ADMINISTRATION ET

CNDP, ENSEMBLE POUR

LA PROTECTION DES DONNÉES PERSONNELLES

M. Driss Belmahi, Membre de la CNDP

31 Mai 2013

SOMMAIRE

La protection des données personnelles

- Notions de base

- Principaux thèmes (droits, obligations, transfert et sanctions)

- Dates et chiffres clés,

- Moments forts

- Enjeux

- Approche méthodologique

La CNDP

La Loi 09-08

La loi 09-08 et le secteur

public

- Enjeux

NTIC, Informatique,

Internet, Réseaux

sociaux, etc …

Cadre légal pour protéger les données

personnelles

Loi 09-08

Protection des données personnelles

Protection des

libertés et droits

fondamentaux

de l’homme

Création d’un environnement propice à

l’investissement étranger (Offshoring)

- Enjeux

Menace de la vie privée

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Champs d’application de la loi 09-08 • Lorsqu’il est effectué par une personne physique ou morale dont le responsable est établi sur le territoire marocain.

• Lorsque le responsable du traitement n’est pas établi au Maroc mais

recourt, à des fins de traitement des données à caractère personnel, à

des moyens automatisés ou non situés sur le territoire marocain.

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Notions de base de la Loi:

Données à caractère personnel;

Traitement;

Données et traitements sensibles;

Responsable du traitement;

Personne concernée.

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Loi 09-08

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Notions de base de la Loi

Données à caractère personnel: « toute information, de

quelque nature qu’elle soit et indépendamment de son

support ( y compris le son et l’ image) qui permettent d’ identifier directement ou indirectement une personne physique. » (Article premier)

Exemples Nom, Prénom, Adresse, Numéro de téléphone, Email,

Adresse IP, Photo, Vidéo, Données biométriques, Données

génétiques.

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Notions de base de la Loi Traitement : «Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles

que la collecte, l ’ enregistrement, l ’ organisation, la conservation, l’adaptation, ou la modification, l’extraction, la consultation, l ’ utilisation, la communication par transmission, diffusion ou tout autre forme de mise à

disposition, le rapprochement ou l’ interconnexion, ainsi que le verrouillage, l’effacement ou la destruction . » (Article premier)

Exemples :

Gestion RH, liste électorale, permis de conduire, etc.

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Notions de base de la Loi

Données sensibles: « données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l ’ appartenance syndicale de la personne concernée ou qui sont relatives à sa santé

y compris ses données génétiques. » (Article premier)

Traitements sensibles: • Traitement utilisant le N°CIN; • Interconnexion de fichiers avec des finalités différentes;

• Changement de finalité.

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Notions de base de la Loi

Responsable du traitement

«La personne physique ou morale, l’autorité publique, le service ou tout autre organisme, qui seul ou conjointement

avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel... » (Article

premier)

Exemples :

Ministère, banque, société, université, hôpital, etc.

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Notions de base de la Loi

Personne concernée:

La personne physique dont les données personnelles sont

traitées.

Exemples :

•Les fonctionnaires,

•Les administrés,

•Les contribuables,

•Les étudiants et les écoliers,

•Les patients, etc.

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Les principaux thèmes inscrits dans la Loi

Les droits de la personne concernée;

Les obligations du responsable du traitement;

La commission Nationale (CNDP)

Le transfert des données personnelles à l’étranger; Les sanctions.

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Les droits de la personne concernée

Exprimer son consentement;

Etre informée lors de la collecte des données;

Exercer ses droits d ’ accès, de rectification et d’opposition;

Etre protégée contre les messages publicitaires

abusifs.

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Les obligations du responsable du traitement

Traiter les données d’une façon loyale, légitime et transparente;

Respecter les finalités du traitement;

Respecter le principe de proportionnalité ;

Veiller sur la qualité des données;

Assurer la sécurité et la confidentialité des données;

Garantir aux personnes concernées l’exercice de

leurs droits;

Accomplir les formalités préalables auprès de la

CNDP (Déclaration et demande d’autorisation, etc).

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

La création de la CNDP

- Le 31 août 2010 : instauration de la Commission

- Composition:

Le président, nommé par Sa Majesté le Roi;

Six membres, nommés également par Sa Majesté

le Roi, suite à une proposition :

• Du Premier ministre (deux membres) ;

• Du président de la Chambre des représentants

(deux membres) ;

• Du président de la Chambre des conseillers

(deux membres).

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Loi 09-08

Les principaux thèmes régis par la Loi

Le transfert des données personnelles à l’étranger;

Les sanctions.

18/02/2009: Promulgation de la loi 09-08; ( B.O. 5714 du 05 mars 2009)

21/05/2009: Publication du décret d’application n°2-0-165; ( B.O. 5744 du 18 juin 2009)

31/08/2010: Installation de la Commission;

Février 2012: Mise en place de la structure administrative;

15/11/2012: Délai de mise en conformité avec la Loi 09-08.

CNDP : Les étapes clés Commission Nationale de contrôle de la protection des Données à caractère Personnel

CNDP : Chiffres clés Commission Nationale de contrôle de la protection des Données à caractère Personnel

12 délibérations

3 avis

588 déclarations

557 demandes d’autorisation 112 demande de transfert à l’étranger 11 plaintes

CNDP : Temps forts Commission Nationale de contrôle de la protection des Données à caractère Personnel

Au niveau national

• Constitutionnalisation de

la protection de la vie

privée;

• Règlement Intérieur;

• Institution de groupes de

travail avec des autorités de

régulation et des

fédérations

professionnelles;

• Premier budget de la CNDP

et noyau des services

administratifs.

Au niveau international

• Accréditation auprès de

la Conférence Internationale

des Autorités de Contrôle

des données personnelles;

• Membre de l’AFAPDP; • Demande d ’ adéquation

auprès de la Commission

européenne;

• Acceptation de la demande

d ’ adhésion du Maroc à la convention 108.

La Loi 09-08 et le secteur public

Les organismes publics collectent et traitent

des données à caractère personnel

Responsable du traitement

Légitimité des

traitements

Respect des droits

des personnes

concernées

Notification des

traitements à la CNDP

La Loi 09-08 et le secteur public

Les Ministères et les Autorités de régulation

Responsables de secteurs d’activités

Donner

l’exemple aux organismes

privés

Coordonner avec

la CNDP en vue de

sensibiliser et

encadrer le secteur

privé

Harmoniser les

législations et les

procédures avec

la loi 09-08

Le secteur public et la PDP : enjeux

E-gouvernement

E-Administration

E-learning

Fiabilité et mise à jour

de l’information

La confiance numérique

Adhésion des administrés

Tableaux de bord fiables

Prendre les bonnes

décisions en utilisant des

indicateurs fiables

Le secteur public et la PDP :

La démarche proposée

Disposer d’une charte de respect de la vie privée dans le secteur public.

Partage

des

expérience

s acquises

• Désignation des

interlocuteurs de

la CNDP;

• Mise en place d ’une organisation interne;

• Sensibilisation des

décideurs et des

usagers;

• Etablir l’état des lieux • Elaborer un plan de

mise en conformité.

Mise en conformité

Traitements

communs :

Elaboration de

modèles unifiés

d’autorisation.

Outils : Groupes

mixtes de travail,

Plateforme

d’échange dédiée au secteur public.

Objectif

MERCI POUR VOTRE ATTENTION contact@cndp.ma

www.cndp.ma

Immeuble Les patios, bd Annakhil, 3ème

étage, Hay Ryad, Rabat.

Tél: 05 37 57 11 24 / fax: 05 37 57 21 41