Données personnelles ● Ordonnance Souveraine n° 11.327 du 10 juillet 2025 portant application de la loi n° 1.565

L'Ordonnance Souveraine n° 11.327 du 10 juillet 2025 (OS) (JDM n° 8756 du 18 juillet 2025) porte application de la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles (L.) et abrogation de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009. Entrée en vigueur : 19 juillet 2025.

* * *

TABLEAU DE SYNTHESE

* * *

EN DETAIL

Chapitre I - Droits de la personne concernée

→ Modalités d’exercice des droits visés aux art. 12 à 19 L., en application de l'art. 10 L. (art. 1er OS)

• Demande de la personne concernée par voie postale ou électronique, ou sur place lorsque cela est possible, en justifiant de son identité par tout moyen, y compris en utilisant des données d’identité numérique ;
• La demande peut être également présentée par une personne spécialement mandatée à cet effet, accompagnée des justificatifs mentionnés ;
• Cas d'accès à distance à un système sécurisé permettant à la personne concernée d’accéder directement aux données à caractère personnel la concernant.
  

→ Mesures raisonnables prises par le responsable du traitement pour vérifier l’identité d’une personne concernée qui demande l’accès à des données, en particulier dans le cadre des services et identifiants en ligne (art. 2 OS)

• En cas de doutes raisonnables sur l'identité de la personne concernée, fourniture d'informations complémentaires et copie d'un titre identité ;
• Suspension des délais prévus à l'art. 10 L.

→ Demande de la personne concernée imprécise ou ne comportant pas les éléments permettant au responsable du traitement d’y répondre (art. 3 OS)

• Fourniture d'informations complémentaires ;
• Suspension des délais de réponse prévus au 2e alinéa de l'art. 10 L. ;
• Cas où la demande est réputée rejetée.

→ Données personnelles non collectées auprès de la personne concernée. Cas où la fourniture des informations se révèle impossible ou exige des efforts disproportionnés en application du 3e alinéa, 1er tiret de l'art. 11 L. (art. 4 OS)

• Notamment : traitement mis en œuvre à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve des garanties visées au 1er alinéa de l’art. 81 L. ; ou fourniture de telles informations susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement.
• En pareil cas, mesures appropriées du responsable du traitement pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.
  

→ Personne décédée en application de l'art. 20 L. (art. 5 OS)

• Exercice des droits par l'ascendant, le descendant jusqu’au second degré, le conjoint survivant d’une personne décédée ou le cohabitant ou le partenaire au sens de la loi n° 1.481 du 17 décembre 2019 relative aux contrats civils de solidarité : preuve du lien avec la personne décédée par tout moyen.

Chapitre II - Obligations incombant aux responsables du traitement et aux sous‑traitants

→ Accord entre les responsables conjoints du traitement visé à l'art. 24 L. (art. 6 OS)

• Rôles respectifs et responsabilités ;
• Relations vis-à-vis des personnes concernées (point de contact pour l'exercice de leurs droits, etc.).

→ Désignation d’un représentant auprès de l'APDP (à Monaco ou à défaut UE) mentionnée à l'art. 25 L. (art. 7 OS)

• Traitements relatifs à des personnes concernées se trouvant sur le territoire de la Principauté et mis en œuvre par un responsable du traitement ou un sous-traitant établi hors du territoire de la Principauté lorsque les activités de traitement sont liées à l'offre de biens ou de services ou au suivi du comportement de ces personnes.

→ Obligations du sous-traitant envers le responsable du traitement visées à l'art. 26 L. (art. 8 OS)

• Mise à disposition des informations nécessaires pour démontrer le respect des obligations, permettre la réalisation d’audits, y compris des inspections, et contribuer à ces audits.
• Sous-traitance secondaire : en cas d'autorisation écrite préalable générale, information de tout changement, donnant la possibilité au responsable du traitement d'émettre des objections.

→ Fonction de Délégué à la Protection des Données (DPD) exercée sur la base d'un contrat de service avec affectation d'une ou plusieurs personnes physiques en application du 3e alinéa de l'art. 28 L. (art. 9 OS)

• Désignation par contrat de la personne physique qualifiée de contact, dont est informée l'APDP.
• Soumission des personnes physiques affectées aux droits et obligations des DPD.

