Chapitre 2 - La protection des

personnes à l’égard du traitement

des données à caractère personnel
Section 1 – Le droit
européen
Convention 108 du Conseil de
l’Europe
(Strasbourg le 28 janvier 1981)
Convention 108 + modernisée pour la protection des
personnes à l’égard du traitement des données à caractère
personnel
 « Il est nécessaire de garantir la dignité humaine ainsi que la
protection des droits de l’homme et des libertés fondamentales de
toute personne, et, eu égard à la diversification, à l’intensification et à
Préambule la mondialisation des traitements des données et des flux de données
à caractère personnel, l’autonomie personnelle, fondée sur le droit de
la personne de contrôler ses propres données à caractère personnel et
le traitement qui en est fait ».
  Le but de la Convention est de « protéger toute personne physique,
quelle que soit sa nationalité ou sa résidence, à l’égard du traitement
des données à caractère personnel, contribuant ainsi au respect de
Objet et but ses droits de l’homme et de ses libertés fondamentales et
notamment du droit à la vie privée ». Art 1
Champ Les Parties s'engagent à appliquer la Convention aux fichiers et aux
traitements automatisés de données à caractère personnel dans les
d'application secteurs public et privé.
Article 3
Principes de
base pour la  Chaque Etat partie à la convention prend, dans son droit interne,
les mesures nécessaires pour donner effet aux principes de base
protection des pour la protection des données (Article 4 -1)

données
 Les données à caractère personnel faisant l'objet d'un traitement
automatisé sont:

Principes a - obtenues et traitées loyalement et licitement;

b - enregistrées pour des finalités déterminées et légitimes et ne
relatifs à la sont pas utilisées de manière incompatible avec ces finalités;
qualité des c - adéquates, pertinentes et non excessives par rapport aux finalités
pour lesquelles elles sont enregistrées;
données d - exactes et si nécessaire mises à jour;
(Article 5 ) E- conservées sous une forme permettant l'identification des
personnes concernées pendant une durée n'excédant pas celle
nécessaire aux finalités pour lesquelles elles sont enregistrées.
Catégories « Les données à caractère personnel révélant l'origine raciale, les
opinions politiques, les convictions religieuses ou autres convictions,
particulières ainsi que les données à caractère personnel relatives à la santé ou à
la vie sexuelle, ne peuvent être traitées automatiquement à moins
de données que le droit interne ne prévoie des garanties appropriées. Il en est de
même des données à caractère personnel concernant des
Article 6 condamnations pénales »
 Des mesures de sécurité appropriées sont prises pour la protection
des données à caractère personnel enregistrées dans des fichiers
Sécurité des automatisés contre :
données  la destruction accidentelle ou non autorisée, ou la perte
accidentelle,
Article 7

 l'accès, la modification ou la diffusion non autorisés.

 Toute personne doit pouvoir:
 connaître l'existence d'un fichier automatisé de données à
caractère personnel, ses finalités principales, ainsi que l'identité
et la résidence habituelle ou le principal établissement du maître
du fichier; (Droit d’information)
Garanties  obtenir à des intervalles raisonnables et sans délais ou frais
excessifs la confirmation de l'existence ou non dans le fichier
complémentaires automatisé, de données à caractère personnel la concernant
pour la personne ainsi que la communication de ces données sous une forme
intelligible; (droit de communication)
concernée
 obtenir, le cas échéant, la rectification de ces données ou leur
Article 8 – effacement lorsqu'elles ont été traitées en violation des
dispositions du droit interne donnant effet aux principes de base
de la Convention; (droit de rectification)
 disposer d'un recours s'il n'est pas donné suite à une demande de
confirmation, de communication, de rectification ou d'effacement
(Droit de recours)
Adhésion
d'Etats non Après l'entrée en vigueur de la présente Convention, le Comité des
Ministres du Conseil de l'Europe peut inviter tout Etat non membre
membres du Conseil de l'Europe à adhérer à la présente Convention.

Article 23
  Dahir n° 1-14-175 du 21 rejeb 1441 (16 mars 2020) portant publication de la
Convention européenne n° 108 pour la protection des personnes à l’égard du
traitement automatisé des données à caractère personnel, faite à Strasbourg le 28
janvier 1981.(1)
 Dahir n° 1-14-174 du 21 rejeb 1441 (16 mars 2020) portant publication du Protocole
additionnel à la Convention européenne pour la protection des personnes à l’égard
Ratification du traitement automatisé des données à caractère personnel, concernant les
autorités de contrôle et les flux transfrontières de données, fait à Strasbourg le 8
par le Maroc novembre 2001 (2)

