Relative à la protection des

Slides:



Advertisements
Présentations similaires
Université d’automne du ME-F
Advertisements

E-Justice, Droit et Justice en réseaux dans l’ Union Européenne
CLOUD COMPUTING ET PROTECTION DES DONNÉES PERSONNELLES EN TUNISIE
S é minaire UIT – E.Commerce Tunis – 15 Mai 2001 L APPROCHE TUNISIENNE EN MATIERE DE COMMERCE ELECTRONIQUE Ridha Guellouz Minist è re des Technologies.
LA CONVENTION DE CHICAGO
ECONOMIE BTS 1&2 LES OBJECTIFS
Maroc numeric 2013 : Mesure d'accompagnement "confiance numérique"
1 ROLE ET PERSPECTIVES DEVOLUTION DE LA MUTUALITE MAROCAINE A LHEURE DE LASSURANCE MALADIE Le 26 mars 2007.
30 ÈME ANNIVERSAIRE DE LA CONVENTION 108 DU CONSEIL DE LEUROPE POUR LA PROTECTION DES PERSONNES À LÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL.
Thierry Sobanski – HEI Lille
8ème thème : Le transfert à létranger de données à caractère personnel.
Protéger la personne et la vie privée
LE DOCUMENT UNIQUE DE DELEGATION
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Le Conseil Social du Mouvement Sportif (CoSMoS) fut créé dans le but de revendiquer la spécificité du sport, et de voir naître une convention collective.
21st annual Computers, Freedom and Privacy Conference (CFP2011)
Art. 60 et législation relative au bien-être Groupe de travail activation 7 juillet 2012.
Programme de travail du Comité Régional de lIRU pour lAfrique & Priorités de la Délégation Permanente (c) Union Internationale des Transports Routiers.
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
1 RCPEVR Réseau de Coopération et de Promotion Economique du Valais Romand La Charte valaisanne en faveur des PME.
ISO POUR ENTREPRISES AGROALIMENTAIRES
Charte africaine des droits de lhomme Defense Institute of International Legal Studies Regional Defense Combating Terrorism Fellowship Program.
MAROC NUMERIC 2013 – CONFIANCE NUMERIQUE
ECR Training Academy Popa Traian, Monica Milea (Autorité des transports routiers roumaine – ARR) Réunion du comité directeur, novembre 2011, Belgique.
Les apports de la loi en matière de confiance numérique
Cadre juridique de la protection des données à caractère personnel au Maroc Commission Nationale de Contrôle de la Protection des Données à Caractère.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
Protection de la vie privée
Page 1 Encouraging e-Inclusion excellence in Europe Etienne Combet Président.
4ème Forum de l’Administration électronique Rabat , 4 décembre 2008
Principes de protection des données personnelles DRT 3808.
ORGANISATION DES ADMINISTRATIONS ET DE L’ÉTAT FRANÇAIS
Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.
Pr. François-André ALLAERT Médecin de santé publique et juriste
CERTIFICAT INFORMATIQUE ET INTERNET C2i® niveau 2 Métiers du Droit
Vidéosurveillance..
INTERNET DAY Parlement 1 Les mineurs sur Internet: un problème majeur ! JEAN-PHILIPPE DUCART Vice-président de l’Observatoire Porte-parole de.
Le système d'information un support pour la bonne gouvernance des PME
POUR LE SECTEUR DES INSTITUTIONS
La protection des données à caractère personnel dans l’Open Data :
Page 1 Présentation à la Commission des finances du Grand Conseil - 14 mai 2014 Préposé cantonal à la protection des données et à la transparence.
Maroc Numeric – Sécurité des Systèmes d’Information
Utilisation de la technologie dans la pratique infirmière : Respect des politiques et optimisation de la pratique 1.
Risques et sécurité du territoire, Intervention de M. Olivier Darrason, Président de France Intelligence Innovation.
Bucarest, 2 – 4 novembre 2006 Le rôle du Conseil de l’Europe
L’ordonnance du 8 décembre 2005
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
« A FRESH LOOK AT ONLINE DISPUTE RESOLUTION (ODR) AND GLOBAL E-COMMERCE: TOWARD A PRACTICAL AND FAIR REDRESS SYSTEM FOR THE 21ST CENTURY TRADER (CONSUMER.
Sous commission Sciences et techniques
Dossier 1.4. Les sources du droit
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
Droit à l'information et secret des affaires dans le monde de
Les données personnelles
Sophie Kwasny 16 June 2011 Forum Africain sur la Protection des Données Personnelles Dakar – 18 au 20 mai 2015 Les normes de protection des données à caractère.
relative aux peuples indigènes et tribaux
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
Chapitre 6 : La défense et la paix
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
Formation aux gestes de premiers secours
Franchise: Perspectives & défis Maître Sami KALLEL Avocat à la Cour de Cassation Kallel & Associates Novembre 2015.
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
Les aspects juridiques de l'externalisation des données et services ARAMIS 2012 « Virtualisation et Bases de données » Yann Bergheaud – Lyon3.
LA PLACE DU DROIT 2.1 La place du droit dans l’organisation de la vie publique et des relations sociales Les notions et caractère du droit  L’objet.
Cours du 18/11/2015. LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Loi du 8 décembre 1992, modifiée en 1998 et ensuite par l’AR du 13 février 2001 Finalité.
Le Canada : L’étude de cas parfaite Suzanne Legault Commissaire à l’information du Canada intérimaire Groupe de discussion 2—Institution spécialisée, ombudsman.
Les outils de la lutte contre la corruption dans le secteur public
Les Lignes directrices d’Almaty sur les moyens de promouvoir l’application des principes de la Convention d’Aarhus dans les instances internationales.
Transcription de la présentation:

