Le développement du numérique fait peser des risques sur les libertés et l’exercice des droits par les personnes et sur la protection de leur vie privée. Ceci nécessite une grande vigilance de la part de la CNDP.
Celle-ci est appelée à fixer des règles d’utilisation conformes à l’esprit de la loi afin de tirer profit des nouvelles technologies tout en assurant la protection de la vie privée des personnes.
Dans cette partie, les délibérations suivantes sont présentées :
- la Vidéosurveillance
- Géolocalisation
- Utilisation des données biométriques pour le contrôle d’accès
- Sur le droit de l’administration à se faire communiquer des données personnelles
- Guide relatif à la conformité des sites web à la loi 09-08
1. Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet
ENSIAS, Université Mohammed V de Rabat
Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
mrabet@um5s.net.ma
ma.linkedin.com/in/radouanemrabet
2. Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet
ENSIAS, Université Mohammed V de Rabat
Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
mrabet.radouane@yahoo.com
ma.linkedin.com/in/radouanemrabet
3. C4 : Vie privée et protection desC4 : Vie privée et protection desC4 : Vie privée et protection desC4 : Vie privée et protection des
données à caractère personneldonnées à caractère personneldonnées à caractère personneldonnées à caractère personnel
Doctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDPDoctrine de la CNDP
Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016Année Universitaire 2016----2017201720172017
4. Le développement du numérique fait peser
des risques sur les libertés et l’exercice des
droits par les personnes et sur la protection
de leur vie privée. Ceci nécessite une grande
vigilance de la part de la CNDP.
Pr. Radouane Mrabet4444
vigilance de la part de la CNDP.
Celle-ci est appelée à fixer des règles
d’utilisation conformes à l’esprit de la loi afin
de tirer profit des nouvelles technologies tout
en assurant la protection de la vie privée des
personnes.
6. Si l’utilité de la vidéosurveillance pour assurer
la sécurité des personnes et des biens est
unanimement reconnue, le risque de porter
atteinte à la vie privée est de plus en plus
grand.
Consciente de ces enjeux, la Commission a
Pr. Radouane Mrabet6666
Consciente de ces enjeux, la Commission a
adopté en 2013 une délibération n° 350-
2013 visant à définir le cadre légal de
l’utilisation des systèmes de vidéosurveillance
dans les lieux de travail et dans les lieux
privés communs.
7. Notification à la CNDPNotification à la CNDPNotification à la CNDPNotification à la CNDP
Au regard de la loi, la vidéosurveillance est un
traitement de données personnelles.
Cette nouvelle technologie permet de
collecter et traiter les images des personnes
présentes sur les lieux surveillés. De ce fait,
Pr. Radouane Mrabet7777
collecter et traiter les images des personnes
présentes sur les lieux surveillés. De ce fait,
la vidéosurveillance doit faire l’objet d’une
notificationnotificationnotificationnotification à la CNDP. Dans sa délibération n°
350-2013 du 31 mai 2013, la Commission a
retenu la déclarationdéclarationdéclarationdéclaration comme modalité de
notification simplifiée.
8. Les règles pour concilier sécurité et respectLes règles pour concilier sécurité et respectLes règles pour concilier sécurité et respectLes règles pour concilier sécurité et respect
de la vie privée :de la vie privée :de la vie privée :de la vie privée :
◦ Emplacement des caméras
◦ Durée de conservation des images
◦ Droits des personnes concernées
Pr. Radouane Mrabet8888
◦ Droits des personnes concernées
◦ Sécurité des images
9. Emplacement des caméras
Les caméras peuvent être installées dans tout
emplacement permettant la sécurité des biens et des
personnes mais jamais dans un endroit risquant de
porter atteinte à la vie privée de ces dernières.
Les caméras peuvent être installées aux entrées et aux
Pr. Radouane Mrabet9999
Les caméras peuvent être installées aux entrées et aux
sorties des bâtiments, sur les voies de circulation, dans
les entrepôts de marchandises, dans les parkings, face
à des coffres forts, à l’entrée et à l’intérieur des salles
techniques, etc.
Elles ne doivent pas être utilisées pour surveiller en
permanence les employés, les lieux de culte, les locaux
syndicaux, les toilettes, les salles de réunions ou les
zones de pauses, etc.
10. Durée de conservation des images
Les images enregistrées par un système de
vidéosurveillance ne doivent pas être
conservées plus de 3 mois. Au-delà de ce
délai, ces images doivent être détruites.
