Traitement des données personnelles

Comment la loi vous protège Les envois de messages de prospection interdits

Les responsables de traitement tenus aux obligations de sécurité, de confidentialité et de secret
La protection de la vie privée est désormais garantie par l'article 24 de la Constitution qui dispose que « Toute personne a droit à la protection de sa vie privée. Le domicile est inviolable. Les perquisitions ne peuvent intervenir que dans les conditions et les formes prévues par la loi. Les communications privées, sous quelque forme que ce soit, sont secrètes. Seule la justice peut autoriser, dans les conditions et selon les formes prévues par la loi, l'accès à leur contenu, leur divulgation totale ou partielle ou leur invocation à la charge de quiconque. Est garantie pour tous, la liberté de circuler et de s'établir sur le territoire national, d'en sortir et d'y retourner, conformément à la loi ».
C'est la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP), instituée par la loi 09-08, qui veille au respect des règles auxquelles doivent se conformer les organismes publics et privés avant et lors du traitement de vos données à caractère personnel.
Le cadre juridique marocain pour la protection des personnes physiques à l'égard du traitement des données à caractère personnel est constitué par :
- la loi n°09-08 18 février 2009
- Le décret n°2-09-165 pris pour l'application de la loi n°09-08 du 21 mai 2009
- La décision du Premier ministre n°3-33 11 approuvant le règlement intérieur de la CNDP du 28 mars 2011
Selon le CNDP, les traitements de données à caractère personnel entamés après le 23 Février 2009, date d'entrée en vigueur de la loi 09-08, doivent se conformer sans délais aux dispositions la loi au plus tard le 15 novembre 2012.
La loi n° 09-08 relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel est inspirée de la loi française Informatique et Libertés. Ses dispositions constituent un grand pas en matière de droit informatique et de droits de protection de la vie privée des personnes physiques. Elles sont harmonisées avec le droit européen et, notamment, avec la Directive Communautaire n° 95/46/CE.
Loi n° 09-08 comprend plusieurs chapitres et section, dont nous donnons, dans la présente édition de notre journal, ceux relatifs :
- aux définitions et au champ d'application de la loi,
- à la qualité des données et au consentement préalable de la personne concernée
- aux droits de la personne concernée
- aux limites au droit à l'information
- au droit d'accès
- au droit de rectification
- au droit d'opposition
- à l'interdiction de la prospection directe
- à la neutralité des effets
- aux obligations des responsables du traitement
- à la déclaration préalable
- à l'autorisation préalable
- et aux obligations de confidentialité et de sécurité des traitements et de secret professionnel
L'informatique est au service du citoyen et évolue dans le cadre de la coopération internationale. Elle ne doit pas porter atteinte à l'identité, aux droits et aux libertés collectives ou individuelles de l'Homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des citoyens.
L'article premier de la loi 09-08 dispose que pour l'application de cette loi, on entend par:
1. « données à caractère personnel » : toute information, de quelque nature qu'elle soit et indépendamment de son support, y compris le son et l'image, concernant une personne physique identifiée ou identifiable, dénommée ci-après « personne concernée ».
Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
2. «traitement de données à caractère personnel » (« traitement ») : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction;
3. « Données sensibles» : données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques;
4. « fichier de données à caractère personnel » («fichier») : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique, tels que les archives, les banques de données, les fichiers de recensement;
5. « responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires, le responsable du traitement doit être indiqué dans la loi d'organisation et de fonctionnement ou dans le statut de l'entité légalement ou statutairement compétente pour traiter les données à caractère personnel en cause;
6. « sous-traitant » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
7. « tiers»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données;
8. « destinataire » la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers. Les organismes qui sont susceptibles de recevoir communication de données dans le cadre d'une disposition légale ne sont pas considérées comme destinataires, notamment la Commission nationale de contrôle de la protection des données à caractère personnel instituée à l'article 27 ci-après et dénommée la Commission nationale;
9. « consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée, par laquelle la personne concernée accepte que les données à caractère personnel la concernant fassent l'objet d'un traitement;
10. « cession ou communication»: toute divulgation ou information d'une donnée portée à la connaissance d'une personne autre que la personne concernée;
11. « interconnexion de données» : forme de traitement qui consiste à établir un rapport entre les données d'un fichier et les données d'un fichier ou de plusieurs fichiers tenus par un autre ou par d'autres responsables, ou tenus par le même responsable mais dans un autre but.
