20e Journée internationale de la protection des données 2026 !

Depuis 2006, le 28 janvier est la Journée européenne, devenue internationale, de sensibilisation à la protection des données personnelles et de la vie privée. Cette date correspond à l’ouverture à la signature de la Convention 108 du Conseil de l’Europe, premier instrument juridique international contraignant visant à garantir la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, applicable à Monaco.

En 2025, suite à la ratification par Monaco de la Convention 108+ modernisée du Conseil de l'Europe, 99 AVOCATS ASSOCIÉS a abordé son interaction et sa complémentarité avec le Règlement général 2016/679 du 27 avril 2016 sur la protection des données (RGPD) de l'Union Européenne > Journée de la protection des données 2025 !

Cette année, pour la 20e Journée internationale de la protection des données (dite aussi Journée de la vie privée), nous avons choisi d'aborder le processus menant à la décision d’adéquation de la Commission européenne dont la finalité pour la Principauté de Monaco est de faciliter les transferts de données personnelles en provenance des Etats membres de l'Union Européenne (UE).

On entend beaucoup parler de l’objectif de Monaco d’obtenir une décision d’adéquation de la Commission européenne, mais de quoi s'agit-il concrètement ?

EN BREF

La décision d'adéquation sur demande d'un pays tiers à l'UE, est adoptée par la Commission européenne sur la base de l’article 45 du RGPD.

Elle ne peut être obtenue que si le pays tiers offre un niveau de protection des données personnelles équivalent à celui des Etats membres de l'UE.

La décision d'adéquation permet le transfert de données à caractère personnel de l’UE vers ce pays tiers sans garanties supplémentaires.

Le processus d’adéquation requiert :

• une proposition de la Commission européenne (correspondance avec le pays tiers, rapport, conclusions de la Commission, transmis au Comité) ;
• l'avis du Comité européen de la protection des données (CEPD / EDPB) sur les conclusions de la Commission européenne ;
• l'approbation des représentants des pays de l'UE ;
• l'adoption de la décision de la Commission européenne.

L'équivalence est évaluée eu regard des dispositions de la législation européenne, de la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et des critères de référence pour l’adéquation (WP 254 rev.01).

Les critères pris en considération par la Commission européenne sont notamment :

• l'État de droit, qui inclut "la légalité, qui suppose un processus de promulgation des lois qui soit transparent, responsable, démocratique et pluraliste; la sécurité juridique ; l’interdiction de l’exercice arbitraire du pouvoir exécutif ; une protection juridictionnelle effective assurée par des juridictions indépendantes et impartiales, avec un contrôle juridictionnel effectif incluant le respect des droits fondamentaux ; la séparation des pouvoirs ; et l’égalité devant la loi." (Commission européenne, Qu'est-ce que l'état de droit ?) ;
• le respect des droits de l'homme et des libertés fondamentales ;
• la législation pertinente ;
• l'existence et le fonctionnement effectif de la ou des autorité(s) de contrôle(s) devant être indépendante(s) ;
• les engagements internationaux pris par le pays tiers.

L'analyse de la Commission européenne s’opère dans le contexte juridique d’ensemble du pays tiers.

Le principe d’adéquation n’exige pas que le pays tiers reproduise à l’identique les règles de l’UE.

Le niveau de protection du pays tiers doit être substantiellement équivalent à celui de l'UE, c'est-à-dire que le système étranger dans son ensemble doit offrir, par l’essence de ses droits en matière de protection des données et leur mise en œuvre effective, leur opposabilité et le contrôle de leur application, le niveau requis de protection.

C'est dans cette optique que la Principauté de Monaco a aligné sa nouvelle Loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles sur les standards de l'Union Européenne (RGPD, Directive (UE) "Police Justice"), tout en transcrivant les dispositions de la Convention 108+ du Conseil de l'Europe et de son Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données (dont la ratification est un critère pris en compte pour la décision d'adéquation).

* * *

Avec une décision d’adéquation, Monaco bénéficierait d’un régime simplifié : les transferts de données personnelles depuis l’UE pourraient s’effectuer sans formalités supplémentaires, comme si Monaco faisait partie de l’UE.

Les avantages seraient réciproques :

• pour les entreprises européennes : simplification des transferts de données personnelles depuis l’UE vers Monaco, sans formalités supplémentaires comme si Monaco faisait partie de l’UE, ce qui impliquerait moins de contraintes contractuelles et organisationnelles, la réduction des coûts de conformité.
• pour les entreprises monégasques : bénéfice de la reconnaissance internationale du haut niveau de protection des données personnelles, renforcement de la confiance des partenaires européens et attractivité économique.

En attendant, sans décision d'adéquation, les transferts de données personnelles depuis l’UE vers Monaco sont conditionnés par la mise en place de garanties appropriées (clauses contractuelles types (CCT) adoptées par la Commission européenne, règles d’entreprise contraignantes (BCR), ou autres mécanismes possibles sous l'empire du RGPD).

L'Autorité de la Protection des Données Personnelles de Monaco (APDP) n'a ainsi pas manqué de rappeler que son action et ses avis s'inscrivent "dans l’intérêt du droit interne de la Principauté, et de l’effectivité de son application, qui seront analysés par l’Union européenne lors de l’examen de la demande d’adéquation faîte par le Gouvernement monégasque." (Séance Publique budgétaire du 11 décembre 2025 Réponse APDP https://apdp.mc/seance-publiqu...)

* * *

Pour l'heure, bénéficient d'une décision d'adéquation de la Commission Européenne (consultable ici) :

PAYS : Andorre, Argentine, Brésil, Canada (organisations commerciales), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, République de Corée (du Sud), Suisse, Royaume-Uni (au titre du RGPD et de la Directive (UE) 2016/680 , modifié en décembre 2025 par deux décisions de renouvellement), États-Unis (organisations commerciales participant au cadre de protection des données UE/États-Unis), Uruguay.

ORGANISATION INTERNATIONALE : Office Européen des Brevets (OEB / EPO).