Pr. Radouane Mrabet10101010
délai, ces images doivent être détruites.
Droits des personnes concernées
Il est impératif d’informer, au moyen d’une
affiche ou d’un pictogramme, les personnes
présentes sur le site surveillé par des
caméras.
12. Sécurité des images
L’utilisation de la vidéosurveillance implique
aussi l’obligation de prendre toutes les
précautions utiles pour préserver la sécurité
et la confidentialité des images enregistrées,
Pr. Radouane Mrabet12121212
et la confidentialité des images enregistrées,
notamment pour empêcher qu’elles ne soient
exploitées à mauvais escient.
14. La géolocalisation constitue un nouveau moyen
technologique que les entreprises utilisent en vue
d’optimiser l’exploitation de leur flotte de véhicules.
Cette technologie consiste à équiper chaque véhicule
d’un boîtier et de suivre, à tout instant, sa position
géographique à l’aide d’un terminal. Sans remettre en
cause ses avantages en terme de maîtrise de gestion,
la géolocalisation peut constituer une menace à la vie
Pr. Radouane Mrabet14141414
cause ses avantages en terme de maîtrise de gestion,
la géolocalisation peut constituer une menace à la vie
privée des employés qui conduisent des véhicules
dotés de cette technologie. Afin d’encadrer son
utilisation par les organismes publics et privés et
préserver les droits des employés, la CNDP a jugé utile
de se prononcer sur la question. La décision de la
Commission a fait l’objet de la délibération n° 402-
2013 du 12 juillet 2013.
15. Pourquoi utiliser la géolocalisation ?
La CNDP reconnait le droit de recourir à la
géolocalisation dans le but d’optimiser et
rationaliser l’utilisation du parc automobile,
d’assurer la sécurité des employés, des
Pr. Radouane Mrabet15151515
d’assurer la sécurité des employés, des
marchandises et des véhicules en cas de vol,
et d’évaluer le rendement des conducteurs,
lorsque cela ne peut être effectué par d’autres
moyens.
16. Le devoir d’informer
Par souci de transparence et d’équité, la CNDP
exige que le conducteur soit informé par écrit
de l’utilisation de la géolocalisation à bord du
véhicule mis à sa disposition. De même qu’elle
Pr. Radouane Mrabet16161616
véhicule mis à sa disposition. De même qu’elle
préconise d’informer également les instances
représentatives du personnel.
17. Sécurité et confidentialité des données
Le recours à la géolocalisation implique aussi
l’obligation de prendre toutes les mesures et
les précautions nécessaires pour préserver la
sécurité et la confidentialité des données,
Pr. Radouane Mrabet17171717
sécurité et la confidentialité des données,
notamment pour empêcher un accès non
autorisé à ces données. Ainsi la Commission
limite à un an la durée de conservation des
données de géolocalisation.
18. Vidéosurveillance
Géolocalisation
Utilisation des données biométriques pourUtilisation des données biométriques pourUtilisation des données biométriques pourUtilisation des données biométriques pour
le contrôle d’accèsle contrôle d’accèsle contrôle d’accèsle contrôle d’accès
Pr. Radouane Mrabet18181818
le contrôle d’accèsle contrôle d’accèsle contrôle d’accèsle contrôle d’accès
Sur le droit de l’administration à se faire
communiquer des données personnelles
Guide relatif à la conformité des sites web à
la loi 09-08
19. La technologie biométrique est une technique qui
se développe au rythme effréné des innovations
technologiques et des besoins en sécurité et en
confort. Les données biométriques permettent
d’identifier automatiquement une personne à
partir de ses caractéristiques physiques propres :
Pr. Radouane Mrabet19191919
partir de ses caractéristiques physiques propres :
empreintes digitales, iris, ADN, etc. Ces données
sont qualifiées par la loi de données sensibles.
Elles nécessitent certaines précautions pour
éviter toute utilisation abusive.
20. Constatant un recours de plus en plus
fréquent aux dispositifs biométriques dans le
monde du travail, la CNDP a voulu prendre
acte de cette évolution en encadrant cet
usage par une décision ad hoc. C’est l’objet
Pr. Radouane Mrabet20202020
usage par une décision ad hoc. C’est l’objet
de la délibération n° 478-2013 du 1er
novembre 2013 portant sur les conditions
nécessaires à l’utilisation des dispositifs
biométriques pour le contrôle d’accès.
