Par Yann Gré, Avocat à Créteil (94)
Inspirée de la célèbre loi française Informatique et Libertés, la loi n° 09-08 relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel a été publiée au Bulletin Officiel n° 5744 du 18 Juin 2009, après avoir été promulguée par le Décret n° 2-09-165, en date du 21 mai 2009.
Cette loi crée une Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), dont le rôle est similaire à celui de la CNIL française, et qui dispose de pouvoirs importants.
Elle harmonise par ailleurs le droit marocain avec le législation de l'Union Européenne, concernant le traitement des données personnelles.
Son texte est le suivant :
Cette loi crée une Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), dont le rôle est similaire à celui de la CNIL française, et qui dispose de pouvoirs importants.
Elle harmonise par ailleurs le droit marocain avec le législation de l'Union Européenne, concernant le traitement des données personnelles.
Son texte est le suivant :
Chapitre I
La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP)
Section 1
Conditions et modalités de désignation des membres de la CNDP
Article 1
La Commission nationale de contrôle de la protection des données à caractère personnel créée en vertu de l'article 27 de la loi n° 09-08 est désignée en abrégé par la " CNDP ".
Article 2
En application de l'article 32 de la loi n° 09-08, la CNDP est composée de sept (7) membres dont le président est nommé par le Roi et six (6) membres nommés également par le Roi et proposés comme suit :
- deux membres par le Premier ministre ;
- deux membres par le président de la Chambre des représentants ;
- deux membres par le président de la Chambre des conseillers.
Article 3
Outre le président, les membres de la CNDP proposés en vue de leur désignation conformément aux dispositions de l'article 32 de la loi n° 09-08, sont choisis parmi des personnalités du secteur public ou privé qualifiées.
La CNDP doit comprendre parmi ses membres des personnalités qualifiées pour leur compétence dans les domaines juridique et judiciaire, des personnalités justifiant d'une grande expertise en matière informatique ainsi que des personnalités reconnues pour leur connaissance des questions touchant aux libertés individuelles.
Les membres de la CNDP sont choisis parmi les personnalités notoirement connues pour leur impartialité, leur probité morale, leur expertise et leur compétence.
Article 4
En cas de vacance, d'empêchement ou d'absence pour quelque cause que ce soit d'un membre de la Commission, il est pourvu dans les mêmes conditions, à son remplacement dans les 30 jours suivant celui où la vacance est constatée par le président de la CNDP.
Les membres de la CNDP nommés en remplacement de ceux dont le mandat a pris fin avant son terme normal, achèvent le mandat des membres auxquels ils succèdent.
Article 5
Le président de la CNDP peut déléguer une partie de ses fonctions à un autre membre et au secrétaire général de la CNDP. Il préside les réunions de la CNDP ou délègue un autre membre à cette fin et le représente.
Section 2
Règles de fonctionnement de la CNDP
Article 6
La CNDP se réunit sur convocation de son président, agissant de sa propre initiative ou à la demande de la moitié des membres, selon une périodicité précisée par son règlement intérieur et, en tout cas, au moins une fois par mois.
Article 7
Conformément à l'article 39 de la loi n° 09-08 susvisée, la CNDP établit son règlement intérieur qui fixe notamment les conditions de son fonctionnement et de son organisation, et ce dans un délai d'un mois après son installation et le communique au premier ministre ou à l'autorité gouvernementale qu'il désigne, pour approbation et publication au " Bulletin officiel ".
Article 8
Les crédits nécessaires à l'accomplissement des missions de la CNDP sont inscrits au budget du Premier ministre.
Article 9
La CNDP peut bénéficier de dons et legs d'organismes nationaux et internationaux publics ou privés.
Article 10
Le projet de budget de la CNDP est préparé par le secrétaire général. Avant son approbation par la CNDP, le projet de budget est soumis par le président de la CNDP au Premier ministre.
Article 11
Le président de la CNDP est ordonnateur de son budget. Il est assisté par le secrétaire général qui est sous ordonnateur pour les missions qui lui sont confiées par la loi n° 09-08.
Section 3
Administration de la CNDP
Article 12
L'administration de la CNDP est assurée par un secrétaire général sous l'autorité de son président.
Article 13
Le secrétaire général dirige les services administratifs et financiers de la CNDP et peut à ce titre, outre les pouvoirs qu'il exerce par délégation du président de la CNDP, signer tous actes et décisions d'ordre administratif. Il prépare et soumet pour approbation du président, le projet de budget de la CNDP.
Article 14
Le secrétaire général est chargé de prendre toute mesure nécessaire à la préparation et à l'organisation des travaux de la CNDP. Il est responsable de la tenue et de la conservation des dossiers et archives de la CNDP.
Article 15
Afin d'assurer la gestion de la CNDP, le secrétaire général dispose selon l'article 41 de la loi n° 09-08 d'un personnel administratif et technique composé de fonctionnaires des administrations publiques ou d'agents publics, qui peuvent être placés en position de détachement auprès de la CNDP, sur décision conjointe de l'autorité gouvernementale dont ils relèvent et du président de la CNDP.
Les contrats de travail sont soumis à l'approbation du premier ministre pour le personnel recruté par voie contractuelle.
Section 4
Des pouvoirs d'investigation et de contrôle de la CNDP
Article 16
Pour l'accomplissement des pouvoirs d'investigation et d'enquête dont elle est investie en vertu de l'article 30 de la loi n° 09-08, la CNDP charge ses agents régulièrement commissionnés par le président et placés sous son autorité, de rechercher et contrôler, par procès-verbal, les infractions aux dispositions de la loi susvisée et des textes pris pour son application.
