Cette ordonnance, très attendue, vient traduire dans la pratique les grands principes posés par la loi, en détaillant les modalités concrètes de leur mise en œuvre. Pour les employeurs, il s’agit d’un texte de référence qui précise les obligations à respecter au quotidien et les attentes de l’Autorité de Protection des Données Personnelles (A.P.D.P.).
L’Ordonnance Souveraine n° 11.327 donne donc une portée opérationnelle immédiate à la Loi n° 1.565, en transformant les principes en obligations concrètes et contrôlables.
Pour les employeurs, cela signifie une vigilance accrue sur la gestion des dossiers contenant des données personnelles, la sécurisation des accès et la gestion des incidents.
Exercice des droits des salariés : des procédures clarifiées et sécurisées
La loi n° 1.565 consacre le droit pour toute personne d’accéder à ses données, de les rectifier, de demander leur effacement, la limitation ou de s’opposer à leur traitement. L’Ordonnance Souveraine vient préciser les modalités d’exercice de ces droits : la demande peut être faite par voie postale, électronique ou sur place, avec une obligation pour le responsable du traitement de vérifier l’identité du demandeur et la possibilité, en cas de doute raisonnable, de solliciter des justificatifs complémentaires (y compris, lorsque la situation l’exige, la copie d’un titre d’identité portant la signature du titulaire).
L’Ordonnance Souveraine prévoit également la possibilité pour la personne concernée de mandater un tiers pour agir en son nom, sous réserve de la production d’un mandat précis et de la justification des identités.
Ces précisions sont essentielles pour les employeurs qui doivent adapter leurs procédures internes pour garantir la traçabilité et la sécurité de ces échanges.
Délais et gestion des demandes des salariés : suspension et rejet en cas d’insuffisance
La loi impose un délai d’un mois pour répondre aux demandes des salariés, prolongeable à deux mois en cas de complexité ou de demandes multiples. L’Ordonnance Souveraine détaille que ce délai est suspendu si des informations complémentaires sont demandées au requérant ou si la demande est imprécise, et ce jusqu’à réception des éléments complémentaires qui seront à produire par le requérant dans le délai d’un mois.
En l’absence de réponse par le responsable de traitement dans les délais (et ce en méconnaissance des dispositions de l’article 10 de la loi n°1.565), la demande est réputée rejetée.
Il est rappelé qu’en cas de rejet de sa demande, la loi permet à la personne concernée la possibilité d'introduire une réclamation auprès de l'autorité de protection ou de former un recours juridictionnel de plein contentieux devant le Tribunal de Première Instance.
Cette rigueur procédurale impose aux professionnels de mettre en place des outils de suivi et de gestion des demandes, afin d’éviter tout risque de contentieux.
Sécurité des données des salariés : des mesures techniques et organisationnelles renforcées
La loi pose le principe d’une sécurité adaptée aux risques, mais l’Ordonnance Souveraine va plus loin en listant des mesures concrètes à mettre en œuvre, notamment pour les traitements sensibles ou à grande échelle : contrôle des accès pour une prévention des accès non autorisés, traçabilité des opérations, vérification des transmissions, et capacité à restaurer les systèmes en cas d’incident.
Pour les employeurs en général, cela implique de revoir les politiques de sécurité informatique, de former les équipes et de documenter les mesures prises.
Focus sur la gestion des sous-traitants : transparence et contrôle
La loi impose la formalisation des relations avec les sous-traitants (au sens de la loi n°1.565) par contrat, en exigeant des garanties suffisantes. L’Ordonnance Souveraine précise que le sous-traitant doit permettre la réalisation d’audits, informer le responsable de tout changement de sous-traitant, et que le responsable doit pouvoir s’opposer à ces changements. Cette exigence de transparence et de contrôle est particulièrement importante lorsque la chaîne contractuelle est complexe.
Délégué à la protection des données (DPO) : désignation, indépendance et prévention des conflits d’intérêts
La loi rend la désignation d’un DPO obligatoire dans certains cas, cette désignation étant bien évidemment recommandée dans les autres. L’Ordonnance Souveraine encadre la désignation, la communication des coordonnées à l’A.P.D.P., et impose l’adoption de règles internes pour prévenir les conflits d’intérêts, en interdisant au DPO de cumuler des fonctions qui le conduiraient à déterminer les finalités et moyens du traitement. Les professionnels doivent donc veiller à l’indépendance du DPO et à la clarté de ses missions.