21. Autorisation de la CNDP
Pour la formalité de notification du traitement, la
Commission a décidé que l’installation d’un
dispositif biométrique dans le monde du travail
doit faire l’objet d’une demande d’autorisation
auprès de la CNDP.
Pr. Radouane Mrabet21212121
auprès de la CNDP.
Des règles strictes
Un organisme qui projette d’installer un
dispositif biométrique pour le contrôle d’accès ne
peut être autorisé que si ses locaux et
installations représentent un enjeu majeur de
sécurité dépassant l’intérêt strict de l’organisme.
22. Cependant d’autres conditions doivent
être réunies :
1. L’organisme doit justifier que les
méthodes alternatives de contrôle d’accès
ne sont pas suffisamment fiables pour
Pr. Radouane Mrabet22222222
ne sont pas suffisamment fiables pour
sécuriser son site ;
2. La CNDP exige que seules peuvent être
traitées les données biométriques d’un
nombre limité de personnes, dont la
mission nécessite une présence régulière
ou temporaire dans le site sécurisé ;
23. Cependant d’autres conditions doivent
être réunies (suite) :
3.Une donnée biométrique ne peut être utilisée à
l’état brut. Il incombe à l’organisme concerné de
procéder à une extraction partielle de la donnée
Pr. Radouane Mrabet23232323
procéder à une extraction partielle de la donnée
sous forme d’un nombre limité d’éléments
caractéristiques, par exemple pour l’empreinte
digitale, extraire un nombre limité de points
caractéristiques;
24. Cependant d’autres conditions doivent être
réunies (suite) :
4. L’organisme responsable du traitement ne doit pas
constituer une base de données pour stocker les
données biométriques collectées, sauf dans des
circonstances très particulières. En règle générale, les
Pr. Radouane Mrabet24242424
circonstances très particulières. En règle générale, les
données doivent être enregistrées sur un support
mobile exclusivement détenu par la personne
concernée ;
5. Le dispositif biométrique doit être utilisé à des fins
d’authentification et non pas d’identification, c’est-à-
dire qu’il doit autoriser l’accès sans identifier les
individus.
25. Une garantie supplémentaire dans le monde
du travail
Fidèle à sa mission de préserver les droits et
les libertés fondamentales des individus, en
particulier dans le monde du travail, la
Pr. Radouane Mrabet25252525
particulier dans le monde du travail, la
Commission a estimé que les données
biométriques ne peuvent être utilisées pour la
gestion du temps de présence sur les lieux du
travail des fonctionnaires et des employés.
26. Vidéosurveillance
Géolocalisation
Utilisation des données biométriques pour
le contrôle d’accès
Pr. Radouane Mrabet26262626
le contrôle d’accès
Sur le droit de l’administration à se faireSur le droit de l’administration à se faireSur le droit de l’administration à se faireSur le droit de l’administration à se faire
communiquer des données personnellescommuniquer des données personnellescommuniquer des données personnellescommuniquer des données personnelles
Guide relatif à la conformité des sites web à
la loi 09-08
27. La Délibération n° 464-2013, du 06 septembre
2013, portant sur les conditions de l’exercice
du droit de se faire communiquer des données
à caractère personnel exige plusieurs critères :
1. le destinataire (administration) doit adresser au
Pr. Radouane Mrabet27272727
1. le destinataire (administration) doit adresser au
propriétaire du fichier une demande écrite en
précisant la base légale du droit de
communication invoqué,
2. la demande de communication doit viser des
personnes nommément identifiées ou
identifiables. Elle ne peut en aucun cas porter
sur l’intégralité du fichier,
28. 3. la demande doit être ponctuelle et non
systématique,
4. la demande doit préciser les catégories de
données sollicitées. Ces dernières doivent-être
adéquates, pertinentes et non excessives au
regard de la finalité pour laquelle elles peuvent
Pr. Radouane Mrabet28282828
regard de la finalité pour laquelle elles peuvent
être communiquées,
5. le traitement envisagé par le destinataire doit être
conforme aux dispositions de la loi 09-08,
notamment en ce qui concerne sa notification à la
CNDP,
6. la transmission doit être autorisée par la CNDP.
