RGPD ou Loi 1.565 ? Ce que les entreprises monégasques doivent vraiment respecter

Deux cadres juridiques, une seule entreprise

La plupart des dirigeants monégasques que nous rencontrons partent du principe qu'ils sont soumis au RGPD. Ce n'est pas le cas, du moins pas par défaut. Monaco n'est pas un État membre de l'Union européenne, le RGPD est un règlement européen, et la Principauté dispose de sa propre législation : la Loi n° 1.565 du 3 décembre 2024, dont l'autorité de contrôle est l'APDP (Autorité de Protection des Données Personnelles).

Mais la réalité est plus nuancée. De nombreuses entreprises monégasques doivent en pratique respecter à la fois la Loi 1.565 et le RGPD — simultanément, pour différents pans d'une même activité. Si vous vendez à des clients en France, exploitez un site multilingue ciblant l'Italie ou stockez des données chez un hébergeur français, vous entrez dans le champ de la réglementation européenne, que vous en ayez conscience ou non.

Cet article propose une lecture pratique : quel cadre s'applique, quand, et avec quelles conséquences sur votre site web, votre CRM et vos opérations digitales.

Quand la Loi 1.565 suffit

La Loi 1.565 régit le traitement des données à caractère personnel effectué dans le cadre d'activités établies à Monaco. Si votre entreprise opère exclusivement dans la Principauté — clients monégasques, salariés résidents, infrastructure hébergée à Monaco, aucune communication ciblée vers des résidents européens — alors la Loi 1.565 est votre obligation principale et l'APDP est votre autorité de référence.

Le texte s'inspire fortement des standards européens. Il couvre la base légale du traitement, les droits des personnes concernées, le registre des activités de traitement, la notification des violations et l'obligation de désigner un délégué à la protection des données pour certaines catégories d'entreprises. La structure paraîtra familière à toute personne ayant travaillé avec le RGPD.

Ce qui diffère, c'est la juridiction. L'APDP applique le droit monégasque à Monaco. Les plaintes des résidents monégasques sont traitées par l'APDP, et non par la CNIL ou un autre régulateur européen. Votre documentation interne — politiques de confidentialité, registres, preuves de consentement — doit faire référence à la Loi 1.565 et à l'APDP, et non au RGPD.

Quand le RGPD s'ajoute à la Loi 1.565

Le RGPD a une portée extraterritoriale. Son article 3 le rend applicable aux entreprises hors UE dès lors qu'elles :

• Proposent des biens ou services à des personnes situées dans l'UE — y compris à titre gratuit, et même sans paiement.
• Surveillent le comportement de personnes dans l'UE — typiquement via des outils d'analytics, de retargeting ou de profilage.

Pour une entreprise monégasque, ces deux cas sont extrêmement fréquents. Un restaurant monégasque acceptant les réservations de résidents français via son site propose un service à des personnes situées dans l'UE. Une boutique e-commerce qui livre en Italie propose des biens. Une agence immobilière qui diffuse des campagnes de retargeting Meta visant des acheteurs européens surveille leur comportement.

Lorsque le RGPD s'applique de manière extraterritoriale, vous devez le respecter en complément de la Loi 1.565, et vous pouvez être tenu de désigner un représentant dans l'UE au sens de l'article 27 — un rôle juridique distinct du DPO. Beaucoup d'entreprises monégasques ne l'ont pas mis en place, simplement parce qu'elles s'estiment hors du champ européen.

Tout cela commence souvent par une revue de conformité en protection des données et un audit des formulaires, balises et intégrations tierces présentes sur votre site.

Transferts de données transfrontaliers : le risque silencieux

Même les entreprises purement domestiques finissent par transférer des données personnelles hors de Monaco. Les flux les plus courants :

• Fournisseurs cloud ou SaaS basés dans l'UE — de nombreux CRM, plateformes d'emailing, hébergeurs et outils d'analytics sont opérés depuis la France, l'Allemagne, l'Irlande ou les Pays-Bas.
• Marketing transfrontalier — Meta, Google et LinkedIn traitent les données publicitaires via des infrastructures européennes et américaines.
• Prestataires de paiement — la plupart des prestataires utilisés par les commerçants monégasques opèrent depuis l'UE ou l'EEE.