Au titre de l'article 2, paragraphe premier, la loi n° 09-08 du 18 février 2009 s'applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels;
La loi s'applique au traitement des données à caractère personnel répondant à la définition du paragraphe 1 ci-dessus:
a) lorsqu'il est effectué par une personne physique ou morale dont le responsable est établi sur le territoire marocain. Le responsable d'un traitement qui exerce une activité sur le territoire marocain dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi;
b) lorsque le responsable n'est pas établi sur le territoire marocain mais recourt, à des fins de traitement des données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire marocain, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur le territoire national ou sur celui d'un Etat dont la législation est reconnue équivalente à celle du Maroc en matière de protection des données à caractère personnel;
Dans le cas visé au b du paragraphe 2 ci-dessus, le responsable du traitement doit notifier à la Commission nationale, l'identité d'un représentant installé au Maroc qui, sans préjudice de sa responsabilité personnelle, se substitue à lui dans tous ses droits et obligations résultant des dispositions de la présente loi et des textes pris pour son application;
La présente loi ne s'applique pas:
- au traitement de données à caractère personnel effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques;
- aux données à caractère personnel recueillies et traitées dans l'intérêt de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat. Elle ne s'applique aux données à caractère personnel recueillies et traitées à des fins de prévention et de répression des crimes et délits que dans les conditions fixées par la loi ou le règlement qui crée le fichier en cause; ce règlement précise le responsable du traitement, la condition de légitimité du traitement, la ou les finalités du traitement, la ou les catégories de personnes concernées et les données ou les catégories de données s'y rapportant, l'origine de ces données, les tiers ou les catégories de tiers auxquels ces données peuvent être communiquées et les mesures à prendre pour assurer la sécurité du traitement. Il est soumis à l'avis préalable de la Commission nationale;
- aux données à caractère personnel recueillies en application d'une législation particulière. Les projets ou propositions de loi portant création de fichiers relatifs aux données précitées sont communiqués à la Commission nationale en précisant l'autorité responsable du fichier, la ou les finalités du traitement, la ou les catégories de personnes concernées et les données ou les catégories de données s'y rapportant, l'origine de ces données, les tiers. ou les catégories de tiers auxquels ces données peuvent être communiquées et les mesures à prendre pour assurer la sécurité du traitement.
Consentement préalable de la personne concernée
Au titre de l'article 3 de la loi, premier paragraphe, les données à caractère personnel doivent être :
a) traitées loyalement et licitement;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités;
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;
d) exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement.
Le deuxième paragraphe stipule que sur demande du responsable du traitement et, s'il existe un intérêt légitime, la Commission nationale peut autoriser la conservation de données à caractère personnel à des fins historiques, statistiques ou scientifiques au-delà de la période citée au e) du paragraphe précédent;
3. II incombe au responsable du traitement d'assurer le respect des dispositions des paragraphes qui précèdent, sous le contrôle de la Commission nationale.
La loi dispose, dans son article 4 que le traitement des données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement à l'opération ou à l'ensemble des opérations envisagées.
Les données à caractère personnel objet du traitement ne peuvent être communiquées à un tiers que pour la réalisation de fins directement liées aux fonctions du cédant et du cessionnaire et sous réserve du consentement préalable de la personne concernée.
Toutefois, ce consentement n'est pas exigé si le traitement est nécessaire :
a) au respect d'une obligation légale à laquelle est soumis (e) la personne concernée ou le responsable du traitement;
b) à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) à la sauvegarde d'intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l'incapacité de donner son consentement;
d) à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;
e) à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.
