Ch4 4 privacy_doctrine_cndp

Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetENSIAS, Université Mohammed V de Rabat

Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017

[email protected]

ma.linkedin.com/in/radouanemrabet

C4 : Vie privée et protection des C4 : Vie privée et protection des C4 : Vie privée et protection des C4 : Vie privée et protection des données à caractère personneldonnées à caractère personneldonnées à caractère personneldonnées à caractère personnel

Doctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDP

Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017

� Le développement du numérique fait peser des risques sur les libertés et l’exercice des droits par les personnes et sur la protection de leur vie privée. Ceci nécessite une grande vigilance de la part de la CNDP.

Pr. Radouane Mrabet4444

vigilance de la part de la CNDP.

� Celle-ci est appelée à fixer des règles d’utilisation conformes à l’esprit de la loi afin de tirer profit des nouvelles technologies tout en assurant la protection de la vie privée des personnes.

� VidéosurveillanceVidéosurveillanceVidéosurveillanceVidéosurveillance

� Géolocalisation

� Utilisation des données biométriques pour le contrôle d’accès


le contrôle d’accès

� Sur le droit de l’administration à se faire communiquer des données personnelles

� Guide relatif à la conformité des sites web à la loi 09-08

� Si l’utilité de la vidéosurveillance pour assurer la sécurité des personnes et des biens est unanimement reconnue, le risque de porter atteinte à la vie privée est de plus en plus grand. Consciente de ces enjeux, la Commission a


� Consciente de ces enjeux, la Commission a adopté en 2013 une délibération n° 350-2013 visant à définir le cadre légal de l’utilisation des systèmes de vidéosurveillance dans les lieux de travail et dans les lieux privés communs.

� Notification à la CNDPNotification à la CNDPNotification à la CNDPNotification à la CNDPAu regard de la loi, la vidéosurveillance est un traitement de données personnelles.Cette nouvelle technologie permet de collecter et traiter les images des personnes présentes sur les lieux surveillés. De ce fait,


collecter et traiter les images des personnes présentes sur les lieux surveillés. De ce fait, la vidéosurveillance doit faire l’objet d’une notificationnotificationnotificationnotification à la CNDP. Dans sa délibération n°350-2013 du 31 mai 2013, la Commission a retenu la déclarationdéclarationdéclarationdéclaration comme modalité de notification simplifiée.

� Les règles pour concilier sécurité et respect Les règles pour concilier sécurité et respect Les règles pour concilier sécurité et respect Les règles pour concilier sécurité et respect de la vie privée : de la vie privée : de la vie privée : de la vie privée :

◦ Emplacement des caméras

◦ Durée de conservation des images

◦ Droits des personnes concernées


◦ Droits des personnes concernées

◦ Sécurité des images

Emplacement des caméras� Les caméras peuvent être installées dans tout emplacement permettant la sécurité des biens et des personnes mais jamais dans un endroit risquant de porter atteinte à la vie privée de ces dernières.

� Les caméras peuvent être installées aux entrées et aux


� Les caméras peuvent être installées aux entrées et aux sorties des bâtiments, sur les voies de circulation, dans les entrepôts de marchandises, dans les parkings, face à des coffres forts, à l’entrée et à l’intérieur des salles techniques, etc.

� Elles ne doivent pas être utilisées pour surveiller en permanence les employés, les lieux de culte, les locaux syndicaux, les toilettes, les salles de réunions ou les zones de pauses, etc.

Durée de conservation des images

Les images enregistrées par un système de vidéosurveillance ne doivent pas être conservées plus de 3 mois. Au-delà de ce délai, ces images doivent être détruites.


délai, ces images doivent être détruites.

Droits des personnes concernées

Il est impératif d’informer, au moyen d’une affiche ou d’un pictogramme, les personnes présentes sur le site surveillé par des caméras.

Sécurité des images

L’utilisation de la vidéosurveillance implique aussi l’obligation de prendre toutes les précautions utiles pour préserver la sécurité et la confidentialité des images enregistrées,


et la confidentialité des images enregistrées, notamment pour empêcher qu’elles ne soient exploitées à mauvais escient.

� Vidéosurveillance

� GéolocalisationGéolocalisationGéolocalisationGéolocalisation






� La géolocalisation constitue un nouveau moyen technologique que les entreprises utilisent en vue d’optimiser l’exploitation de leur flotte de véhicules. Cette technologie consiste à équiper chaque véhicule d’un boîtier et de suivre, à tout instant, sa position géographique à l’aide d’un terminal. Sans remettre en cause ses avantages en terme de maîtrise de gestion, la géolocalisation peut constituer une menace à la vie


cause ses avantages en terme de maîtrise de gestion, la géolocalisation peut constituer une menace à la vie privée des employés qui conduisent des véhicules dotés de cette technologie. Afin d’encadrer son utilisation par les organismes publics et privés et préserver les droits des employés, la CNDP a jugé utile de se prononcer sur la question. La décision de la Commission a fait l’objet de la délibération n° 402-2013 du 12 juillet 2013.

