L’essor du numérique a provoqué des transformations profondes et multiples impactant presque tous les domaines de la vie contemporaine. Si ces évolutions ouvrent de nombreuses opportunités pour améliorer la qualité de vie, elles soulèvent également des défis majeurs nécessitant une attention constante et une adaptation des cadres règlementaires.
En effet, en saisissant les enjeux de ces dynamiques, tous les acteurs concernés peuvent collaborer efficacement au sein du marché numérique tout en limitant les risques inhérents.
La loi du 3 décembre 2024 n°1.565 relative à la protection des données, et publiée au Journal de Monaco le 13 décembre 2024, apparaît ainsi nécessaire pour que la Principauté de Monaco puisse enfin avoir un cadre législatif adapté aux préoccupations actuelles, nées de la prolifération des espaces de circulation, de communication et de consommation.
-
La donnée, une véritable valeur économique
Ces dernières années, de nouveaux défis se sont ajoutés aux obligations traditionnelles liées à l’activité de toute entreprise et, parmi les enjeux majeurs, la protection des données personnelles occupe une place centrale. De plus, permettre aux clients de maîtriser leurs données est désormais un gage de confiance.
La Principauté de Monaco avait déjà pris en considération l’importance de la protection des données au regard de la collecte et du traitement conséquents des données personnelles des utilisateurs permis par le développement de la sphère numérique.
En effet, la loi n°1.165 du 23 décembre 1993 relative à la protection des informations nominatives avait déjà introduit en droit monégasque des règles de protection des données, modifiée en 2008 dans un souci d’adaptation aux évolutions technologiques. Néanmoins, en raison de la rapidité du progrès technologique, Monaco n’était plus en adéquation avec l’ensemble des règles européennes établies. Finalement, l’adoption de nouvelles dispositions était très attendue en Principauté afin de pouvoir affirmer sans détour le solide modèle économique établi.
Ainsi, avec la loi du 3 décembre 2024 relative à la protection des données, il y a une augmentation des obligations pesant sur les responsables du traitement et sur les sous-traitants afin de les responsabiliser de manière durable. L’objectif est d’ainsi permettre un renforcement des droits des personnes que sont notamment le droit à l’information et le droit à l’effacement. Il y a donc un véritable changement de paradigme dans l’approche de la protection des données.
-
Les apports significatifs de la loi n°1.565
La densité d’Internet tend à l’effacement des frontières ce complique particulièrement les contrôles réguliers. Toutefois, la compréhension des risques exige de pouvoir les anticiper afin de limiter les conséquences négatives de certains manquements.
Afin de garantir un contrôle efficace des nouvelles obligations pesant sur les entreprises, la loi institue la création de l’Autorité de Protection des Données Personnelles (APDP), qui succède à la Commission de Contrôle des Informations Nominatives (CCIN). Sa mission principale consistera à assurer la conformité des traitements des données personnelles et à fournir des conseils à l’ensemble des parties prenantes. Dans le but d’assurer un contrôle optimal, la loi confère à la nouvelle autorité des compétences étendues et des pouvoirs de sanction renforcés, équivalent à ceux de ses homologues européens.
La loi prévoit également une suppression des formalités de déclaration ou d’autorisation préalable. Cependant, une vigilance particulière sera notamment accordée aux transferts de données vers des pays à protection insuffisante, et aux traitements de données sensibles.
Toutes ces modifications législatives s’accompagnent également de plusieurs évolutions terminologiques ainsi qu’une harmonisation de plusieurs termes issus du Règlement Général sur la Protection des Données (ci-après RGPD). Cela permet de mieux délimiter le périmètre de certaines obligations tout en permettant une interaction plus fluide entre des structures juridiques différentes. Il y a notamment un abandon de la notion d’ « informations nominatives » au profit de la notion de « données personnelles » qui démontre, ne serait-ce que dans l’intitulé même de la loi récemment adoptée, un changement assumé de la part de la Principauté de suivre minutieusement ce qui est déjà établi afin de se conformer aux plus hauts standards en matière de protection des données personnelles.
