CHAPITRE III : FORMALITES NECESSAIRES AU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

ARTICLE 5

Le traitement des données à caractère personnel est soumis à une déclaration préalable auprès de l’Autorité de protection des données à caractère personnel.

La déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi.

L’Autorité de protection délivre un récépissé en réponse à la déclaration, le cas échéant, par voie électronique. Le demandeur peut mettre en œuvre le traitement dès réception de son récépissé; il n’est exonéré d’aucune de ses responsabilités.

Les traitements relevant d’un même organisme et ayant des finalités identiques ou liées entre elles peuvent faire l’objet d’une déclaration unique. Les informations requises au titre de la déclaration ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.

 

ARTICLE 6

Sont dispensés des formalités de déclaration préalable :

  • le traitement de données utilisées par une personne physique dans le cadre exclusif de ses activités personnelles, domestiques ou familiales ;
  • le traitement de données concernant une personne physique dont la publication est prescrite par une disposition légale ou réglementaire ;
  • le traitement de données ayant pour seul objet la tenue d’un registre qui est destiné à un usage exclusivement privé ;
  • le traitement pour lequel le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi, sauf lorsqu’un transfert de données à caractère personnel à destination d’un pays tiers est envisagé.

 

ARTICLE 7

Sont soumis à autorisation préalable de l’Autorité de protection avant toute mise en œuvre :

le traitement des données à caractère personnel portant sur des données génétiques, médicales et sur la recherche scientifique dans ces domaines ;

  • le traitement des données à caractère personnel portant sur des données relatives aux infractions, aux condamnations ou aux mesures de sûreté prononcées par les juridictions ;
  • le traitement portant sur un numéro national d’identification ou tout autre identifiant de la même nature, notamment les numéros de téléphones ;
  • le traitement des données à caractère personnel comportant des données biométriques ;
  • le traitement des données à caractère personnel ayant un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques ;
  • le transfert de données â caractère personnel envisagé à destination d’un pays tiers.

La demande d’autorisation est présentée par le responsable du traitement ou son représentant légal

L’autorisation n’exonère pas de la responsabilité à l’égard des tiers.

 

ARTICLE 8

Pour les catégories les plus courantes de traitement des données à caractère personnel notamment celles dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, l’Autorité de protection établit et publie des normes et procédures destinées à simplifier ou à exonérer le responsable du traitement de l’obligation de déclaration préalable.

 

ARTICLE 9

La demande d’avis, la déclaration et la demande d’autorisation sont adressés à l’Autorité de protection et contiennent au minimum les mentions suivantes :

  • l’identité, le domicile, l’adresse postale ou géographique du responsable du traitement ou si celui-ci n’est pas établi sur le territoire national, celles de son représentant dûment mandaté, et s’il s’agit d’une personne morale, sa dénomination sociale, son siège social, l’identité de son représentant légal, son numéro d’immatriculation au registre du commerce et du crédit mobilier, son numéro de déclaration fiscale ;
  • la ou les finalité(s) du traitement ainsi que la description générale de ses fonctions ;
  • les interconnexions envisagées ou toutes autres formes de mise en relation avec d’autres traitements ;
  • les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement;
  • la durée de conservation des données traitées ;
  • le ou les service(s) chargé(s) de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données collectées ;
  • les destinataires habilités à recevoir communication des données traitées ;
  • la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès ;
  • les dispositions prises pour assurer la sécurité des traitements, la protection et la confidentialité des données traitées;
  • l’indication du recours à un sous-traitant ou du transfert des données à caractère personnel à destination d’un pays tiers.

En cas de changement intervenu dans les mentions énumérées ci-dessus, le responsable du traitement en informe, sans délai, l’Autorité nationale de protection des données à caractère personnel.

Les conditions de la présentation de la demande d’autorisation et les procédures d’octroi des autorisations sont fixées par décret pris en Conseil des ministres.

L’Autorité de protection peut, par décision, exiger des conditions complémentaires de présentation de la demande d’autorisation ou de déclaration et aux procédures d’octroi des autorisations.

 

ARTICLE 10

La déclaration ou la demande d’autorisation peut être adressée à l’Autorité de protection par voie électronique, postale ou par tout autre moyen contre remise d’un accusé de réception.

 

ARTICLE 11

L’Autorité de protection se prononce dans un délai d’un (1) mois à compter de la réception de la déclaration ou de la demande d’autorisation. Toutefois, ce délai peut être prorogé d’ un (1) mois supplémentaire sur décision motivée de l’Autorité de protection.

L’absence de réponse de l’Autorité de protection dans le délai imparti équivaut à un rejet de la déclaration ou de la demande d’autorisation. Dans ce cas, le responsable du traitement peut exercer un recours devant la juridiction compétente.

Les modalités de dépôt des déclarations ou d’octroi des autorisations pour le traitement des données à caractère personnel conformément aux dispositions de la présente loi sont fixées par décret.

 

ARTICLE 12

Le correspondant à la protection des données à caractère personnel est une personne bénéficiant de qualifications requises pour exercer de telles missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de l’employeur, du fait de l’accomplissement de ses missions. Il peut saisir l’Autorité de protection des difficultés qu’il rencontre dans l’exercice de ses missions.

La désignation du correspondant par le responsable du traitement est notifiée à l’Autorité de protection. Elle est, également, portée, le cas échéant, à la connaissance des instances représentatives du personnel.

Le profil et les conditions de rémunération du correspondant à la protection des données à caractère personnel font l’objet d’un arrêté du ministre chargé des Technologies de l’Information et de la Communication, sur proposition de l’Autorité de protection.

En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de l’Autorité de protection.

 

ARTICLE 13

Les traitements des données à caractère personnel opérés pour le compte de l’Etat, d’une personne morale de droit public ou de droit privé gérant un service public sont autorisés par décret, après avis motivé de l’Autorité de protection.

Ces traitements portent sur :

  • la sûreté de l’Etat, la défense nationale ou la sécurité publique;
  • la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ;
  • le recensement de la population;
  • le traitement de salaires, pensions, impôts, taxes et autres liquidations.