Pourquoi utiliser la géolocalisation ?

La CNDP reconnait le droit de recourir à la géolocalisation dans le but d’optimiser et rationaliser l’utilisation du parc automobile, d’assurer la sécurité des employés, des


d’assurer la sécurité des employés, des marchandises et des véhicules en cas de vol, et d’évaluer le rendement des conducteurs, lorsque cela ne peut être effectué par d’autres moyens.

Le devoir d’informer

Par souci de transparence et d’équité, la CNDP exige que le conducteur soit informé par écrit de l’utilisation de la géolocalisation à bord du véhicule mis à sa disposition. De même qu’elle


véhicule mis à sa disposition. De même qu’elle préconise d’informer également les instances représentatives du personnel.

Sécurité et confidentialité des données

Le recours à la géolocalisation implique aussi l’obligation de prendre toutes les mesures et les précautions nécessaires pour préserver la sécurité et la confidentialité des données,


sécurité et la confidentialité des données, notamment pour empêcher un accès non autorisé à ces données. Ainsi la Commission limite à un an la durée de conservation des données de géolocalisation.



� Utilisation des données biométriques pour Utilisation des données biométriques pour Utilisation des données biométriques pour Utilisation des données biométriques pour le contrôle d’accèsle contrôle d’accèsle contrôle d’accèsle contrôle d’accès


le contrôle d’accèsle contrôle d’accèsle contrôle d’accèsle contrôle d’accès



� La technologie biométrique est une technique qui se développe au rythme effréné des innovations technologiques et des besoins en sécurité et en confort. Les données biométriques permettent d’identifier automatiquement une personne à partir de ses caractéristiques physiques propres :


partir de ses caractéristiques physiques propres : empreintes digitales, iris, ADN, etc. Ces données sont qualifiées par la loi de données sensibles. Elles nécessitent certaines précautions pour éviter toute utilisation abusive.

� Constatant un recours de plus en plus fréquent aux dispositifs biométriques dans le monde du travail, la CNDP a voulu prendre acte de cette évolution en encadrant cet usage par une décision ad hoc. C’est l’objet


usage par une décision ad hoc. C’est l’objet de la délibération n° 478-2013 du 1er

novembre 2013 portant sur les conditions nécessaires à l’utilisation des dispositifs biométriques pour le contrôle d’accès.

Autorisation de la CNDP

Pour la formalité de notification du traitement, la Commission a décidé que l’installation d’un dispositif biométrique dans le monde du travail doit faire l’objet d’une demande d’autorisation auprès de la CNDP.


auprès de la CNDP.

Des règles strictes

Un organisme qui projette d’installer un dispositif biométrique pour le contrôle d’accès ne peut être autorisé que si ses locaux et installations représentent un enjeu majeur de sécurité dépassant l’intérêt strict de l’organisme.

� Cependant d’autres conditions doivent être réunies :1. L’organisme doit justifier que les

méthodes alternatives de contrôle d’accès ne sont pas suffisamment fiables pour


ne sont pas suffisamment fiables pour sécuriser son site ;

2. La CNDP exige que seules peuvent être traitées les données biométriques d’un nombre limité de personnes, dont la mission nécessite une présence régulière ou temporaire dans le site sécurisé ;

� Cependant d’autres conditions doivent être réunies (suite) :3.Une donnée biométrique ne peut être utilisée à l’état brut. Il incombe à l’organisme concerné de procéder à une extraction partielle de la donnée


procéder à une extraction partielle de la donnée sous forme d’un nombre limité d’éléments caractéristiques, par exemple pour l’empreinte digitale, extraire un nombre limité de points caractéristiques;

� Cependant d’autres conditions doivent être réunies (suite) :4. L’organisme responsable du traitement ne doit pas

constituer une base de données pour stocker les données biométriques collectées, sauf dans des circonstances très particulières. En règle générale, les


circonstances très particulières. En règle générale, les données doivent être enregistrées sur un support mobile exclusivement détenu par la personne concernée ;

5. Le dispositif biométrique doit être utilisé à des fins d’authentification et non pas d’identification, c’est-à-dire qu’il doit autoriser l’accès sans identifier les individus.

Une garantie supplémentaire dans le monde du travail

Fidèle à sa mission de préserver les droits et les libertés fondamentales des individus, en particulier dans le monde du travail, la


particulier dans le monde du travail, la Commission a estimé que les données biométriques ne peuvent être utilisées pour la gestion du temps de présence sur les lieux du travail des fonctionnaires et des employés.






