Le Règlement Général sur la Protection des Données (RGPD) et son impact à MONACO

Version du 14 juin 2018 Le Règlement général sur la protection des données 2016/679 (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen relatif au traitement et à la circulation des données à caractère personnel. Ce texte, applicable à partir du 25 mai 2018, qui uniformise les législations des Etats membres de l’Union européenne en matière de données personnelles, a vocation à donner à l’ensemble des résidents de l’Union européenne plus de contrôle sur leurs données personnelles, à responsabiliser davantage les responsables de traitements tout en réduisant leurs formalités préalables auprès des régulateurs et à renforcer le rôle des Autorités de protection des données.

A qui s’applique le RGPD ?

  • Champ d’application matériel
En vertu de l’article 2 du RGPD, le texte concerne toutes les données personnelles se rapportant à des personnes physiques identifiées ou identifiables, que le traitement soit mis en œuvre par une personne physique ou morale de droit public ou privé.

Il ne s’applique pas en revanche :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

b) aux États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne, à savoir les dispositions spécifiques concernant la politique étrangère et de sécurité commune ;

c) à une personne physique dans le cadre d’une activité strictement personnelle ou domestique ; 

d) aux Autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. 
 
  • Champ d’application territorial 
Le RGPD s’applique également, en vertu du critère d’établissement, au traitement de données effectué dans le cadre des activités d’un responsable de traitement ou d’un sous-traitant situé sur le territoire de l’Union européenne, que le traitement ait lieu ou non dans l’Union.

De plus, le RGPD s’applique, en vertu du critère de ciblage, au traitement de données relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable de traitement ou un sous-traitant qui n’est pas établi dans l’Union lorsque les activités du traitement sont liées :

  • A l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non, ou
  • Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Exemple : Vous êtes une société uniquement établie à Monaco et vous ne ciblez pas de personnes au sein de l’Union européenne : vous n’êtes pas concerné par le RGPD.

NB : Contractualiser avec des salariés qui résident sur le territoire de l’Union européenne, pour les besoins d’une société installée à Monaco, ne s’analyse pas en une offre de biens ou de services à des personnes situées sur le territoire de l’Union européenne.

La Loi n° 1.165 du 23 décembre 1993 continue-t-elle à s’appliquer en Principauté ?

OUI  Dans l’attente de la réforme de la législation nationale, la protection des données personnelles en Principauté continue à être régie par la Loi n° 1.165 du 23 décembre 1993.

En vertu de ce texte, toute entité publique ou privée désirant exploiter un traitement automatisé d’informations nominatives doit au préalable obligatoirement effectuer des formalités auprès de la CCIN. Celles-ci sont au nombre de 5 : déclaration simplifiée, déclaration ordinaire, demande d’autorisation, demande d’avis et demande d’autorisation de transfert.

La Principauté de Monaco est-elle impactée par le RGPD ?

OUI Un responsable de traitement ou un sous-traitant situé à Monaco peut, en plus des obligations prévues par la Loi n°1.165 du 23 décembre 1993, être également soumis aux obligations prévues par le RGPD en vertu des deux critères prévus à l’article 3 dudit texte sur le champ d’application territorial.

  • Critère d’établissement : 
  • Le responsable de traitement ou le sous-traitant est à Monaco mais a un établissement dans l’Union européenne. Le RGPD s’applique alors dans le cadre des activités de cet établissement, que le traitement ait lieu ou non dans l’Union.
Exemple : Une société monégasque a une succursale en France, le RGPD s’applique aux activités de cette succursale, même si le traitement est effectué par la société du siège à Monaco.
 
Le Considérant 22 du RGPD précise que « L’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. » 

Exemple : Une société monégasque héberge à Monaco des données personnelles pour le compte d’une société française en vertu d’un contrat de sous-traitance. Le RGPD est applicable à la société monégasque car elle est  sous-traitante d’une  entreprise établie dans l’Union européenne.           
  • A l'inverse le fait pour une entreprise située à Monaco d'avoir recours à un prestataire situé sur le territoire de l'Union européenne ne suffit pas à lui seul à soumettre cette entreprise au RGPD. Toutefois le sous-traitant sera pour sa part soumis au RGPD en application du critère d'établissement.
  • Critère de ciblage :
  • Dès lors qu’un responsable de traitement (ou bien un sous-traitant ) situé à Monaco offre des biens ou des services à des personnes se trouvant au sein de l’Union européenne, il devra respecter les nouvelles obligations du RGPD.

