Le répertoire des traitements est un registre public qui recense l’ensemble des traitements automatisés mis en œuvre dans le secteur public et dans le secteur privé. Toute personne intéressée peut consulter le répertoire public des traitements en se rendant directement au secrétariat de la CCIN ou en prenant rendez-vous. Elle pourra alors constater si un traitement informatique a été déclaré, et donc s’il est légal ou pas.
Les traitements intéressant la sécurité publique, relatifs aux infractions, condamnations ou mesures de sûreté et/ou ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales mis en œuvre par une autorité judiciaire ou administrative, ne sont pas inscrits au répertoire public des traitements. Vous ne pouvez donc pas les consulter.
Cependant, pour savoir si de tels traitements existent, vous pouvez vérifier l'Arrêté Ministériel annuel relatif aux traitements automatisés d'informations nominatives mis en œuvre par les personnes morales de droit public, autorités publiques, organismes de droit privé investis d'une mission d'intérêt général ou concessionnaires d'un service public qui est publié au Journal de Monaco avant le 1er avril de chaque année.
Une donnée sensible est une information portant sur une opinion ou une appartenance politique, raciale ou ethnique, religieuse, philosophique ou syndicale, ou encore une donnée relative à la santé, y compris la donnée génétique, à la vie sexuelle, aux mœurs, aux mesures à caractère social (article 12 de la loi).
L’exploitation de ces données est interdite. Un nombre limité d'exceptions à cette interdiction est néanmoins prévues par la loi, dont le consentement écrit et exprès de la personne concernée.
Le consentement est un terme important dans la législation sur la protection des données : le consentement est l'un des critères permettant de légitimer le traitement de données à caractère personnel.
Le consentement peut être donné oralement, par écrit ou sous toute autre forme appropriée. Avant de pouvoir considérer que la personne concernée a donné librement son consentement à un traitement spécifique, celle-ci doit avoir reçu des informations suffisantes pour être en mesure de comprendre la portée et les conséquences de son consentement, y compris les avantages et/ou désavantages du traitement.
Outre le fait qu'il doit être donné librement, le consentement doit être spécifique et il ne doit y avoir aucun doute quant au fait qu'il ait été donné ou non. Par ailleurs, le consentement est strictement lié au traitement dont la personne concernée a été informée. Il ne peut, par la suite, faire l'objet d'une extension accordée par quelqu'un d'autre et ne peut donc jamais être donné pour quelque chose dont la personne concernée n'était pas informée. Il peut en principe être retiré sans effet rétroactif.
Toute personne a le droit de savoir que des données à caractère personnel la concernant font l'objet d'un traitement et de connaître la finalité de ce traitement. Ce droit à l'information est essentiel car il détermine l'exercice d'autres droits. Il est prévu à l’article 14 de loi n°1.165.
Le droit à l'information fait référence aux informations qui sont fournies à une personne concernée, que les données aient été ou non collectées auprès de cette dernière.
Les informations qui doivent être fournies concernent l'identité du responsable de traitement, la finalité du traitement, les destinataires des informations, ainsi que l'existence du droit d'accès et du droit de rectification aux données personnelles.
Le droit à l'information de la personne concernée est limité dans certains cas (ex : pour des raisons de sécurité publique ou pour la prévention, la recherche, la détection et la poursuite d'infractions pénales).
Il s’agit d’un régime dérogatoire au droit d’accès direct. En effet, la personne concernée ne dispose pas d’un accès direct aux données la concernant contenues dans un traitement :
L’accès à ces données s’effectue selon une procédure visée à l’article 15-1 de la loi n°1.165 par l’intermédiaire d’un membre de la CCIN.
Le droit de rectification est le droit d'obtenir du responsable de traitement la rectification des informations nominatives inexactes ou incomplètes.
Complément essentiel au droit d'accès , le droit de rectification est important afin de garantir un niveau élevé en termes de qualité des données.
Le droit d'opposition est le droit de toute personne concernée de s'opposer à l’exploitation de ses données personnelles (exception faite de certains cas, telle qu'une obligation légale spécifique). En cas d'opposition justifiée, fondée sur des motifs légitimes, le traitement en question ne peut plus porter sur ces données.
Le droit d'opposition peut être exercé au moment de la collecte des données (par exemple, au moment de remplir un formulaire), ou à un stade ultérieur, en contactant le responsable de traitement.
Par transfert de données, on entend la transmission ou la communication de données à un destinataire, de quelque manière que ce soit.
Toutes données nominatives collectées sur le territoire monégasque dans le cadre d’un traitement relevant d’une déclaration ordinaire, demande d’avis ou d’autorisation peuvent faire l’objet d’un transfert vers un pays étranger, sans formalité spécifique, si ce dernier dispose d’un niveau de protection adéquat (consulter la liste des «pays disposant d’un niveau de protection adéquat»).
Par contre, les transferts de données hors d’un pays disposant d’un niveau de protection adéquat sont soumis à l’autorisation de la CCIN.
Les traitements particuliers soumis à l’autorisation de la CCIN sont ceux exploités par des responsables de traitement, autres que les autorités judiciaires et administratives, et qui :
Dans le cadre de la protection des libertés et droits fondamentaux, la loi impose la déclaration, la demande d’autorisation ou d’avis pour tout traitement automatisé. L’objectif étant :
… et surtout de veiller à ce que les données personnelles des individus ne soient pas collectées à leur insu pour des raisons illégitimes et dangereuses pour leur vie privée.
Seules les autorités judiciaires et administratives ont le droit, dans le cadre des missions qui leurs sont légalement conférées, de collecter, d’enregistrer ou d’utiliser les informations nominatives :
La loi n°1.165 prévoit des sanctions pénales.
Sont passibles d’un à six mois d’emprisonnement et d’une amende prévue par le Code pénal, les personnes physiques ou morales de droit privé qui :
Sont également punis de trois mois à un an d’emprisonnement et d’une amende prévue par le Code pénal les personnes physiques ou morales de droit privé qui :
Rentre dans le même cadre les responsables de traitement qui communiquent à des personnes non qualifiées des informations dont la divulgation peut porter atteinte à la réputation d’une personne, ou encore qui utilisent les informations collectées pour une autre finalité que celle mentionnée dans la déclaration ordinaire, demande d’avis ou d’autorisation.
Toute condamnation entraine l’arrêt des effets de la déclaration et la radiation, de cette dernière u répertoire des traitements.
La prise en compte du respect des libertés et droits fondamentaux de la personne vise à intégrer la protection des données personnelles dès la conception des spécifications et de l'architecture des systèmes et technologies d'information et de communication.
C’est pourquoi la loi impose que le traitement automatisé soit soumis au contrôle de la CCIN préalablement à sa mise en œuvre, c’est-à-dire à son exploitation.