La Principauté de Monaco modernise sa législation sur la protection des données personnelles avec l’adoption de la loi n° 1.565 du 3 décembre 2024. Inspirée du Règlement Général sur la Protection des Données (RGPD) européen, cette réforme ambitieuse renforce les droits des individus et responsabilise davantage les entreprises.
Principaux apports de la loi
- Portée élargie : La nouvelle loi s'applique aux traitements de données personnelles effectués par des responsables de traitement ou sous-traitants établis à Monaco, ainsi qu'à ceux situés hors de la Principauté qui traitent les données de personnes se trouvant sur le territoire monégasque.
- Renforcement des droits des personnes : Les droits des personnes concernées sont considérablement renforcés, incluant le droit à la portabilité des données, le droit à l'effacement, et le droit à la limitation du traitement.
- Création de l'Autorité de Protection des Données Personnelles (APDP) : La loi prévoit la création de l'APDP, qui succède à la Commission de Contrôle des Informations Nominatives (CCIN). Cette nouvelle autorité, composée de 8 membres experts, aura pour missions principales de contrôler la conformité des traitements de données personnelles et de conseiller les responsables de traitement, les sous-traitants et les personnes concernées.
- Suppression des formalités auprès du régulateur : La loi supprime en grande partie les formalités de déclarations ou autorisations préalables à la mise en œuvre des traitements, avec certaines exceptions pour les transferts de données vers des pays ne garantissant pas un niveau de protection adéquat, les traitements de vidéosurveillance dans l'espace public, et les traitements de données particulièrement sensibles ou à risque élevé.
- Désignation d’un Délégué à la Protection des Données (DPO) : La loi impose aux entreprises de désigner un DPO dans certains cas, notamment pour les organismes publics ou lorsque le traitement implique un suivi régulier et systématique à grande échelle des personnes concernées.
- Tenue d’un registre des activités de traitement : Les entreprises d’au moins cinquante salariés doivent tenir un registre des activités de traitement accessible à l’APDP, sauf exceptions.
- Réalisation d’analyses d'impact : Dans certaines situations explicitement visées par la loi ou lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, une analyse d’impact devra être effectuée.
Sanctions en cas de non-respect de la loi
La loi renforce considérablement le régime des sanctions :
- L'APDP aura le pouvoir d'imposer des amendes administratives pouvant atteindre 10 millions d'euros.
- Des sanctions pénales sont également prévues pour les infractions les plus graves.
Ces sanctions visent à assurer une application effective de la loi et à inciter les entreprises à prendre au sérieux leurs obligations en matière de protection des données personnelles.
Application de la loi dans le temps
La nouvelle loi est d’application immédiate, mais prévoit des délais de mise en conformité pour certains responsables de traitement et certaines obligations.
Les responsables de traitement ayant mis en œuvre régulièrement des traitements de données à caractère personnel avant la date d’entrée en vigueur de la présente loi disposent d’un délai d’un an pour se conformer aux nouvelles obligations, notamment la tenue d’un registre des activités de traitement, la désignation d’un DPO, et la mise en œuvre des obligations de sécurité.
Un délai de 3 ans est également accordé pour réaliser les analyses d’impact requises par la loi.
Cette réforme représente une étape majeure pour la protection des données personnelles à Monaco. Il est crucial pour les entreprises de s'y préparer efficacement pour se prémunir contre toutes sanctions.