Droits de la personne concernée
L'article 5 de la loi dispose dans son paragraphe relatif au droit à l'information lors de la collecte des données que toute personne sollicitée directement, en vue d'une collecte de ses données personnelles, doit être préalablement informée de manière expresse, précise et non équivoque par le responsable du traitement ou son représentant, sauf si elle en a déjà eu connaissance, des éléments suivants:
a) l'identité du responsable du traitement et, le cas échéant, de son représentant;
b) les finalités du traitement auquel les données sont destinées;
c) toutes informations supplémentaires telles que:
les destinataires ou les catégories de destinataires;
le fait de savoir si la réponse aux questions est obligatoire ou facultative, ainsi que les conséquences éventuelles d'un défaut de réponse;
l'existence d'un droit d'accès aux données à caractère personnel la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations sont nécessaires pour assurer un traitement loyal des données à l'égard de la personne concernée;
d) les caractéristiques du récépissé de la déclaration auprès de la Commission nationale ou de celles de l'autorisation délivrée par ladite commission;
Il dispose également que les documents qui servent de base à la collecte des données à caractère personnel doivent contenir les informations visées au paragraphe précédent;
Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement ou son représentant doit, avant l'enregistrement des données ou si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations visées aux a), b) et c) ci-dessus, sauf si la personne en a déjà eu connaissance.
En cas de collecte de données en réseaux ouverts, la personne concernée doit être informée, sauf si elle sait déjà que les données à caractère personnel la concernant peuvent circuler sur les réseaux sans garanties de sécurité et qu'elles risquent d'être lues et utilisées par des tiers non autorisés.
L'article 6 consacré aux limites au droit à l'information stipule que l'obligation d'information prévue à l'article 5 ci-dessus n'est pas applicable:
a) aux données à caractère personnel dont la collecte et le traitement sont nécessaires à la défense nationale, la sûreté intérieure ou extérieure de l'Etat, la prévention ou la répression du crime;
b) lorsque l'information de la personne concernée se révèle impossible, notamment en cas de traitement de données à caractère personnel à des fins statistiques, historiques ou scientifiques. Dans ce cas, le responsable du traitement est tenu d'aviser la Commission de l'impossibilité d'informer la personne concernée et de lui présenter le motif de cette impossibilité;
c) si la législation prévoit expressément l'enregistrement ou la communication des données à caractère personnel;
d) au traitement de données à caractère personnel effectuées à des fins exclusivement journalistiques, artistiques ou littéraires.
Droit d'accès
Consacré au droit d'accès, l'article 7 dispose que la personne concernée, justifiant de son identité, a le droit d'obtenir du responsable du traitement à des intervalles raisonnables, sans délais et gratuitement:
a) la confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données à caractère personnel sont communiquées;
b) la communication, sous une forme intelligible, des données à caractère personnel faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données.
Le responsable du traitement aux demandes d'accès légitimes et peut s'opposer aux demandes manifestement abusives, notamment, par leur nombre et leur caractère répétitif.
En cas d'opposition, la charge de la preuve du caractère manifestement abusif, incombe au responsable du traitement auprès duquel ces demandes ont été faites.
c) la connaissance de la logique qui sous-tend tout traitement automatisé des données à caractère personnel la concernant.
Droit de rectification
Le droit de rectification fait l'objet de l'article 8 qui stipule que la personne concernée, justifiant de son identité, a le droit d'obtenir du responsable du traitement:
a) l'actualisation, la rectification, l'effacement ou le verrouillage des données à caractère personnel dont le traitement n'est pas conforme à la présente loi, notamment en raison du caractère incomplet et inexact de ces données; le responsable du traitement est tenu de procéder aux rectifications nécessaires sans frais pour le demandeur, et ce, dans un délai franc de dix jours.
