Suite à l’adoption par l’Union européenne de son « paquet européen de protection des données » et de la Convention 108+ du Conseil de l’Europe, il était temps pour Monaco de se mettre à la page, surtout dans un contexte où les technologies d’IA exploitent massivement les données personnelles. C’est chose faite.
« Dans un monde de plus en plus connecté, nos actes, nos mouvements, nos opinions, nos achats, nos messages sont tous en voie de numérisation pour devenir une “masse de données” dont on ne peut plus ignorer qu’elle constitue une matière première susceptible de susciter la convoitise des États comme les entreprises », a indiqué Isabelle Berro-Amadei, Conseiller de Gouvernement-Ministre des Relations extérieures et de la Coopération. Monaco n’avait pas d’autre choix que de s’aligner sur les normes européennes définies par le Règlement Général sur la Protection des Données (RGPD) datant de 2016. C’est le cas avec la nouvelle loi de 118 articles, adoptée par le Conseil national le 28 novembre 2024.
Jusqu’à 10 millions d’euros de sanction
Parmi les nouveautés de ce texte : la création de l’Autorité de Protection des Données Personnelles (APDP), une autorité administrative indépendante qui remplace la CCIN et surtout, voit son pouvoir de sanction renforcé. Les plafonds des sanctions administratives « sont multipliés par dix, passant ainsi, selon la nature du manquement, de 500 000 euros à 5 millions d’euros et de 900 000 euros à 10 millions, tout en restant néanmoins inférieurs à ceux du RGPD afin d’être adaptés aux spécificités du tissu économique monégasque. Lorsque la sanction trouvera à s’appliquer à une entreprise, l’Autorité de Protection pourra sur le modèle du RGPD, selon le cas, prononcer une amende allant jusqu’à 2% ou 4% de son chiffre d’affaires annuel mondial», a ainsi décrit Isabelle Berro-Amadei.
En Europe, ces sanctions sont très variables. Si en janvier 2021, la CNIL a infligé une amende de 150 millions d’euros à Google pour des manquements commis tant au RGPD qu’à la directive vie privée et communication électroniques, son homologue irlandais, qui agit pour le compte de l’UE, a condamné en 2023 Meta, dont le siège européen est à Dublin, “à payer 1,2 milliard d’euros” d’amende pour avoir transféré des données personnelles d’utilisateurs de Facebook “de l’Espace économique européen vers les Etats-Unis en violation des règles européennes en la matière” ! Et personne n’est à l’abri. La CNIL avait ainsi condamné deux médecins à hauteur de 3 000€ et 6 000€ en raison de la mauvaise sécurisation des données de leurs patients et de la non-notification d’une violation de données…
Avec cette législation, Monaco et tous ses acteurs publics et privés espère bien que la Commission européenne réévalue Monaco comme pays tiers assurant un niveau de protection des données personnelles des personnes concernées équivalant à celui de l’Union européenne. 15 pays sont aujourd’hui considérés comme « adéquats » par l’UE tels le Royaume-Unis ou la Suisse (totalement) ou les Etats-Unis (partiellement).
Qu’entend-on par «données à caractère personnel»?
Les données à caractère personnel désignent toute information relative à une personne identifiée ou identifiable (nom, adresse, numéro de carte d’identité ou de passeport, revenus, profil culturel, adresse IP, données détenues par un hôpital ou un médecin). Aucune donnée à caractère personnel ne peut être traitée concernant l’origine raciale ou ethnique d’une personne, son orientation sexuelle, ses opinions politiques, ses convictions religieuses ou philosophiques, son affiliation à des organisations syndicales, des informations génétiques, biométriques ou en matière de santé, sauf dans certains cas particuliers, des condamnations pénales ou des infractions, à moins que cela ne soit autorisé par la législation.