→ Traitements Police Justice, et relatifs aux données génétiques ou biométriques visés aux art. 64 et 77 L. (art. 10 OS)

• DPD rendu destinataire de l'avis de l'APDP.

→ Un seul DPD désigné par plusieurs personnes morales de droit public ou plusieurs personnes morales de droit privé investies d’une mission d’intérêt général ou concessionnaire d’un service public, application du 2e alinéa de l'art. 29 L. (art. 11 OS)

• Convention de mutualisation.

→ DPD, application des 5e et 6e alinéas de l'art. 30 L. (art. 12 OS)

• Règles internes pour définir et prévenir les conflits d’intérêts ;
• Coordonnées communiquées à l'APDP.

→ Mesures de sécurité, application de l'art. 31 L. (art. 13 OS)

• Personne physique agissant sous l’autorité du responsable du traitement ou du sous-traitant ayant accès à des données à caractère personnel ;
• Cas spécifique des traitements qui comportent des données sensibles, ou qui relèvent des art. 64 (Police Justice), 77 (données génétiques ou biométriques) et 91 L. (sûreté de l'Etat et sécurité nationale)

→ Violation de données à caractère personnel, application de l'art. 32 L. (art. 14 OS)

• Notification à l'APDP au-delà de 72 h (démontrer que "dans les meilleurs délais") ;
• Démontrer qu’il est peu probable que la violation engendre un risque pour les droits et libertés des personnes physiques ;
• Possibilité de communiquer de manière échelonnée les informations accompagnant la notification ;
• Documentation de la violation et vérification de l'APDP ;
• Cas où la communication de la violation aux personnes concernées n'est pas nécessaire, sous réserve du pouvoir de l'APDP de l'exiger.

→ Codes de conduite des associations et organismes professionnels représentant des catégories de responsables du traitement ou de sous-traitants, application de l'art. 33 L. (art. 15 et 16 OS)

• Validation par l'APDP du projet de code, de la modification ou prorogation ;
• Vérification par l'APDP que l’organisme chargé du contrôle du code dispose d’un niveau d’expertise approprié et d’une indépendance au regard de l’objet du code et que ses tâches et ses missions n’entraînent pas de conflit d’intérêts ;
• Mesures à prendre par l'organisme chargé du contrôle (internes et en cas de violation du code).

→ Certification, application de l'art. 34 L. (art. 17 OS)

• Délivrance et retrait des certifications par les organismes de certification agréés par l'APDP, et communication à l'APDP ;
• L'APDP consigne dans un registre tous les mécanismes de certification en matière de protection des données et les met à la disposition du public ;
• Garantie pour le transfert de données à caractère personnel vers un pays, un territoire ou une organisation internationale n'assurant pas un niveau de protection adéquat, dans les conditions de l'art. 98 L.

→ Analyse d’impact, application de l'art. 35 L (art. 18 0S)

• Mesures envisagées pour faire face aux risques y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect de la Loi n° 1.565.
• Voir également l'Arrêté Ministériel n° 2025‑361 du 14 juillet 2025 (liste des critères permettant de déterminer si un traitement est susceptible d'engendrer un risque élevé, déclenchant l’analyse d'impact).

Chapitre III - De l’autorité de protection des données personnelles

→ Section 1 - Des réclamations, application du 1er alinéa de l'art. 39 L. (art 19 OS)

• Réclamations auprès de l'APDP effectuées par écrit sur tout support et en langue française.
  

→ Section 2 - De la nomination des membres de l’autorité de protection des données personnelles, application de l'art. 40, 42 L. (art. 20 à 22 OS)

• Propositions de nouveaux membres ou de renouvellement adressées au Ministre d'Etat six mois avant l’expiration du mandat ;
  
• Hypothèses où le président, le vice-président, un membre cesse ou n’est plus en mesure d’exercer ses fonctions ;
• Cas d’agissement grave constitutif d’un manquement fautif d’un membre (procédure contradictoire, décision de révocation, nomination d'un nouveau membre).