En cas de refus ou de non réponse dans le délai précité, la personne concernée peut introduire une demande de rectification auprès de la Commission nationale, laquelle charge l'un de ses membres à l'effet de mener toutes investigations utiles et faire procéder aux rectifications nécessaires, dans les plus brefs délais. La personne concernée est tenue informée des suites réservées à sa demande;
b) La notification aux tiers auxquels les données à caractère personnel ont été communiquées de toute actualisation, toute rectification, tout effacement ou tout verrouillage effectué conformément au point a) ci-dessus, si cela ne s'avère pas impossible.
Droit d'opposition
L'article 9 est consacré au droit d'opposition et dispose que la personne concernée, justifiant de son identité, a le droit de s'opposer, pour des motifs légitimes, à ce que des données la concernant fassent l'objet d'un traitement.
Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.
Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.
Interdiction de la prospection directe
L'article 10 de la loi 09-08 énonce l'interdiction de la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique ou d'un moyen employant une technologie de même nature qui utilise, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.
Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à des fins de prospection directe.
Constitue une prospection directe l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services.
Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la présente loi, à l'occasion d'une vente ou d'une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse, dénuée d'ambiguïté et simple, la possibilité de s'opposer, sans frais, hormis ceux liés à la transmission du refus, à l'utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé.
Dans tous les cas, il est interdit d'émettre, à des fins de prospection directe, des messages au moyen d'automates d'appel, télécopieurs et courriers électroniques, sans indiquer de coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci.
Il est également interdit de dissimuler l'identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec la prestation ou le service proposé.
Au titre de l'article 11, aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.
Ne sont pas considérées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée.
Obligations des responsables
du traitement
L'article 12 prévoit que sauf dispositions législatives particulières, le traitement de données à caractère personnel doit faire l'objet:
1. d'une autorisation préalable lorsque les traitements concernent:
a) les données sensibles visées à l'alinéa 3 de l'article premier ci-dessus.
Toutefois, sont dispensés de ladite autorisation les traitements mis en œuvre par une association ou tout autre groupement à but non lucratif et à caractère religieux, philosophique, politique, syndical, culturel ou sportif:
- pour les seules données qui révèlent l'une ou plusieurs des caractéristiques visées au paragraphe 3 de l'article premier ci-dessus et correspondant à l'objet de ladite association ou dudit groupement;
- sous réserve que les données ne concernent que les membres de cette association ou de ce groupement et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité;
- et qu'ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément et que le groupement puisse fournir la preuve de ce consentement à première requête de l'autorité compétente;
b) l'utilisation de données à caractère personnel à d'autres fins que celles pour lesquelles elles ont été collectées;
c) des données génétiques, à l'exception de ceux mis en oeuvre par des personnels de santé et qui répondent à des fins médicales, qu'il s'agisse de la médecine préventive, des diagnostics ou des soins;
d) des données portant sur les infractions, condamnations ou mesures de sûreté, à l'exception de ceux mis en œuvre par les auxiliaires de justice;
e) des données comportant le numéro de la carte d'identité nationale de la personne concernée;
f) l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités d'intérêt public sont différentes ou l'interconnexion de fichiers relevant d'autres personnes morales et dont les finalités principales sont différentes.
2. d'une déclaration préalable dans les autres cas.
Déclaration préalable
Au titre de l'article 13, la déclaration préalable prévue à l'article 12 ci.dessus, qui comporte l'engagement que le traitement sera effectué conformément aux dispositions de la présente loi, est déposée auprès de la Commission nationale dans les conditions prévues à la présente section.
Cette déclaration a pour objet de permettre à la Commission nationale d'exercer les compétences qui lui sont dévolues par la présente loi, afin de contrôler le respect de ses dispositions et d'assurer la publicité du traitement des données personnelles.
L'article 14 stipule que le responsable du traitement ou, le cas échéant, son représentant doit adresser une déclaration à la Commission nationale préalablement à la mise en œuvre d'un traitement entièrement ou partiellement automatisé ou d'un ensemble de tels traitements ayant une même finalité ou des finalités liées.
