MONACO - LES TRANSFERTS INTERNATIONAUX DE DONNÉES PERSONNELLES
✅ La loi n°1.565 du 3 décembre 2024 instaure de nouvelles obligations pour les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. À l'instar du RGPD, la loi recherche un équilibre entre la nécessaire circulation des données et le respect des droits et libertés fondamentaux des individus. Plusieurs mécanismes permettent d'effectuer ces transferts (décision d'adéquation, garanties appropriées, dérogations...).
✅ La délibération n°2025-002 du 22 janvier 2025 de l'Autorité monégasque de Protection des Données personnelles (APDP) applique les nouvelles dispositions pour une demande de transfert vers les États-Unis. L'APDP rappelle que la liste des pays reconnus comme ayant une législation adéquate en matière de protection des données diffère entre l'UE et la Principauté. Les CCT de la Commission européenne ne peuvent se confondre avec les CCT prévues à l'article 98 de la loi n°1.565. Ces clauses doivent être analysées comme des clauses spécifiques telles que prévues à l'article 100 de la loi, soumettant le transfert à l'autorisation préalable de l'APDP.
I. La loi n°1.565 du 3 décembre 2024 (les transferts de données)
La libre circulation de l’information sans considération des frontières constitue un enjeu majeur dans le contexte de la mondialisation des échanges et dans une économie de plus en plus numérique.
À l’instar du RGPD, la loi n°1.595 permet la libre circulation des données dès lors qu’une protection appropriée des personnes à l’égard du traitement des données est assurée. L’idée est de trouver un équilibre entre la nécessaire circulation des données et le respect des droits et libertés fondamentaux des individus.
Selon l’article 96 de la loi n°1.595, “un transfert ne peut avoir lieu que si, sous réserves des autres dispositions de la loi, les conditions définies (dans le Chapitre VIII) sont respectées par le responsable de traitement et le sous-traitant”.
Les transferts internationaux sont strictement conditionnés afin que le niveau de protection des personnes physiques garantis par la loi monégasque “ne soit pas compromis” (art. 96).
Ces règles s’appliquent non seulement au transfert initial, mais également aux transferts ultérieurs. Elles s’appliquent tant aux responsables de traitement (RT) qu’aux transferts entre RT et sous-traitants (ST).
Le non respect des règles relatives aux transferts de données peut être sanctionné par une amende administrative allant jusqu’à 10.000.000 d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le plus élevé étant retenu).
Il existe différents fondements juridiques sur la base desquels un transfert vers un pays ou une organisation internationale peut être réalisé : décision d’adéquation (art. 97) ; garanties appropriées (art. 98) ; dérogations (art. 99 §1 et 2); intérêts légitimes impérieux du responsable du traitement (art. 99 §3); autorisation de l’Autorité de Protection des Données Personnelles (art. 100). Ces différents fondements entretiennent un rapport de subsidiarité (voir document PDF).
II. La délibération n°2025-002 (une application des mécanismes de la loi n°1.565)
La succursale monégasque d’une société ayant pour activité la réalisation d’opérations de banque et de bourse a soumis une demande de traitement automatisé de données personnelles ayant pour finalité la “mise en place d’un dispositif d’alertes professionnelles” ainsi qu’une demande d’autorisation de transfert vers les États-Unis afin de permettre à une entité du groupe d’accéder aux alertes qualifiées “sanctions et embargos OFAC”.
Les demandes d’autorisation n’ayant pas pu être analysées par la CCIN avant l’entrée en vigueur de loi n°1.565 du 3 décembre 2024, l’APDP a, conformément à la nouvelle législation (art. 110), informé le responsable de traitement de ses nouvelles obligations, en particulier celles relatives aux transferts de données.
L’APDP constate que le transfert s’effectue sur la base d’un Data Transfert Agreement encadré par des clauses contractuelles types CCT de l’union européenne.
Si les CCT de l’Union européenne apportent aux personnes concernées une garantie relevant des plus hauts standards en matière de protection des données personnelles, les garanties et droits ouverts par les CCT présentent, selon l’APDP, des limites pour les données et les personnes concernées de Monaco.
Ces clauses ne doivent pas se confondre avec les CCT prévues à l’article 98 de la Loi n°1.565 et doivent donc s’analyser en des clauses spécifiques telles que prévues à l’article 100, soumettant le transfert à l’autorisation préalable à l’APDP.
L’APDP rappelle que liste des pays reconnus comme ayant une législation adéquate en matière de protection des données personnelles diffère entre l’Union européenne et la Principauté (les États-Unis ne figurent pas sur la liste de l’Autorité de protection monégasque).
Toutes les prérogatives offertes aux personnes par les CCT de l’Union européenne ne sont ouvertes que sur le territoire européen (lieu d’exercice des droits, droit applicable pour exercer un recours, Autorité de contrôle permettant l’accompagnement dans l’exercice des droits, information par l’importateur de l’Autorité de contrôle en cas de violation de données personnelles...).
Pour l’APDP, il est nécessaire que des clauses permettant de s’assurer de l’effectivité de ces droits en Principauté soient adoptées entre la société monégasque et le destinataire des données et que ces clauses lui soient transmises.
L’APDP précise qu’en vertu de la décision d’exécution (UE) 2021/914 de la Commission européennes du 4 juin 2021 relative aux CCT, le responsable de traitement est libre d’ajouter des clauses complémentaires “ à condition que celles-ci ne contredisent pas, directement ou indirectement, les CCT et qu’elles ne portent pas atteinte aux droits et libertés fondamentaux des personnes concernées”.
Conformément au principe de transparence, les CCT doivent être mises à disposition des personnes concernées qui le demandent.
La délibération est sans préjudice d’éventuels autres transferts de données qui concerneraient des alertes professionnelles (tels que des accès à des fins de maintenance ou sous-traitants ultérieurs du sous traitant mettant à disposition de la société monégasque son outil) et du respect des nouvelles obligations pesant sur la société en vertu de la Loi n°1.565.
J. WATHELET