Transcript Télécharger

La protection des données à caractère
personnel dans l’Open Data :
une exigence et une opportunité
Quelles en sont les réglementations juridiques au Maroc?
Quelles sont les évolutions, l’importance et les moyens
dont disposent les acteurs open data afin de répondre à
cela?
Rachid HADDOUCHANE
DSI-CNDP06 Mai 2014
SOMMAIRE
Loi 09-08 : Protection des données personnelles
-
Enjeux
Notions de base
Champs d’application
Protection des données personnelles dans l’Open Data
-
Principales garanties
Principaux thèmes traités dans la loi 09-08
-
Droits de la personne concernée
Obligations du responsable de traitement
Notification des traitements à la CNDP
Sanctions
CNDP
Recommandations
La donnée à caractère personnel
Elle est importante …… d’ailleurs, elle est :
 utilisée à notre insu …
 volée …
Le Monde, décembre 2012, citant le
cabinet Gartner
« …grâce aux sites Internet visités et aux
achats effectués par des jeunes femmes,
une entreprise américaine a su qu'elles
attendaient un bébé. Elle a donc envoyé
un coupon aux domiciles des concernées
et a appris à un père que sa fille
adolescente était enceinte..."
Mais, nous observons, aussi, des vols de
données dans un contexte concurrentiel …
Protection des données personnelles
- Enjeux
NTIC, Informatique,
Internet, Réseaux
sociaux, Big Data,
etc.
Loi 09-08
Encadrement du
traitement des
données à caractère
personnel
Menace sur la vie
privée
Cadre légal
pour protéger les données à
caractère personnel
• Confiance numérique
• Environnement propice
au développement de
l’usage des TI
• Promouvoir
l’investissement
Un peu de vocabulaire (1/2)
Avis
Sous-traitance
Consentement
Collecte
Traitement
Transfert des
données à
l’étranger
Stockage,
Archivage
des données
Personne
concernée
CNDP
Droit d’accès
Responsable de
traitement
Gouvernement,
Parlement, ….
Un peu de vocabulaire (2/2)
CNDP
Avis
Gouvernement,
Parlement
Déclaration préalable
Autorisation…
Plainte
Contrôle,
Sanction
Responsable
du Traitement
Personne
Concernée
Collecte,
Traitement,
Notions de base de la Loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Données à caractère personnel
Traitement
Fichier de données à caractère personnel
Données sensibles
Responsable du traitement
Personne concernée
Notions de base de la Loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Données à caractère personnel: « toute information, de
quelque nature qu’elle soit et indépendamment de son
support, y compris le son et l’ image, concernant une
personne physique identifiée ou identifiable... » (Article premier)
Exemples
Nom, Prénom, Adresse, Numéro de téléphone, Email,
Adresse IP, Photo, Vidéo, Données biométriques, Données
génétiques…
Notions de base de la Loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Notion de traitement :
« Toute opération ou ensemble d’opérations effectuées ou non à
l’aide de procédés automatisés et appliquées à des données à
caractère personnel... » (Article premier)
toute manipulation de données à caractère
personnel ( manuelle, partiellement ou totalement informatisée)
Exemples
 La gestion des Ressources Humaines
 La tenue d’un fichier comportant des données personnelles (état
civil, élections, agréments, abonnements, impôts, etc.)
 Le contrôle d’accès aux locaux
 Service en ligne, Vente en ligne, Contact, Newsletter, etc.
Notions de base de la Loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Fichier à caractère personnel :
« Tout ensemble structuré de données à caractère
personnel accessible selon des critères déterminés, que
cet ensemble soit centralisé, décentralisé ou réparti de
manière fonctionnelle ou géographique…» (Article premier,
al. 4)
Exemples
 les archives ;
 les banques de données ;
 les fichiers de recensement …
Notions de base de la Loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Données sensibles: « données à caractère personnel qui
révèlent l’origine raciale ou ethnique, les opinions politiques, les
convictions religieuses ou philosophiques ou l’appartenance
syndicale de la personne concernée ou qui sont relatives à sa santé
y compris ses données génétiques» (Article premier, alinéa 3)
Exemples
 Empreintes digitales, Analyses médicales, etc.
Notions de base de la Loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Responsable du traitement
«La personne physique ou morale, l’autorité publique, le
service ou tout autre organisme, qui seul ou conjointement
avec d’autres, détermine les finalités et les moyens du
traitement de données à caractère personnel...» (Article
premier)
Exemples
 Ministère, banque, société, université, hôpital, etc.
Notions de base de la Loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Notions de base de la Loi
Personne concernée:
La personne physique dont les données personnelles sont
traitées.
Exemples
 Les fonctionnaires
 Les salariés
 Les contribuables
 Les étudiants et les écoliers
 Les patients
 Les internautes, les prospects, les clients etc.
