Lignes directrices relatives à la conformité des sites web à la loi 09-08

Télécharger les Lignes directrices relatives à la conformité des sites web à la loi 09-08

Préambule

Ce document se veut un outil pratique au service des personnes, des entreprises et des organismes qui exploitent un site web utilisant des données personnelles. Les recommandations exposées dans ce texte - qui n’est pas exhaustif - sont élaborées à partir des dispositions de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et ses textes d’application.

1- Sites web concernés

Ce guide s’adresse aux personnes physiques et morales qui exploitent des sites web utilisant des données personnelles (par exemple : nom, prénom, adresse, email, n° de téléphone, n° de CNI, n° de carte bancaire, photo, vidéo…).

2- Obligation de notification du traitement à la CNDP

Tout responsable de site web qui collecte et traite des données personnelles est tenu par la loi 09-08 de notifier à la CNDP les traitements mis en œuvre sur ledit site.

3- Modalité de notification

Avant de mettre en œuvre un traitement de données personnelles sur site web, il convient de le notifier à la CNDP au moyen de :

  • une demande d’autorisation si les données traitées portent sur le numéro de la carte nationale d’identité ou bien sur des données sensibles (origines raciales ou ethniques, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou celles relatives à la santé) ; ou
  • une déclaration préalable dans les autres cas ;
  • une demande de transfert à l’étranger en cas d’hébergement et de stockage des données personnelles sur des serveurs situés à l’étranger.
N.B.
  • Les formalités et les formulaires de déclaration préalable, de demande d’autorisation et de demande de transfert sont disponibles sur le site web de la CNDP ( Formulaires - Formalités).
  • La CNDP n’instruit une demande de transfert à l’étranger qu’après avoir autorisé le traitement de base (obtention par le responsable du traitement du récépissé de déclaration ou de l’autorisation).

4- Collecte des données

Au moment de la collecte de données personnelles sur un site web (à l’aide par exemple d’un formulaire) à l’occasion d’une inscription, une ouverture de compte, un achat en ligne, une réservation, ou tout autre opération, il est impératif de :

  1. informer les internautes des caractéristiques du traitement : l’identité du responsable du traitement qui exploite le site, les finalités du traitement, les destinataires des données, le caractère obligatoire ou facultatif des réponses aux questions, l’existence d’un droit d’accès, de rectification et - pour des motifs légitimes - un droit d’opposition, le service auprès duquel sont exercés ces droits, le numéro du récépissé de la déclaration ou de l’autorisation délivré par la CNDP ;
  2. demander le consentement des internautes au traitement de leurs données personnelles.
Exemple de formulaire de collecte de données personnelles :

Exemple-Formulaire- La case d’acceptation ne doit pas être pré-cochée afin de permettre à l’internaute de lire et prendre connaissance des mentions légales relatives au traitement de ses données personnelles par le site.

- «Les conditions générales d’utilisation » (ou tout lien équivalent : mentions légales, charte d’utilisation, conditions générales de vente, etc.) doit contenir une mention relative à la protection des données personnelles.

5- Clause et mention types relatives à la protection des données personnelles

5.1- Clause type (à prévoir dans la rubrique « conditions générales », « mentions légales » ou équivalent)

……….(indiquer l’identité du responsable du traitement qui exploite le site) 

Les informations recueillies sur le site www……… font l’objet d’un traitement destiné à……….(préciser la finalité)
Les destinataires des données sont :………..(préciser)
Conformément à la loi n° 09-08 promulguée par le Dahir 1-09-15 du 18 février 2009, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à :………(préciser une adresse, un mail ou un service…).
Vous pouvez également, pour des motifs légitimes, vous opposer à ce que les données qui vous concernent fassent l’objet d’un traitement.
Ce traitement a été notifié et autorisé par la CNDP au titre du récépissé / de l’autorisation n°……… du …/…/….

5.2- Mention type (à prévoir dans le formulaire de collecte de données par exemple)

Conformément à la loi 09-08, vous disposez d’un droit d’accès, de rectification et d’opposition au traitement de vos données personnelles. Ce traitement a été autorisé par la CNDP sous le n°….

6- Proportionnalité des données collectées

Conformément au principe de proportionnalité, il ne faut collecter et traiter que les données strictement nécessaires à la réalisation des finalités du traitement poursuivies par le responsable du site web.

7- Mesures de sécurité et de confidentialité

Des mesures doivent être mises en œuvre afin d’assurer la confidentialité et la sécurité des données personnelles enregistrées pour éviter qu’elles soient détruites, déformées, endommagées ou accessibles à des tiers non autorisés, notamment par la sensibilisation des collaborateurs à leurs obligations et par la restriction d’accès en fonction des attributions et des responsabilités de chaque collaborateur, l’utilisation de systèmes informatiques sécurisés et éventuellement le recours au chiffrement de certaines données lors de leur stockage et/ou transmission.
Lorsque le responsable du site web fait appel à un sous-traitant pour traiter des données personnelles, il est tenu de choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité techniques et organisationnelles. D’autre part, la réalisation des traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du site web.

8- Durée de conservation des données

Quand un site est amené à traiter les données personnelles, celles-ci ne doivent être conservées que le temps nécessaire à la réalisation de la finalité du traitement.

9- Prospection directe

Les données personnelles traitées par un site web ne peuvent être utilisées aux fins de prospection directe concernant un produit ou un service, sauf si l’internaute :

  • exprime son consentement préalable au moment de la collecte ; ou
  • a déjà bénéficié antérieurement d’un produit ou un service analogue fourni par le même responsable du site.

Dans tous les cas, un internaute a le droit de s’opposer, sans frais, à ce que lui soient adressés des messages de prospection. A cet effet, le responsable du traitement doit fournir - à l’occasion de tout envoi de message de prospection - un numéro de téléphone, une adresse email ou tout autre moyen permettant de se désinscrire de la liste des prospects.

10- Cookies

Un site internet qui utilise des cookies faisant appel à des données personnelles doit recueillir le consentement de l’internaute avant le dépôt de ces cookies. De même qu’il doit préciser la finalité de l’utilisation des cookies et expliquer à l’internaute les moyens de s’y opposer.

Télécharger les Lignes directrices relatives à la conformité des sites web à la loi 09-08