La loi n°09-08 a instauré des principes fondamentaux de la protection des données

personnelles à savoir la manifestation du consentement de la personne concernée et la

détermination claire de la finalité du traitement en adéquation et pertinence avec les
données collectées loyalement1.

A. LES PRINCIPES FONDAMENTAUX DE LA PROTECTION DES

DONNÉES PERSONNELLES

 Consentement de la personne concernée

Le consentement est une manifestation de volonté libre, spécifique et informée, par laquelle
la personne concernée accepte que les données à caractère personnel la concernant fassent
l’objet d’un traitement. Le traitement des données à caractère personnel ne peut être
effectué que si la personne concernée a indubitablement donné son consentement à
l’opération ou à l’ensemble des opérations envisagées2.

 Finalité du traitement

Le traitement de données personnelles doit avoir une finalité clairement définie. Elles ne
peuvent être collectées que pour des finalités déterminées et ne doivent pas être traitées
ultérieurement de manière incompatible avec ce finalités.

 Le principe de proportionnalité

La notion de proportionnalité implique que les données personnelles collectées soient en

adéquation avec la finalité du traitement. Ainsi, les données doivent être « adéquates,
pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées
ultérieurement »3.

 Loyauté dans le traitement

Il s’agit là d’un principe fondamental qui doit sous-tendre toute opération de traitement
portant sur les données personnelles. Il faut ainsi s’assurer que les données soient collectées
loyalement, c’est-à-dire que les personnes concernées soient bien informées et veiller à ce
que leurs droits soient respectés. Il faut aussi faire en sorte que les données soient

1
M. KETTANI, « Régime juridique de la protection des données personnelles », DLA Piper, 2017, p 3-4.
2
Art 4 de la loi n° 09-08.
3
Art. 3, al. 1, c, op.cit.
protégées contre toute atteinte qui pourrait venir de tiers en mettant en place les moyens
humains et techniques adéquats.

B. LES MÉCANISMES DE PROTECTION DES DONNÉES

PERSONNELLES

Le mécanisme de protection s’articule autour de l’établissement des droits des

personnes concernées, en premier lieu, à travers un consentement. Ensuite, par le droit à
l’information lors de la collecte des données, le droit à l’accès ou rectification des
informations, et le droit d’opposition à la prospection directe. D’autre part, les responsables
du traitement sont dans l’obligation de recueillir le consentement, faire une déclaration
préalable auprès de la Commission Nationale de contrôle de la protection des Données
Personnelles (CNDP) et recourir parfois à une autorisation préalable délivrée par la
Commission Nationale lors du traitement des données sensibles. Finalement, les
responsables sont appelés à s’aligner avec les obligations de confidentialité, de sécurité des
traitements et de secret professionnel.

 Les droits des personnes concernées :

 Le consentement indubitable de la personne concernée : inhérent au premier

principe évoqué ci-dessus, le droit de la personne concernée de donner ou de
refuser son consentement permet aux individus de garder le contrôle de leur vie
privée et des données qui leur sont personnelles.
 Droit à l’information lors de la collecte des données : ce droit est au cœur de la
protection des données car il constitue une garantie de collecte transparente et
loyale des données à caractère personnel. L’obligation d’information lors de la
collecte des données4 concerne l’information préalable de toute personne de
manière précise, expresse et non équivoque de l’utilisation ou du stockage de
données informatisées la concernant. Cette même personne doit également être
informée sur l’organisme qui effectue la collecte d’information mais aussi sur les
destinataires ou les catégories de destinataires. D’autant plus, lorsque la personne
concernée répond à des questionnaires, il doit être porté à sa connaissance si la

4
Art 5 de la loi n° 09-08.
 réponse à telle ou telle question est obligatoire ou facultative. Toutefois, il existe des
limites au droit d’information et notamment lorsque les informations sont traitées à
des fins de statistiques, historiques ou scientifiques, dans ce cas le responsable de
traitement doit en informer la commission et lui présenter les motifs de
l’impossibilité d’information. Par ailleurs, le droit de l’information n’est pas
applicable aux données dont la collecte est essentielle à la défense nationale, la
sûreté intérieure ou extérieure de l’Etat, à la prévention ou répression du crime.
L’exclusion est également valable lorsque la législation prévoit expressément
l’enregistrement ou la communication des données à caractère personnel et lorsque
le traitement est destiné à des fins exclusivement journalistiques, artistiques ou
littéraires.
 Ce droit à l’information permettra de garantir l’exercice du droit d’accès et de
rectification.
 Droit d’accès : ce droit est reconnu par l’article 7 de la loi n° 09-08. Il permet à toute
personne d’accéder aux informations la concernant pour s’assurer de leur
exactitude.
 Droit de rectification : complétant le droit d’accès, il permet aux personnes
concernées d’exiger la rectification des informations la concernant, notamment
lorsqu’elles sont inexactes ou incomplètes. Ce droit s’exerce au travers d’une
requête adressée au responsable du traitement qui est tenu d’y répondre dans un
délai de 10 jours, sans imposer de frais5.
 Droit d’opposition à la prospection directe La prospection directe est l’envoi de tout
message destiné à promouvoir, directement ou indirectement, des biens, des
services ou l’image d’une personne vendant des biens ou fournissant des services.
Durant ces dernières années, des abus ont été constatés en matière de prospection
directe, notamment commerciale. La loi n° 09-08 est venue encadrer ce type de
pratique pour protéger la vie privée des citoyens contre les intrusions intempestives
dans leur espace privé (téléphone, messagerie électronique, etc.). Ainsi, l’article 9
permet à toute personne dont les données à caractère personnel font l’objet d’un
traitement de s’opposer, sans frais, à ce que les données la concernant soient
5
En cas de non réponse ou de refus, la personne peut saisir la Commission nationale, laquelle charge l’un de
ses membres à mener toutes investigations utiles et faire procéder aux rectifications nécessaires, dans les plus
brefs délais. C’est ce qui est prévu par l’article 8 de la loi n° 09-08.
 utilisées à des fins de prospection commerciale. D’ailleurs, l’article 10 affirme ce
droit en interdisant la prospection directe au moyen d’un automate d’appel, d’un
télécopieur ou d’un courrier électronique ou d’un moyen employant une
technologie de même nature qui utilise, sous quelque forme que ce soit, les
coordonnées d’une personne physique qui n’a pas exprimé son consentement libre
et spécifique à recevoir des prospections directes par ce moyen.