→ Section 3 - Des séances de l’autorité de protection des données personnelles, application des art. 41, 46 L. (art. 23 OS)

• Quorums de délibération ;
  
• Majorités d'adoption des décisions ;
• Participation aux débats d'une personne ou d'un expert choisi par le Président ;
• Procès-verbal de séance.

→ Section 4 - De la formation restreinte, application de l'art. 41 L. (art. 24 et 25 OS)

• Hypothèses où un membre élu au sein de la formation restreinte, le président de la formation restreinte cesse ou n’est plus en mesure d’exercer ses fonctions ;
  
• Cas de situation de conflit d’intérêt d’un membre de la formation restreinte, hors Président ;
• Convocation, réunion et délibération.

→ Section 5 - Du fonctionnement de l’autorité de protection des données personnelles, application de l'art. 44 L. (art. 26 à 31 OS)

• Délégation de signature du président de l'APDP au secrétaire général ;
• Contenu du règlement intérieur de l'APDP ;
• Recrutement du personnel de l'APDP, contrat d'engagement ;
• Contrôle financier a posteriori de légalité des dépenses de l'APDP ;
• Bilan comptable annuel communiqué au Ministre d’État.

→ Section 6 - Du contrôle de la mise en œuvre des traitements, application des art. 46, 47 et 48 L. (art. 32 à 41 OS)

• Recours à un ou plusieurs investigateurs lorsque la délibération porte sur une opération de vérifications qui nécessite une connaissance et une technicité particulière ;
  
• Prévention du conflit d'intérêt des agents de l'APDP ou investigateurs ;
• Mission d’investigation (délibération, lettre de mission) ;
• Modalités du contrôle sur place, procès-verbal journalier de contrôle, Ordonnance du Président du Tribunal de première instance saisi sur requête en cas d'opposition aux vérifications et investigations ;
• Procès-verbal en cas d'usage d’une identité d’emprunt pour mener à bien le contrôle d’un service de communication en ligne d’un responsable du traitement ou d’un sous-traitant ;
• Convocation à une audition, modalités de l'audition (enregistrement, visioconférence ou audioconférence, procès-verbal, etc.

→ Section 7 - Des mesures correctrices et des sanctions, application des art. 34, 38, 50, 51, 56 L. (art. 42 à 50 OS)

• Non communication de l'identité de l’auteur de la réclamation ou de la plainte au responsable du traitement ou au sous-traitant, à moins que cela ne soit nécessaire à la cessation du ou des manquements allégués ;
• Modalités de la mise en demeure ;
• Modalités relatives au rapport établi par l'un des membres de l'APDP, hors formation restreinte, désigné par le président, lorsque la mise en demeure faite au responsable du traitement ou son sous-traitant de se mettre en conformité est demeurée infructueuse ou lorsque le manquement n'est pas susceptible de faire l'objet d'une mise en conformité ou que l'intéressé ne respecte pas les obligations de la Loi n° 1.565 (sur la base duquel la formation restreinte est saisie) ;
• Procédure d'instruction ;
• Convocation, séance, décision de la formation restreinte ;
• Cas d’inexécution totale ou partielle ou d’exécution tardive d’une obligation de mise en conformité assortie d’une astreinte ;
• Saisine de la formation de restreinte dans le cas où un organisme de certification agréé ou un organisme certifié, ou un organisme chargé du respect d’un code de conduite, a manqué à ses obligations ou n’a pas respecté les dispositions de la Loi n° 1.565 ;
• Saisine de la formation restreinte dans le cas où le non-respect des dispositions de Loi n° 1.565 entraîne une violation des libertés et droits fondamentaux et que l'urgence le justifie.

Chapitre IV - Traitements soumis à formalités préalables

→ Section 1 - Dispositions générales, application des art. 59, 60, 63, 100 L. (art. 51 à 58 OS)

• Formalités des demandes d'avis (traitements Police Justice à l'exception des traitements mis en œuvre par l'autorité judiciaire pour les besoins des procédures diligentées devant les diverses juridictions et des procédures d'entraide judiciaire internationale ; données génétiques ou biométriques ; recherche dans le domaine de la santé) et des demandes d'autorisation (transfert de données à caractère personnel vers un pays, un territoire ou une organisation internationale ne répondant pas aux exigences fixées aux art. 97 à 99 L.) adressées à l'APDP ;
• Informations contenues dans la Liste des traitements ayant fait l'objet de ces formalités, mis à la disposition du public par l’APDP.