Champs d’application de la loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Quels traitements?
1. aux traitements des données à caractère personnel
automatisés en tout ou en partie ;
2. aux traitements non automatisés des données à
caractère personnel contenues ou appelées à
figurer dans des fichiers manuels.
Champs d’application de la loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Quels responsables de traitement ?
 Le responsable de traitement est établi sur le territoire
marocain;
 Le responsable de traitement n’est pas établi au Maroc
mais recourt à des moyens automatisés ou non situés
sur le territoire marocain.
Champs d’application de la loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
La loi ne s’applique pas:
 aux traitements de données à caractère personnel effectués
par une personne physique pour des besoins exclusivement
personnels ou domestiques ;
 aux données recueillies et traitées dans l’intérêt de la défense
nationale et de la sécurité intérieure et extérieure de l’Etat ;
Champs d’application de la loi 09-08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
La loi ne s’applique pas (suite):
 À la collecte et l’enregistrement de données à caractère
personnel, effectués en application d’une législation
particulière. Toute autre opération, hormis la collecte et
l’enregistrement, doit respecter les dispositions de la loi
09-08.
 aux données à caractère personnel recueillies et traitées à des
fins de prévention et de répression des crimes et délits, sauf
dans les conditions fixées par la loi ou le règlement qui crée le
fichier en cause.
La protection des données personnelles
dans l’Open Data
L'Open Data est généralement défini comme la mise à disposition
des données produites et détenues par les administrations.
Double préoccupation :
 Démocratie administrative : Accéder à l'information pour
mieux contrôler l'administration
 Gisement de données considérées comme des biens
communs : Exploiter par des chercheurs, des
investisseurs, des commerciaux…
Une politique publique coordonnée par un institut,
chargé de la mettre en œuvre, à travers un portail
spécifique (data.gov.ma)
Responsables de Traitement, Traitements, souvent des
données personnelles  Loi 09-08, PDP, CNDP
La protection des données personnelles
dans l’Open Data
Trois principales garanties de la PDP dans l’Open Data
1. L’Interdiction du traitement de données personnelles sans le
consentement de la personne concernée, sauf exceptions :
 Obligation légale de publication ou autres dérogations prévues
par la loi 09-08
 Anonymisation des données publiées : le pilier essentiel du droit
de l'Open Data  procédure coûteuse
La protection des données personnelles
dans l’Open Data
Trois principales garanties de la PDP dans l’Open Data
2. Les procédures imposées par la loi 09-08 :
 Autorisation de la CNDP pour les traitements de données
personnelles : Obligations des RT et Droits des PC
 Formalités préalables à:
 La Collectes et traitements des DP : Autorisation, Déclaration
 L’hébergement ou transmission des DP hors du Royaume :
Transfert à l’étranger
 La Création d'un fichier de données publiques: Désignation du
responsable de traitement pour la tenue d’un registre public
3. Les pouvoirs accordés à la CNDP




Recevoir et traiter les plaintes des personnes concernées
Contrôle et investigation
Sanctions administratives, Pécuniaires, Pénales.
Donner des avis au Gouvernement et au Parlement
La protection des données personnelles
dans l’Open Data
PDP à travers les principaux thèmes traités par la Loi
 Les droits de la personne concernée
 Les obligations du responsable du traitement
 Les modalités de notification de traitement
 Les sanctions
 La CNDP
Les droits de la personne concernée
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2013)
 Etre informée lors de la collecte des données ;
 Exprimer son consentement ;
 Exercer ses droits d’accès, de rectification et
d’opposition ;
 Etre protégée contre les messages publicitaires
abusifs.
Les obligations du responsable du traitement
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
 Traiter les données d’une façon loyale, légitime et
transparente ;
 Respecter les finalités du traitement ;
 Respecter la durée de conservation (limitée et selon la
finalité)
 Respecter le principe de proportionnalité (nécessaires
et non excessives, données facultatives) ;
Les obligations du responsable du traitement (suite)
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
 Veiller sur la qualité des données (Exactes, fiables,
complète et mise à jour) ;
 Garantir aux personnes concernées l’exercice de leurs
droits ;
 Accomplir les formalités préalables auprès de la CNDP
(déclaration, demande d’autorisation, etc.) ;
 Assurer la sécurité et la confidentialité des données.
 Protection renforcée des données sensibles (risque de
discrimination…)
Les obligations du responsable du traitement (suite)
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Mesures de sécurité
 Infrastructure et organisation appropriées pour protéger les
données à caractère personnel contre la destruction
accidentelle, la perte accidentelle, l’altération, la diffusion ou
l’accès non autorisé et toute autre forme de traitement illicite ;
 S’assurer du respect de la loi par les personnes physiques ou
morales
agissant sur instruction du responsable du
traitement (contrat de sous-traitance / travail, secret
professionnel, mesures de sécurité, respect des termes de
référence, etc.).