Article 17
L'opération de contrôle, fait l'objet d'une décision de la CNDP qui précise :
1) le nom et l'adresse du responsable du traitement concerné ;
2) le nom de l'agent commissionné ou des agents chargés de l'opération ;
3) l'objet ainsi que la durée de l'opération.
Article 18
Aucun agent ne peut être désigné pour effectuer un contrôle auprès d'un organisme au sein duquel il a, au cours des 5 années précédant le contrôle, détenu un intérêt direct ou indirect, exercé des fonctions, une activité professionnelle ou un mandat électif.
Article 19
En cas d'opération de contrôle, le procureur du Roi territorialement compétent en est préalablement informé au plus tard vingt-quatre (24) heures avant la date à laquelle doit avoir lieu le contrôle sur place. Cet avis précise la date, l'heure, le lieu et l'objet du contrôle.
Les personnes chargées du contrôle doivent présenter leur ordre de mission et, le cas échéant, leur habilitation à procéder auxdits contrôles.
Article 20
En application de l'article 66 de la loi n° 09-08 chaque contrôle, doit faire l'objet d'un procès-verbal qui énonce la nature, le jour, l'heure et le lieu des contrôles effectués. Le procès-verbal indique l'objet de l'opération, les membres de la CNDP ayant participé à celle-ci, les personnes rencontrées, le cas échéant, leurs déclarations, les demandes formulées par les contrôleurs ainsi que les éventuelles difficultés rencontrées.
L'inventaire des pièces et documents dont, les personnes chargées du contrôle ont pris copie, est annexé au procès-verbal signé par les personnes chargées du contrôle et par le responsable soit des lieux, soit des traitements, soit par toute personne désignée par celui-ci.
Article 21
Les agents de la CNDP peuvent également, sur autorisation du procureur du Roi, procéder à la saisie des matériels objets de l'infraction.
La demande de l'autorisation précitée doit comporter tous les éléments d'information de nature à justifier la saisie. Celle-ci s'effectue sous l'autorité et le contrôle du procureur du Roi qui l'a autorisée.
Article 22
Les personnes chargées du contrôle peuvent convoquer et entendre toute personne susceptible de leur fournir toute information ou justification utiles pour l'accomplissement de leur mission.
La convocation, adressée par lettre recommandée ou remise en main propre contre décharge, doit parvenir au moins sept jours avant la date de l'audition.
La convocation rappelle à la personne convoquée qu'elle est en droit de se faire assister d'un conseil de son choix.
Le refus de répondre à une convocation des personnes chargées du contrôle doit être mentionné sur procès-verbal.
Chapitre II
Des avis, des autorisations et des déclarations
Section 1
Dispositions générales
Article 23
La CNDP définit des modèles de déclaration, de demande d'avis et de demande d'autorisation et fixe la liste des annexes qui, le cas échéant, doivent être jointes.
Article 24
Les déclarations, demandes d'avis et demandes d'autorisation sont présentées par le responsable du traitement ou par la personne ayant qualité pour le représenter. Lorsque le responsable du traitement est une personne physique ou un service, la personne morale ou l'autorité publique dont il relève doit être mentionnée.
Les déclarations et demandes d'avis et d'autorisations sont adressées à la CNDP :
1) soit par lettre recommandée ;
2) soit remises au secrétariat de la commission contre reçu ;
3) soit par voie électronique, avec accusé de réception qui peut être adressé par la même voie.
La date de l'avis de réception, du reçu ou de l'accusé de réception électronique fixe le point de départ du délai :
- de 24 heures dont dispose la CNDP pour délivrer le récépissé de la déclaration en application de l'article 19 de la loi n° 09-08 susvisée ;
- de deux mois pour notifier son avis conformément à l'article 25 du présent décret. La décision par laquelle le président renouvelle ce délai est notifiée au responsable du traitement par lettre remise contre signature ;
- de deux mois fixé par l'article 28 du présent décret à la CNDP pour accorder l'autorisation mentionnée dans les articles 12 et 21 de la loi n° 09-08 susvisée ;
- de 8 jours dont dispose la CNDP pour notifier sa décision de soumettre le traitement au régime de la déclaration en application de l'article 20 de la loi n° 09-08 susvisée.
Section 2
Des avis de la CNDP
Article 25
La CNDP saisie dans le cadre de l'alinéa A de l'article 27 ainsi que dans le cadre de l'article 50 de la loi n° 09-08 susvisée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande d'avis. Ce délai peut être prolongé d'un mois sur décision motivée du président de la CNDP.
En cas d'urgence, ce délai est ramené à un mois à la demande du gouvernement ou du parlement.
Section 3
De la déclaration
Article 26
Lorsque la déclaration satisfait aux prescriptions de la loi n° 09-08 et de ses textes d'application. La CNDP délivre le récépissé prévu à l'article 19 de la loi susvisée.
La CNDP peut délivrer le récépissé de la déclaration préalable par voie électronique avec accusé de réception par la même voie.
Lorsque le récépissé est délivré par voie électronique, le responsable du traitement peut en demander une copie sur support papier.
Section 4
Des autorisations
Article 27
En application de l'article 21 de la loi n° 09-08 susvisée, les demandes d'autorisations préalables doivent préciser :
1) l'identité et l'adresse du responsable du traitement ou, si celui-ci n'est pas établi sur le territoire national, celles de son représentant dûment mandaté ;
2) la ou les finalités du traitement envisagé ainsi que sa dénomination et ses caractéristiques ;
3) les interconnexions envisagées ou toutes autres formes de mise en relation avec d'autres traitements ;
4) les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
5) la durée de conservation des informations traitées ;
6) le ou les services chargés de mettre en oeuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
7) les destinataires habilités à recevoir communication des données ;
8) la fonction de la personne ou le service auprès duquel s'exerce le droit d'accès ;
9) les dispositions prises pour assurer la sécurité des traitements et des données ;
10) l'indication du recours à un sous-traitant ;
11) les transferts de données à caractère personnel envisagés à destination d'un pays étranger.
