Monaco : Nouvelle loi relative à la protection des données personnelles
Le 28 novembre 2024, lors d’une séance législative, les membres du Conseil National ont eu l’opportunité de se prononcer sur le Projet de loi monégasque n°1.054 relative à la protection des données personnelles.
L’adoption à l’unanimité du Projet de Loi n°1.054 abroge la loi monégasque relative à la protection des données personnelles qui était actuellement en vigueur, à savoir, la Loi n°1.165 du 23 décembre 1993.
Cette nouvelle loi comprend 118 articles qui s’appliquent autant au secteur privé qu’au secteur public.
Objectif de la nouvelle loi : s’aligner aux standards du RGPD
L’objectif est de garantir à Monaco un niveau de protection élevé des données personnelles, équivalent aux standards européens. En alignant la Principauté sur les exigences des normes européennes définies par le Règlement Général sur la Protection des Données (RGPD), il serait possible que la Commission européenne réévalue Monaco et lui accorde un niveau de protection adéquat dans les mois à venir.
Des changements importants :
L’adoption du Projet de loi n°1.054 relative à la protection des données personnelles engage de nombreux changements. En effet, la nouvelle loi renforce les obligations pour les responsables de traitement et les sous-traitants tout en allégeant les formalités à réaliser jusqu’alors auprès de l’autorité de contrôle monégasque.
Un nouveau champ d’application :
- Une nouvelle terminologie, utilisation du terme « données personnelles » au lieu de celui d’« informations nominatives ».
- Élément de liste #2
- Élément de liste #3
- Une nouvelle terminologie, utilisation du terme « données personnelles » au lieu de celui d’« informations nominatives ».
- La nouvelle loi introduit des définitions précises des termes clés, inspirées du RGPD.
- L’introduction du statut du sous-traitant, déjà présent dans le RGPD, mais non défini clairement dans la Loi n°1.165 de 1993.
- De nouveaux critères de champ d’application du texte.
- Un renforcement des exigences relatives au consentement qui doit être « libre, spécifique, éclairé et univoque ».
- Une simplification des formalités à effectuer auprès de l’Autorité de contrôle.
Une meilleure protection des personnes à Monaco :
La Loi n° 1.054 introduit de nouveaux droits pour les personnes concernées :
- Droit à l’effacement > obtenir, dans les meilleurs délais, du responsable du traitement, l’effacement, de ses données à caractère personnel.
- Droit à la portabilité > recevoir les données personnelles fournies par une personne à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle.
- Droit à la limitation du traitement > obtenir du responsable du traitement la limitation du traitement lorsque l’exactitude des données est remise en cause, le traitement est illicite, le responsable du traitement n’a plus besoin des données aux fins du traitement ou lorsque la personne concernée s’est opposée au traitement.
- Droit de rectification > faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu'ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l'utilisation, la communication ou la conservation est interdite
Bien entendu, la personne concernée conserve les droits préexistants dans la Loi n°1.165, à savoir, le droit d’accès et le droit d’opposition.
Des obligations renforcées pour les responsables de traitement et les sous-traitants :
- La notification des personnes par le responsable de traitement en cas de violations de données personnelles.
- La tenue rigoureuse d’un registre de traitement pour chacun des traitements effectués.
- La réalisation d’analyse d’impact relative à la protection des données (AIPD) lorsque cela est nécessaire.
- L’obligation, selon certains critères, de nommer un Délégué à la Protection des Données (DPO) dont les missions et les fonctions sont définies.
Une nouvelle autorité de contrôle :
L’Autorité de Protection des Données Personnelles (APDP) succède à la Commission de Contrôle des Informations Nominatives (CCIN).
Rôle de la nouvelle autorité
L’APDP une nouvelle autorité avec des pouvoirs d’investigation, de contrôle et de sanction :
- Mener des vérifications et des investigations.
- Accéder aux locaux où sont mis en œuvre les traitements de données.
- Demander la communication de tout document pertinent
- Prononcer des avertissements, des mises en demeure, des limitations de traitement, des interdictions de traitement, des amendes administratives.
Des sanctions plus impactantes en cas de non-conformité :
S’agissant des sanctions en cas de manquement à la législation, la Loi n°1.054 prévoit de lourdes amendes administratives, tout comme ce que prévoit déjà le RGPD à l’échelle européenne et la formation restreinte pourra décider de rendre publiques les sanctions prononcées.
- Amende maximale de 5 000 000 euros ou 2% du chiffre d’affaires annuel mondial pour des manquements à diverses obligations, notamment à la coopération avec l’autorité de protection, ou à la notification des violations de données.
- Amende maximale de 10 000 000 euros ou 4% du chiffre d’affaires annuel mondial pour des infractions plus graves, comme le non-respect des principes de licéité du traitement, des droits des personnes concernées ou des transferts de données.
Un rendez-vous ACTIS pour en savoir plus :
Les experts ACTIS, vous propose le 18 décembre une visioconférence de décryptage et d’échange autour de la nouvelle loi. Inscrivez-vous gratuitement dès maintenant à : event.groupetelis@telis.mc