Relative à la protection des Loi N° 09.08 Relative à la protection des personnes l’égard du données à personnel physiques à traitement des caractère Événement 1 www.mcinet.gov.ma 1
· La multiplicité des informations personnelles; 1.1 Contexte général · La multiplicité des informations personnelles; · Le développement technologique facilite l'utilisation des données à caractère personnel; · La nécessité de protéger le citoyen contre l'utilisation de ses données personnelles; abusive · L'intérêt du Maroc pour une législation appropriée. 3
1.2 Contexte général · La vie personnelle des individus et leurs données personnelles sont exposées à de nouveaux risques, induits par le développement et la prolifération des technologies de l’information et de l’internet auprès du grand public. · La multiplication des applications informatiques basées sur la collecte et le traitement des données personnelles dans plusieurs domaines : Services administratifs en ligne- Santé ligne - Commerce électronique - données bio métriques… en 4
2.1 Instauration de la Confiance Numérique · Le Programme « Confiance numérique et Cybersécurité » constitue un volet fondamental du Plan visant à promouvoir les technologies de l’information au Maroc et à faire de l’économie numérique un véritable vecteur de développement. · Les actions s’inscrivant dans le cadre de ce Plan ne peuvent se déployer, d’une manière efficace sans être accompagnées d’une stratégie, permettant à notre pays de se doter d’un cadre national juridique, technique et organisationnel pour la cybersécurité et la confiance numérique. 5
2.2 Instauration de la Confiance Numérique Les 3 objectifs principaux poursuivis dans le cadre de cette stratégie nationale : ·la sécurité des infrastructures et des systèmes d’information ainsi que celles des accès; ·garantir la sécurité, l’intégrité et la confidentialité des échanges dématérialisés nationaux et transfrontaliers. ·- Assurer la protection de la vie privée et lutter contre la cybercriminalité 6
2.3 Instauration de la Confiance Numérique l’opérationnalisation de cette politique s’est traduite par l’élaboration d’une feuille de route pour la cybersécurité et la confiance numérique se déclinant en trois grands axes : 1) La mise en place des organismes institutionnels de la confiance numérique afin de coordonner la lutte contre la cybercriminalité; 2) Le lancement de plans de communication, de formation et de sensibilisation pour asseoir la culture de la cybersécurité parmi tous le utilisateurs, particuliers et entreprises. 7
2.3 Instauration de la Confiance Numérique 3) l’élaboration d’un cadre législatif adéquat pour favoriser le développement des transactions et des échanges électroniques avec pour objectifs de : · Protéger les utilisateurs contre les risques engendrés par le développement des nouveaux supports technologiques; · Mettre notre dispositif législatif en phase avec les changements induits par le développement des TIC; · Harmoniser notre législation avec l’environnement juridique international et notamment celui de nos partenaires. 8
2.4 Instauration de la Confiance Numérique Cette démarche a abouti à l’adoption d’un certain nombre de textes législatifs : · La Loi 53-05 relative à l’échange électronique des données juridiques; · La loi n°07- 03 complétant le code pénal en ce qui concerne la répression des infractions relatives aux systèmes informatiques; · La loi 09-08 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel. 9
3.1 Protection des données à caractère personnel A l’international: · Déclaration universelle des droits de l'homme: l'article 12; · Directive du Parlement 1995. européen et du Conseil du 24 Octobre 10
- Au Maroc: 3.2 Protection des données à caractère personnel · Etude « confiance Numérique et Sécurité des systèmes »; · Des dispositions dispersées dans quelques textes législatifs nationaux; · Obligation du secret professionnel dans un grand nombre de textes législatifs; · Le Maroc souscrit aux principes généraux instituant le respect la protection des droits humains; et · Approbation du Maroc de certains traités et conventions internationaux dans ce domaine. 11