Le responsable d'un traitement déjà déclaré ou autorisé introduit une nouvelle demande auprès de la CNDP, en cas de changement affectant les informations mentionnées à l'alinéa précédent. En outre, il doit informer la CNDP en cas de suppression du traitement.
Article 28
La CNDP se prononce dans un délai de deux mois (2) à compter de la réception de la demande d'autorisation. Toutefois, ce délai peut être prorogé une fois sur décision motivée de la CNDP. Lorsque la CNDP ne s'est pas prononcée dans ces délais, l'autorisation est réputée accordée.
Chapitre III
Dispositions particulières à certaines catégories de traitements
Section 1
Les conditions de traitement des données génétiques et celles relatives à la santé
Article 29
En application de l'article 12 alinéas 1-a et 1-c, et de l'article 21 alinéa 1 de la loi n° 09-08 susvisée, les traitements portant sur des données génétiques et celles relatives à la santé doivent faire l'objet d'une autorisation de la CNDP.
Article 30
Les dossiers de demandes d'autorisation de traitements de données relatives à la santé adressés à la CNDP doivent comprendre :
1) l'identité et l'adresse du responsable du traitement et de la personne responsable du traitement, leurs titres, expériences et fonctions, les catégories de personnes qui seront appelées à mettre en oeuvre le traitement ainsi que celles qui auront accès aux données collectées ;
2) lorsqu'il s'agit de recherche dans le domaine médical, le protocole de recherche ou ses éléments utiles, indiquant notamment l'objectif de la recherche, les catégories de personnes intéressées, la méthode d'observation ou d'investigation retenue, l'origine et la nature des données à caractère personnel recueillies et la justification du recours à celles-ci, la durée et les modalités d'organisation de la recherche, la méthode d'analyse des données ;
3) le cas échéant, les avis rendus antérieurement par des instances scientifiques ou éthiques ;
4) les caractéristiques du traitement envisagé ;
5) l'engagement du responsable du traitement de coder les données permettant l'identification des personnes intéressées ;
6) le cas échéant, la justification scientifique et technique de toute demande de dérogation à l'obligation de codage des données permettant l'identification des personnes intéressées, et la justification de toute demande de dérogation à l'interdiction de conservation desdites données au-delà de la durée nécessaire à la recherche.
Toute modification de ces éléments est portée à la connaissance de la CNDP.
Section 2
Traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques
Article 31
En application de l'article 12 alinéa 1-b de la loi n° 09-08 susvisée, lorsque le responsable d'un traitement des données à caractère personnel communique ces dites données à un tiers, en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques, lesdites données sont, préalablement à leur communication, rendues anonymes ou codées par ledit responsable ou par tout organisme compétent.
Article 32
Les résultats du traitement des données à caractère personnel à des fins historiques, statistiques ou scientifiques ne peuvent être rendus publics sous une forme qui permet l'identification de la personne concernée, sauf si :
1) la personne concernée a donné expressément son consentement ;
2) la publication des données à caractère personnel non anonymes et non codées est limitée à des données manifestement rendues publiques par la personne concernée.
Article 33
La CNDP est compétente pour se prononcer sur le caractère historique, statistique ou scientifique des données à caractère personnel.
Chapitre IV
Des droits des personnes
Section 1
Dispositions communes
Article 34
1) Les informations à fournir par le responsable du traitement, en application de l'article 5 de la loi n° 09-08 susvisée, peuvent être délivrées par tous moyens, notamment par :
- courrier électronique ou sur support papier ;
- affichage ou formulaire électronique ;
- annonce dans un support approprié ;
- ou bien, au cours d'un entretien individuel.
2) les codes, sigles et abréviations figurant dans les documents délivrés par le responsable de traitement en réponse à une demande doivent être explicités, si nécessaire sous la forme d'un lexique.
Article 35
1) Les demandes tendant à la mise en oeuvre des droits prévus aux articles 7 à 9 de la loi n° 09-08 susvisée peuvent être présentées au responsable du traitement par écrit, par voie électronique ou sur place.
2) lorsqu'elles sont présentées par écrit au responsable du traitement, elles doivent être signées et accompagnées de la photocopie d'une pièce d'identité et préciser avec exactitude l'objet de la demande.
3) lorsque le responsable du traitement n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège de la personne morale, de l'autorité publique, du service ou de l'organisme dont il relève. La demande est transmise immédiatement au responsable du traitement.
Article 36
1) Lorsqu'une demande est présentée sur place, l'intéressé justifiant de son identité auprès du responsable du traitement, peut se faire assister d'un conseil de son choix.
La demande peut être également présentée par une personne spécialement mandatée à cet effet par l'intéressé, après justification de son mandat, de son identité et de l'identité du mandant.
2) Lorsque la demande relative au droit d'accès ne peut être satisfaite immédiatement conformément à l'article 7 de la loi n° 09-08 susvisée, il est délivré à son auteur un avis de réception, daté et signé avec la mention du motif du report de la réponse et le responsable du traitement saisit immédiatement la CNDP pour la fixation d'un délai de réponse.
3) Lorsque la demande rectification ne peut être satisfaite dans le délai de 10 jours conformément à l'alinéa a de l'article 8 de la loi n° 09-08 susvisée, il est délivré au demandeur un avis de réception, daté et signé et contenant le motif du report de la réponse. Dans ce cas le responsable du traitement saisit immédiatement la CNDP pour la fixation d'un délai de réponse.
