La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel définit les obligations auxquelles sont soumis les responsables de traitements. Ces derniers doivent s’assurer que les données personnelles sont collectées et traitées d’une façon loyale, légitime et transparente. Ils doivent, en outre.
– Respecter la finalité du traitement:
Tout traitement de données personnelles doit avoir une finalité précise et légitime qui est communiquée aux personnes concernées lors de la collecte de leurs données personnelles et à la CNDP lors de la notification du traitement. Le changement de finalité est soumis à autorisation préalable de la CNDP.
– Respecter le principe de proportionnalité:
Les données collectées et traitées doivent être nécessaires, proportionnelles et non excessives au regard de la finalité du traitement envisagé.
– S’assurer de la qualité des données:
Le responsable du traitement doit veiller à ce que les données personnelles traitées soient exactes, fiables, complètes et mises à jour.
– Veiller au respect de la durée de conservation des données:
Les données personnelles permettant l’identification des personnes concernées doivent être conservées pour une durée limitée, n’excédant pas la durée nécessaire à l’accomplissement de la finalité du traitement pour laquelle elles ont été collectées. A l’expiration de cette durée, les données doivent être détruites.
Si le responsable du traitement envisage de conserver des données personnelles pour des fins statistiques ou historiques, il doit demander, à cet effet, une autorisation expresse de la CNDP.
-Veiller à l’exercice des droits par la personne concernée:
La loi 09-08 a prévu un certain nombre de droits au bénéfice des personnes concernées. Le responsable du traitement est tenu de veiller au respect de ces droits notamment en prenant toutes les mesures permettant aux personnes concernées de les faire valoir et de les exercer le cas échéant.
– Assurer la sécurité et la confidentialité des traitements:
Il incombe au responsable du traitement de prendre toutes les précautions utiles pour garantir l’intégrité et la confidentialité des données personnelles en sa possession en vue de les protéger contre la destruction ou la perte accidentelle et contre toute forme de traitement illicite. A cet effet, Il doit mettre en œuvre des mesures de sécurité physiques et logiques appropriées et prendre toutes les précautions utiles pour empêcher que les données ne soient déformées, endommagées, ou communiquées à des tiers non autorisés. Le responsable du traitement doit s’assurer, par le biais de contrats et d’audits, que ses sous-traitants et les tiers auxquels il communique les données personnelles respectent toutes les dispositions de la loi 09-08.
– Notifier les traitements à la CNDP:
Avant de mettre en œuvre un traitement, le responsable du traitement doit le notifier à la CNDP en accomplissant la procédure appropriée, à savoir :
1- Une demande d’autorisation:
a) Si, le traitement utilise des données sensibles telles l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques ou relatives à la santé…
b) S’il y a un changement de finalité, c.à.d. les données personnelles sont utilisées pour des fins autres que celles pour lesquelles elles ont été collectées.
c) Si le traitement de données porte sur les infractions, les condamnations ou les mesures de sûreté.
d) Si le traitement de données utilise le numéro de la CIN.
e) Si le traitement nécessite l’interconnexion de fichiers, dont les finalités sont différentes.
2- Une déclaration préalable dans les autres cas.
3- Une demande de transfert de données à l’étranger si des données personnelles seront hébergées ou transmises à l’étranger.