La Loi 1.565 encadre les transferts internationaux, notamment vers des pays n'offrant pas un niveau de protection adéquat. Sans cartographie de vos flux, impossible de démontrer la conformité à ces règles. Une stratégie digitale bien construite intègre cette cartographie dès le premier mois, pas comme un exercice annuel.

Vos contrats jouent ici un rôle clé. Si vous utilisez une plateforme tierce qui traite des données pour votre compte — CRM, système de réservation, outil d'emailing — vous avez généralement besoin d'un accord de sous-traitance et, selon les flux, de garanties supplémentaires pour les transferts.

E-commerce et sites multilingues : le point de bascule

L'e-commerce est l'activité qui place le plus souvent les entreprises monégasques dans le champ du RGPD. Si votre boutique livre en France, en Italie ou en Allemagne, vous êtes presque certainement soumis à la fois à la Loi 1.565 et au RGPD pour ces transactions.

Conséquences concrètes :

• Votre politique de confidentialité doit couvrir les deux cadres, sans en ignorer un.
• Votre bandeau cookies doit respecter les standards européens si vous ciblez des résidents UE — refuser les cookies non essentiels doit être aussi simple que les accepter.
• Les demandes d'exercice de droits peuvent arriver via l'un ou l'autre cadre, et votre processus de réponse doit être prêt pour les deux.

Pour les services e-commerce et les sites multilingues, la conformité doit être intégrée dès la conception. Ajouter un bandeau cookies et une politique de confidentialité après le lancement coûte invariablement plus cher que de le faire dès le départ.

Les erreurs récurrentes

Quelques constantes reviennent dans les audits que nous menons :

• Politiques de confidentialité copiées de modèles français qui mentionnent la CNIL et le RGPD, mais jamais la Loi 1.565 ni l'APDP.
• Bandeaux cookies théoriquement conformes, mais qui déclenchent les pixels analytics et publicitaires dès le chargement de la page.
• Références obsolètes à la CCIN — ancien régulateur remplacé par l'APDP — dans des documents qui auraient dû être mis à jour.
• Aucun registre des traitements, alors que l'activité en justifie clairement la tenue.
• Aucun représentant dans l'UE dans des cas où l'article 27 du RGPD s'applique clairement.

Aucun de ces points n'est complexe à corriger. Ils deviennent coûteux le jour où une plainte est déposée ou qu'un client demande l'accès à ses données et que rien n'est documenté.

Note sur le conseil juridique

Cet article propose un repérage pratique, pas un conseil juridique. La Loi 1.565 est récente, l'APDP construit sa pratique, et l'articulation avec le RGPD dépend de votre situation. Pour un conseil contraignant, faites appel à un avocat compétent en droit monégasque et européen. Notre rôle est de rendre votre site web, votre CRM et vos points de contact digitaux opérationnellement conformes — l'interprétation juridique relève du professionnel du droit.

Par où commencer

Si vous ignorez si votre entreprise relève uniquement de la Loi 1.565 ou des deux cadres, le chemin le plus rapide est un audit des flux : recensez chaque outil digital qui touche à des données personnelles, identifiez où chacun traite et stocke ces données, et vérifiez ce que disent les contrats sous-jacents. Vous pourrez ensuite aligner votre politique de confidentialité, votre bandeau cookies et votre DPO sur la réalité, et non sur des suppositions.

BSS Digital Agency accompagne les entreprises monégasques pour mettre leurs sites, plateformes e-commerce et opérations marketing dans un état où la conformité est concrète et démontrable. Pour une revue structurée de votre situation, contactez-nous et nous en cadrerons les contours avec vous.