Relative à la protection des Loi N° 09.08 Relative à la protection des personnes l’égard du données à personnel physiques à traitement des caractère Événement 1 www.mcinet.gov.ma 1

· La multiplicité des informations personnelles; 1.1 Contexte général · La multiplicité des informations personnelles; · Le développement technologique facilite l'utilisation des données à caractère personnel; · La nécessité de protéger le citoyen contre l'utilisation de ses données personnelles; abusive · L'intérêt du Maroc pour une législation appropriée. 3

1.2 Contexte général · La vie personnelle des individus et leurs données personnelles sont exposées à de nouveaux risques, induits par le développement et la prolifération des technologies de l’information et de l’internet auprès du grand public. · La multiplication des applications informatiques basées sur la collecte et le traitement des données personnelles dans plusieurs domaines : Services administratifs en ligne- Santé ligne - Commerce électronique - données bio métriques… en 4

2.1 Instauration de la Confiance Numérique · Le Programme « Confiance numérique et Cybersécurité » constitue un volet fondamental du Plan visant à promouvoir les technologies de l’information au Maroc et à faire de l’économie numérique un véritable vecteur de développement. · Les actions s’inscrivant dans le cadre de ce Plan ne peuvent se déployer, d’une manière efficace sans être accompagnées d’une stratégie, permettant à notre pays de se doter d’un cadre national juridique, technique et organisationnel pour la cybersécurité et la confiance numérique. 5

2.2 Instauration de la Confiance Numérique Les 3 objectifs principaux poursuivis dans le cadre de cette stratégie nationale : ·la sécurité des infrastructures et des systèmes d’information ainsi que celles des accès; ·garantir la sécurité, l’intégrité et la confidentialité des échanges dématérialisés nationaux et transfrontaliers. ·- Assurer la protection de la vie privée et lutter contre la cybercriminalité 6

2.3 Instauration de la Confiance Numérique l’opérationnalisation de cette politique s’est traduite par l’élaboration d’une feuille de route pour la cybersécurité et la confiance numérique se déclinant en trois grands axes : 1) La mise en place des organismes institutionnels de la confiance numérique afin de coordonner la lutte contre la cybercriminalité; 2) Le lancement de plans de communication, de formation et de sensibilisation pour asseoir la culture de la cybersécurité parmi tous le utilisateurs, particuliers et entreprises. 7

2.3 Instauration de la Confiance Numérique 3) l’élaboration d’un cadre législatif adéquat pour favoriser le développement des transactions et des échanges électroniques avec pour objectifs de : · Protéger les utilisateurs contre les risques engendrés par le développement des nouveaux supports technologiques; · Mettre notre dispositif législatif en phase avec les changements induits par le développement des TIC; · Harmoniser notre législation avec l’environnement juridique international et notamment celui de nos partenaires. 8

2.4 Instauration de la Confiance Numérique Cette démarche a abouti à l’adoption d’un certain nombre de textes législatifs : · La Loi 53-05 relative à l’échange électronique des données juridiques; · La loi n°07- 03 complétant le code pénal en ce qui concerne la répression des infractions relatives aux systèmes informatiques; · La loi 09-08 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel. 9

3.1 Protection des données à caractère personnel A l’international: · Déclaration universelle des droits de l'homme: l'article 12; · Directive du Parlement 1995. européen et du Conseil du 24 Octobre 10