 Les obligations des responsables du traitement :

 Obligation de recueillir le consentement de la personne concernée : il s’agit là d’une

obligation qui découle du droit des personnes concernées à la protection de leurs
données personnelles et d’un préalable indispensable à tout traitement envisagé.
 Déclaration préalable : sauf pour certains cas nécessitant une autorisation préalable,
le traitement de données à caractère personnel doit faire l’objet d’une déclaration
préalable auprès de la Commission Nationale de contrôle de la protection des
Données Personnelles (CNDP). Cette déclaration préalable permet à la CNDP, de
contrôler la protection des données à caractère personnel et de veiller au respect,
par le responsable du traitement, des dispositions de la loi n° 09-08.
 Autorisation préalable : certains traitements, en raison de leur spécificité, requièrent
des responsables du traitement non pas une déclaration préalable, mais une
autorisation préalable qui leur est délivrée par le CNDP. Tel est le cas notamment
pour le traitement des « données sensibles » 6 , les traitements de données
personnelles à d’autres fins que celles pour lesquelles elles ont été collectées, le
traitement des données portant sur les infractions, condamnations ou mesures de
sûreté ainsi que celui des données comportant le numéro de la carte d’identité
nationale de la personne concernée. On comprend aisément la nécessité d’imposer
l’obtention préalable d’une autorisation pour ce type de traitement parce qu’ils
touchent de plus près les droits fondamentaux des citoyens.
 Obligations de confidentialité, de sécurité des traitements et de secret professionnel : en
vertu des dispositions de l’article 23 de la loi n° 09-08, le responsable du traitement est tenu

6
Il s’agit, selon l’article 1er de la loi n° 09-08, des données qui révèlent l’origine raciale ou ethnique, les
opinions politiques, convictions religieuses, ou philosophiques, ou l’appartenance syndicale ainsi que celles
qui sont relatives à la santé et aux caractéristiques génétique.
 de mettre en œuvre toutes les mesures techniques et organisationnelles pour protéger les
données à caractère personnel, afin d’empêcher qu’elles soient endommagées, modifiées
ou utilisées par un tiers non autorisé à y accéder. Ces mesures doivent être renforcées
lorsqu’il s’agit de données sensibles ou de données relatives à la santé conformément aux
dispositions de l’article 24. Elles s’appliquent non seulement au responsable du traitement
mais aussi à tout sous-traitant qui se verrait déléguer les tâches du responsable. En outre,
l’article 26 soumet le responsable du traitement de données à caractère personnel ainsi que
les personnes qui, dans l’exercice de leurs fonctions, ont connaissance de données à
caractère personnel, à une obligation de respect du secret professionnel. CONSENTEMENT

Ainsi par exemple, lors d’une opération d’achat en ligne, le consommateur accepte expressément
que ses données personnelles soient traitées par le vendeur pour les besoins de la transaction. Si le
vendeur envisage un traitement de ces données autre que celui lié à l’opération en question, il doit
requérir le consentement de la personne concernée. Il arrive ainsi qu’il soit demandé à l’acheteur de
cocher une case supplémentaire indiquant qu’il accepte que ses données personnelles soient
transmises à des partenaires commerciaux du vendeur pour que ceux-ci puissent promouvoir leurs
produits et services. À défaut de consentement, le transfert des données personnel de la personne
concernée par le vendeur à un tiers serait considéré comme illicite.

FINALITE

Par exemple, lorsqu’une personne souhaite souscrire un abonnement téléphonique auprès d’un
opérateur, il ne nous paraît pas nécessaire que celui-ci demande au futur client sa situation
matrimoniale. Une telle demande serait, à notre sens, excessive. En revanche, si la personne
souhaite souscrire une assurance-vie, la demande nous paraît légitime, adéquate et pertinente eu
égard à l’opération envisagée.

PP

Par exemple, lorsqu’une personne souhaite souscrire un abonnement téléphonique auprès d’un
opérateur, il ne nous paraît pas nécessaire que celui-ci demande au futur client sa situation
matrimoniale. Une telle demande serait, à notre sens, excessive. En revanche, si la personne
souhaite souscrire une assurance-vie, la demande nous paraît légitime, adéquate et pertinente eu
égard à l’opération envisagée.

La loi n° 09-08 est celle qui contient les principes fondamentaux et les moyens de mise en œuvre de
la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Elle est applicable sur toute information concernant une personne physique identifiée ou identifiable
par référence à un numéro d’identification ou des éléments spécifiques de son identité physique,
physiologique, génétique, psychique, économique, culturelle ou sociale. La loi définit aussi les
traitements assurant la protection adéquate des citoyens.