Notification des violations de données : modalités et délais stricts
La loi prévoit l’obligation de notifier toute violation de données à l’A.P.D.P. dans un délai maximum de 72 heures. L’Ordonnance Souveraine précise que si ce délai n’est pas respecté, le responsable doit justifier du retard, et que la notification peut être échelonnée si toutes les informations ne sont pas immédiatement disponibles. Elle détaille aussi la procédure de communication aux personnes concernées, sous le contrôle de l’A.P.D.P. Cette exigence impose la mise en place de procédures d’alerte et de gestion de crise.
Formalités préalables et documentation : formulaires, registres et contrôles
Bien que la loi n°1.565 ait eu pour effet majeur de passer d’un régime d’autorisation/déclaration préalable à un régime de responsabilisation de chaque acteur, certains traitements restent soumis à des formalités préalables. C’est notamment le cas des traitements relatifs aux systèmes de vidéosurveillance installés dans des lieux ouverts ou non au public à des fins de sécurité des biens et des personnes.
L’Ordonnance Souveraine détaille les formalités à accomplir, la liste des informations à fournir, les modalités de dépôt des demandes d’avis ou d’autorisation, et la gestion des modifications. Elle impose également la tenue de registres précis, accessibles à l’A.P.D.P. sur demande, ce qui nécessite une organisation rigoureuse des documents et des traitements.
Pouvoirs de contrôle et de sanction de l’A.P.D.P. : procédure contradictoire et garanties
La loi précise que lorsqu'un manquement constaté est susceptible de faire l'objet d'une mise en conformité, le président de l'autorité de protection prononce à l’égard du responsable de traitement ou du sous-traitant concerné une mise en demeure, dans le délai qu'il fixe. L’Ordonnance Souveraine vient préciser que ce délai ne peut être inférieur à 10 jours à compter de la notification qui lui est faite, sauf urgence. Ce délai pourra, sur demande motivée du responsable de traitement ou du sous-traitant, être prolongé une fois.
Lorsque la mise en demeure est demeurée infructueuse ou si le manquement n’est pas susceptible de faire l’objet d’une mise en conformité ou que l’intéressé ne respecte par la loi, cette dernière prévoit la saisine, par le président de l’autorité de contrôle, d’une formation restreinte qui sera appelée à se prononcer sur une éventuelle sanction. L’Ordonnance Souveraine organise les modalités de saisine de cette formation restreinte ainsi que le respect du contradictoire.
L’Ordonnance Souveraine encadre également la publicité des décisions et la protection de l’identité des plaignants.
Il est rappelé que la violation de la loi peut conduire à l’application d’une amende administrative ne pouvant excéder 10.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu) (ces sommes étant susceptibles d’être rapportées à 5.000.000 euros et 2% selon la nature du manquement), en sus de l’astreinte prononcée par la formation restreinte de l’autorité de la protection le cas échéant.
Les professionnels doivent anticiper ces contrôles et préparer leur documentation en conséquence.
Transferts internationaux de données : documentation et garanties
La loi encadre strictement les transferts de données hors de Monaco. Il est rappelé que ledit transfert ne peut être opéré – sous réserve du respect des autres dispositions de la loi – que vers un pays, territoire ou organisation disposant d’une législation ou d’une réglementation présentant un niveau de protection adéquat ; ou sous réserve que des garanties appropriées aient été mises en place (clauses types de protection approuvées par l’autorité, règles d’entreprises contraignantes approuvées par l’autorité, certification, adhésion à un code de conduite approuvé et publié par l’autorité de contrôle, respect d’un engagement international exécutoire en Principauté).
L’Ordonnance Souveraine précise les critères d’adéquation, les engagements à prendre en cas de transfert vers un pays non adéquat, et la documentation à tenir à disposition de l’A.P.D.P. Les professionnels doivent donc vérifier la conformité de leurs flux transfrontaliers et, le cas échéant, mettre à jour leurs contrats et procédures.