- Au Maroc: 3.2 Protection des données à caractère personnel · Etude « confiance Numérique et Sécurité des systèmes »; · Des dispositions dispersées dans quelques textes législatifs nationaux; · Obligation du secret professionnel dans un grand nombre de textes législatifs; · Le Maroc souscrit aux principes généraux instituant le respect la protection des droits humains; et · Approbation du Maroc de certains traités et conventions internationaux dans ce domaine. 11

4.1 Champs d’application de la Loi · Permettre à l’arsenal législatif marocain de disposer d’un moyen légal spécifique pour assurer une protection efficace des données à caractère personnel; · Protection du citoyen contre l’usage abusif de ses données à caractère personnel; · Adéquation de la législation internationales. marocaine avec les législations 12

4.2 Champs d’application de la Loi La présente loi s'applique au traitement des données à caractère personnel lorsque : · Le traitement est effectué par une personne physique ou morale dont le responsable est établi sur le territoire marocain; · Le responsable n'est pas établi sur le territoire mais recourt à des moyens automatisés ou non, situés sur territoire marocain. le 13

4.3 Champs d’application de la Loi Cette loi ne s'applique pas: · Au traitement des données effectué pour l'exercice d'activités exclusivement personnelles ou domestiques ; · Aux données recueillies et traitées dans l’intérêt de la défense nationale, de la sécurité intérieure ou extérieure de l'Etat; · Aux données à caractère personnel recueillies et traitées à des fins de prévention et de répression des crimes et délits. 14

Les données à caractère personnel doivent être: 5.1 Axes principaux Les données à caractère personnel doivent être: · traitées loyalement et licitement ; collectées pour des finalités déterminées, explicites et légitimes; · exactes et mises à jour; conservées sous une forme permettant l'identification des personnes concernées; Le traitement ne peut être effectué que si la personne concernée a donné son consentement formel. 15

personnes concernées par le traitement ont : 5.2 Axes principaux Les personnes concernées par le traitement ont : · Le droit à l’information; · Le droit d'accès pour s’assurer de l’intégrité de ses données et la sécurité de leurs utilisations; · Le droit de rectification; · Le droit d’opposition. 16

Obligations des personnes responsables du traitement: 5.3 Axes principaux Obligations des personnes responsables du traitement: · Demander une autorisation ou une déclaration avant tout de traitement; type · Protéger les données contre toute forme de traitements illicites; · Assurer la confidentialité, la protection des données contre destruction, l’accès non autorisé et le secret professionnel. la 17

La présente Loi prévoit la création d’une Commission 5.4 Axes principaux La présente Loi prévoit la création d’une Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP), composée d’un président et membres, chargée de: 6 · Informer toutes les personnes concernées de leurs droits et obligations; · Donner ses avis au gouvernement, parlement et autorités compétentes; · Recevoir les plaintes des personnes concernées. 18

5.5 Transfert de données vers un pays étranger Interdiction de transférer des données à caractère personnel vers un pays étranger n’assurant pas un niveau de protection suffisant contre une utilisation arbitraire de données, à l’exception des cas suivants : · Pour préserver la vie de la personne ou l'intérêt public ou d'établir un droit devant la justice; · En application d'un accord bilatéral ou multilatéral auquel Royaume du Maroc est signataire; le · Avec autorisation expresse et motivée de la commission. 19

5.6 Sanctions et disposition transitoire · La loi prévoit : • Des sanctions sanctions sanctions administratives; pécuniaires; d’emprisonnement. · Disposition transitoire • Un délai de deux ans est accordé aux responsables du traitement pour régulariser leurs situation en conformité avec les dispositions de présente loi. 20

Niveau de maturité en termes de sécurité au sein des entreprises marocaines *Livre blanc AUSIM: Données à caractère personnel :Quels enjeux et comment se préparer à la loi 09-08 ?

