Transferts de données
Les échanges de données entre les pays peuvent être définis comme des transferts de données personnelles. Avec la mondialisation des relations commerciales et le recours exponentiel à l’externalisation, on assiste à une multiplication des transferts de données personnelles. Le transfert peut s’effectuer, par copie, par déplacement de données par l’intermédiaire d’un réseau ou d’un support à un autre (ex : d’un disque dur d’ordinateur à un serveur).
La législation monégasque distingue deux sortes de transferts de données qui sont soumis à des régimes différents.
Les transferts de données vers des pays assurant « un niveau de protection adéquat »
Les pays disposant d’un niveau de protection adéquat au sens de l’article 20 de la loi n° 1.165 modifiée, sont, à ce jour, les Etats Parties à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe, dite Convention 108, soit :
- Albanie, Allemagne, Andorre, Autriche,
- Belgique, Bosnie-herzégovine, Bulgarie,
- Chypre, Croatie,
- Danemark,
- Espagne, Estonie,
- Finlande, France,
- Géorgie, Grèce, Guernesey
- Hongrie,
- Irlande, Islande, Italie, Ile de Man,
- Jersey,
- Lettonie, Liechtenstein, Lituanie, Luxembourg,
- Ex-République yougoslave de Macédoine, Malte, Moldavie, Monténégro,
- Pays-Bas, Pologne, Portugal,
- République tchèque,
- Roumanie, Royaume Uni,
- Serbie, Slovaquie, Slovénie, Suisse.
Les transferts de données à destination de ces pays ne sont pas soumis à l’autorisation de la CCIN. Ils doivent néanmoins être déclarés dans le dossier de formalité.
Les transferts de données vers des pays n’assurant pas « un niveau de protection adéquat »
> Les transferts soumis à autorisation de la CCIN
Par principe, le transfert de données vers un pays ne disposant pas d’un niveau de protection adéquat est interdit, sauf autorisation de la CCIN.
La demande d’autorisation de transfert de données s’effectue par le biais d’une annexe spécifique devant impérativement être jointe au dossier de formalités.
Un transfert de données hors pays assurant un niveau de protection adéquat, comme une communication de données à un tiers sur le territoire monégasque, constitue un traitement de données à caractère personnel conformément à l’article 1er alinéa 3 de la loi n°1.165. Il est soumis à ce titre à l’ensemble des dispositions de la loi :
- tout transfert de données vers l’étranger doit avoir une finalité déterminée, explicite et légitime ;
- les données transférées ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité ;
- les données transférées doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont transférées ;
- les personnes dont les données doivent être transférées doivent être informées de l’existence de ce transfert ;
- la durée de conservation des données transférées ne doit pas être excessive.
> Les transferts exempts d’autorisation
Le transfert d’informations nominatives vers un pays ou un organisme n’assurant pas, au sens du deuxième alinéa de l'article 20, un niveau de protection adéquat peut toutefois s’effectuer, sans autorisation, si la personne à laquelle se rapportent les informations a consenti à leur transfert ou si le transfert est nécessaire :
- à la sauvegarde de la vie de cette personne ;
- à la sauvegarde de l’intérêt public ;
- au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
- à la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ; à l’exécution d’un contrat entre le responsable de traitement ou son représentant et l’intéressé, ou de mesures pré-contractuelles prises à la demande de celui-ci ;
- à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement ou son représentant et un tiers.