Au titre de l'article 15, la déclaration prévue à l'article 12 ci-dessus doit comprendre:
a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant;
b) la dénomination, les caractéristiques et la ou les finalités du traitement envisagé;
c) une description de la ou des catégories de personnes concernées et des données ou des catégories de données à caractère personnel s'y rapportant;
d) les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées;
e) les transferts de données envisagés à destination d'Etats étrangers;
f) la durée de conservation des données;
g) le service auprès duquel la personne concernée pourra exercer, le cas échéant, les droits qui lui sont reconnus par les dispositions de la présente loi, ainsi que les mesures prises pour faciliter l'exercice de ceux-ci;
h) une description générale permettant d'apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la confidentialité et la sécurité du traitement en application des dispositions des articles 23 et 24 ci-dessous;
i) les recoupements, les interconnexions, ou toutes autres formes de rapprochement des données ainsi que leur cession, sous-traitance, sous toute forme, à des tiers, à titre gratuit ou onéreux.
Toute modification aux informations ci-dessus et toute suppression de traitement doivent être portées, sans délai, à la connaissance de la Commission nationale.
En cas de cession d'un fichier de données, le cessionnaire est tenu de remplir les formalités de déclaration prévues par la présente loi.
Les modalités de la déclaration à la Commission nationale des changements affectant les informations visées à J'alinéa ci-dessus sont fixées par le gouvernement, après avis de ladite commission.
Selon l'article 16, la Commission nationale fixe la liste des catégories de traitements de données à caractère personnel qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, et pour lesquelles la déclaration doit préciser uniquement les éléments prévus aux b), c), d), e)et f)de l'article 15 ci-dessus.
La décision de la Commission nationale est soumise à homologation du gouvernement.
La Commission nationale fixe la liste des traitements non automatisés de données à caractère personnel qui peuvent faire l'objet d'une déclaration simplifiée, dont elle précise les éléments par une décision homologuée par le gouvernement.
L'obligation de déclaration ne s'applique pas aux traitements ayant pour seul objet la tenue d'un registre qui est, en vertu de dispositions législatives ou réglementaires, destiné à l'information du public et ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.
Toutefois, dans ce cas, il doit être désigné un responsable du traitement des données dont l'identité est rendue publique et notifiée à la Commission nationale et qui est responsable de l'application des dispositions du chapitre Il de la présente loi vis-à-vis des personnes concernées.
Le responsable du traitement dispensé de déclaration doit communiquer à toute personne qui en fait la demande les informations relatives à la dénomination et à la finalité du traitement, à l'identité du responsable, aux données traitées, à leurs destinataires et, le cas échéant, aux transferts envisagés à destination de l'étranger.
La Commission nationale fixe la liste des traitements répondant à la définition prévue ci-dessus par une décision soumise à l'homologation du gouvernement.
L'article 19 prévoit que la Commission nationale délivre, dans un délai de 24 heures courant à compter de la date du dépôt de la déclaration, un récépissé de ladite déclaration, dont les caractéristiques doivent figurer dans toutes les opérations de collecte ou de transmission des données. Le responsable du traitement peut mettre ledit traitement en œuvre dès réception dudit récépissé.
L'article 20 dispose que, lorsqu'il apparaît à la Commission nationale, à l'examen de la déclaration qui lui est fournie, que le traitement envisagé présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet, elle décide de soumettre ledit traitement au régime d'autorisation préalable prévu ci-après.
Sa décision, motivée, est notifiée au déclarant dans les huit jours suivant celui du dépôt de la déclaration.
L'autorisation préalable
Au titre du premier alinéa de l'article 21, le traitement des données sensibles est subordonné à une autorisation de la loi qui en fixe les conditions. A défaut, il doit être autorisé par la Commission nationale.
Le deuxième alinéa stipule que cette autorisation est accordée au vu du consentement exprès de la personne concernée ou lorsque le traitement des données est indispensable à l'exercice des fonctions légales ou statutaires du responsable du traitement.
