Cadre juridique de la Protection des Données à caractère Personnel Souad El Kohen-Sbata Membre de la CNDP de développement -CGEM-
Cadre Juridique de la protection des données personnelles au Maroc: Plan de la présentation Objectifs de l encadrement de l utilisation des données personnelles Cadre juridique marocain: Références légales et réglementaires Définitions Principales dispositions de la loi n 09-08 Présentation de la CNDP: Autorité de contrôle marocaine
Objectifs stratégiques du nouveau dispositif légal sur la protection des données personnelles Protection de la vie privée, des droits et libertés fondamentaux des personnes. Protéger le citoyen et toute personne vivant sur le territoire marocain contre l utilisation abusive de ses données personnelles Contribuer à la confiance numérique en instaurant une meilleure transparence dans l utilisation des données personnelles. Mettre à niveau l arsenal juridique (avec comme référence la directive européenne 95/46/CE et la convention n 108 du Conseil de l Europe) pour favoriser le développement du Business Process Outsourcing.
Protection de la vie privée des personnes Développement de l usage des TI et de l économie numérique Protection des données à caractère personnel Instauration de la confiance numérique Faciliter l afflux d investissements étrangers et le transfert des services au Maroc de développement -CGEM-
Cadre juridique de la protection des données à caractère personnel Textes Loi n 09-08 relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel du 18 Février 2009 ( BO n 5714 du 05/03/2009) Décret n 2-09-165 pris pour l application de la loi n 09-08 du 21 Mai 2009 ( BO n 5744 du 18/06/2009) Décision du 1 er Ministre n 3-33-11approuvant le règlement intérieur de la CNDP du 28 mars 2011 ( BO n 5932 du07/04/2011) de développement -CGEM-
Cadre juridique de la protection des données à caractère personnel Définitions et champs d application Principes Droits de la personne concernée Obligation du responsable de traitement Sanctions Mise en place d une Autorité de contrôle de développement -CGEM-
Notions de base de la Loi 09-08 08 Données à caractère personnel Traitement Fichier de données à caractère personnel Données sensibles Responsable du traitement Personne concernée de développement -CGEM-
Notions de base de la Loi 09-08 08 Données à caractère personnel: «toute information, de quelque nature qu elle soit et indépendamment de son support, y compris le son et l image, concernant une personne physique identifiée ou identifiable...» (Article premier) Exemples Nom, Prénom, Adresse, Numéro de téléphone, Email, Adresse IP, Photo, Vidéo, Données biométriques, Données génétiques
Notions de base de la Loi 09-08 08 Notions de base de la Loi Personne concernée: La personne physique dont les données personnelles sont traitées. Exemples : Les clients Les salariés Les administrés Les contribuables Les étudiants et les écoliers Les patients, etc. de développement -CGEM-
Notions de base de la Loi 09-08 08 Notion de traitement : «Toute opération ou ensemble d opérations effectuées ou non à l aide de procédés automatisés et appliquées à des données à caractère personnel...» (Article premier) toute manipulation de données à caractère personnel ( manuelle, partiellement ou totalement informatisée) Exemples : Les fichiers constitués pour la gestion de la clientèle des banques (ouverture de compte, octroi de crédit Les systèmes informatisés de gestion du personnel (embauche, gestion de carrière La tenue d un fichier comportant des données personnelles (état civil, élections, agréments, abonnements, impôts, etc) Le contrôle d accès aux locaux
Notions de base de la Loi 09-08 08 Fichier à caractère personnel : «Tout ensemble structuré de données à caractère personnel accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique» (Article premier, al. 4) Exemples : les archives ; les banques de données ; les fichiers de recensement
Notions de base de la Loi 09-08 08 Données sensibles: «données à caractère personnel qui révèlent l origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques» (Article premier, alinéa 3) Exemples : Empreintes digitales, Analyses médicales, CIN,etc. de développement -CGEM-
Notions de base de la Loi 09-08 08 Responsable du traitement «La personne physique ou morale, l autorité publique, le service ou tout autre organisme, qui seul ou conjointement avec d autres, détermine les finalités et les moyens du traitement de données à caractère personnel...» (Article premier) Exemples : l interlocuteur principal des personnes concernées et de l autorité de contrôle, la CNDP..
Champs d application de la loi 09-08 08 Quels traitements? 1. aux traitements des données à caractère personnel automatisés en tout ou en partie ; 2. aux traitements non automatisés des données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels.
Champs d application de la loi 09-08 08 Le responsable de traitement est établi sur le territoire marocain; Le responsable de traitement n est pas établi au Maroc mais recourt à des moyens automatisés ou non situés sur le territoire marocain.
Champs d application de la loi 09-08 08 La loi ne s applique pas: aux traitements de données personnelles effectués par une personne physique pour des besoins exclusivement personnels ou domestiques ; aux données recueillies et traitées dans l intérêt de la défense nationale et de la sécurité intérieure et extérieure de l Etat ;
Champs d application de la loi 09-08 08 La loi ne s applique pas (suite): À la collecte et l enregistrement de données à caractère personnel, effectués en application d une législation particulière. Toute autre opération, hormis la collecte et l enregistrement, doit respecter les dispositions de la loi 09-08. aux données à caractère personnel recueillies et traitées à des fins de prévention et de répression des crimes et délits, sauf dans les conditions fixées par la loi ou le règlement qui crée le fichier en cause.
