Les formalités

Toute personne morale de droit public et organismes assimilés désirant exploiter un traitement automatisé contenant des informations nominatives doit au préalable effectuer des formalités auprès de la CCIN. Elle doit remplir un dossier de demande d’avis ou d’autorisation.

Pour les personnes morales de droit public

La procédure de la demande d’avis

Le dossier de demande d’avis, accompagné d’annexes et de tout document explicatif pouvant permettre à la Commission d’apprécier la licéité, la sécurité du traitement et la qualité des informations nominatives doit être adressé à la CCIN en RAR ou déposé à son secrétariat contre-reçu.

Lorsque le dossier est incomplet, il est retourné au responsable de traitement pour régularisation.

Dans le cas où le dossier est recevable, la Commission dispose de deux mois à partir de la date de la réception du dossier pour rendre son avis. Ce délai peut être renouvelé une fois pour une durée identique.

Après analyse du dossier, si la Commission prononce un avis favorable, le traitement ne pourra être mis en œuvre par le responsable de traitement qu’après publication au Journal de Monaco de l’avis de la CCIN accompagné de la décision de mise en œuvre prise par ce dernier.

Si la Commission formule un avis défavorable, le responsable de traitement ne pourra mettre en œuvre son traitement qu’après y avoir été autorisé par Arrêté Ministériel motivé.

Les personnes morales de droit public sont exclusivement soumises
au régime de la demande d’avis !

En cas de transfert de données hors protection adéquate

Les transferts soumis à autorisation

Ce régime concerne uniquement les traitements comportant des transferts de données vers des pays ne disposant pas d’un niveau de protection adéquat, c’est-à-dire d’une législation équivalente à la législation monégasque en matière de protection des informations nominatives.
Liste des pays disposant d'un niveau de protection adéquat.

Les transferts de données doivent être précisés dans une annexe intitulée « demande d’autorisation de transfert de données » qui doit être jointe au dossier de demande d’avis.

Après instruction de la demande d’autorisation de transfert, la Commission autorisera ou pas ledit transfert de données.

En cas de refus d’autorisation, le transfert ne pourra en aucun cas avoir lieu.

Pour les personnes morales de droit privé assimilées au secteur public

Ces organismes peuvent être soumis à 2 procédures distinctes : 

  • la procédure de la demande d’avis
  • la procédure de la demande d’autorisation

La procédure de la demande d’avis

Cette procédure est la même que celle prévue pour les personnes morales de droit public.

La procédure de la demande d’autorisation

  Sont soumis à l’autorisation de la Commission tous les traitements exploités par les sociétés privées investies d’une mission d’intérêt général et les organismes concessionnaires d’un service public :

  • portant sur des soupçons d’activités illicites, des infractions, des mesures de sûreté ;
  • comportant des données biométriques nécessaires au contrôle de l’identité des personnes ;
  • mis en œuvre à des fins de surveillance.

Lorsque le dossier d’autorisation est établi, il doit être adressé, accompagné de ses annexes et de tout document explicatif, à la CCIN par courrier RAR ou déposé au secrétariat contre-reçu.

Lorsque ce dernier est déclaré incomplet, il est retourné au responsable de traitement pour régularisation. Dans le cas où le dossier est recevable, la Commission dispose de deux mois (hors transfert) à compter de la date de réception pour statuer. Ce délai peut-être renouvelé une fois pour une durée identique.

Après analyse du dossier, si la Commission donne son autorisation, le responsable de traitement peut légalement exploiter le fichier automatisé concerné.

Cette autorisation peut néanmoins être assortie de conditions particulières dont il convient impérativement de tenir compte. Elle peut, en effet, être retirée à tout moment en cas de manquement aux dispositions de la loi n°1.165, modifiée.

Si la Commission formule un refus d’autorisation, le traitement ne pourra pas être mis en œuvre et aucune opération ne pourra être réalisée.

En cas de transfert de données hors protection adéquate

La démarche est identique que celle pour les personnes morales de droit public.