4.1 Champs d’application de la Loi · Permettre à l’arsenal législatif marocain de disposer d’un moyen légal spécifique pour assurer une protection efficace des données à caractère personnel; · Protection du citoyen contre l’usage abusif de ses données à caractère personnel; · Adéquation de la législation internationales. marocaine avec les législations 12
4.2 Champs d’application de la Loi La présente loi s'applique au traitement des données à caractère personnel lorsque : · Le traitement est effectué par une personne physique ou morale dont le responsable est établi sur le territoire marocain; · Le responsable n'est pas établi sur le territoire mais recourt à des moyens automatisés ou non, situés sur territoire marocain. le 13
4.3 Champs d’application de la Loi Cette loi ne s'applique pas: · Au traitement des données effectué pour l'exercice d'activités exclusivement personnelles ou domestiques ; · Aux données recueillies et traitées dans l’intérêt de la défense nationale, de la sécurité intérieure ou extérieure de l'Etat; · Aux données à caractère personnel recueillies et traitées à des fins de prévention et de répression des crimes et délits. 14
Les données à caractère personnel doivent être: 5.1 Axes principaux Les données à caractère personnel doivent être: · traitées loyalement et licitement ; collectées pour des finalités déterminées, explicites et légitimes; · exactes et mises à jour; conservées sous une forme permettant l'identification des personnes concernées; Le traitement ne peut être effectué que si la personne concernée a donné son consentement formel. 15
personnes concernées par le traitement ont : 5.2 Axes principaux Les personnes concernées par le traitement ont : · Le droit à l’information; · Le droit d'accès pour s’assurer de l’intégrité de ses données et la sécurité de leurs utilisations; · Le droit de rectification; · Le droit d’opposition. 16
Obligations des personnes responsables du traitement: 5.3 Axes principaux Obligations des personnes responsables du traitement: · Demander une autorisation ou une déclaration avant tout de traitement; type · Protéger les données contre toute forme de traitements illicites; · Assurer la confidentialité, la protection des données contre destruction, l’accès non autorisé et le secret professionnel. la 17
La présente Loi prévoit la création d’une Commission 5.4 Axes principaux La présente Loi prévoit la création d’une Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP), composée d’un président et membres, chargée de: 6 · Informer toutes les personnes concernées de leurs droits et obligations; · Donner ses avis au gouvernement, parlement et autorités compétentes; · Recevoir les plaintes des personnes concernées. 18
5.5 Transfert de données vers un pays étranger Interdiction de transférer des données à caractère personnel vers un pays étranger n’assurant pas un niveau de protection suffisant contre une utilisation arbitraire de données, à l’exception des cas suivants : · Pour préserver la vie de la personne ou l'intérêt public ou d'établir un droit devant la justice; · En application d'un accord bilatéral ou multilatéral auquel Royaume du Maroc est signataire; le · Avec autorisation expresse et motivée de la commission. 19
5.6 Sanctions et disposition transitoire · La loi prévoit : • Des sanctions sanctions sanctions administratives; pécuniaires; d’emprisonnement. · Disposition transitoire • Un délai de deux ans est accordé aux responsables du traitement pour régulariser leurs situation en conformité avec les dispositions de présente loi. 20
Niveau de maturité en termes de sécurité au sein des entreprises marocaines *Livre blanc AUSIM: Données à caractère personnel :Quels enjeux et comment se préparer à la loi 09-08 ?