Les obligations du responsable du traitement (suite)
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Mesures de sécurité renforcées
pour le traitement de données sensibles
 Protection des entrées des installations ;
 Protection des supports de données ;
 Garantir l’intégrité des données ;
 Authentification des utilisateurs et des destinataires (accès aux
systèmes et aux données) ;
 Journalisation.
La notification des traitements à la CNDP
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Demande d’autorisation :
 Traitement de données sensibles
 Changement de finalité
 Traitement de données portant sur
condamnations ou mesures de sûreté
les
infractions,
 Traitement de données comportant le numéro de la CIN
 Interconnexion de fichiers dont les finalités sont différentes
La notification des traitements à la CNDP
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
• Déclaration préalable ;
• Demande de transfert de données à l’étranger ;
• Désignation du responsable de traitement pour la
tenue d’un registre public.
Les sanctions
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Les types de sanctions:
 Sanctions administratives (verrouillage, effacement,
destruction, interdiction du traitement)
 Pécuniaires (Entre 10 000DH et 300 000DH).
 Privatives de liberté (Entre 3 Mois et Deux ans).
Les sanctions sont portées au double :
 Si l’auteur de l’infraction est une personne morale (pour
les amendes)
 En cas de récidive
Les sanctions
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
Article 61 de la loi 09-08
Est puni d'un emprisonnement de six mois à un an et d'une amende de
20.000 à 300.000 DH ou de l'une de ces deux peines seulement, tout
responsable de traitement, tout sous‐traitant et toute personne qui, en
raison de ses fonctions, est chargé (e) de traiter des données à caractère
personnel et qui, même par négligence, cause ou facilite l'usage
abusif ou frauduleux des données traitées ou reçues ou les communique à
des tiers non habilités.
Le tribunal pourra, en outre, prononcer la saisie du matériel ayant servi à
commettre l'infraction ainsi que l'effacement de tout ou partie des données à
caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction.
La CNDP
Une Autorité de Contrôle (ou un régulateur) instituée
en application de l’article 34 de la loi 09/08
Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)
 Sensibilisation et information
 Conseil et proposition
 Protection
 Contrôle et investigation
 Veille juridique et technologique
CNDP : Les étapes clés
Commission Nationale de contrôle de la protection des Données à caractère Personnel
 18/02/2009: Promulgation de la loi 09-08
( B.O. 5714 du 05 mars 2009)
 21/05/2009: Publication du décret d’application n°2-0-165
( B.O. 5744 du 18 juin 2009)
 31/08/2010: Installation de la Commission

02/2012: Mise en place de la structure administrative
 15/11/2012: Délai de mise en conformité avec la Loi 09-08
CNDP : Chiffres clés
Commission Nationale de contrôle de la protection des Données à caractère Personnel
 12 Délibérations
 987 déclarations
 1086 demandes d’autorisation
 218 demandes de transfert à l’étranger
 72 plaintes
 Contrôles (initiés fin 2013)
CNDP : Temps forts
Commission Nationale de contrôle de la protection des Données à caractère Personnel
Au niveau national
Au niveau international
• Constitutionnalisation de la
protection de la vie privée;
• Règlement Intérieur;
• Institution de groupes de
travail avec des autorités de
régulation et des fédérations
professionnelles;
• Premier budget de la CNDP et
noyau des services
administratifs.
• Accréditation auprès de
la
Conférence Internationale des
Autorités de Contrôle des
données personnelles;
• Membre de l’AFAPDP;
• Demande d’adéquation auprès
de la Commission européenne;
• Acceptation de la demande
d’adhésion du Maroc à la
convention 108.
• 7ième Conférence de l’AFAPDP
à Marrakech
La protection des données personnelles
dans l’Open Data
Recommandations
 Mettre en œuvre une doctrine de protection des données
personnelles en matière d’open data
 Assurer une veille sur la diffusion et les réutilisations des
données mises en ligne
 Adapter la gouvernance de l’open data aux exigences de la
protection des données personnelles
 Constituer un comité élargi (Acteurs open data, CNDP…) afin
de promouvoir l’open data toute en garantissant la protection
de la vie privée des citoyens
 Sensibiliser et assister les acteurs de l’open data :
 dans l’élaboration de l’étude d’impact préalable à la mise à disposition
des données ;
 dans l’anonymisation éventuelle de la base
 dans la mise en place d’un mode d’accès restreint
 dans la sécurité et la confidentialité
 dans le respect de la protection des données personnelles et la
www.cndp.ma
Commission Nationale de contrôle de la protection des Données à caractère Personnel
MERCI POUR VOTRE
ATTENTION
[email protected]
www.cndp.ma
Immeuble Les patios, bd Annakhil, 3ème
étage, Hay Ryad, Rabat.
Tél: 05 37 57 11 24 / fax: 05 37 57 21 41