Article 37
Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration des délais fixés dans l'article 7 et l'alinéa a de l'article 8 de la loi n° 09-08 et des textes pris pour son application.
La demande de compléments d'information suspend les délais mentionnés à l'alinéa précédent.
Section 2
Du droit d'accès
Article 38
En application de l'article 7 de la loi n° 09-08, toute personne justifiant de son identité, a le droit d'être informée, sur les données la concernant faisant l'objet d'un traitement, soit en s'adressant directement au responsable du traitement, soit en adressant à ce dernier une demande écrite d'accès aux informations, signée et datée, quel que soit le support :
La demande écrite doit contenir : le nom, le prénom, la date de naissance, ainsi qu'une photocopie de la carte d'identité.
La demande d'accès aux informations contient en outre et dans la mesure où le demandeur dispose de ces informations :
1) tous les éléments pertinents concernant les données, tels que leur nature, les circonstances ou l'origine de la prise de connaissance du traitement de ces données ;
2) la désignation de l'autorité ou du service concerné.
Article 39
Si plusieurs responsables de traitement des données gèrent en commun un ou plusieurs fichiers, le droit d'accès aux informations peut être exercé auprès de chacun d'eux, à moins que l'un d'eux soit considéré comme responsable de l'ensemble des traitements.
Si la personne sollicitée n'est pas autorisée à communiquer les informations demandées, elle doit transmettre la requête à qui de droit dans les meilleurs délais.
Section 3
Du droit de rectification
Article 40
En application de l'article 8 de la loi n° 09-08 toute personne justifiant de son identité dispose d'un droit de rectification des données personnelles la concernant, soit en s'adressant directement au responsable du traitement, soit en adressant à la CNDP une demande écrite de rectification signée et datée, quel que soit le support :
La demande écrite doit contenir : le nom, le prénom, la date de naissance, ainsi qu'une photocopie de la carte d'identité du demandeur et énoncer clairement l'objet de la rectification.
La demande rectification des informations contient en outre et dans la mesure où le demandeur dispose de ces informations :
- tous les éléments pertinents concernant les données contestées, tels que leur nature, les circonstances ou l'origine de la prise de connaissance des données contestées, ainsi que les rectifications éventuellement souhaitées ;
- la désignation de l'autorité ou du service concerné.
Article 41
Lorsqu'une personne fait une demande en vue de rectifier ou de supprimer des données la concernant, le responsable du traitement ou la CNDP doit l'informer par écrit des dispositions prises.
Article 42
L'héritier d'une personne décédée qui souhaite la mise à jour des données concernant le défunt doit, lors de sa demande, outre la justification de son identité, apporter la preuve de sa qualité d'héritier par la production d'un acte notarié ou d'un livret de famille.
Section 4
Du droit d'opposition
Article 43
Lorsque des données à caractère personnel sont collectées par écrit auprès de la personne concernée, le responsable du traitement demande à celle-ci, sur le document lui servant de support pour collecter les données, si elle souhaite exercer le droit
d'opposition prévu à l'article 9 de la loi n° 09-08 susvisée.
La personne concernée doit être en mesure d'exprimer son choix avant la validation définitive de ses réponses.
Article 44
Lorsque les données à caractère personnel sont collectées auprès de la personne concernée autrement que par écrit, le responsable du traitement demande à celle-ci, avant la fin de la collecte si elle souhaite exercer le droit d'opposition. Dans cette hypothèse, le responsable du traitement doit conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit d'opposition.
Article 45
Le responsable du traitement auprès duquel le droit d'opposition a été exercé, informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition.
Chapitre V
Du transfert des données à caractère personnel vers un pays étranger
Article 46
Les demandes de transfert des données à caractère personnel vers un pays étranger offrant un niveau de protection suffisant au sens de l'article 43 de la loi n° 09-08 susvisée doivent contenir, les indications suivantes :
1) les nom et adresse de la personne communiquant les données ;
2) les nom et adresse du destinataire des données ;
3) le nom et la description complète du fichier ;
4) les catégories de données personnelles transférées ;
5) les personnes concernées et leur nombre approximatif ;
6) le but du traitement des données effectué par le destinataire ;
7) le mode et la fréquence des transferts envisagés ;
8) la date du premier transfert.
Article 47
Lorsqu'en vertu de l'article 44 de la loi n° 09-08 susvisée, le responsable du traitement envisage un transfert de données à caractère personnel vers un pays qui ne figure pas dans la liste fixée par la CNDP prévue à l'article 43 de la même loi et qu'il invoque pour justifier ce transfert l'une des dérogations prévues aux I° et 2e alinéa de l'article 44 de la loi n° 09-08 susvisée, il indique à la CNDP, outre les informations prévues à l'article précédent, le cas précis de dérogation qu'il invoque à l'appui de sa demande.
Article 48
Lorsqu'en application du 3e alinéa de l'article 44 de la loi n° 09-08 susvisée, le responsable du traitement envisage un transfert de données à caractère personnel qui requiert une autorisation expresse de la CNDP, il précise à la CNDP, outre les informations prévues à l'article 44 du présent décret, les mesures ou le dispositif destinés à garantir un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes.
Concernant les autorisations de transfert, la CNDP se prononce, selon la procédure régissant les autorisations, prévue par la loi n° 09-08 susvisées et ces textes d'application.
Article 49
Toute modification des informations mentionnées aux articles 46, 47 et 48 du présent décret doit être portée à la connaissance de la CNDP dans un délai de 8 jours ouvrables.