→ Section 2 - Des traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces (Police Justice), application des art. 74, 75, 76, 95 L. (art. 59 à 63 OS)

• Mise en œuvre du droit d’accès qui s'exerce indirectement auprès de l'APDP ;
• Mise en œuvre des droits de rectification et d’effacement qui s'exercent directement auprès du responsable du traitement ;
• Transfert de données à caractère personnel relatif aux traitements Police Justice (ou traitements mis en œuvre dans le cadre des dispositions des art. 9 à 15 et 18 de la loi n° 1.430 du 13 juillet 2016 - sûreté de l'Etat et sécurité nationale) vers un pays, un territoire ou une organisation internationale, n'assurant pas un niveau de protection des données adéquat : contenu de la documentation du transfert ; mise à disposition de la documentation sur demande de l'APDP (ou Commission Spéciale de Sécurité Nationale "CSSN").

→ Section 3 - Des traitements relatifs à la recherche dans le domaine de la santé, application de l'art. 78 L. (art. 64 OS)

• Consultation (facultative) de la Direction de l’Action Sanitaire ("service public compétent dans le domaine de la santé") préalablement au prononcé de l'avis de l'APDP.
  

Chapitre V - Dispositions particulières à certains traitements

→ Section unique - Des traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, application de l'art. 81 L. (art. 65 et 66 OS)

• Traitements de données personnelles mis en œuvre à des fins archivistiques dans l’intérêt public : garanties appropriées déterminées par les dispositions législatives et réglementaires relatives aux archives, et assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.
• Traitements à des fins de recherche scientifique ou historique ou à des fins statistiques, et aux données qui en sont issues : liste des personnes autorisées à y accéder, les modifier le cas échéant, et garanties appropriées relatives à la diffusion.

Chapitre VI - Transferts de données à caractère personnel

→ Evaluation de l'adéquation, mise à jour de la liste des pays présentant le niveau de protection adéquat, application de l’art. 97 L. (art. 67 OS)

• Critères dont il est tenu compte pour constater si un pays, un territoire ou une organisation internationale dispose d’une législation ou d’une réglementation présentant le niveau de protection adéquat ;
• Mise à jour de la liste des pays, territoires ou organisations internationales disposant d’un niveau de protection adéquat.

→ Mécanisme de certification, code de conduite, règles d’entreprise contraignantes, application de l'art. 98 L. (art. 68 à 70 OS)

• Mécanisme de certification ou code de conduite : engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays, le territoire ou l’organisation internationale destinataire d’appliquer les garanties appropriées contenues dans ces instruments, y compris en ce qui concerne les droits des personnes concernées ; transmission de cet engagement à l’APDP.
• Règles d’entreprise contraignantes approuvées par l'APDP : doivent conférer expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel ; liste des points sur lesquels elles doivent a minima porter ; modification soumise à l'approbation de l'APDP.
• Règles d’entreprise contraignantes approuvées par une autorité chargée de la protection des données relevant d'un État qui assure un niveau de protection adéquat : l’ensemble des garanties monégasques doivent être effectives ; un transfert ne peut se fonder sur celles-ci que si les droits bénéficient aux personnes concernées dont les données sont collectées dans la Principauté et si les mécanismes garantis par l’intervention d’autorité de contrôles sont utilisables par l'APDP.

→ Intérêts légitimes impérieux poursuivis par le responsable du traitement, application du chiffre 3 de l’art. 99, art. 27 L. (art. 71 OS)

• Information de la personne concernée du transfert, des intérêts légitimes impérieux poursuivis et des garanties appropriées qui ont été prises ;
• Communication de ces informations à l'APDP ;
• Documentation, dans les registres des activités de traitement, de l’évaluation ainsi que des garanties appropriées.

* * *