Données personnelles

Au niveau international, Monaco a signé le 10 octobre 2018 le Protocole d’amendement à la Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel sur les autorités de contrôle et les flux transfrontières de données (Convention 108+ modernisant la Convention 108 et son Protocole, auxquels Monaco est partie). La ratification de la Convention 108+ a été approuvée par la Loi n° 1.566 du 3 décembre 2024.

Au niveau national, la Loi n° 1.565 du 3 décembre 2024 constitue le dispositif général de protection des données personnelles.

Elle a institué une nouvelle autorité administrative indépendante chargée de superviser le respect de la Loi n° 1.565, l'Autorité de Protection des Données Personnelles (APDP), qui remplace l'ancienne Commission de Contrôle des Informations Nominatives (CCIN).

A côté de la réglementation générale, des régimes spécifiques trouvent à s’appliquer en complément.

Ainsi par exemple en matière fiscale, la Loi n° 1.444 du 19 décembre 2016 a posé des obligations supplémentaires aux Institutions Financières monégasques relatives aux données personnelles transmises dans le cadre de l’échange automatique de renseignements sur les comptes financiers.

De même dans le secteur de la santé, un régime spécial s’applique, justifié par la nature sensible des données médicales, constitué en l'état de la Loi n° 1.454 du 30 octobre 2017 relative au consentement et à l’information en matière médicale, et son Ordonnance d’application n° 6.903 du 27 avril 2018, ainsi que de l’Ordonnance Souveraine n° 8.357 du 5 novembre 2020 relative aux données de santé à caractère personnel produites ou reçues par les professionnels et les établissement de santé, et son Arrêté Ministériel d’application n° 2020-764 du 5 novembre 2020.

La Loi n° 1.565 constitue une réforme d'ampleur du droit monégasque de la protection des données personnelles, qui :

• transcrit les exigences de la Convention 108+ du Conseil de l'Europe ;
• aligne la législation monégasque sur les standards du "paquet de protection des données" de l'Union Européenne constitué du Règlement (UE) 2016/679 (RGPD) et de la Directive (UE) 2016/680 « Police Justice », afin d'obtenir une décision d’adéquation de la Commission Européenne pour que les transferts de données personnelles de l’UE vers Monaco puissent s’opérer sans encadrement spécifique.

La Loi n° 1.565 est applicable aux traitements automatisés en tout ou partie, et non automatisés de données à caractère personnel des personnes physiques, également aux copies temporaires, qui sont :

• mis en œuvre par un responsable du traitement ou un sous-traitant établi à Monaco, que le traitement ait lieu, ou non, à Monaco (critère d’établissement) ;
• relatifs à des personnes concernées se trouvant sur le territoire de Monaco et mis en œuvre par un responsable du traitement ou un sous-traitant établi hors du territoire de Monaco lorsque les activités de traitement sont liées à l’offre de biens ou de services ou au suivi du comportement de ces personnes (critère de ciblage).

La législation monégasque reprenant la logique du RGPD d’accountability (responsabilisation), il est mis fin (sauf exceptions) aux formalités de déclarations et autorisations préalables à la mise en œuvre du traitement qui étaient exigées sous l'empire de l'ancienne législation.

A l'instar du RGPD, la Loi n° 1.565 impose au responsable du traitement et au sous-traitant la mise en place de mesures techniques et organisationnelles appropriées afin de protéger les droits des personnes concernées, et d'être en mesure de démontrer ce qui a été fait et son efficacité sur demande de l’Autorité de protection (APDP).

Les droits des personnes concernées et les outils et mécanismes d'autorégulation applicables aux responsables du traitement et aux sous-traitants de la Loi n° 1.565 et du RGPD sont similaires : protection des données dès la conception (privacy by design) et par défaut (privacy by default), encadrement renforcé de la sous-traitance y compris la sous-traitance secondaire, registre des activités de traitement, Délégué à la Protection des Données (DPO), obligations de sécurité, obligation de notification des violations de donnée, Code de conduite et mécanisme de certification, analyse d'impact, etc.

Outre son impact sur la réécriture du droit monégasque de la protection des données personnelles, le RGPD est applicable aux entreprises qui sont établies à Monaco qui offrent des biens ou des services à des personnes situées dans l’Union Européenne ou qui tracent leur comportement.

Compte tenu du champ d’application extraterritorial des règles de l’Union européenne, une certaine vigilance est rendue nécessaire afin d’être en conformité non seulement avec la réglementation nationale, mais également européenne sur les données personnelles.

Par exemple, dans le cadre de la fourniture et du déploiement de systèmes d'intelligence artificielle en plein essor, il convient d'être particulièrement vigilant lorsque des données personnelles sont utilisées pour l'apprentissage. Selon le cas, la Loi n° 1.565, le RGPD (outre l'AI Act) de l'Union Européenne sont susceptibles de s'appliquer concomitamment aux fournisseurs et développeurs.

• Dans le respect des garanties prévues par le droit commun de la protection des données personnelles, le

projet de loi n° 1087 déposé le 19 décembre 2023 envisage le recours aux technologies d'identification biométrique à distance dans des espaces accessibles au public, aux seules finalités impérieuses de préservation de la sécurité nationale (à rapprocher des règles harmonisées de l'IA Act de l'Union Européenne), dans le respect des garanties prévues par le droit commun de la protection des données personnelles.