Article 50
Le transfert, prévu au sein d'un groupe d'entreprises ou à l'adresse de plusieurs destinataires pour les mêmes catégories de données et les mêmes finalités, peut faire l'objet d'une déclaration commune.
Article 51
Le ministre de l'industrie, du commerce et des nouvelles technologies et le ministre de l'économie et des finances sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Bulletin officiel.
La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP)
Section 1
Conditions et modalités de désignation des membres de la CNDP
Article 1
La Commission nationale de contrôle de la protection des données à caractère personnel créée en vertu de l'article 27 de la loi n° 09-08 est désignée en abrégé par la " CNDP ".
Article 2
En application de l'article 32 de la loi n° 09-08, la CNDP est composée de sept (7) membres dont le président est nommé par le Roi et six (6) membres nommés également par le Roi et proposés comme suit :
- deux membres par le Premier ministre ;
- deux membres par le président de la Chambre des représentants ;
- deux membres par le président de la Chambre des conseillers.
Article 3
Outre le président, les membres de la CNDP proposés en vue de leur désignation conformément aux dispositions de l'article 32 de la loi n° 09-08, sont choisis parmi des personnalités du secteur public ou privé qualifiées.
La CNDP doit comprendre parmi ses membres des personnalités qualifiées pour leur compétence dans les domaines juridique et judiciaire, des personnalités justifiant d'une grande expertise en matière informatique ainsi que des personnalités reconnues pour leur connaissance des questions touchant aux libertés individuelles.
Les membres de la CNDP sont choisis parmi les personnalités notoirement connues pour leur impartialité, leur probité morale, leur expertise et leur compétence.
Article 4
En cas de vacance, d'empêchement ou d'absence pour quelque cause que ce soit d'un membre de la Commission, il est pourvu dans les mêmes conditions, à son remplacement dans les 30 jours suivant celui où la vacance est constatée par le président de la CNDP.
Les membres de la CNDP nommés en remplacement de ceux dont le mandat a pris fin avant son terme normal, achèvent le mandat des membres auxquels ils succèdent.
Article 5
Le président de la CNDP peut déléguer une partie de ses fonctions à un autre membre et au secrétaire général de la CNDP. Il préside les réunions de la CNDP ou délègue un autre membre à cette fin et le représente.
Section 2
Règles de fonctionnement de la CNDP
Article 6
La CNDP se réunit sur convocation de son président, agissant de sa propre initiative ou à la demande de la moitié des membres, selon une périodicité précisée par son règlement intérieur et, en tout cas, au moins une fois par mois.
Article 7
Conformément à l'article 39 de la loi n° 09-08 susvisée, la CNDP établit son règlement intérieur qui fixe notamment les conditions de son fonctionnement et de son organisation, et ce dans un délai d'un mois après son installation et le communique au premier ministre ou à l'autorité gouvernementale qu'il désigne, pour approbation et publication au " Bulletin officiel ".
Article 8
Les crédits nécessaires à l'accomplissement des missions de la CNDP sont inscrits au budget du Premier ministre.
Article 9
La CNDP peut bénéficier de dons et legs d'organismes nationaux et internationaux publics ou privés.
Article 10
Le projet de budget de la CNDP est préparé par le secrétaire général. Avant son approbation par la CNDP, le projet de budget est soumis par le président de la CNDP au Premier ministre.
Article 11
Le président de la CNDP est ordonnateur de son budget. Il est assisté par le secrétaire général qui est sous ordonnateur pour les missions qui lui sont confiées par la loi n° 09-08.
Section 3
Administration de la CNDP
Article 12
L'administration de la CNDP est assurée par un secrétaire général sous l'autorité de son président.
Article 13
Le secrétaire général dirige les services administratifs et financiers de la CNDP et peut à ce titre, outre les pouvoirs qu'il exerce par délégation du président de la CNDP, signer tous actes et décisions d'ordre administratif. Il prépare et soumet pour approbation du président, le projet de budget de la CNDP.
Article 14
Le secrétaire général est chargé de prendre toute mesure nécessaire à la préparation et à l'organisation des travaux de la CNDP. Il est responsable de la tenue et de la conservation des dossiers et archives de la CNDP.
Article 15
Afin d'assurer la gestion de la CNDP, le secrétaire général dispose selon l'article 41 de la loi n° 09-08 d'un personnel administratif et technique composé de fonctionnaires des administrations publiques ou d'agents publics, qui peuvent être placés en position de détachement auprès de la CNDP, sur décision conjointe de l'autorité gouvernementale dont ils relèvent et du président de la CNDP.
Les contrats de travail sont soumis à l'approbation du premier ministre pour le personnel recruté par voie contractuelle.
Section 4
Des pouvoirs d'investigation et de contrôle de la CNDP
Article 16
Pour l'accomplissement des pouvoirs d'investigation et d'enquête dont elle est investie en vertu de l'article 30 de la loi n° 09-08, la CNDP charge ses agents régulièrement commissionnés par le président et placés sous son autorité, de rechercher et contrôler, par procès-verbal, les infractions aux dispositions de la loi susvisée et des textes pris pour son application.
Article 17
L'opération de contrôle, fait l'objet d'une décision de la CNDP qui précise :
1) le nom et l'adresse du responsable du traitement concerné ;
2) le nom de l'agent commissionné ou des agents chargés de l'opération ;
3) l'objet ainsi que la durée de l'opération.
Article 18
Aucun agent ne peut être désigné pour effectuer un contrôle auprès d'un organisme au sein duquel il a, au cours des 5 années précédant le contrôle, détenu un intérêt direct ou indirect, exercé des fonctions, une activité professionnelle ou un mandat électif.
