La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel définit les obligations auxquelles sont soumis les responsables de traitements. Ces derniers doivent s’assurer que les données personnelles sont collectées et traitées d’une façon loyale, légitime et transparente. Ils doivent, en outre :
Tout traitement de données personnelles doit avoir une finalité précise et légitime qui est communiquée aux personnes concernées lors de la collecte de leurs données personnelles et à la CNDP lors de la notification du traitement. Le changement de finalité est soumis à autorisation préalable de la CNDP.
Les données collectées et traitées doivent être nécessaires, proportionnelles et non excessives au regard de la finalité du traitement envisagé.
Le responsable du traitement doit veiller à ce que les données personnelles traitées soient exactes, fiables, complètes et mises à jour.
Les données personnelles permettant l’identification des personnes concernées doivent être conservées pour une durée limitée, n’excédant pas la durée nécessaire à l’accomplissement de la finalité du traitement pour laquelle elles ont été collectées. A l’expiration de cette durée, les données doivent être détruites.
Si le responsable du traitement envisage de conserver des données personnelles pour des fins statistiques ou historiques, il doit demander, à cet effet, une autorisation expresse de la CNDP.
Il incombe au responsable du traitement de prendre toutes les précautions utiles pour garantir l’intégrité et la confidentialité des données personnelles en sa possession en vue de les protéger contre la destruction ou la perte accidentelle et contre toute forme de traitement illicite. A cet effet, Il doit mettre en œuvre des mesures de sécurité physiques et logiques appropriées et prendre toutes les précautions utiles pour empêcher que les données ne soient déformées, endommagées, ou communiquées à des tiers non autorisés. Le responsable du traitement doit s’assurer, par le biais de contrats et d’audits, que ses sous-traitants et les tiers auxquels il communique les données personnelles respectent toutes les dispositions de la loi 09-08.
Avant de mettre en œuvre un traitement, le responsable du traitement doit le notifier à la CNDP en accomplissant la procédure appropriée, à savoir :
- 1- Une demande d’autorisation:
- a) Si, le traitement utilise des données sensibles telles l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques ou relatives à la santé…
- b) S’il y a un changement de finalité, c.à.d. les données personnelles sont utilisées pour des fins autres que celles pour lesquelles elles ont été collectées.
- c) Si le traitement de données porte sur les infractions, les condamnations ou les mesures de sûreté.
- d) Si le traitement de données utilise le numéro de la CIN.
- e) Si le traitement nécessite l’interconnexion de fichiers, dont les finalités sont différentes.
- 2-.Une déclaration préalable dans les autres cas.
- 3- Une demande de transfert de données à l’étranger si des données personnelles seront hébergées ou transmises à l’étranger.
Toute infraction aux dispositions de la loi 09-08 est sanctionnée conformément au chapitre 7 de ladite loi.