29. Vidéosurveillance
Géolocalisation
Utilisation des données biométriques pour
le contrôle d’accès
Pr. Radouane Mrabet29292929
le contrôle d’accès
Sur le droit de l’administration à se faire
communiquer des données personnelles
Guide relatif à la conformité des sites web àGuide relatif à la conformité des sites web àGuide relatif à la conformité des sites web àGuide relatif à la conformité des sites web à
la loi 09la loi 09la loi 09la loi 09----08080808
30. http://www.cndp.ma/images/documents/CNDP-
lignes-directrices-conformite-site-web-fr.pdf
Ce guide est un outil pratique au service des
personnes, des entreprises et des organismes qui
exploitent un site web utilisant des données
Pr. Radouane Mrabet30303030
exploitent un site web utilisant des données
personnelles (par exemple : nom, prénom,
adresse, email, n° de téléphone, n° de CNI, n° de
carte bancaire, photo, vidéo…)..
Les recommandations exposées dans ce guide
sont élaborées à partir des dispositions de la loi
09-08 et ses textes d’application.
31. Obligation de notification du traitement à laObligation de notification du traitement à laObligation de notification du traitement à laObligation de notification du traitement à la
CNDPCNDPCNDPCNDP : Tout responsable de site web qui
collecte et traite des données personnelles
est tenu par la loi 09-08 de notifier à la
CNDP les traitements mis en œuvre sur ledit
Pr. Radouane Mrabet31313131
CNDP les traitements mis en œuvre sur ledit
site.
32. Modalité de notificationModalité de notificationModalité de notificationModalité de notification : Avant de mettre en
œuvre un traitement de données personnelles
sur site web, il convient de le notifier à la CNDP
au moyen de :
◦ une demande d’autorisation si les données traitées
portent sur le numéro de la CIN ou bien sur des
Pr. Radouane Mrabet32323232
portent sur le numéro de la CIN ou bien sur des
données sensibles (origines raciales ou ethniques,
opinions politiques, convictions religieuses ou
philosophiques, appartenance syndicale, données
génétiques ou celles relatives à la santé) ;
◦ une déclaration préalable dans les autres cas ;
◦ une demande de transfert à l’étranger en cas
d’hébergement et de stockage des données
personnelles sur des serveurs situés à l’étranger.
33. Collecte des donnéesCollecte des donnéesCollecte des donnéesCollecte des données : Au moment de la collecte de
données personnelles sur un site web (à l’aide par
exemple d’un formulaire) à l’occasion d’une
inscription, une ouverture de compte, un achat en
ligne, ou tout autre opération, il est impératif de :
◦ a) informer les internautes des caractéristiques du
traitement : l’identité du responsable du traitement qui
Pr. Radouane Mrabet33333333
traitement : l’identité du responsable du traitement qui
exploite le site, les finalités du traitement, les destinataires
des données, le caractère obligatoire ou facultatif des
réponses aux questions, l’existence d’un droit d’accès, de
rectification et - pour des motifs légitimes - un droit
d’opposition, le service auprès duquel sont exercés ces
droits, le numéro du récépissé de la déclaration ou de
l’autorisation délivré par la CNDP ;
◦ b) demander le consentement des internautes au traitementb) demander le consentement des internautes au traitementb) demander le consentement des internautes au traitementb) demander le consentement des internautes au traitement
de leurs données personnellesde leurs données personnellesde leurs données personnellesde leurs données personnelles
34. Proportionnalité des données collectéesProportionnalité des données collectéesProportionnalité des données collectéesProportionnalité des données collectées :
Conformément au principe de proportionnalité,
il ne faut collecter et traiter que les données
strictement nécessaires à la réalisation des
finalités du traitement poursuivies par le
responsable du site web.
Pr. Radouane Mrabet34343434
responsable du site web.
Durée de conservation des donnéesDurée de conservation des donnéesDurée de conservation des donnéesDurée de conservation des données : Quand un
site est amené à traiter les données
personnelles, celles-ci ne doivent être
conservées que le temps nécessaire à la
réalisation de la finalité du traitement.
35. CookiesCookiesCookiesCookies : Un site internet qui utilise des
cookies faisant appel à des données
personnelles doit recueillir le consentement
de l’internaute avant le dépôt de ces
cookies. De même qu’il doit préciser la
Pr. Radouane Mrabet35353535
cookies. De même qu’il doit préciser la
finalité de l’utilisation des cookies et
expliquer à l’internaute les moyens de s’y
opposer.
36. Merci pour votre attentionMerci pour votre attentionMerci pour votre attentionMerci pour votre attention
Pr. Radouane MrabetPr. Radouane MrabetPr. Radouane MrabetPr. Radouane Mrabet
ENSIAS, Université Mohammed V de RabatENSIAS, Université Mohammed V de Rabat
@radouane_mrabetmrabet.radouane@yahoo.com