Evolution constante des règlements mondiaux et d'industrie Russia: Computerization & Protection of Information / Participation in Int’l Info Exchange Korea: 3 Acts for Financial Data Privacy Taiwan: Computer- Processed Personal Data Protection Law Singapore: Monetary Authority of Singapore Act Japan: Guidelines for the Protection of Computer Processed Personal Data Vietnam: Banking Law Hong Kong: Privacy Ordinance Philippines: Secrecy of Bank Deposit Act New Zealand: Privacy Act So this is the theory, the best practices view for data security. However, today, the major driver for companies looking into data protection is still compliance. According to a Ponemon Institute survey, 65% of companies are compelled to secure their data because of compliance. This is what makes security a real issue and we also need to be cognizant that this is the first step to bigger things. ************************* Data protection becomes more urgent when we realize that every regulation or guideline in the industry – worldwide - calls for some flavor of it. Unfortunately, there are so many regulations that it is hard for the business to keep up, thus risking liability and reputation blunders. Take PCI for example, it protects individual’s privacy and financial integrity by requiring the lock down of CC# with passwords, encryption, and access controls, even pointing that real CC#s cannot be used in test or development of apps. Another popular regulation in Healthcare is HIPAA, which protects individual’s privacy and medical records. It further requires to understand where records are located, how they are stored, and to ensure that only the right people at the right time have access to the right data. You may remember the case of the California Hospitals that got fined for not following this guidelines, when authorities found out that some nurses and administrative personnel where routing the health records from Britney Spears and Michael Jackson. And is not only about the fines, but other serious business implications like losing the trust of your customers. ************************************************* Take a look at this slide – this is just a snapshot of the ever-changing global and industry regulations organizations are facing today. So, you’re grappling with keeping up with which regulations may apply to your organizations PLUS the compliance of that regulation. For example, for organizations worldwide that keep credit card data, they must be in compliance with the Payment Card Industry’s Data Security Standard (PCI DSS). In addition to ensuring system components such as passwords and encryption are in place to protect data, the standards also specify that real credit cards may not be used for test & development purposes. Test & development environments are generated typically by cloning production – which includes live credit card information. How many organizations are impacted by this regulation. For healthcare organizations, privacy protection regulations - such as HIPPA in the US - are in place to protect individuals’ medical records and/or any kind of personal health information. Where and how is this data stored in the enterprise? How are organizations ensuring records are accessed for business purposes only. -- Example of HIPPA fines: http://hipaahealthlaw.foxrothschild.com/2010/06/articles/privacy/california-hospitals-fined-for-employees-unauthorized-access-of-patient-records/ Where employees accessed the records of celebrities such as Michael Jackson and Britney Spears. Example of upcoming changes to regulations (HIPPA): http://www.lexology.com/library/detail.aspx?g=46906f4f-8477-4cc7-9e06-e2a9a071ef70 How fast can organizations stay current? For Reference - Other regulations include: Payment Card Industry: PCI Data Security Standard – compliance measures include: > Develop configuration standards for all system components (secure passwords; prevent misuse) > Protect stored Cardholder Data > Production data (live cc#s) cannot be used for testing or development USA: HIPAA, Gramm-Leach-Bliley Act (GLB), California Security Breach Notice Statute > HIPAA: Protects individuals’ medical records or any kind of personal health information > GLB: Protects consumers’ personal financial information, such as data needed for credit counseling, transferring funds or real estate settlement Canada: Personal Information Protection and Electronic Documents Act (PIPEDA) for general business > Protects the privacy of any kind of personal information European Union: Personal Data Protection Directive 1998 > Protects general data privacy of EU citizens (e.g. cannot use live data in test/dev environments) UK: Data Protection Act of 1998 Australia: Privacy Amendment Act of 2000 United Kingdom: Data Protection Act Poland: Polish Constitution Australia: Federal Privacy Amendment Bill Canada: Personal Information Protection & Electronics Document Act EU: Protection Directive Germany: Federal Data Protection Act & State Laws China Commercial Banking Law USA: Federal, Financial & Healthcare Industry Regulations & State Laws Morocco: 09-08 Pakistan: Banking Companies Ordinance Israel: Protection of Privacy Law Mexico: E-Commerce Law Brazil: Constitution, Habeas Data & Code of Consumer Protection & Defense India: SEC Board of India Act South Africa: Promotion of Access to Information Act Chile: Protection of Personal Data Act Colombia: Political Constitution – Article 15 Indonesia: Bank Secrecy Regulation 8 Argentina: Habeas Data Act
Initiatives des entreprises marocaines orientées vers la loi 09-08 *Livre blanc AUSIM: Données à caractère personnel :Quels enjeux et comment se préparer à la loi 09-08 ?
Loi 09-08: Protection des personnes physique à l’égard du traitement des données à caractère personnel: 8 Chapitres Dispositions Générales Des droits de la personne concernée Des obligations des responsables du traitement De la commission de contrôle de la protection des données à caractère personnel Du transfert de données vers un pays étranger Du registre de la protection des données Des sanctions Dispositions transitoires
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialité et de sécurité des traitements et de secret professionnel