Formalités

Demande d’autorisation

Quand une autorisation est-elle obligatoire ?

Une autorisation préalable est exigée lorsque les traitements concernent :

  • les données sensibles (origine raciale ou ethnique, opinion politique, conviction religieuse ou philosophique, appartenance syndicale, données relatives à la santé y compris les données génétiques) ;
  • l’utilisation de données à caractère personnel à d’autres fins que celles pour lesquelles elles ont été collectées ;
  • des données génétiques, à l’exception de ceux mis en œuvre par le personnel de santé et qui répondent à des fins médicales ;
  • des données portant sur des infractions, condamnations ou mesures de sûreté, à l’exception de ceux mis en œuvre par les auxiliaires de justice ;
  • des données comportant le numéro de la carte d’identité nationale de la personne concernée ;
  • l’interconnexion de fichiers relevant d’une ou plusieurs personnes morales gérant un service public et dont les finalités d’intérêt public sont différentes ou l’interconnexion de fichiers relevant d’autres personnes morales et dont les finalités principales sont différentes.

Exemption d’autorisation

La loi 09-08 dispense de l’autorisation les traitements mis en œuvre par une association ou tout autre groupement à but non lucratif et à caractère religieux, philosophique, politique, syndical, culturel ou sportif (Article 12-1-a  de la loi 09-08)

Formulaire

Télécharger et renseigner le formulaire de demande d’autorisation (F112) préalable de traitement.

Pièces à joindre à la demande

  • Document autorisant le signataire à engager la personne morale.
  • Justificatifs de l’information des personnes concernées (note, contrat, formulaire,…) par le traitement envisagé, notamment :
    • de la collecte et l’enregistrement des données ;
    • des finalités du traitement ;
    • des droits des personnes concernées (droit d’accès, de rectification et d’opposition) ;
    • de la communication des données à des tiers, le cas échéant.
    • des caractéristiques du récépissé de déclaration du traitement à la CNDP.
  • Extraits de documents ou supports qui prouvent le consentement des personnes concernées, le cas échéant.
  • Extraits de contrat de sous-traitance garantissant les mesures de sécurité technique et d’organisation relative au traitement envisagé, le cas échéant.
  • Tout autre document utile, le cas échéant.

Pour les données de santé, joindre en sus :

  • Le document indiquant l’identité et l’adresse des personnes responsables du traitement, leurs titres, leurs expériences, leurs fonctions et les catégories des personnes appelées à mettre en œuvre le traitement.
  • S’il s’agit d’un projet de recherche médical, le protocole de recherche ou ses éléments utiles (Objectif de la recherche, catégories des personnes intéressées, méthode d’observation ou d’investigation retenue, l’origine et la nature des données, justification de recours à celles-ci, la durée et les modalités d’organisation de la recherche, méthode d’analyse des données),
  • Les avis rendus antérieurement par des instances scientifiques ou éthiques, le cas échéant.
  • L’engagement du responsable du traitement de coder les données permettant l’identification des personnes concernées.
  • Le cas échéant, la demande, comportant des justifications techniques et scientifiques, de dérogation à l’obligation de codage des données permettant l’identification des personnes concernées.
  • Le cas échéant, la demande de dérogation justifiée de la conservation des données au-delà de la durée nécessaire à la recherche.

Délais

La CNDP donne son avis et le notifie dans un délai de 2 mois. Ce délai peut être prorogé une seule fois. Cependant, si le dossier de demande d’autorisation est incomplet, le responsable du traitement est prévenu et le délai ne commence à courir qu’à partir du moment où les informations ou les documents demandées ont été fournis.

Déclaration

Tous les traitements doivent faire l’objet d’une déclaration préalable auprès de la CNDP sauf ceux exclus du champ d’application de la loi 09-08, ou dispensés de déclaration à la CNDP, ou soumis au régime de l’autorisation préalable. 

Formulaire

Télécharger et renseigner le formulaire de déclaration (F111) préalable de traitement.

Pièces à joindre à la demande

  • Document autorisant le signataire à engager la personne morale.
  • Tout autre document utile, le cas échéant.

Délais

  • La CNDP délivre le récépissé de la déclaration dans un délai de 24 heures.
  • La CNDP notifie dans un délai de 8 jours à l’organisme déclarant sa décision de soumettre le traitement au régime de l’autorisation préalable, si elle estime que le traitement envisagé présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes concernées.

Si le dossier est incomplet, les délais susmentionnés commencent à courir à partir du moment où les informations ou les documents demandés par la CNDP ont été fournis.

Transfert de données à l’étranger

Le transfert de données personnelles à l’étranger ne peut être effectué que dans les cas énumérés dans les articles 43 et 44 de la loi 09-08 (voir formalités de transfert pour plus de détails)

Exemption de l’application de la loi 09-08

La loi 09-08 ne s’applique pas :

  • au traitement de données à caractère personnel effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ;
  • aux données à caractère personnel recueillies et traitées dans l’intérêt de la défense nationale et de la sécurité intérieure et extérieure de l’Etat ;
  • aux données à caractère personnel recueillies et traitées à des fins de prévention et de répression des crimes et délits. Cependant, la loi 09-08 s’applique éventuellement dans les conditions fixées par la loi ou règlement qui crée le fichier en cause ;
  • aux données collectées et/ou enregistrées en application d’une législation particulière. Cependant toute opération de traitement supplémentaire effectuée dans ce cadre, en dehors de la collecte et/ou l’enregistrement de données à caractère personnel, est pleinement soumise au champ d’application de la loi (voir délibération de la CNDP n° 009-2012 du 13 juillet 2012).

Registre public

L’obligation de déclaration ne s’applique pas aux traitements ayant pour seul objet la tenue d’un registre qui est, en vertu de dispositions législatives ou réglementaires, destiné à l’information du public ou de toute personne justifiant d’un intérêt légitime.
Toutefois, il doit être désigné dans ce cas un responsable du traitement des données dont l’identité est rendue publique et notifiée à la CNDP.
Télécharger et renseigner le formulaire de déclaration du responsable de traitement (F115).