Article 19
En cas d'opération de contrôle, le procureur du Roi territorialement compétent en est préalablement informé au plus tard vingt-quatre (24) heures avant la date à laquelle doit avoir lieu le contrôle sur place. Cet avis précise la date, l'heure, le lieu et l'objet du contrôle.
Les personnes chargées du contrôle doivent présenter leur ordre de mission et, le cas échéant, leur habilitation à procéder auxdits contrôles.
Article 20
En application de l'article 66 de la loi n° 09-08 chaque contrôle, doit faire l'objet d'un procès-verbal qui énonce la nature, le jour, l'heure et le lieu des contrôles effectués. Le procès-verbal indique l'objet de l'opération, les membres de la CNDP ayant participé à celle-ci, les personnes rencontrées, le cas échéant, leurs déclarations, les demandes formulées par les contrôleurs ainsi que les éventuelles difficultés rencontrées.
L'inventaire des pièces et documents dont, les personnes chargées du contrôle ont pris copie, est annexé au procès-verbal signé par les personnes chargées du contrôle et par le responsable soit des lieux, soit des traitements, soit par toute personne désignée par celui-ci.
Article 21
Les agents de la CNDP peuvent également, sur autorisation du procureur du Roi, procéder à la saisie des matériels objets de l'infraction.
La demande de l'autorisation précitée doit comporter tous les éléments d'information de nature à justifier la saisie. Celle-ci s'effectue sous l'autorité et le contrôle du procureur du Roi qui l'a autorisée.
Article 22
Les personnes chargées du contrôle peuvent convoquer et entendre toute personne susceptible de leur fournir toute information ou justification utiles pour l'accomplissement de leur mission.
La convocation, adressée par lettre recommandée ou remise en main propre contre décharge, doit parvenir au moins sept jours avant la date de l'audition.
La convocation rappelle à la personne convoquée qu'elle est en droit de se faire assister d'un conseil de son choix.
Le refus de répondre à une convocation des personnes chargées du contrôle doit être mentionné sur procès-verbal.
Chapitre II
Des avis, des autorisations et des déclarations
Section 1
Dispositions générales
Article 23
La CNDP définit des modèles de déclaration, de demande d'avis et de demande d'autorisation et fixe la liste des annexes qui, le cas échéant, doivent être jointes.
Article 24
Les déclarations, demandes d'avis et demandes d'autorisation sont présentées par le responsable du traitement ou par la personne ayant qualité pour le représenter. Lorsque le responsable du traitement est une personne physique ou un service, la personne morale ou l'autorité publique dont il relève doit être mentionnée.
Les déclarations et demandes d'avis et d'autorisations sont adressées à la CNDP :
1) soit par lettre recommandée ;
2) soit remises au secrétariat de la commission contre reçu ;
3) soit par voie électronique, avec accusé de réception qui peut être adressé par la même voie.
La date de l'avis de réception, du reçu ou de l'accusé de réception électronique fixe le point de départ du délai :
- de 24 heures dont dispose la CNDP pour délivrer le récépissé de la déclaration en application de l'article 19 de la loi n° 09-08 susvisée ;
- de deux mois pour notifier son avis conformément à l'article 25 du présent décret. La décision par laquelle le président renouvelle ce délai est notifiée au responsable du traitement par lettre remise contre signature ;
- de deux mois fixé par l'article 28 du présent décret à la CNDP pour accorder l'autorisation mentionnée dans les articles 12 et 21 de la loi n° 09-08 susvisée ;
- de 8 jours dont dispose la CNDP pour notifier sa décision de soumettre le traitement au régime de la déclaration en application de l'article 20 de la loi n° 09-08 susvisée.
Section 2
Des avis de la CNDP
Article 25
La CNDP saisie dans le cadre de l'alinéa A de l'article 27 ainsi que dans le cadre de l'article 50 de la loi n° 09-08 susvisée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande d'avis. Ce délai peut être prolongé d'un mois sur décision motivée du président de la CNDP.
En cas d'urgence, ce délai est ramené à un mois à la demande du gouvernement ou du parlement.
Section 3
De la déclaration
Article 26
Lorsque la déclaration satisfait aux prescriptions de la loi n° 09-08 et de ses textes d'application. La CNDP délivre le récépissé prévu à l'article 19 de la loi susvisée.
La CNDP peut délivrer le récépissé de la déclaration préalable par voie électronique avec accusé de réception par la même voie.
Lorsque le récépissé est délivré par voie électronique, le responsable du traitement peut en demander une copie sur support papier.
Section 4
Des autorisations
Article 27
En application de l'article 21 de la loi n° 09-08 susvisée, les demandes d'autorisations préalables doivent préciser :
1) l'identité et l'adresse du responsable du traitement ou, si celui-ci n'est pas établi sur le territoire national, celles de son représentant dûment mandaté ;
2) la ou les finalités du traitement envisagé ainsi que sa dénomination et ses caractéristiques ;
3) les interconnexions envisagées ou toutes autres formes de mise en relation avec d'autres traitements ;
4) les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
5) la durée de conservation des informations traitées ;
6) le ou les services chargés de mettre en oeuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
7) les destinataires habilités à recevoir communication des données ;
8) la fonction de la personne ou le service auprès duquel s'exerce le droit d'accès ;
9) les dispositions prises pour assurer la sécurité des traitements et des données ;
10) l'indication du recours à un sous-traitant ;
11) les transferts de données à caractère personnel envisagés à destination d'un pays étranger.
Le responsable d'un traitement déjà déclaré ou autorisé introduit une nouvelle demande auprès de la CNDP, en cas de changement affectant les informations mentionnées à l'alinéa précédent. En outre, il doit informer la CNDP en cas de suppression du traitement.
Article 28
La CNDP se prononce dans un délai de deux mois (2) à compter de la réception de la demande d'autorisation. Toutefois, ce délai peut être prorogé une fois sur décision motivée de la CNDP. Lorsque la CNDP ne s'est pas prononcée dans ces délais, l'autorisation est réputée accordée.
Chapitre III
Dispositions particulières à certaines catégories de traitements
Section 1
Les conditions de traitement des données génétiques et celles relatives à la santé
Article 29
En application de l'article 12 alinéas 1-a et 1-c, et de l'article 21 alinéa 1 de la loi n° 09-08 susvisée, les traitements portant sur des données génétiques et celles relatives à la santé doivent faire l'objet d'une autorisation de la CNDP.
Article 30
Les dossiers de demandes d'autorisation de traitements de données relatives à la santé adressés à la CNDP doivent comprendre :
1) l'identité et l'adresse du responsable du traitement et de la personne responsable du traitement, leurs titres, expériences et fonctions, les catégories de personnes qui seront appelées à mettre en oeuvre le traitement ainsi que celles qui auront accès aux données collectées ;
2) lorsqu'il s'agit de recherche dans le domaine médical, le protocole de recherche ou ses éléments utiles, indiquant notamment l'objectif de la recherche, les catégories de personnes intéressées, la méthode d'observation ou d'investigation retenue, l'origine et la nature des données à caractère personnel recueillies et la justification du recours à celles-ci, la durée et les modalités d'organisation de la recherche, la méthode d'analyse des données ;
3) le cas échéant, les avis rendus antérieurement par des instances scientifiques ou éthiques ;
4) les caractéristiques du traitement envisagé ;
5) l'engagement du responsable du traitement de coder les données permettant l'identification des personnes intéressées ;
6) le cas échéant, la justification scientifique et technique de toute demande de dérogation à l'obligation de codage des données permettant l'identification des personnes intéressées, et la justification de toute demande de dérogation à l'interdiction de conservation desdites données au-delà de la durée nécessaire à la recherche.
Toute modification de ces éléments est portée à la connaissance de la CNDP.
Section 2
Traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques
Article 31
En application de l'article 12 alinéa 1-b de la loi n° 09-08 susvisée, lorsque le responsable d'un traitement des données à caractère personnel communique ces dites données à un tiers, en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques, lesdites données sont, préalablement à leur communication, rendues anonymes ou codées par ledit responsable ou par tout organisme compétent.
Article 32
Les résultats du traitement des données à caractère personnel à des fins historiques, statistiques ou scientifiques ne peuvent être rendus publics sous une forme qui permet l'identification de la personne concernée, sauf si :
1) la personne concernée a donné expressément son consentement ;
2) la publication des données à caractère personnel non anonymes et non codées est limitée à des données manifestement rendues publiques par la personne concernée.
Article 33
La CNDP est compétente pour se prononcer sur le caractère historique, statistique ou scientifique des données à caractère personnel.
Chapitre IV
Des droits des personnes
Section 1
Dispositions communes
Article 34
1) Les informations à fournir par le responsable du traitement, en application de l'article 5 de la loi n° 09-08 susvisée, peuvent être délivrées par tous moyens, notamment par :
- courrier électronique ou sur support papier ;
- affichage ou formulaire électronique ;
- annonce dans un support approprié ;
- ou bien, au cours d'un entretien individuel.
2) les codes, sigles et abréviations figurant dans les documents délivrés par le responsable de traitement en réponse à une demande doivent être explicités, si nécessaire sous la forme d'un lexique.
Article 35
1) Les demandes tendant à la mise en oeuvre des droits prévus aux articles 7 à 9 de la loi n° 09-08 susvisée peuvent être présentées au responsable du traitement par écrit, par voie électronique ou sur place.
2) lorsqu'elles sont présentées par écrit au responsable du traitement, elles doivent être signées et accompagnées de la photocopie d'une pièce d'identité et préciser avec exactitude l'objet de la demande.
3) lorsque le responsable du traitement n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège de la personne morale, de l'autorité publique, du service ou de l'organisme dont il relève. La demande est transmise immédiatement au responsable du traitement.
Article 36
1) Lorsqu'une demande est présentée sur place, l'intéressé justifiant de son identité auprès du responsable du traitement, peut se faire assister d'un conseil de son choix.
La demande peut être également présentée par une personne spécialement mandatée à cet effet par l'intéressé, après justification de son mandat, de son identité et de l'identité du mandant.
2) Lorsque la demande relative au droit d'accès ne peut être satisfaite immédiatement conformément à l'article 7 de la loi n° 09-08 susvisée, il est délivré à son auteur un avis de réception, daté et signé avec la mention du motif du report de la réponse et le responsable du traitement saisit immédiatement la CNDP pour la fixation d'un délai de réponse.
3) Lorsque la demande rectification ne peut être satisfaite dans le délai de 10 jours conformément à l'alinéa a de l'article 8 de la loi n° 09-08 susvisée, il est délivré au demandeur un avis de réception, daté et signé et contenant le motif du report de la réponse. Dans ce cas le responsable du traitement saisit immédiatement la CNDP pour la fixation d'un délai de réponse.
Article 37
Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration des délais fixés dans l'article 7 et l'alinéa a de l'article 8 de la loi n° 09-08 et des textes pris pour son application.
La demande de compléments d'information suspend les délais mentionnés à l'alinéa précédent.
Section 2
Du droit d'accès
Article 38
En application de l'article 7 de la loi n° 09-08, toute personne justifiant de son identité, a le droit d'être informée, sur les données la concernant faisant l'objet d'un traitement, soit en s'adressant directement au responsable du traitement, soit en adressant à ce dernier une demande écrite d'accès aux informations, signée et datée, quel que soit le support :
La demande écrite doit contenir : le nom, le prénom, la date de naissance, ainsi qu'une photocopie de la carte d'identité.
La demande d'accès aux informations contient en outre et dans la mesure où le demandeur dispose de ces informations :
1) tous les éléments pertinents concernant les données, tels que leur nature, les circonstances ou l'origine de la prise de connaissance du traitement de ces données ;
2) la désignation de l'autorité ou du service concerné.
Article 39
Si plusieurs responsables de traitement des données gèrent en commun un ou plusieurs fichiers, le droit d'accès aux informations peut être exercé auprès de chacun d'eux, à moins que l'un d'eux soit considéré comme responsable de l'ensemble des traitements.
Si la personne sollicitée n'est pas autorisée à communiquer les informations demandées, elle doit transmettre la requête à qui de droit dans les meilleurs délais.
Section 3
Du droit de rectification
Article 40
En application de l'article 8 de la loi n° 09-08 toute personne justifiant de son identité dispose d'un droit de rectification des données personnelles la concernant, soit en s'adressant directement au responsable du traitement, soit en adressant à la CNDP une demande écrite de rectification signée et datée, quel que soit le support :
La demande écrite doit contenir : le nom, le prénom, la date de naissance, ainsi qu'une photocopie de la carte d'identité du demandeur et énoncer clairement l'objet de la rectification.
La demande rectification des informations contient en outre et dans la mesure où le demandeur dispose de ces informations :
- tous les éléments pertinents concernant les données contestées, tels que leur nature, les circonstances ou l'origine de la prise de connaissance des données contestées, ainsi que les rectifications éventuellement souhaitées ;
- la désignation de l'autorité ou du service concerné.
Article 41
Lorsqu'une personne fait une demande en vue de rectifier ou de supprimer des données la concernant, le responsable du traitement ou la CNDP doit l'informer par écrit des dispositions prises.
Article 42
L'héritier d'une personne décédée qui souhaite la mise à jour des données concernant le défunt doit, lors de sa demande, outre la justification de son identité, apporter la preuve de sa qualité d'héritier par la production d'un acte notarié ou d'un livret de famille.
Section 4
Du droit d'opposition
Article 43
Lorsque des données à caractère personnel sont collectées par écrit auprès de la personne concernée, le responsable du traitement demande à celle-ci, sur le document lui servant de support pour collecter les données, si elle souhaite exercer le droit
d'opposition prévu à l'article 9 de la loi n° 09-08 susvisée.
La personne concernée doit être en mesure d'exprimer son choix avant la validation définitive de ses réponses.
Article 44
Lorsque les données à caractère personnel sont collectées auprès de la personne concernée autrement que par écrit, le responsable du traitement demande à celle-ci, avant la fin de la collecte si elle souhaite exercer le droit d'opposition. Dans cette hypothèse, le responsable du traitement doit conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit d'opposition.
Article 45
Le responsable du traitement auprès duquel le droit d'opposition a été exercé, informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition.
Chapitre V
Du transfert des données à caractère personnel vers un pays étranger
Article 46
Les demandes de transfert des données à caractère personnel vers un pays étranger offrant un niveau de protection suffisant au sens de l'article 43 de la loi n° 09-08 susvisée doivent contenir, les indications suivantes :
1) les nom et adresse de la personne communiquant les données ;
2) les nom et adresse du destinataire des données ;
3) le nom et la description complète du fichier ;
4) les catégories de données personnelles transférées ;
5) les personnes concernées et leur nombre approximatif ;
6) le but du traitement des données effectué par le destinataire ;
7) le mode et la fréquence des transferts envisagés ;
8) la date du premier transfert.
Article 47
Lorsqu'en vertu de l'article 44 de la loi n° 09-08 susvisée, le responsable du traitement envisage un transfert de données à caractère personnel vers un pays qui ne figure pas dans la liste fixée par la CNDP prévue à l'article 43 de la même loi et qu'il invoque pour justifier ce transfert l'une des dérogations prévues aux I° et 2e alinéa de l'article 44 de la loi n° 09-08 susvisée, il indique à la CNDP, outre les informations prévues à l'article précédent, le cas précis de dérogation qu'il invoque à l'appui de sa demande.
Article 48
Lorsqu'en application du 3e alinéa de l'article 44 de la loi n° 09-08 susvisée, le responsable du traitement envisage un transfert de données à caractère personnel qui requiert une autorisation expresse de la CNDP, il précise à la CNDP, outre les informations prévues à l'article 44 du présent décret, les mesures ou le dispositif destinés à garantir un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes.
Concernant les autorisations de transfert, la CNDP se prononce, selon la procédure régissant les autorisations, prévue par la loi n° 09-08 susvisées et ces textes d'application.
Article 49
Toute modification des informations mentionnées aux articles 46, 47 et 48 du présent décret doit être portée à la connaissance de la CNDP dans un délai de 8 jours ouvrables.
Article 50
Le transfert, prévu au sein d'un groupe d'entreprises ou à l'adresse de plusieurs destinataires pour les mêmes catégories de données et les mêmes finalités, peut faire l'objet d'une déclaration commune.
Article 51
Le ministre de l'industrie, du commerce et des nouvelles technologies et le ministre de l'économie et des finances sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Bulletin officiel.
Aucun commentaire:
Enregistrer un commentaire