� Sur le droit de l’administration à se faire Sur le droit de l’administration à se faire Sur le droit de l’administration à se faire Sur le droit de l’administration à se faire communiquer des données personnellescommuniquer des données personnellescommuniquer des données personnellescommuniquer des données personnelles


� La Délibération n° 464-2013, du 06 septembre 2013, portant sur les conditions de l’exercice du droit de se faire communiquer des données à caractère personnel exige plusieurs critères :

1. le destinataire (administration) doit adresser au


1. le destinataire (administration) doit adresser au propriétaire du fichier une demande écrite en précisant la base légale du droit de communication invoqué,

2. la demande de communication doit viser des personnes nommément identifiées ou identifiables. Elle ne peut en aucun cas porter sur l’intégralité du fichier,

3. la demande doit être ponctuelle et non systématique,

4. la demande doit préciser les catégories de données sollicitées. Ces dernières doivent-être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles peuvent


regard de la finalité pour laquelle elles peuvent être communiquées,

5. le traitement envisagé par le destinataire doit être conforme aux dispositions de la loi 09-08, notamment en ce qui concerne sa notification à la CNDP,

6. la transmission doit être autorisée par la CNDP.







� Guide relatif à la conformité des sites web à Guide relatif à la conformité des sites web à Guide relatif à la conformité des sites web à Guide relatif à la conformité des sites web à la loi 09la loi 09la loi 09la loi 09----08080808

� http://www.cndp.ma/images/documents/CNDP-lignes-directrices-conformite-site-web-fr.pdf

� Ce guide est un outil pratique au service des personnes, des entreprises et des organismes qui exploitent un site web utilisant des données


exploitent un site web utilisant des données personnelles (par exemple : nom, prénom, adresse, email, n° de téléphone, n° de CNI, n° de carte bancaire, photo, vidéo…)..

� Les recommandations exposées dans ce guide sont élaborées à partir des dispositions de la loi 09-08 et ses textes d’application.

� Obligation de notification du traitement à la Obligation de notification du traitement à la Obligation de notification du traitement à la Obligation de notification du traitement à la CNDP CNDP CNDP CNDP : Tout responsable de site web qui collecte et traite des données personnelles est tenu par la loi 09-08 de notifier à la CNDP les traitements mis en œuvre sur ledit


CNDP les traitements mis en œuvre sur ledit site.

� Modalité de notificationModalité de notificationModalité de notificationModalité de notification : Avant de mettre en œuvre un traitement de données personnelles sur site web, il convient de le notifier à la CNDP au moyen de : ◦ une demande d’autorisation si les données traitées

portent sur le numéro de la CIN ou bien sur des


portent sur le numéro de la CIN ou bien sur des données sensibles (origines raciales ou ethniques, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou celles relatives à la santé) ;

◦ une déclaration préalable dans les autres cas ; ◦ une demande de transfert à l’étranger en cas

d’hébergement et de stockage des données personnelles sur des serveurs situés à l’étranger.

� Collecte des données Collecte des données Collecte des données Collecte des données : Au moment de la collecte de données personnelles sur un site web (à l’aide par exemple d’un formulaire) à l’occasion d’une inscription, une ouverture de compte, un achat en ligne, ou tout autre opération, il est impératif de :

◦ a) informer les internautes des caractéristiques du traitement : l’identité du responsable du traitement qui


traitement : l’identité du responsable du traitement qui exploite le site, les finalités du traitement, les destinataires des données, le caractère obligatoire ou facultatif des réponses aux questions, l’existence d’un droit d’accès, de rectification et - pour des motifs légitimes - un droit d’opposition, le service auprès duquel sont exercés ces droits, le numéro du récépissé de la déclaration ou de l’autorisation délivré par la CNDP ;

◦ b) demander le consentement des internautes au traitement b) demander le consentement des internautes au traitement b) demander le consentement des internautes au traitement b) demander le consentement des internautes au traitement de leurs données personnellesde leurs données personnellesde leurs données personnellesde leurs données personnelles

� Proportionnalité des données collectéesProportionnalité des données collectéesProportionnalité des données collectéesProportionnalité des données collectées : Conformément au principe de proportionnalité, il ne faut collecter et traiter que les données strictement nécessaires à la réalisation des finalités du traitement poursuivies par le responsable du site web.


responsable du site web.

� Durée de conservation des donnéesDurée de conservation des donnéesDurée de conservation des donnéesDurée de conservation des données : Quand un site est amené à traiter les données personnelles, celles-ci ne doivent être conservées que le temps nécessaire à la réalisation de la finalité du traitement.

� CookiesCookiesCookiesCookies : Un site internet qui utilise des cookies faisant appel à des données personnelles doit recueillir le consentement de l’internaute avant le dépôt de ces cookies. De même qu’il doit préciser la


cookies. De même qu’il doit préciser la finalité de l’utilisation des cookies et expliquer à l’internaute les moyens de s’y opposer.

Merci pour votre attentionMerci pour votre attentionMerci pour votre attentionMerci pour votre attentionPr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetENSIAS, Université Mohammed V de RabatENSIAS, Université Mohammed V de Rabat

@[email protected]

Ch4 4 privacy_doctrine_cndp

Law

Transcript of Ch4 4 privacy_doctrine_cndp