Evolution constante des règlements mondiaux et d'industrie Russia: Computerization & Protection of Information / Participation in Int’l Info Exchange Korea: 3 Acts for Financial Data Privacy Taiwan: Computer- Processed Personal Data Protection Law Singapore: Monetary Authority of Singapore Act Japan: Guidelines for the Protection of Computer Processed Personal Data Vietnam: Banking Law Hong Kong: Privacy Ordinance Philippines: Secrecy of Bank Deposit Act New Zealand: Privacy Act So this is the theory, the best practices view for data security. However, today, the major driver for companies looking into data protection is still compliance. According to a Ponemon Institute survey, 65% of companies are compelled to secure their data because of compliance. This is what makes security a real issue and we also need to be cognizant that this is the first step to bigger things. ************************* Data protection becomes more urgent when we realize that every regulation or guideline in the industry – worldwide - calls for some flavor of it. Unfortunately, there are so many regulations that it is hard for the business to keep up, thus risking liability and reputation blunders. Take PCI for example, it protects individual’s privacy and financial integrity by requiring the lock down of CC# with passwords, encryption, and access controls, even pointing that real CC#s cannot be used in test or development of apps. Another popular regulation in Healthcare is HIPAA, which protects individual’s privacy and medical records. It further requires to understand where records are located, how they are stored, and to ensure that only the right people at the right time have access to the right data. You may remember the case of the California Hospitals that got fined for not following this guidelines, when authorities found out that some nurses and administrative personnel where routing the health records from Britney Spears and Michael Jackson. And is not only about the fines, but other serious business implications like losing the trust of your customers. ************************************************* Take a look at this slide – this is just a snapshot of the ever-changing global and industry regulations organizations are facing today. So, you’re grappling with keeping up with which regulations may apply to your organizations PLUS the compliance of that regulation. For example, for organizations worldwide that keep credit card data, they must be in compliance with the Payment Card Industry’s Data Security Standard (PCI DSS). In addition to ensuring system components such as passwords and encryption are in place to protect data, the standards also specify that real credit cards may not be used for test & development purposes. Test & development environments are generated typically by cloning production – which includes live credit card information. How many organizations are impacted by this regulation. For healthcare organizations, privacy protection regulations - such as HIPPA in the US - are in place to protect individuals’ medical records and/or any kind of personal health information. Where and how is this data stored in the enterprise? How are organizations ensuring records are accessed for business purposes only. -- Example of HIPPA fines: http://hipaahealthlaw.foxrothschild.com/2010/06/articles/privacy/california-hospitals-fined-for-employees-unauthorized-access-of-patient-records/ Where employees accessed the records of celebrities such as Michael Jackson and Britney Spears. Example of upcoming changes to regulations (HIPPA): http://www.lexology.com/library/detail.aspx?g=46906f4f-8477-4cc7-9e06-e2a9a071ef70 How fast can organizations stay current? For Reference - Other regulations include: Payment Card Industry: PCI Data Security Standard – compliance measures include: > Develop configuration standards for all system components (secure passwords; prevent misuse) > Protect stored Cardholder Data > Production data (live cc#s) cannot be used for testing or development USA: HIPAA, Gramm-Leach-Bliley Act (GLB), California Security Breach Notice Statute > HIPAA: Protects individuals’ medical records or any kind of personal health information > GLB: Protects consumers’ personal financial information, such as data needed for credit counseling, transferring funds or real estate settlement Canada: Personal Information Protection and Electronic Documents Act (PIPEDA) for general business > Protects the privacy of any kind of personal information European Union: Personal Data Protection Directive 1998 > Protects general data privacy of EU citizens (e.g. cannot use live data in test/dev environments) UK: Data Protection Act of 1998 Australia: Privacy Amendment Act of 2000 United Kingdom: Data Protection Act Poland: Polish Constitution Australia: Federal Privacy Amendment Bill Canada: Personal Information Protection & Electronics Document Act EU: Protection Directive Germany: Federal Data Protection Act & State Laws China Commercial Banking Law USA: Federal, Financial & Healthcare Industry Regulations & State Laws Morocco: 09-08 Pakistan: Banking Companies Ordinance Israel: Protection of Privacy Law Mexico: E-Commerce Law Brazil: Constitution, Habeas Data & Code of Consumer Protection & Defense India: SEC Board of India Act South Africa: Promotion of Access to Information Act Chile: Protection of Personal Data Act Colombia: Political Constitution – Article 15 Indonesia: Bank Secrecy Regulation 8 Argentina: Habeas Data Act

Initiatives des entreprises marocaines orientées vers la loi 09-08 *Livre blanc AUSIM: Données à caractère personnel :Quels enjeux et comment se préparer à la loi 09-08 ?

Loi 09-08: Protection des personnes physique à l’égard du traitement des données à caractère personnel: 8 Chapitres Dispositions Générales Des droits de la personne concernée Des obligations des responsables du traitement De la commission de contrôle de la protection des données à caractère personnel Du transfert de données vers un pays étranger Du registre de la protection des données Des sanctions Dispositions transitoires

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel