Connaître vos obligations

Obligation de veiller à la sécurité et la confidentialité des informations

Une obligation de sécurité générale

  Conformément à l’article 17 de la loi, le responsable de traitement doit garantir la sécurité et la confidentialité des données. Pour cela, il est « tenu de prévoir les mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé ».

« Les mesures mises en œuvre doivent assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger ».

Dans le cas où le responsable de traitement à un ou plusieurs prestataires, les mesures de sécurité à mettre en place doivent remplir les mêmes conditions.

Par ailleurs, la réalisation de traitements par un prestataire doit être régie par un contrat écrit entre le prestataire et le responsable de traitement qui stipule notamment que le prestataire et les membres de son personnel n’agissent que sur la seule instruction du responsable de traitement et que les obligations liées à la sécurité du traitement lui incombent également.

Une obligation de sécurité renforcée

L’article 17-1 de la loi impose des mesures de sécurité supplémentaires pour les traitements:

  • intéressant la sécurité publique, relatifs aux infractions, condamnations ou mesures de sûreté et/ou ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales (article 11) ;
  • portant sur des soupçons d’activités illicites, des infractions, des mesures de sûreté, comportant des données biométriques nécessaires au contrôle de l’identité des personnes, ou mis en œuvre à des fins de surveillance (article 11-1) ;
  • le responsable de traitement est tenu de prendre des mesures techniques et organisationnelles particulières fixées par Ordonnance Souveraine.

Ces mesures doivent notamment permettre de déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées.

Le responsable de traitement doit veiller également à ce que les destinataires auxquels les informations traitées sont transmises puissent être clairement identifiés.

Obligation d’information

Conformément à l’article 14 de la loi, les personnes concernées doivent être informées :

  • de l’identité du responsable de traitement et le cas échéant de celle de son représentant à Monaco ;
  • de la finalité du traitement (c’est-à-dire l’objectif pour lequel les données ont été collectées) ;
  • du caractère obligatoire ou facultatif des réponses ;
  • des conséquences de l’absence de réponse ;
  • de l’identité des destinataires ;
  • de leurs droits d’opposition, d’accès et de rectification relatifs aux informations les concernant ;
  • de leur droit de s’opposer à l’utilisation de leurs informations pour le compte de tiers, la transmission de ces dernières à des tiers à des fins de prospection commerciale, etc.

Dans le cas d’une collecte indirecte, le responsable de traitement ou son représentant est tenu de communiquer ces informations, sauf si :

  • la personne concernée est déjà informée ;
  • la communication se révèle impossible ;  
  • la communication « implique des mesures disproportionnées au regard de l’intérêt de la démarche » ;
  • « la collecte ou la communication des informations est expressément prévue par les dispositions législatives ou règlementaires ».

Obligation de garantir le droit d’accès

Tout responsable de traitement ou son représentant doit mettre en place et communiquer, lors de l’accomplissement de ses formalités auprès de la CCIN, les mesures nécessaires pour que toute personne qui le souhaite puisse exercer leur droit d’accès (article 15).

Ainsi, après avoir vérifié l’identité de l’interlocuteur, le responsable de traitement ou son représentant sera susceptible de transmettre les renseignements relatifs :

  • à la finalité du traitement ;
  • aux différentes catégories d’informations enregistrées ;
  • aux divers destinataires auxquels sont transmis les données.

Ces informations devront être communiquées sous forme écrite, non codée et conforme au contenu des enregistrements.

Obligation de correction et de suppression des données

Le responsable de traitement doit veiller à la qualité des informations nominatives qu’il traite. Il est tenu de prendre les mesures nécessaires pour les rectifier, les compléter, les mettre à jour lorsqu’elles s’avèrent être inexactes ou incomplètes (article 15-2).

Il doit également supprimer la forme nominative des informations à l’expiration du délai de conservation.

Les pénalités

La loi n°1.165 prévoit des sanctions pénales.

Sont passibles d’un à six mois d’emprisonnement et d’une amende prévue par le Code pénal, les personnes physiques ou morales de droit privé qui :

  • mettent ou tentent de mettre en œuvre un traitement automatisé d’informations nominatives ou qui poursuivent ou tentent de poursuivre la mise en œuvre de ce traitement sans avoir effectué les formalités préalables ;
  • s’abstiennent volontairement de communiquer à une personne intéressée les informations nominatives la concernant, de modifier ou de supprimer celles de ces informations qui se sont révélées inexactes, incomplètes, équivoques ou collectées en violation de la loi ;
  • ne préservent pas ou ne font pas préserver par suite d’imprudences ou de négligences, la sécurité des informations nominatives ou divulguent ou laissent divulguer des informations ayant pour effet de porter atteinte à la réputation d’une personne ou à sa vie privée ou familiale ;
  • conservent des informations nominatives au-delà du délai indiqué dans la déclaration, la demande d’avis ou la demande d’autorisation ou du délai fixé par la Commission de Contrôle des Informations Nominatives ;
  • transfèrent ou font procéder au transfert d’informations nominatives vers des pays ou organismes ne disposant pas d’une protection adéquate ;
  • recueillent des informations nominatives sans que la personne intéressée ait été informée, sauf si l’information de cette personne se révèle impossible ou implique des efforts disproportionnés, ou si la collecte ou la communication des informations est expressément prévue par les dispositions législatives ou réglementaires applicables.

Sont également punis de trois mois à un an d’emprisonnement et d’une amende prévue par le Code pénal les personnes physiques ou morales de droit privé qui :

  • collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser des informations nominatives réservées à certaines autorités, établissements, organismes et personnes physiques ou des informations susceptibles de faire apparaître des opinions ou des appartenances politiques, raciales ou ethniques, religieuses, philosophiques ou syndicales ou encore relatives à la santé, y compris les données génétiques, à la vie sexuelle, aux mœurs ou aux mesures à caractère social ;
  • collectent ou qui font collecter des informations nominatives en employant ou en faisant employer des moyens frauduleux, déloyaux ou illicites ;
  • empêchent ou entravent volontairement les investigations opérées pour l’application de la loi ou ne fournissent pas les renseignements ou documents demandés ;
  • communiquent ou font communiquer sciemment des renseignements ou documents inexacts soit aux personnes intéressées soit à celles chargées d'effectuer les investigations nécessaires ;
  • collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser des informations nominatives en dépit de l’opposition des personnes concernée, hors les cas prévus par la loi ;
  • à l’exception des autorités compétentes, sciemment collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser des informations nominatives avec ou sans données biométriques concernant des infractions, des condamnations ou des mesures de sûreté ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ;
  • collectent ou font collecter, enregistrent ou font enregistrer, conservent ou font conserver, utilisent ou font utiliser sciemment des informations nominatives portant sur des soupçons d’activités illicites, des infractions, des mesures de sûreté ou comportant des données biométriques nécessaires au contrôle de l’identité des personnes ou destinées à des fins de surveillance sans avoir obtenu l’autorisation ;
  • communiquent sciemment à des personnes non qualifiées pour les recevoir des informations dont la divulgation peut porter atteinte à la réputation d’une personne physique ou à sa vie privée et familiale ;
  • utilisent ou font utiliser sciemment des informations nominatives pour une autre finalité que celle mentionnée dans la déclaration, la demande d'avis ou la demande d’autorisation.

Rentre dans le même cadre les responsables de traitement qui communiquent à des personnes non qualifiées des informations dont la divulgation peut porter atteinte à la réputation d’une personne, ou encore qui utilisent les informations collectées pour une autre finalité que celle mentionnée dans la déclaration ordinaire, demande d’avis ou d’autorisation.

Toute condamnation entraine l’arrêt des effets de la déclaration et la radiation, de cette dernière du répertoire des traitements.