Le troisième alinéa précise que, outre l'ordre de la loi, le consentement exprès de la personne concernée ou l'obligation légale ou statutaire du responsable, l'autorisation préalable de la Commission nationale peut également être accordée dans les cas où :
a) le traitement est nécessaire à la défense d'intérêts vitaux de la personne concernée ou d'une autre personne et si la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;
b) le traitement porte sur des données manifestement rendues publiques par la personne concernée et que son consentement au traitement des données peut légitimement être déduit de ses déclarations;
c) le traitement est nécessaire à la reconnaissance, [‘exercice ou la défense d'un droit en justice et est effectué exclusivement à cette fin.
L'article 22 précise que par dérogation aux dispositions de l'article 21, le traitement des données relatives à la santé est subordonné à une déclaration à la Commission nationale, lorsqu'il a pour seule finalité:
- la médecine préventive, les diagnostics médicaux, l'administration de soins ou de traitements ou la gestion des services de santé et qu'il est effectué par un praticien de la santé soumis au secret professionnel ou par toute autre personne également soumise à une obligation de secret;
- de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat, dès lors qu'elles n'en sont exclues par aucune disposition légale ou réglementaire.
Obligations de confidentialité, de sécurité et de secret professionnel
L'article 23 de la loi 09-08 stipule que le responsable du traitement doit mettre en oeuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisé, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.
Il stipule, également, que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et il doit veiller au respect de ces mesures;
Il précise, en outre, que la réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n'agit que sous la seule instruction du responsable du traitement et que les obligations visées au paragraphe 1 ci-dessus lui incombent également;
Il dispose qu'aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatif à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 ci-dessus sont consignés par écrit ou sous une autre forme équivalente.
La loi prévoit, dans son article 24 que :
1. Les responsables du traitement des données sensibles ou relatives à la santé doivent prendre les mesures appropriées pour :
a) empêcher l'accès de toute personne non autorisée aux installations utilisées pour le traitement de ces données (contrôle de l'entrée dans les installations) ;
b) empêcher que les supports de données puissent être lus, copiés, modifiés ou retirés par des personnes non autorisées (contrôle des supports de données) ;
c) empêcher l'introduction non autorisée, ainsi que la prise de connaissance, la modification ou l'élimination non autorisées de données à caractère personnel introduites (contrôle de l'insertion) ;
d) empêcher que les systèmes de traitement automatisés de données puissent être utilisés par des personnes non autorisées au moyen d'installations de transmission de données (contrôle de l'utilisation) ;
e) garantir que seules les personnes autorisées puissent avoir accès aux données visées par l'autorisation (contrôle de l'accès) ;
f) garantir la vérification des entités auxquelles les données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission) ;
g) garantir qu'il soit possible de vérifier a posteriori, dans un délai approprié en fonction de la nature du traitement à fixer dans la réglementation applicable à chaque secteur particulier, quelles données à caractère personnel sont introduites, quand elles l'ont été et pour qui (contrôle de l'introduction) ;
h) empêcher que lors de la transmission de données à caractère personnel et du transport des supports, les données puissent être lues, reproduites, modifiées ou éliminées sans autorisation (contrôle du transport).
2. Suivant la nature des organismes responsables du traitement et du type d'installations avec lequel il est effectué, la Commission nationale peut dispenser de certaines mesures de sécurité, à condition que le respect des droits, libertés et garanties des personnes concernées soit assuré.
L'article 25 précise que toute personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, ainsi que le sous-traitant lui-même qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations légales.
Selon l'article 26, le responsable du traitement de données à caractère personnel, ainsi que les personnes qui, dans l'exercice de leurs fonctions, ont connaissance de données à caractère personnel traitées, sont tenues de respecter le secret professionnel même après avoir cessé d'exercer leurs fonctions, dans les termes prévus par la loi pénale.
Les dispositions de l'alinéa premier ci-dessus n'exemptent pas de l'obligation de fournir des informations, conformément aux dispositions légales applicables aux fichiers en cause ou conformément à la législation de droit commun.
La suite de notre dossier dans notre édition de samedi prochain