Exemple : Une société monégasque vend des produits à des personnes domiciliées en France et en Italie par le biais d’un site de vente en ligne disponible en français et en italien. Le RGPD est alors applicable car ladite société offre des biens et des services à des résidents de l’Union européenne.

Le RGPD n’offre pas de définition de la notion d’offre de biens et de services. En revanche dans son considérant 23, il recommande de prendre en compte un faisceau d’indices comprenant par exemple : «  l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs Etas membres, avec la possibilité de commander des biens et des services dans cette autre langue, la mention de clients ou d’utilisateurs qui se trouvent dans l’Union ».
 
  • Par ailleurs, un responsable de traitement (ou bien un sous-traitant ) situé à Monaco devra également respecter les nouvelles obligations du RGPD dès lors qu’il traite des données personnelles dans un but de suivi du comportement des personnes concernées au sein de l’Union européenne.
Exemple : Une société monégasque crée une application mobile disponible en plusieurs langues (français, anglais, espagnol et italien) qui collecte les habitudes, préférences et loisirs des utilisateurs afin de leur offrir une expérience personnalisée.  Le RGPD est alors applicable car la société a mis en œuvre un traitement visant à suivre le comportement de personnes, dont certaines résident dans l’Union européenne.
 
Le RGPD n’offre pas de définition de la notion de suivi du comportement.  Toutefois, dans son considérant 24, il indique qu’ « il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit ».

Quelles sont les nouvelles obligations des responsables de traitement en vertu du RGPD ?

Le RGPD impose de nouvelles obligations :


Quelles sont les nouvelles obligations du sous-traitant en vertu du RGPD ?

Le contrat entre le responsable de traitement et le sous-traitant doit désormais impérativement préciser les obligations mises à la charge du sous-traitant, à savoir :

  • la désignation d’un représentant dans l’Union Européenne si le sous-traitant n’y est pas établi ;
  • la définition du traitement (objet, durée, nature, finalité, type de données, catégories de personnes concernées, droits et obligations du responsable de traitement) ;
  • le respect par le sous-traitant des exigences de sécurité et de confidentialité des données imposées par le règlement ainsi que l’obligation d’aider le responsable de traitement en vue de garantir le respect par ce dernier de ses obligations à ce titre (notamment sécurité et analyse d’impact) ;
  • l’obligation pour le sous-traitant d’aider le responsable de traitement en cas de violation de données à caractère personnel ;
  • la notification au responsable de traitement de toute violation de données à caractère personnel ;
  • l’obligation pour le sous-traitant d’aider le responsable de traitement pour donner suite aux demandes d’exercice de leurs droits par les personnes concernées ;
  • le traitement des données par le sous-traitant uniquement sur instruction documentée du responsable de traitement ;
  • la nécessité d’une autorisation écrite préalable, spécifique ou générale du responsable de traitement pour le recrutement d’un autre sous-traitant par le sous-traitant (en cas d’autorisation générale, il y a alors une obligation d’information du responsable de traitement de tout changement) ;
  • la suppression par le sous-traitant ou le renvoi des données au responsable de traitement au terme de la prestation ;
  • l’obligation de confidentialité à la charge des personnes autorisées à traiter les données chez le sous-traitant ;
  • l’obligation pour le sous-traitant de mettre à la charge des sous-traitants ultérieurs les mêmes  obligations que celles à sa charge telles que prévues au contrat ;
  • la mise à disposition du responsable de traitement par le sous-traitant des informations nécessaires pour apporter la preuve du respect de ses obligations et permettre la réalisation d’audits.

Que comprend l’obligation générale de sécurité prévue par le RGPD ?

