Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données – « RGPD ») sera applicable à partir du 25 mai 2018.
D’applicabilité directe pour les pays de l’Union européenne, il est un vecteur d’harmonisation mais il comporte une cinquantaine de renvois aux législations nationales, ce qui implique que les législations locales ne seront pas identiques pour autant.
Aussi, la question de ses implications à Monaco a été soulevée à juste titre par les entreprises de la Place monégasque.
L’article 3 du Règlement relatif au champ d’application territorial pose, tant pour le responsable de traitement que pour le sous-traitant, des critères alternatifs d’établissement et de ciblage qui lui confèrent une dimension indéniablement extraterritoriale.
Par exemple, le RGPD pourrait s’appliquer à une entreprise monégasque hébergeant les données personnelles d’une société française en tant que sous-traitant d’une entreprise établie dans l’Union européenne.
Par ailleurs, le RGPD pourrait également, sur le fondement du critère de ciblage, s’appliquer à une entreprise monégasque vendant des produits ou services par le biais d’un site internet à destination d’une clientèle française ou italienne en tant qu’elle offre des biens ou des services à des personnes concernées dans l’Union européenne.
Si des travaux de modification de la Loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives sont actuellement en cours afin de la mettre en conformité avec le RGPD, certaines entreprises pourraient se voir appliquer, dans l’attente de cette modification, à la fois la Loi monégasque n° 1.165 et le RGPD.
Il y a néanmoins de bonnes nouvelles pour les entreprises de la Principauté.
Les formalités déjà accomplies par celles-ci devraient largement inspirer leur « registre des traitements » et les « analyses d’impact » quand ces obligations leur seront applicables.
Par ailleurs, la contrepartie de la responsabilisation accrue des acteurs est un allègement significatif des formalités administratives.
Aussi, si le RGPD a souvent été présenté comme un épouvantail eu égard à l’ampleur des sanctions administratives (pouvant atteindre 4 % du chiffre d’affaires mondial), il n’entraîne pas de changement de paradigme dans l’approche de la protection des données personnelles.
Pour l’essentiel, il ne fait que confirmer ou approfondir des notions déjà bien connues de la Loi n° 1.165 du 23 décembre 1993 comme notamment les principes de finalité, de proportionnalité, de licéité ou encore de qualité et de sécurité des traitements de données personnelles.
A cet égard, la Commission de Contrôle des Informations Nominatives (CCIN) mettra prochainement en ligne sur son site internet une rubrique « FAQ » (questions fréquemment posées) afin de permettre aux responsables de traitements, dès avant la modification de la Loi n° 1.165, de se familiariser avec les grands principes du RGPD et les nouvelles obligations qui en découlent.
Ainsi, cette évolution ne devrait pas être pensée comme une contrainte mais comme l’opportunité d’offrir un socle vertueux et concurrentiel à l’innovation.
Il est en effet raisonnable de penser que tout modèle d’innovation durable fondé sur le marché de la donnée devrait être pensé à l’aune d’un niveau élevé de protection des données personnelles.