Qu’est-ce qu’un responsable de traitement ?
Le responsable de traitement est la personne physique ou morale, de droit privé ou de droit public, l’autorité publique, le service ou tout autre organisme qui détermine, seul ou conjointement avec d’autres, la finalité et les moyens du traitement et qui décide de sa mise en œuvre.
Qu’est-ce qu’une information nominative ?
L’information nominative, sous quelque forme que ce soit, est celle qui permet d’identifier une personne physique déterminée ou déterminable. Est réputée déterminable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propre à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Cette identification peut être faite par référence à un simple numéro identifiant, comme par exemple, un numéro d’assuré social, un numéro de matricule interne, etc. ou à un ou plusieurs éléments spécifiques se rapportant à un individu (prénom, adresse, numéro de téléphone, numéro d’immatriculation de voiture, etc.
Qu’est-ce qu’un traitement automatisé ?
Un traitement automatisé est l’ensemble des opérations portant sur des informations nominatives, que ce soit lors de :
  • la collecte, l’enregistrement, l’organisation, la modification, la conservation, l’extraction, la consultation ou la destruction d’informations ;
  • l’exploitation, l’interconnexion ou le rapprochement, la communication ou la diffusion d’informations ou toute autre forme de mise à disposition.

Un traitement est considéré comme automatisé dès que l’information est traitée par des moyens techniques ou technologiques (ordinateur, badgeuse, vidéosurveillance, etc.

Qu’est-ce qu’un destinataire ?
Le destinataire du traitement est la personne physique ou morale, de droit privé ou de droit public, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données, autre que la personne concernée, le responsable de traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable de traitement ou du sous-traitant, sont habilitées à traiter les données.
Qui est concerné ?
La personne concernée par un traitement d’informations nominatives est celle à laquelle se rapportent les informations qui font l’objet du traitement.
Qu’est-ce que le répertoire des traitements ?

Le répertoire des traitements est un registre public qui recense l’ensemble des traitements automatisés mis en œuvre dans le secteur public et dans le secteur privé. Toute personne intéressée peut consulter le répertoire public des traitements en se rendant directement au secrétariat de la CCIN ou en prenant rendez-vous. Elle pourra alors constater si un traitement informatique a été déclaré, et donc s’il est légal ou pas.

Les traitements intéressant la sécurité publique, relatifs aux infractions, condamnations ou mesures de sûreté et/ou ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales mis en œuvre par une autorité judiciaire ou administrative, ne sont pas inscrits au répertoire public des traitements. Vous ne pouvez donc pas les consulter.

Cependant, pour savoir si de tels traitements existent, vous pouvez vérifier l'Arrêté Ministériel annuel relatif aux traitements automatisés d'informations nominatives mis en œuvre par les personnes morales de droit public, autorités publiques, organismes de droit privé investis d'une mission d'intérêt général ou concessionnaires d'un service public qui est publié au Journal de Monaco avant le 1er avril de chaque année.

Qu’est-ce qu’une donnée sensible ?

Une donnée sensible est une information portant sur une opinion ou une appartenance politique, raciale ou ethnique, religieuse, philosophique ou syndicale, ou encore une donnée relative à la santé, y compris la donnée génétique, à la vie sexuelle, aux mœurs, aux mesures à caractère social (article 12 de la loi).

L’exploitation de ces données est interdite. Un nombre limité d'exceptions à cette interdiction est néanmoins prévues par la loi, dont le consentement écrit et exprès de la personne concernée.

Qu’entend-on par consentement de la personne concernée ?

Le consentement est un terme important dans la législation sur la protection des données : le consentement est l'un des critères permettant de légitimer le traitement de données à caractère personnel.

Le consentement peut être donné oralement, par écrit ou sous toute autre forme appropriée. Avant de pouvoir considérer que la personne concernée a donné librement son consentement à un traitement spécifique, celle-ci doit avoir reçu des informations suffisantes pour être en mesure de comprendre la portée et les conséquences de son consentement, y compris les avantages et/ou désavantages du traitement.

Outre le fait qu'il doit être donné librement, le consentement doit être spécifique et il ne doit y avoir aucun doute quant au fait qu'il ait été donné ou non. Par ailleurs, le consentement est strictement lié au traitement dont la personne concernée a été informée. Il ne peut, par la suite, faire l'objet d'une extension accordée par quelqu'un d'autre et ne peut donc jamais être donné pour quelque chose dont la personne concernée n'était pas informée. Il peut en principe être retiré sans effet rétroactif.

Qu’est-ce que le droit à l’information ?

Toute personne a le droit de savoir que des données à caractère personnel la concernant font l'objet d'un traitement et de connaître la finalité de ce traitement. Ce droit à l'information est essentiel car il détermine l'exercice d'autres droits. Il est prévu à l’article 14 de loi n°1.165.