Principales dispositions de la Loi 09-08 08 Les droits de la personne concernée Les obligations du responsable du traitement Les modalités de notification de traitement Les sanctions La CNDP
Les droits de la personne concernée Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2013) Etre informée lors de la collecte des données ; Exprimer son consentement ; Exercer ses droits d accès, de rectification et d opposition ; Etre protégée contre les messages publicitaires abusifs.
Droit à l information Droit d accès Droit de rectification Droit d opposition Protection contre les messages publicitaires abusifs Droit à l oubli de développement -CGEM-
Les obligations du responsable du traitement La finalité du traitement : fil conducteur des autres principes Traiter les données d une façon loyale, légitime et transparente ; Respecter les finalités du traitement ; Respecter le principe de proportionnalité ; Veiller sur la qualité des données ;
Les obligations du responsable du traitement (suite) Garantir aux personnes concernées l exercice de leurs droits ; Accomplir les formalités préalables auprès de la CNDP (déclaration, demande d autorisation, etc.) ; Assurer la sécurité et la confidentialité des données.
Les obligations du responsable du traitement Mesures de sécurité Infrastructure et organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle, la perte accidentelle, l altération, la diffusion ou l accès non autorisé et toute autre forme de traitement illicite ; S assurer du respect de la loi par les personnes physiques ou morales agissant sur instruction du responsable du traitement (contrat de sous-traitance / travail, secret professionnel, mesures de sécurité, respect des termes de référence, etc).
Les obligations du responsable du traitement Mesures de sécurité renforcées pour le traitement de données sensibles Protection des entrées des installations ; Protection des supports de données ; Garantir l intégrité des données ; Authentification des utilisateurs et des destinataires (accès aux systèmes et aux données) ; Journalisation.
Obligations du du responsable du traitement : La notification des traitements à la CNDP Demande de déclaration préalable Demande d autorisation préalable Une demande d autorisation de transfert de données à l étranger ( si des données personnelles seront hébergées ou transmises hors du Royaume)
La notification des traitements à la CNDP Demande d autorisation : Traitement de données sensibles Changement de finalité Traitement de données portant sur les infractions, condamnations ou mesures de sûreté Traitement de données comportant le numéro de la CIN Interconnexion de fichiers dont les finalités sont différentes
La notification des traitements à la CNDP Déclaration préalable ; Demande de transfert de données à l étranger ; Désignation du responsable de traitement pour la tenue d un registre public.
Sanctions : Administratives Pécuniaires Pénales de développement -CGEM-
Sanction Administrative: Retrait du récépissé: Traitement portant Atteinte à la sûreté ou à l ordre public ou est contraire à la morale et aux bonnes mœurs Sanction Pécuniaire: 10.000 à 100.000DH: Mise en œuvre d un traitement sans le récépissé de la CNDP 20.000 à 200.000DH: Non respect des droits des Personnes concernées. de développement -CGEM-
Sanctions Pécuniaire et/ou privatives de liberté : Emprisonnement de trois mois à un an et/ou amende de 20.000 à 200.000DH Mise en œuvre d un traitement sans le consentement des pmise en œuvre d un traitement sans le consentement des personnes concernées ; Non respect des mesures de sécurité ; Non respect du droit d opposition (messages publicitaires abusifs, etc) ; Hébergement et transfert de données personnelles sans avoir le récépissé correspondant de la CNDP. personnes concernées ; Non respect des mesures de sécurité ; Non respect du droit d opposition (messages publicitaires abusifs, etc) ; Hébergement et transfert de données personnelles sans avoir le récépissé correspondant de la CNDP. de développement -CGEM-
Une Autorité de Contrôle (ou un régulateur) instituée en application de l article 34 de la loi 09/08 La Commission se compose de 7 personnalités qualifiées : Un Président nommé directement par Dahir et Six membres nommés également par Dahir sur proposition du Premier Ministre, du Président de la Chambre des Représentants et du Président de la Chambre des Conseillers
Organisation Administrative: le Secrétariat Général: Département Juridique Département Communication Département Systèmes d informations Département Expertise et Contrôle Département ressources Humaines et Financières
Mission : Veiller à la protection des données personnelles Sensibilisation et information Conseil et proposition Régulation Contrôle et investigation Veille juridique et technologique de développement -CGEM-
Actions menées au niveau international Suivi de l état d avancement de la demande d adéquation déposée par le gouvernement auprès de la Commission Européenne La CNDP a saisi le MAEC pour le sensibiliser sur l importance de l adhésion du Maroc à la Convention 108. A cet effet, le Conseil des Ministres a validé l adhésion du Maroc à ladite convention et son protocole additionnel. Le Maroc a coprésidé avec l autorité belge le groupe de travail qui a mis en place un référentiel encadrant le transfert de données au sein de l espace francophone de développement -CGEM-
Actions menées au niveau international (suite) L e Maroc a été le premier pays arabe, africain et musulman à être accrédité auprès de la conférence Internationale des Autorités de Contrôle des données personnelles
CNDP : Chiffres clés 10 délibérations 862 déclarations 55 plaintes 1015 demandes d autorisation 184 demandes de transfert à l étranger.
Merci pour votre attention contact@cndp.ma www.cndp.ma Immeuble Les patios, bd Annakhil, 3ème étage, Hay Ryad, Rabat. BP: 6838 Rabat -Instituts Tél: 05 37 57 11 24 / fax: 05 37 57 21 41 de développement -CGEM-