1-09-15 du 18 février 2009 (BO n
Transcription
1-09-15 du 18 février 2009 (BO n
ADMINISTRATION ET CNDP, ENSEMBLE POUR LA PROTECTION DES DONNÉES PERSONNELLES M. Driss Belmahi, Membre de la CNDP 31 Mai 2013 SOMMAIRE La protection des données personnelles - La Loi 09-08 La CNDP Enjeux - Notions de base Principaux thèmes (droits, obligations, transfert et sanctions) - Dates et chiffres clés, Moments forts La loi 09-08 et le secteur - Enjeux public - Approche méthodologique Protection des données personnelles - Enjeux NTIC, Informatique, Internet, Réseaux sociaux, etc … Loi 09-08 Protection des libertés et droits fondamentaux de l’homme Menace de la vie privée Cadre légal pour protéger les données personnelles Création d’un environnement propice à l’investissement étranger (Offshoring) Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Champs d’application de la loi 09-08 • Lorsqu’il est effectué par une personne physique ou morale dont le responsable est établi sur le territoire marocain. • Lorsque le responsable du traitement n’est pas établi au Maroc mais recourt, à des fins de traitement des données à caractère personnel, à des moyens automatisés ou non situés sur le territoire marocain. Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Notions de base de la Loi: Données à caractère personnel; Traitement; Données et traitements sensibles; Responsable du traitement; Personne concernée. Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Notions de base de la Loi Données à caractère personnel: « toute information, de quelque nature qu’elle soit et indépendamment de son support ( y compris le son et l’image) qui permettent d’identifier directement ou indirectement une personne physique. » (Article premier) Exemples Nom, Prénom, Adresse, Numéro de téléphone, Email, Adresse IP, Photo, Vidéo, Données biométriques, Données génétiques. Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Notions de base de la Loi Traitement : «Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l ’ enregistrement, l ’ organisation, la conservation, l’adaptation, ou la modification, l’extraction, la consultation, l ’ utilisation, la communication par transmission, diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction . » (Article premier) Exemples : Gestion RH, liste électorale, permis de conduire, etc. Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Notions de base de la Loi Données sensibles: « données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l ’ appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques. » (Article premier) Traitements sensibles: • Traitement utilisant le N°CIN; • Interconnexion de fichiers avec des finalités différentes; • Changement de finalité. Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Notions de base de la Loi Responsable du traitement «La personne physique ou morale, l’autorité publique, le service ou tout autre organisme, qui seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel... » (Article premier) Exemples : Ministère, banque, société, université, hôpital, etc. Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Notions de base de la Loi Personne concernée: La personne physique dont les données personnelles sont traitées. Exemples : •Les fonctionnaires, •Les administrés, •Les contribuables, •Les étudiants et les écoliers, •Les patients, etc. Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Les principaux thèmes inscrits dans la Loi Les droits de la personne concernée; Les obligations du responsable du traitement; La commission Nationale (CNDP) Le transfert des données personnelles à l’étranger; Les sanctions. Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Les droits de la personne concernée Exprimer son consentement; Etre informée lors de la collecte des données; Exercer ses droits d ’ accès, de rectification et d’opposition; Etre protégée contre les messages publicitaires abusifs. Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Les obligations du responsable du traitement Traiter les données d’une façon loyale, légitime et transparente; Respecter les finalités du traitement; Respecter le principe de proportionnalité ; Veiller sur la qualité des données; Assurer la sécurité et la confidentialité des données; Garantir aux personnes concernées l’exercice de leurs droits; Accomplir les formalités préalables auprès de la CNDP (Déclaration et demande d’autorisation, etc). Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) La création de la CNDP - Le 31 août 2010 : instauration de la Commission - Composition: Le président, nommé par Sa Majesté le Roi; Six membres, nommés également par Sa Majesté le Roi, suite à une proposition : • Du Premier ministre (deux membres) ; • Du président de la Chambre des représentants (deux membres) ; • Du président de la Chambre des conseillers (deux membres). Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009) Les principaux thèmes régis par la Loi Le transfert des données personnelles à l’étranger; Les sanctions. CNDP : Les étapes clés Commission Nationale de contrôle de la protection des Données à caractère Personnel 18/02/2009: Promulgation de la loi 09-08; ( B.O. 5714 du 05 mars 2009) 21/05/2009: Publication du décret d’application n°2-0-165; ( B.O. 5744 du 18 juin 2009) 31/08/2010: Installation de la Commission; Février 2012: Mise en place de la structure administrative; 15/11/2012: Délai de mise en conformité avec la Loi 09-08. CNDP : Chiffres clés Commission Nationale de contrôle de la protection des Données à caractère Personnel 12 délibérations 3 avis 588 déclarations 557 demandes d’autorisation 112 demande de transfert à l’étranger 11 plaintes CNDP : Temps forts Commission Nationale de contrôle de la protection des Données à caractère Personnel Au niveau national Au niveau international • Constitutionnalisation de la protection de la vie privée; • Règlement Intérieur; • Institution de groupes de travail avec des autorités de régulation et des fédérations professionnelles; • Premier budget de la CNDP et noyau des services administratifs. • Accréditation auprès de la Conférence Internationale des Autorités de Contrôle des données personnelles; • Membre de l’AFAPDP; • Demande d ’ adéquation auprès de la Commission européenne; • Acceptation de la demande d ’ adhésion du Maroc à la convention 108. La Loi 09-08 et le secteur public Les organismes publics collectent et traitent des données à caractère personnel Responsable du traitement Légitimité des traitements Respect des droits des personnes concernées Notification des traitements à la CNDP La Loi 09-08 et le secteur public Les Ministères et les Autorités de régulation Responsables de secteurs d’activités Coordonner avec la CNDP en vue de sensibiliser et encadrer le secteur privé Donner l’exemple aux organismes privés Harmoniser les législations et les procédures avec la loi 09-08 Le secteur public et la PDP : enjeux E-gouvernement E-Administration E-learning Fiabilité et mise à jour de l’information La confiance numérique Tableaux de bord fiables Adhésion des administrés Prendre les bonnes décisions en utilisant des indicateurs fiables Le secteur public et la PDP : La démarche proposée Mise en conformité • Désignation des interlocuteurs de la CNDP; • Mise en place d ’ une organisation interne; • Sensibilisation des décideurs et des usagers; • Etablir l’état des lieux • Elaborer un plan de mise en conformité. Objectif Partage des expérience s acquises Outils : Groupes mixtes de travail, Plateforme d’échange dédiée au secteur public. Traitements communs : Elaboration de modèles unifiés d’autorisation. Disposer d’une charte de respect de la vie privée dans le secteur public. MERCI POUR VOTRE ATTENTION [email protected] www.cndp.ma Immeuble Les patios, bd Annakhil, 3ème étage, Hay Ryad, Rabat. Tél: 05 37 57 11 24 / fax: 05 37 57 21 41