En vertu de l’article 32 du RGPD, le responsable de traitement et le sous-traitant doivent garantir, pour chaque traitement, un niveau de sécurité adapté au risque pour les droits et libertés des personnes concernées. Cette obligation comprend selon les besoins : 

  • la pseudonymisation et le chiffrement ;
  • la mise en place de mesures permettant de garantir la confidentialité, l’intégrité, la disponibilité des systèmes et services de traitement, l’accès aux données ;
  • la mise en œuvre de procédure de test et d’évaluation des mesures techniques et organisationnelles relatives à la sécurité des données. 
Afin de respecter cette obligation, plusieurs moyens peuvent être employés :

  • l’adoption et l’application d’un code de conduite ou d’un mécanisme de certification pour attester du respect de ces exigences ;
  • une rédaction appropriée des contrats, en cas de recours à un prestataire ;
  • des analyses de risques et des audits de sécurité.

Qu’est-ce qu’une violation de données à caractère personnel ?

Il faut entendre par violation de données à caractère personnel, toute violation de sécurité entraînant, accidentellement ou illicitement, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès non autorisé à de telles données.

Que faire en cas de violation de données à caractère personnel ?

  • Notification à l’Autorité de contrôle
En vertu de l’article 33 du RGPD, la notification des violations de données à caractère personnel auprès de l’Autorité de contrôle doit s’effectuer dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance (sauf si  la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques) et devra indiquer :

  • la nature de la violation, le nombre de personnes et de données concernées ;
  • les conséquences ;
  • les mesures prises.
 
  • Notification aux personnes concernées
En vertu de l’article 34 du RGPD, la notification des violations de données à caractère personnel auprès des personnes concernées devra intervenir dans les meilleurs délais, sauf si :

- des mesures techniques et organisationnelles rendant les données incompréhensibles (chiffrement…) ont été prises ;
- des mesures ultérieures empêchant que le risque pour les droits et libertés des personnes se matérialise ont été prises ;
- la communication individuelle implique des efforts disproportionnés.

Une traçabilité des incidents de sécurité doit donc impérativement être mise en place par le responsable de traitement et le sous-traitant.

Qu’est-ce que le registre des activités ?

Le registre des activités est un outil prévu à l’article 30 du RGPD qui comporte une fiche d’identité de chaque traitement et permet de vérifier que la protection des données a bien été envisagée et traitée.

Les rubriques suivantes doivent ainsi figurer au registre :

- les nom et coordonnées du responsable de traitement ;
- les finalités ;
- les catégories de personnes concernées et catégories de données à caractère personnel traitées ;
- les catégories de destinataires ;
- le cas échéant, les transferts de données vers l’étranger.

Par ailleurs, dans la mesure du possible, les délais d’effacement des données et les mesures de sécurité mises en place doivent également figurer au registre.

L’obligation de tenir un registre s’applique pour le responsable de traitement comme pour le sous-traitant.

La tenue de ce registre n’est pas obligatoire pour les entreprises ou les organisations comptant moins de 250 employés, sauf en cas de traitement susceptible de comporter un risque pour les droits et libertés des personnes.

Quand doit-on faire une analyse d’impact ?

Le responsable de traitement doit effectuer une analyse de l'impact des opérations d’un traitement sur la protection des données à caractère personnel avant la mise en œuvre dudit traitement, en particulier en raison du recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, dès lors que celui-ci est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Prévue à l’article 35 du RGPD, cette analyse d’impact est obligatoire :

  • en cas de profilage (caractérisation comportementale permettant d’affiner et de personnaliser les offres de produits et services) ;
  • pour les traitements à grande échelle de données sensibles (origine raciale, ethnique, opinions politique ou syndicale, génétique, biométriques, santé, sexualité) ou de données relatives à des sanctions pénales ou des infractions ;
  • lors de la surveillance systématique à grande échelle d’une zone accessible au public ;
  • pour tout traitement  pour lequel l’analyse d’impact préalable est rendue obligatoire par l’Autorité de contrôle.
Cette analyse d’impact doit comporter :

- une description des traitements ;
- une évaluation de la nécessité et de la proportionnalité des traitements par rapport aux finalités ;
- une évaluation des risques pour les droits et libertés des personnes concernées ;
- les mesures envisagées pour faire face aux risques et les mesures de sécurité visant à assurer la protection des données personnelles.
 