en 2020  (1) BULLETIN OFFICIEL Nº 5 – 10 chaoual 1441 (2-6-2020) p140

 (2) BULLETIN OFFICIEL Nº 5 – 10 chaoual 1441 (2-6-2020) p150

Section 2 – Le droit
national
 Commission
nationale de  La loi n° 09-08 relative à la protection des personnes physiques à
contrôle de la l'égard des traitements des données à caractère personnel crée
protection des une Commission nationale de contrôle de la protection des
données à caractère personnel (CNDP).
données à
caractère
personnel
Les conditions de traitement : droits et obligations des parties
 Le traitement ne peut être effectué que si la personne concernée
a donné son consentement formel
Les données à caractère personnel doivent être:
CONDITIONS  traitées loyalement et licitement ;
DE  collectées pour des finalités déterminées, explicites et
légitimes; exactes et mises à jour;
TRAITEMENT  conservées sous une forme permettant l'identification des
personnes concernées.
Droits de la  le droit à l’information;
 le droit d'accès pour s’assurer de l’intégrité de ses données et la
personne sécurité de leurs utilisations;
concernée  le droit de rectification et d’opposition
  Demander une autorisation ou une déclaration avant tout type de
Obligations traitement;
des personnes  protéger les données contre toute forme de traitements illicites ;

responsables  assurer la confidentialité, la protection des données contre la

destruction, l’accès non autorisé et le secret professionnel
du traitement
Les autorités
 Elle est composée d’un président et 6 membres, chargée:
 d’informer toutes les personnes concernées de leurs droits et
obligations;
CNDP  Donner ses avis au gouvernement, parlement et autorités
compétentes;
 Recevoir les plaintes des personnes concernées
Pouvoir de  La CNDP est dotée de pouvoirs d’investigation et d’enquête
contrôle
 La loi prévoit des sanctions administratives et des sanctions
SANCTIONS d’emprisonnement
Le droit comparé
 Dans l’univers numérique, la Commission Nationale de
l'Informatique et des Libertés (CNIL) est le régulateur des données
personnelles. Elle accompagne les professionnels dans leur mise en
conformité et aide les particuliers à maîtriser leurs données
personnelles et exercer leurs droits.
LA CNIL La CNIL est une autorité administrative française été créée par la
loi Informatique et Libertés du 6 janvier 1978 modifiée en 2004.
La CNIL est un organisme public qui agit au nom de l'Etat, sans être
placé sous l'autorité du gouvernement ou d'un ministre. Elle est
composée de 18 membres élus ou nommés et s'appuie sur des
services.

Elle a un rôle d'alerte, de conseil et d'information vers tous les

publics mais dispose également d'un pouvoir de contrôle et de
sanction.

Source : wikipédia …
La CNIL est composée de 17 membres élus par les deux assemblées.
Le collège élit ensuite un président en son sein.
En tant qu'autorité publique, elle est chargée de statuer sur les
litiges ou les plaintes qui lui sont soumis. Elle peut aussi émettre un
avis sur les lois proposées par le Parlement ou la validité des fichiers
créés par l'Administration.
 La CNIL possède cinq grandes missions qui vont de la pédagogie au
pouvoir de sanction (1).
 Informer et protéger : Les salariés, les entreprises ou les simples
particuliers peuvent contacter la CNIL afin de demander des
renseignements relatifs à la protection des données personnelles.
MISSIONS DE L'autorité administrative indépendante met à disposition des
outils pratiques et pédagogiques. Elle mène également des
LA CNIL actions de sensibilisation.

 (1) Site officiel de la CNIL www.

 Accompagner et conseiller : La CNIL accompagne au quotidien le
législateur via des avis sur des projets de loi ou de décrets ou
encore des recommandations. Elle intervient également dans les
entreprises via les correspondants informatique et libertés.
 contrôler : La CNIL peut mener des contrôles sur place et sur
pièces dans les entreprises, mais aussi au sein de l'administration.
Ainsi, elle est en droit de contrôler la bonne utilisation des
systèmes de vidéoprotection. Le site officiel de la CNIL est très
clair : en cas de contrôle la commission peut "accéder à tous les
locaux professionnels, demander communication de tout
document nécessaire et d'en prendre copie, recueillir tout
renseignement utile et entendre toute personne, accéder aux
programmes informatiques et aux données".
 Sanctionner : A l'issue d'un contrôle, la CNIL peut imposer une
injonction de cesser le traitement, dénoncer des infractions au
Procureur de la République voire imposer une sanction financière
dont le montant maximum est de 3 millions d'euros. Elle peut
également décider de rendre publique la sanction.La CNIL ne
perçoit pas les amendes. Ces dernières doivent être réglées auprès
du Trésor public.

 Référence dans le lien

 Anticiper : Avec la digitalisation de la société, les enjeux liés à la
protection des données personnelles sont en constante évolution.
La CNIL mène donc un travail quotidien pour anticiper les
nouvelles tendances et leur impact sur les libertés. Elle possède
pour cela un comité de prospective qui peut faire appel à des
spécialistes venant de l'extérieur, notamment du secteur privé.
  Le règlement général pour la protection des données (RGPD) est
une législation mise en place par l'Union européenne.
 "les pouvoirs de contrôle de la CNIL restent inchangés. Elle
CNIL ET RGPD continuera à procéder à des vérifications dans les locaux des
organismes, en ligne, sur audition et sur pièces. Les modalités de
déclenchement des contrôles restent les mêmes".