Le droit à l'information fait référence aux informations qui sont fournies à une personne concernée, que les données aient été ou non collectées auprès de cette dernière.

Les informations qui doivent être fournies concernent l'identité du responsable de traitement, la finalité du traitement, les destinataires des informations, ainsi que l'existence du droit d'accès et du droit de rectification aux données personnelles.

Le droit à l'information de la personne concernée est limité dans certains cas (ex : pour des raisons de sécurité publique ou pour la prévention, la recherche, la détection et la poursuite d'infractions pénales).

Qu’est-ce que le droit d’accès ?

Le droit d'accès est le droit pour toute personne concernée d'obtenir du responsable d'un traitement la confirmation que les données la concernant font l'objet d'un traitement ainsi que des informations sur la finalité dudit traitement, les catégories d’informations sur lesquelles il porte et les destinataires auxquelles les informations sont communiquées.

Ce droit permet également à la personne concernée d'obtenir la communication de ces informations, sous une forme écrite, non codée et conforme au contenu du traitement.

Qu’est-ce que le droit d’accès indirect ?

Il s’agit d’un régime dérogatoire au droit d’accès direct. En effet, la personne concernée ne dispose pas d’un accès direct aux données la concernant contenues dans un traitement :

  • intéressant la sécurité publique ;
  • relatives aux infractions, condamnations ou mesures de sûreté ;
  • ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales.

L’accès à ces données s’effectue selon une procédure visée à l’article 15-1 de la loi n°1.165 par l’intermédiaire d’un membre de la CCIN.

Qu’est-ce que le droit de rectification ?

Le droit de rectification est le droit d'obtenir du responsable de traitement la rectification des informations nominatives inexactes ou incomplètes.

Complément essentiel au droit d'accès , le droit de rectification est important afin de garantir un niveau élevé en termes de qualité des données.

Qu’est-ce que le droit opposition ?

Le droit d'opposition est le droit de toute personne concernée de s'opposer à l’exploitation de ses données personnelles (exception faite de certains cas, telle qu'une obligation légale spécifique). En cas d'opposition justifiée, fondée sur des motifs légitimes, le traitement en question ne peut plus porter sur ces données.

Le droit d'opposition peut être exercé au moment de la collecte des données (par exemple, au moment de remplir un formulaire), ou à un stade ultérieur, en contactant le responsable de traitement.

Qu’est-ce que la durée de conservation des données ?
La conservation des données désigne l'obligation qui est faite au responsable de traitement de conserver des données à caractère personnel à certaines fins.
Qu’est-ce qu’un transfert de données ?

Par transfert de données, on entend la transmission ou la communication de données à un destinataire, de quelque manière que ce soit.

Toutes données nominatives collectées sur le territoire monégasque dans le cadre d’un traitement relevant d’une déclaration ordinaire, demande d’avis ou d’autorisation peuvent faire l’objet d’un transfert vers un pays étranger, sans formalité spécifique, si ce dernier dispose d’un niveau de protection adéquat (consulter la liste des «pays disposant d’un niveau de protection adéquat»).

Par contre, les transferts de données hors d’un pays disposant d’un niveau de protection adéquat sont soumis à l’autorisation de la CCIN.

Quels sont les traitements particuliers soumis obligatoirement à l’autorisation de la Commission ?

Les traitements particuliers soumis à l’autorisation de la CCIN sont ceux exploités par des responsables de traitement, autres que les autorités judiciaires et administratives, et qui :

  • portent sur des soupçons d’activités illicites, des infractions, des mesures de sûreté ;
  • comportent des données biométriques nécessaires au contrôle de l’identité des personnes ;
  • sont mis en œuvre à des fins de surveillance.
Pourquoi soumettre les traitements automatisés à la CCIN ?

Dans le cadre de la protection des libertés et droits fondamentaux, la loi impose la déclaration, la demande d’autorisation ou d’avis pour tout traitement automatisé. L’objectif étant :

  • d’assurer la mise en œuvre transparente d’un fichier ;
  • de mettre en évidence la nature des informations collectées ;
  • de mettre en lumière les raisons de cette collecte ;
  • de veiller à une utilisation adéquate des données ;
  • de savoir à qui elles sont destinées ;
  • de connaître la durée de conservation des données ;

… et surtout de veiller à ce que les données personnelles des individus ne soient pas collectées à leur insu pour des raisons illégitimes et dangereuses pour leur vie privée.

Quelles sont les informations pouvant uniquement être utilisées par les autorités judiciaires ou administratives ?

