suivants :

-     l’État de droit, le respect des droits humains et des libertés fondamentales ;

-     la législation applicable en matière de protection des données, tant générale que sectorielle, et les règles relatives aux transferts ultérieurs des données ;

-     la garantie effective des droits des personnes concernées et des voies de droit ;

-     le fonctionnement effectif d’une ou de plusieurs autorités indépendantes chargées de la protection des données dans le pays, le territoire concerné, ou auxquelles une organisation internationale est soumise, et disposant de pouvoirs et de compétences suffisants ;

-     les engagements internationaux du pays, du territoire concerné ou de l’organisation internationale en matière de protection des données personnelles, tels que le Protocole d’amendement à la Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel du 18 mai 2018 ;

-     la constatation de la Commission européenne, par voie de décision, conformément à l’article 45 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, que le pays, le territoire ou l’organisation internationale assure un niveau de protection adéquat et que cette décision n’a été ni invalidée par la Cour de justice de l’Union Européenne, ni abrogée, ni suspendue, ni modifiée dans un sens démontrant que la Commission européenne ne considère plus que le pays, le territoire ou l’organisation internationale offre un niveau de protection adéquat ;

-     les appréciations effectuées par des organismes internationaux ou des autorités étrangères chargées de la protection des données personnelles.

Lorsqu’il est constaté, qu’un pays, un territoire ou une organisation internationale n’assure plus un niveau de protection adéquat, l’arrêté ministériel prévu au quatrième alinéa de l’article 97 de la loi n° 1.565 du 3 décembre 2024, susvisée, est modifié pour en tenir compte.

La mise à jour de la liste des pays, territoires et organisations internationales disposant d’un niveau de protection adéquat prévue au dernier alinéa de l’article 97 de la loi n° 1.565 du 3 décembre 2024, susvisée, n’a pas d’effet sur les transferts de données à caractère personnel déjà effectués.

Art. 68.

Lorsque le transfert de données est garanti par un mécanisme de certification ou un code de conduite tels que visés à l’article 98 de la loi n° 1.565 du 3 décembre 2024, susvisée, celui‑ci doit être assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays, le territoire ou l’organisation internationale destinataire d’appliquer les garanties appropriées contenues dans ces instruments, y compris en ce qui concerne les droits des personnes concernées.

Le responsable du traitement ou le sous-traitant transmet cet engagement à l’autorité de protection.

Art. 69.

Les règles d’entreprise contraignantes visées au troisième tiret de l’article 98 de la loi n° 1.565 du 3 décembre 2024, susvisée, s’appliquent à toutes les entreprises appartenant au même groupe ou à un groupe d’entreprises engagées dans une activité économique conjointe.

Elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel.

Elles portent au moins sur les points suivants :

1.    la structure et les coordonnées du groupe d’entreprises auxquelles s’appliquent les règles d’entreprise contraignantes et de chacune de ses entités ;

2.    les mesures mises en place au sein du groupe d’entreprises pour garantir le contrôle du respect des règles d’entreprise contraignantes ;

3.    l’application des principes de protection des données prévues par la loi n° 1.565 du 3 décembre 2024, susvisée, notamment les principes de licéité du traitement, de finalité, de loyauté, de transparence, de proportionnalité et d’exactitude visés à l’article 4 de ladite loi ;

4.    les catégories de données transférées et de personnes concernées ;

5.    le type et la finalité du transfert de données personnelles ;

6.    le nom des pays, territoires et des organisations internationales destinataires ;

7.    les conditions applicables à la conservation et l’effacement des données personnelles ;

8.    les destinataires habilités à traiter les données ;

9.    les mesures garantissant la sécurité des données personnelles ;

10.  les conditions applicables aux transferts de données ultérieurs à des organismes non liés par les règles d’entreprise contraignantes ;

11.  l’obligation pour les destinataires d’informer les personnes concernées par le traitement des données ;

12.  l’obligation de notifier les violations de données ;

13.  les droits des personnes concernées, en particulier le droit d’accès à leurs données personnelles, le droit de s’opposer au traitement de leurs données personnelles ou d’en demander la limitation, le droit de demander la rectification ou l’effacement de leurs données personnelles et le droit d’introduire une réclamation auprès de l’autorité de protection ;

14.  la manière dont les informations sur les règles d’entreprise contraignantes mentionnées au présent article sont fournies aux personnes concernées, en sus des informations visées à l’article 10 de la loi relative à la protection des données ;

15.  l’acceptation par le responsable du traitement ou le sous-traitant établi à Monaco de sa responsabilité en cas de violation de règles contraignantes par une entreprise située dans un pays ne disposant pas d’un niveau de protection adéquat, sauf s’il prouve que le fait générateur à l’origine du dommage n’est pas imputable à celle‑ci.

Toute modification apportée aux règles d’entreprise contraignantes préalablement approuvées par l’autorité de protection lui est soumise pour approbation.

L’ensemble des garanties énoncées par le présent article doivent être effectives lorsque les règles d’entreprise contraignantes ont été approuvées par une autorité de contrôle étrangère.

Art. 70.

En application de l’article 98 de la loi n° 1.565 du 3 décembre 2024, susvisée, un transfert ne peut se fonder sur des règles d’entreprises contraignantes approuvées par une autorité de contrôle étrangère relevant d’un pays, territoire qui assure un niveau de protection adéquat, que si les droits bénéficient aux personnes concernées dont les données sont collectées dans la Principauté et si les mécanismes garantis par l’intervention d’autorité de contrôles sont utilisables par l’autorité de protection monégasque.

Art. 71.

Lorsque le responsable du traitement effectue un transfert de données personnelles en vertu des dispositions du chiffre 3 de l’article 99 de la loi n° 1.565 du 3 décembre 2024, susvisée, il informe la personne concernée du transfert, des intérêts légitimes impérieux qu’il poursuit et des garanties appropriées qui ont été prises.

Ces mêmes informations sont communiquées à l’autorité de protection.

Il documente, dans les registres visés à l’article 27 de la loi n° 1.565 du 3 décembre 2024, susvisée, l’évaluation ainsi que les garanties appropriées visées au chiffre 3 de l’article 99 de ladite loi.

Art. 72.

Notre Ordonnance n° 2.230 du 19 juin 2009, modifiée, susvisée, est abrogée.

Art. 73.

Notre Secrétaire d’État, Notre Secrétaire d’État à la Justice, Directeur des Services Judiciaires et Notre Ministre d’État sont chargés, chacun en ce qui le concerne, de l’exécution de la présente ordonnance.

Donné en Notre Palais à Monaco, le dix juillet deux mille vingt-cinq.

ALBERT.

Par le Prince,

Le Secrétaire d’État :

Y. Lambin Berti.