Télécharger les Lignes directrices relatives à la conformité des sites web à la loi 09-08
Ce document se veut un outil pratique au service des personnes, des entreprises et des organismes qui exploitent un site web utilisant des données personnelles. Les recommandations exposées dans ce texte - qui n’est pas exhaustif - sont élaborées à partir des dispositions de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et ses textes d’application.
Ce guide s’adresse aux personnes physiques et morales qui exploitent des sites web utilisant des données personnelles (par exemple : nom, prénom, adresse, email, n° de téléphone, n° de CNI, n° de carte bancaire, photo, vidéo…).
Tout responsable de site web qui collecte et traite des données personnelles est tenu par la loi 09-08 de notifier à la CNDP les traitements mis en œuvre sur ledit site.
Avant de mettre en œuvre un traitement de données personnelles sur site web, il convient de le notifier à la CNDP au moyen de :
Au moment de la collecte de données personnelles sur un site web (à l’aide par exemple d’un formulaire) à l’occasion d’une inscription, une ouverture de compte, un achat en ligne, une réservation, ou tout autre opération, il est impératif de :
- La case d’acceptation ne doit pas être pré-cochée afin de permettre à l’internaute de lire et
prendre connaissance des mentions légales relatives au traitement de ses données personnelles par le site.
- «Les conditions générales d’utilisation » (ou tout lien équivalent : mentions légales, charte d’utilisation, conditions générales de vente, etc.) doit contenir une mention relative à la protection des données personnelles.
……….(indiquer l’identité du responsable du traitement qui exploite le site)
Les informations recueillies sur le site www……… font l’objet d’un traitement destiné à……….(préciser la finalité)
Les destinataires des données sont :………..(préciser)
Conformément à la loi n° 09-08 promulguée par le Dahir 1-09-15 du 18 février
2009, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant
à :………(préciser une adresse, un mail ou un service…).
Vous pouvez également, pour des motifs légitimes, vous opposer à ce que les données qui vous concernent fassent l’objet d’un traitement.
Ce traitement a été notifié et autorisé par la
CNDP au titre du récépissé / de l’autorisation n°……… du …/…/….
Conformément à la loi 09-08, vous disposez d’un droit d’accès, de rectification et d’opposition au traitement de vos données personnelles. Ce traitement a été autorisé par la CNDP sous le n°….
Conformément au principe de proportionnalité, il ne faut collecter et traiter que les données strictement nécessaires à la réalisation des finalités du traitement poursuivies par le responsable du site web.
Des mesures doivent être mises en œuvre afin d’assurer la confidentialité et la sécurité des données personnelles enregistrées pour éviter qu’elles soient détruites, déformées, endommagées ou accessibles à des tiers non autorisés, notamment par la sensibilisation
des collaborateurs à leurs obligations et par la restriction d’accès en fonction des attributions et des responsabilités de chaque collaborateur, l’utilisation de systèmes informatiques sécurisés et éventuellement le recours au chiffrement de certaines
données lors de leur stockage et/ou transmission.
Lorsque le responsable du site web fait appel à un sous-traitant pour traiter des données personnelles, il est tenu de choisir un sous-traitant qui apporte des garanties suffisantes au regard des
mesures de sécurité techniques et organisationnelles. D’autre part, la réalisation des traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du site web.
Quand un site est amené à traiter les données personnelles, celles-ci ne doivent être conservées que le temps nécessaire à la réalisation de la finalité du traitement.
Les données personnelles traitées par un site web ne peuvent être utilisées aux fins de prospection directe concernant un produit ou un service, sauf si l’internaute :
Dans tous les cas, un internaute a le droit de s’opposer, sans frais, à ce que lui soient adressés des messages de prospection. A cet effet, le responsable du traitement doit fournir - à l’occasion de tout envoi de message de prospection - un numéro de téléphone, une adresse email ou tout autre moyen permettant de se désinscrire de la liste des prospects.
Un site internet qui utilise des cookies faisant appel à des données personnelles doit recueillir le consentement de l’internaute avant le dépôt de ces cookies. De même qu’il doit préciser la finalité de l’utilisation des cookies et expliquer à l’internaute les moyens de s’y opposer.
Télécharger les Lignes directrices relatives à la conformité des sites web à la loi 09-08