Dans quels cas doit-on désigner un Délégué à la Protection des Données (Data Protection Officer ou DPO) ?

Ce nouvel acteur prévu aux articles 37 et suivants du RGPD est obligatoire, tant pour le responsable de traitement que le sous-traitant, dès lors :

- qu’ils appartiennent au secteur public ;
- que leur activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- que leur activité principale les amène à traiter (toujours à grande échelle) de données dîtes «  particulières » (c’est-à-dire sensibles) ou relatives à des condamnations pénales ou à des infractions.

Ses missions sont les suivantes :
  • informer et conseiller les membres de l’entité quant aux obligations légales en matière de traitement de données ;
  • contrôler le respect du RGPD ;
  • conseiller, sur demande, au sujet des analyses d’impact sur la vie privée et vérifier l’exécution de celles-ci ;
  • coopérer avec l’Autorité compétente de protection des données ;
  • être le point de contact avec cette Autorité sur les questions relatives au traitement, y compris en cas de consultation sur les analyses d’impact sur la vie privée ;
  • être l’interlocuteur des personnes concernées pour toute question relative au traitement de leurs données et l’exercice de leurs droits.

Quelles sont les principales obligations introduites par le RGPD en matière d’information des personnes concernées ?

En vertu des articles 12 et suivants du RGPD,  l’information des personnes concernées est renforcée par deux types d’obligations :
  • une obligation de transparence : les mentions légales qui accompagnent la collecte de données à caractère personnel doivent être clairement visibles et aisément compréhensibles ;
  • un accroissement des informations communiquées aux personnes lors de la collecte de leurs données, que cette collecte soit effectuée directement auprès de la personne concernée ou de manière indirecte, par l’intermédiaire d’un tiers ( par exemple, en cas de location de fichier).

Comment s’exprime le consentement des personnes concernées ?

Conformément à l’article 7 du RGPD, le responsable de traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement des données à caractère personnel la concernant par un « acte positif et clair ». En conséquence :

  • interdiction des cases pré-cochées lors de la consultation d’un site internet ;
  • si un traitement comporte plusieurs finalités : une case à cocher par finalité.
Les preuves du consentement sont à conserver et à archiver.

Le retrait par la personne concernée de son consentement doit être possible à tout moment  sans avoir à en justifier. Par ailleurs, comme pour le recueil du consentement, ce retrait devra être traçable.

Enfin, pour les mineurs de moins de 16 ans, le responsable de traitement doit obtenir le consentement du titulaire de l’autorité parentale pour les traitements de données personnelles des enfants de moins de 16 ans.

Que signifie la notion d’accountability prévue par le RGPD ?

Prévu à l’article 24 du RGPD, ce nouveau principe essentiel du Règlement prévoit l’obligation pour le responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour être en mesure de démontrer que le traitement est effectué conformément au Règlement. Pour cela, le responsable de traitement peut envisager de se soumettre à un code de conduite ou à une certification « approuvés », c’est-à-dire « validés » par l’Autorité de contrôle compétente.

Ces mesures devront être réexaminées régulièrement et actualisées si nécessaire.

Par ailleurs, en vertu de l’article 25 du RGPD,  tout traitement contenant des données personnelles doit garantir, dès sa conception et lors de chaque utilisation  (Privacy by design & by default) , même si cela n’a pas été prévu à l’origine, un niveau élevé de protection de la vie privée et des données des personnes concernées. 

Pour cela, le responsable de traitement doit implémenter les mesures techniques et organisationnelles permettant de :

  • minimiser les données collectées ;
  • limiter la conservation des données à une durée de conservation strictement nécessaire et prévoir des règles de purge automatique desdites données ;
  • contrôler les accès aux données et assurer leur confidentialité ;
  • prévoir les modalités techniques et organisationnelles permettant de répondre à toute demande des personnes concernées.
 

Quels sont les principaux droits de la personne concernée introduits par le RGPD ?