Seules les autorités judiciaires et administratives ont le droit, dans le cadre des missions qui leurs sont légalement conférées, de collecter, d’enregistrer ou d’utiliser les informations nominatives :

  • intéressant la sécurité publique ;
  • relatives aux infractions, condamnations ou mesures de sûreté ;
  • ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales.
Quelles sont les pénalités encourues en cas de violation de la loi sur la protection des informations nominatives ?

La loi n°1.165 prévoit des sanctions pénales.

Sont passibles d’un à six mois d’emprisonnement et d’une amende prévue par le Code pénal, les personnes physiques ou morales de droit privé qui :

  • mettent ou tentent de mettre en œuvre un traitement automatisé d’informations nominatives ou qui poursuivent ou tentent de poursuivre la mise en œuvre de ce traitement sans avoir effectué les formalités préalables ;
  • s’abstiennent volontairement de communiquer à une personne intéressée les informations nominatives la concernant, de modifier ou de supprimer celles de ces informations qui se sont révélées inexactes, incomplètes, équivoques ou collectées en violation de la loi ;
  • ne préservent pas ou ne font pas préserver par suite d’imprudences ou de négligences, la sécurité des informations nominatives ou divulguent ou laissent divulguer des informations ayant pour effet de porter atteinte à la réputation d’une personne ou à sa vie privée ou familiale ;
  • conservent des informations nominatives au-delà du délai indiqué dans la déclaration, la demande d’avis ou la demande d’autorisation ou du délai fixé par la Commission de Contrôle des Informations Nominatives ;
  • transfèrent ou font procéder au transfert d’informations nominatives vers des pays ou organismes ne disposant pas d’une protection adéquate ;
  • recueillent des informations nominatives sans que la personne intéressée ait été informée, sauf si l’information de cette personne se révèle impossible ou implique des efforts disproportionnés, ou si la collecte ou la communication des informations est expressément prévue par les dispositions législatives ou réglementaires applicables.

Sont également punis de trois mois à un an d’emprisonnement et d’une amende prévue par le Code pénal les personnes physiques ou morales de droit privé qui :

  • collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser des informations nominatives réservées à certaines autorités, établissements, organismes et personnes physiques ou des informations susceptibles de faire apparaître des opinions ou des appartenances politiques, raciales ou ethniques, religieuses, philosophiques ou syndicales ou encore relatives à la santé, y compris les données génétiques, à la vie sexuelle, aux mœurs ou aux mesures à caractère social ;
  • collectent ou qui font collecter des informations nominatives en employant ou en faisant employer des moyens frauduleux, déloyaux ou illicites ;
  • empêchent ou entravent volontairement les investigations opérées pour l’application de la loi ou ne fournissent pas les renseignements ou documents demandés ;
  • communiquent ou font communiquer sciemment des renseignements ou documents inexacts soit aux personnes intéressées soit à celles chargées d'effectuer les investigations nécessaires ;
  • collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser des informations nominatives en dépit de l’opposition des personnes concernée, hors les cas prévus par la loi ;
  • à l’exception des autorités compétentes, sciemment collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser des informations nominatives avec ou sans données biométriques concernant des infractions, des condamnations ou des mesures de sûreté ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ;
  • collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser sciemment des informations nominatives portant sur des soupçons d’activités illicites, des infractions, des mesures de sûreté ou comportant des données biométriques nécessaires au contrôle de l’identité des personnes ou destinées à des fins de surveillance sans avoir obtenu l’autorisation ;
  • communiquent sciemment à des personnes non qualifiées pour les recevoir des informations dont la divulgation peut porter atteinte à la réputation d’une personne physique ou à sa vie privée et familiale ;
  • utilisent ou font utiliser sciemment des informations nominatives pour une autre finalité que celle mentionnée dans la déclaration, la demande d'avis ou la demande d’autorisation.

Rentre dans le même cadre les responsables de traitement qui communiquent à des personnes non qualifiées des informations dont la divulgation peut porter atteinte à la réputation d’une personne, ou encore qui utilisent les informations collectées pour une autre finalité que celle mentionnée dans la déclaration ordinaire, demande d’avis ou d’autorisation.

Toute condamnation entraine l’arrêt des effets de la déclaration et la radiation, de cette dernière u répertoire des traitements.

A quel moment doit-on soumettre un traitement automatisé à la CCIN ?

La prise en compte du respect des libertés et droits fondamentaux de la personne vise à intégrer la protection des données personnelles dès la conception des spécifications et de l'architecture des systèmes et technologies d'information et de communication.

C’est pourquoi la loi impose que le traitement automatisé soit soumis au contrôle de la CCIN préalablement à sa mise en œuvre, c’est-à-dire à son exploitation.