La loi n° 18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel définit les données à caractères personnelles comme “toute information, quel qu'en soit son support, concernant une personne identifiée ou identifiable, d’une manière directe ou indirecte, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, biométrique, psychique, économique, culturelle ou sociale”
Une procédure préalable au traitement de ces données existe afin notamment d’informer la personne concernée, de recueillir son consentement, et d’assurer une certaine confidentialité et sécurité quant au traitement de ces données. L’autorisation est une étape de cette procédure préalable, au même titre que la déclaration.
En effet, dans un précédent article, nous expliquions que la déclaration de traitement est soumise à la déclaration préalable auprès de l’autorité nationale compétente pour une sorte d’aval ou autorisation. Or, lorsqu’il apparaît à l’autorité nationale, à l'examen de la déclaration qui lui est fournie, que le traitement envisagé présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes, elle décide de soumettre ledit traitement au régime d'autorisation préalable.
Quels sont concrètement les cas d’autorisation préalables ? Quel en est le critère et quel doit être le contenu de cette autorisation ?
Les cas d’autorisation nécessaires
La loi n°18-07 prévoit en son article 17 que “ Lorsqu’il apparaît à l’autorité nationale, à l'examen de la déclaration qui lui est fournie, que le traitement envisagé présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes, elle décide de soumettre ledit traitement au régime d'autorisation préalable.”
La décision de l’autorité nationale doit être motivée et notifiée au responsable du traitement dans les dix (10) jours du dépôt de la déclaration.
Par exemple, si dans la déclaration faite, le traitement envisagé porte sur des données dites “sensibles”, l’autorité nationale est en droit de l’interdire.
En ce sens, l’article 18 de la loi n°18-07 prévoit justement qu' “Est interdit le traitement des données sensibles.”
Traitement de données sensibles : l’autorisation indispensable
Toutefois, le traitement des données sensibles, peut être autorisé :
- pour des motifs d’intérêt public indispensable : pour garantir l’exercice des fonctions légales ou statutaires du responsable du traitement
- lorsque la personne concernée a donné son consentement exprès,
- en cas d’une disposition légale qui le consacre
- ou avec l’autorisation de l’autorité nationale.
Le traitement des données sensibles est autorisé aussi dans les cas où :
- le traitement est nécessaire à la défense d’intérêts vitaux de la personne concernée ou d’une autre personne et si la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
- le traitement est effectué, avec le consentement de la personne concernée, par une fondation, une association ou un organisme sans but lucratif de caractère politique, philosophique, religieux ou syndical, dans le cadre de ses activités légitimes, à condition que le traitement concerne les seuls membres de cet organisme ou les personnes qui entretiennent avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées.
- le traitement porte sur des données manifestement rendues publiques par la personne concernée, dès lors que son consentement au traitement des données peut être déduit de ses déclarations ;
- le traitement est nécessaire à la reconnaissance, l’exercice ou la défense d’un droit en justice et est effectué exclusivement à cette fin ;
- le traitement de données génétiques à l’exclusion de celles effectuées par des médecins ou biologistes et qui sont nécessaires pour l’exercice de la médecine préventive, des diagnostics médicaux et d'administration de soins ou de traitement.
L’interconnexion de fichiers
De manière générale, l’interconnexion de fichiers contenant des données à caractère personnel est autorisée à condition de respecter le principe suivant : “l’interconnexion des fichiers doit permettre d’atteindre des objectifs légaux et légitimes pour les responsables des traitements. Elle ne peut entraîner de discrimination ou de réduction des droits, des libertés et des garanties pour les personnes concernées.”
- Concernant les personnes morales gérant un service public, l’article 19 de la loi dispose que “l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents doit faire l’objet d’une autorisation de l’autorité nationale.”
- Concernant les personnes physiques : “L’interconnexion de fichiers relevant de personnes physiques et dont les finalités principales sont différentes est également soumise à autorisation de l’autorité nationale.”
Contenu de la demande d’autorisation
Tout comme la déclaration, la demande d’autorisation doit comprendre des informations prévues par l’article 14 de la loi (article 20 de la loi n°18-07):
- le nom et l'adresse du responsable du traitement et, le cas échéant, ceux de son représentant ;
- la nature, les caractéristiques et la ou les finalités du traitement envisagé ;
- une description de la ou des catégories de personnes concernées et des données ou des catégories de données à caractère personnel s'y rapportant ;
- les destinataires, ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées ;
- la nature des données dont le transfert vers des pays étrangers est envisagé ;
- la durée de conservation des données ;
- le service auprès duquel la personne concernée pourra exercer, le cas échéant, les droits qui lui sont reconnus par les dispositions de la présente loi, ainsi que les mesures prises pour faciliter l'exercice de ceux-ci ;
- une description générale permettant d'apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la confidentialité et la sécurité du traitement ;
- les interconnexions, ou toutes autres formes de rapprochement des données ainsi que leur cession à des tiers ou sous-traitance, sous toute forme, à titre gratuit ou onéreux.
Toute modification de ces informations et toute suppression de traitement doivent être portées, sans délai, à la connaissance de l’autorité nationale.
En cas de cession d'un fichier de données, le cessionnaire est tenu de remplir les formalités de déclaration prévues par la loi.
Délais
L’autorité nationale doit rendre sa décision dans un délai de deux (2) mois de sa saisine ; ce délai peut être prorogé, par décision motivée de son président, pour une même durée.
Lorsque l’autorité nationale ne s'est pas prononcée dans le délai, la demande d'autorisation est réputée rejetée.
Vous êtes abonné ? Restez à jour en consultant les notes, communiqués et circulaires ainsi que l’ensemble des Codes en vigueur sur Legal Doctrine.
Restez à l’affût des dernières actualités juridiques en vous abonnant à notre newsletter Legal Doctrine.