  • le droit à l’effacement ou à l’oubli : Conformément à l’article 17 du RGPD, les responsables de traitement doivent effacer les données « dans les meilleurs délais » lorsque :
    • celles-ci  ne sont plus utiles ;
    • les personnes concernées retirent leur consentement et plus aucun fondement ne justifie leur conservation ;
    • les personnes concernées s’opposent à leur traitement ;
    • le traitement était illégal ;
    • cela est nécessaire pour respecter une obligation légale ;
    • celles-ci ont été recueillies auprès d’un mineur.
 
  • la limitation du traitement : Prévu à l’article 18 du RGPD, ce nouveau droit  permet aux personnes concernées de demander à ce que leurs données ne fassent pas l’objet d’opérations de traitement ultérieures.
  • le droit à la portabilité : Ce nouveau droit prévu à l’article 20 du RGPD permet, dans certains cas, à toute personne concernée de recevoir les données à caractère personnel qu’elle a fournies dans un format structuré, couramment utilisé et lisible par machine et de demander qu’elles soient transmises à un autre responsable de traitement. 
  • le droit à réparation : La personne concernée peut exercer un recours en justice sur la base du non-respect du règlement en vertu de l’article 79 du RGPD. Ce recours peut être effectué parallèlement au dépôt d’une plainte auprès de l’Autorité compétente de protection des données.
 

Quelles sont les sanctions prévues par le RGPD ?

Le RGPD prévoit des amendes administratives de deux niveaux :

  • 1er niveau (art. 83)4) : 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial du contrevenant ; le montant le plus élevé étant retenu. Il s’applique entre autres en cas de non-respect des dispositions relatives au Privacy by design, au Privacy by default ou à l’analyse d’impact.
  • 2ème niveau (art. 83) et 6)) : 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial du contrevenant ; le montant le plus élevé étant retenu. Il s’applique en cas de non-respect du droit des personnes (accès, rectification, droit à l’oubli…etc.) et du non-respect d’une injonction émise par l’Autorité de contrôle.

Quel est l’impact du RGPD sur les transferts de données vers et à partir de Monaco ?

  • Pour les sociétés de l’Union européenne qui souhaitent envoyer des données vers la Principauté : Ces sociétés ne devraient plus avoir de formalités particulières à effectuer auprès de leur Autorité de contrôle dès lors que  des outils permettant de protéger les données sont mis en place entre le responsable de traitement européen et son sous-traitant ou sa filiale, notamment :
    • des Clauses contractuelles-types approuvées par la Commission européenne (art.46) ;
    • des Règles d’entreprise contraignantes (« Binding Corporate Rules ») (art.47) ;
    • un code de conduite approuvé conformément à l’article 40 du RGPD ;
    • un mécanisme de certification approuvé conformément à l’article 42 du RGPD.
 
  • Pour les entreprises qui souhaitent envoyer des données à partir de la Principauté : Ces sociétés restent soumises à la formalité de demande de transfert auprès de la CCIN dès lors qu’elles souhaitent envoyer des données vers un pays ne disposant pas d’un niveau de protection adéquat.

Quelles sont les premières actions à mener afin de se conformer au RGPD ?

Les premières actions à mener pour se conformer au RGPD sont notamment les suivantes :

  • faire une cartographie de ses traitements ;
  • effectuer ses formalités auprès de la CCIN ;
  • déterminer s’il est nécessaire de prendre un représentant dans l’Union européenne ;
  • vérifier si les conditions pour désigner un DPO  sont réunies ;
  • vérifier si les conditions pour mettre en place un registre des activités sont réunies ;
  • effectuer une analyse d’impact si nécessaire ;
  • vérifier les conditions de mise en œuvre des droits des personnes concernées et notamment information et transparence ;
  • se rapprocher de la ou des Autorité(s) de contrôle du ou des pays de l’UE impacté(s) par le traitement concerné.

Liens utiles :

  • Autorités de protection des données :

Pays Union européenne

Belgique : Commission de la protection de la vie privée

https://www.privacycommission.be/fr


France : Commission nationale de l’informatique et des libertés

https://www.cnil.fr


Luxembourg : Commission nationale  pour la protection des données

https://cnpd.public.lu


Pays Hors Union européenne

Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT)

https://www.edoeb.admin.ch


Textes de référence :

  • RGPD dans son intégralité :
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

 

  • Lignes directrices du Groupe 29 de la Commission européenne :
http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358