-
La mise en conformité avec les standards européens
La loi du 3 décembre 2024 s’inspire de manière substantielle du RGPD entré en vigueur le 25 mai 2018, et ayant pour objectif d’harmoniser les législations des Etats membres de l’Union européenne en matière de protection des données personnelles.
En effet, la loi n°1.565 a vocation à introduire les principes phares du RGPD tels que le consentement, le droit à l’oubli et la portabilité des données de toute personne concernée par le traitement de ses données personnelles. L’objectif vise assurément une protection renforcée des droits des personnes, et de manière parallèle, l’obtention d’une décision d’adéquation de la Commission européenne pour faciliter à terme le transfert de données de l’Union européenne vers Monaco. Il est donc intéressant de souligner cet aspect stratégique adopté par Monaco.
Par ailleurs, le RGPD s’applique à toutes les entreprises et les organismes qui traitent des données à caractère personnel dans le cadre des activités de l’une de leurs filiales établie au sein de l’Union européenne ou aux entreprises qui se trouvent établies dans des pays tiers mais proposant des biens et des services à des résidents européens. Ainsi, bien que Monaco soit un pays tiers à l’Union européenne, des liens étroits unissent les deux entités dans divers domaines et, l’ensemble de la réglementation européenne impacte inévitablement la Principauté. De ce fait, il n’est pas surprenant de constater une utilisation aussi prononcée du RGPD.
De plus, le RGPD constitue un levier crucial pour simuler l’innovation, en encourageant les petites entreprises à développer et faire évoluer leurs projets au sein du marché du digital. Dès lors, la souveraineté numérique qui repose notamment sur l’innovation, trouve un écho dans la modernisation du cadre législatif monégasque, impulsée par la loi du 3 décembre 2024. En effet, cette réforme permet de renforcer l’attractivité économique de la Principauté, tout en garantissant une sécurité accrue dans l’utilisation des données personnelles.
Il est également intéressant de constater que la loi n°1.565 reporte également les exigences de la Convention 108+ du Conseil de l’Europe relative à la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, illustrant l’engagement total de Monaco.
Conclusion
La détermination de Monaco à s’adapter aux changements normatifs européens n’est pas un fait nouveau, mais il semble que la loi du 3 décembre 2024 soit venue entériner la modernisation de son cadre législatif, permettant ainsi d’offrir un environnement numérique sécurisé et digne de confiance.
Il sera important de suivre de près l’application des nouvelles dispositions par les entreprises concernées afin d’évaluer leur respect et leur efficacité sur le long terme. En effet, si la loi est d’application immédiate, des délais de mise en conformité sont prévus.
En tout état de cause, l’adoption récente de la loi n°1.565 témoigne une nouvelle fois de l’engagement indéfectible de la Principauté à agir de manière optimale, ce qui se traduit concrètement par la volonté d’offrir les meilleures garanties à ses ressortissants et aux entreprises établies en son sein.
Obligations supplémentaires rajoutées
La loi n°1.165 prévoit un Chapitre IV relatif aux obligations incombant aux responsables des traitements et aux sous-traitants afin d’assurer la conformité du traitement aux principes relatifs à la protection des données de façon effective. En plus, de celles précédemment mentionnées, il sera également nécessaire pour le responsable du traitement de
- Tenir un registre des activités de traitement effectuées et de toutes les catégories d’activités de traitement effectuées pour le compte des responsables de traitement avec des mentions spécifiques ;
- Réaliser, préalablement au traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel dès los que le traitement serait susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées ;
-
Désigner un délégué à la protection des données selon les mêmes critères que ceux prévus par le Règlement Général sur la Protection des Données ;
- Notifier les violations de données personnelles à l’autorité de contrôle.