Connaître vos obligations

Obligation de veiller à la sécurité et la confidentialité des informations

Une obligation de sécurité générale

Conformément à l’article 17 de la loi, le responsable de traitement doit garantir la sécurité et la confidentialité des données. Pour cela, il est « tenu de prévoir les mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé ».

« Les mesures mises en œuvre doivent assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger ».

Dans le cas où le responsable de traitement à un ou plusieurs prestataires, les mesures de sécurité à mettre en place doivent remplir les mêmes conditions.

Par ailleurs, la réalisation de traitements par un prestataire doit être régie par un contrat écrit entre le prestataire et le responsable de traitement qui stipule notamment que le prestataire et les membres de son personnel n’agissent que sur la seule instruction du responsable de traitement et que les obligations liées à la sécurité du traitement lui incombent également.

Une obligation de sécurité renforcée

L’article 17-1 de la loi impose des mesures de sécurité supplémentaires pour les traitements :

  • intéressant la sécurité publique, relatifs aux infractions, condamnations ou mesures de sûreté et/ou ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales (article 11) ;
  • portant sur des soupçons d’activités illicites, des infractions, des mesures de sûreté, comportant des données biométriques nécessaires au contrôle de l’identité des personnes, ou mis en œuvre à des fins de surveillance (article 11-1).

Le responsable de traitement est tenu de prendre des mesures techniques et organisationnelles particulières fixées par Ordonnance Souveraine.

Ces mesures doivent notamment permettre de déterminer nominativement la liste des personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées.

  Le responsable de traitement doit veiller également à ce que les destinataires auxquels les informations traitées sont transmises puissent être clairement identifiés.

Obligation d’information

Pour chaque traitement, les personnes concernées doivent être informées :

  • de l’identité du responsable de traitement et le cas échéant de celle de son représentant à Monaco ;
  • de la finalité du traitement (c’est-à-dire l’objectif pour lequel les données ont été collectées) ;
  • du caractère obligatoire ou facultatif des réponses ;
  • des conséquences de l’absence de réponse ;
  • de l’identité des destinataires ;
  • de leurs droits d’accès et de rectification relatifs aux informations les concernant.

Dans le cas d’une collecte indirecte, le responsable du traitement est tenu de communiquer ces informations, sauf si :

  • la personne concernée est déjà informée ;
  • la communication se révèle impossible ;
  • la communication « implique des mesures disproportionnées au regard de l’intérêt de la démarche » ;
  • « la collecte ou la communication des informations est expressément prévue par les dispositions législatives ou règlementaires ».

Ce droit à l’information ne s’applique pas aux traitements :

  • intéressant la sécurité publique ;
  • relatifs aux infractions, condamnations ou mesures de sûreté ;
  • ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales.

Obligation de garantir le droit d’accès

Le responsable de traitement doit mettre en place les mesures nécessaires afin de garantir, à toute personne concernée par une collecte de données, le droit d’accéder à ses données personnelles.

Ces informations devront être communiquées sous forme écrite, non codée et conforme au contenu des enregistrements dans un délai qui ne peut excéder 30 jours.

   Il n’existe pas de droit d’accès direct pour les traitements mis en œuvre par des autorités judiciaires et administratives intéressant la sécurité publique, relatifs aux infractions, condamnations ou mesures de sûreté et/ou ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales.

Seul un droit d’accès indirect est possible. Celui-ci s’exerce par l’intermédiaire de la CCIN.

Obligation de correction et de suppression des données

Le responsable de traitement doit veiller à la qualité des informations nominatives qu’il traite. Il est tenu de prendre les mesures nécessaires pour les rectifier, les compléter, les mettre à jour lorsqu’elles s’avèrent être inexactes ou incomplètes.

  Il doit également supprimer la forme nominative des informations à l’expiration du délai de conservation fixé par la Commission.