- Dispense de formalités
-
Sont exclus du champ d’application de la loi n° 2017-28 du 03 mai 2017, relative à la protection des données à caractère personnel, modifiée et complétée par la loi n°2019-71 du 24 décembre 2019:
- Les traitements de données mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition toutefois que les données ne soient pas destinées à une communication systématique à un tiers ou à la diffusion
- Les copies temporaires faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et afin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises.
- Déclaration Préalable
-
Tous les traitements doivent faire l’objet d’une déclaration préalableauprès de la HAPDP sauf ceux exclus du champ d’application de la loi n° 2017-28 du 03 mai 2017, relative à la protection des données à caractère personnel, modifiée et complétée par la loi n°2019-71 du 24 décembre 2019, ou dispensés de déclaration à la HAPDP, ou soumis au régime d’autorisation et de demande d’avis.
Les traitements relevant d’un même organisme et ayant des finalités identiques ou liées entre elles peuvent faire l’objet d’une déclaration unique. Les informations requises au titre de la déclaration ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres. La déclaration est adressée à la HAPDP, soit par lettre recommandée, soit par voie électronique, mais avec accusé de réception qui peut être adressé par la même voie.A défaut elle peut être déposée directement auprès de la HAPDP contre décharge.La déclaration doit comporter l’engagement que le traitement satisfait aux exigences de la loi.Elle doit comprendre conformément à l’article 9 de la Loi :
- Les traitements de données mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition toutefois que les données ne soient pas destinées à une communication systématique à un tiers ou à la diffusion
- Les copies temporaires faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et afin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises.
- la ou les finalité(s) du traitement ainsi que la description générale de ses fonctions ;
- Les interconnexions envisagées ou toutes autres formes de mise en relation avec d’autres traitements;
- les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
- la durée de conservation des données traitées;
- le ou les service (s) chargé (s) de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données collectées ;
- les destinataires habilités à recevoir communication des données traitées ;
- la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès ;
- les dispositions prises pour assurer la sécurité des traitements, la protection et la confidentialité des données traitées ;
- l’indication du recours à un sous-traitant ou du transfert des données à caractère personnel à destination d’un pays tiers.
En cas de changement intervenu dans les mentions énumérées ci-dessus, le responsable du traitement en informe, sans délai, l’Autorité nationale de protection des données à caractère personnel. La HAPDP délivre, dans un délai d’un (1) mois, un récépissé qui permet au demandeur de mettre en œuvre le traitement sans toutefois l’exonérer de ses responsabilités. Toutefois, ce délai peut être prorogé d’un (1) mois supplémentaire sur décision motivée de la HAPDP.Les formalités déclaratives sont réputées accomplies à compter de la délivrance du récépissé. Le traitement peut être alors mis en œuvre par le déclarant sous sa responsabilité.
- Déclaration Simplifiée
-
Pour les catégories les plus courantes de traitement des données à caractère personnel, notamment celles dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, l’Autorité de protection établit et publie des normes et procédures destinées à simplifier ou à exonérer le responsable du traitement de l’obligation de déclaration préalable.
Peuvent faire l’objet d’une déclaration simplifiée les traitements de données à caractère personnel mis en œuvre:- par les organismes publics et privés pour la gestion de leurs personnels;
- sur les lieux de travail pour la gestion des contrôles d’accès aux locaux, des horaires et de la restauration;
- dans le cadre de l’utilisation de services de téléphonie fixe et mobile sur les lieux de travail.
- Demande d’autorisation
-
Sont soumis à l’autorisation préalable de l’Autorité de protection avant toute mise en œuvre :
- le traitement des données à caractère personnel portant sur des données génétiques, médicales et sur la recherche scientifique dans ces domaines ;
- le traitement des données à caractère personnel portant sur des données relatives aux infractions, aux condamnations ou aux mesures de sûreté prononcées par les juridictions;
- le traitement portant sur un numéro national d’identification ou tout autre identifiant de la même nature, notamment les numéros de téléphones ;
- le traitement des données à caractère personnel comportant des données biométriques ;
- le traitement des données à caractère personnel ayant un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques;
- le transfert de données à caractère personnel envisagé à destination d’un pays tiers.
La demande d’autorisation est présentée par le responsable du traitement ou son représentant légal.L’autorisation n’exonère pas de la responsabilité à l’égard des tiers.La demande d’autorisation est adressée à la HAPDP, soit par lettre recommandée, soit par voie électronique, mais avec accusé de réception qui peut être adressé par la même voie.A défaut elle peut être déposée directement auprès de la HAPDP contre décharge.La demande d’autorisation doit comprendre :
- l’identité, le domicile, l’adresse postale ou géographique du responsable du traitement ou si celui-ci n’est pas établi sur le territoire national, celles de son représentant dûment mandaté, et s’il s’agit d’une personne morale, sa dénomination sociale, son siège social, l’identité de son représentant légal, son numéro d’immatriculation au registre du commerce et du crédit mobilier, son numéro de déclaration fiscale ;
- la ou les finalité(s) du traitement ainsi que la description générale de ses fonctions;
- les interconnexions envisagées ou toutes autres formes demise en relation avec d’autres traitements ;
- les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
- la durée de conservation des données traitées ;
- le ou les service (s) chargé (s) de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données collectées ;
- les destinataires habilités à recevoir communication des données traitées ;
- la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès ;
- les dispositions prises pour assurer la sécurité des traitements, la protection et la confidentialité des données traitées ;
- l’indication du recours à un sous-traitant ou du transfert des données à caractère personnel à destination d’un pays tiers.
La demande d’autorisation doit comporter, le cas échéant, en annexe, l’acte règlementaire autorisant le traitement envisagé.En cas de changement intervenu dans les mentions énumérées ci-dessus, le responsable du traitement en informe, sans délai, l’Autorité nationale de protection des données à caractère personnel.La Plénière de la HAPDP se prononce dans un délai maximum d’un (1) mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé d’un (1) mois supplémentaire sur décision motivée de la HAPDP.Lorsque la HAPDP ne s’est pas prononcée dans ces délais, l’autorisation est réputée rejetée. Dans ce cas, le Responsable du traitement peut exercer un recours devant le Conseil d’Etat.
- Transfert de Données
-
La demande d’autorisation de transfert de donnéesest adressée à la HAPDP, soit par lettre recommandée, soit par voie électronique, mais avec accusé de réception qui peut être adressé par la même voie.A défaut elle peut être déposée directement auprès de la HAPDP contre décharge. Elle doit contenir au minimum les précisions ci-après:
- l’identité, le domicile, l’adresse postale ou géographique du responsable du traitement ou si celui-ci n’est pas établi sur le territoire national, celles de son représentant dûment manda et s’il s’agit d’une personne morale, sa dénomination sociale, son siège social, l’identité de son représentant légal, son numéro d’immatriculation au registre du commerce, son numéro d’identification fiscale;
- les finalités du traitement ainsi que la description générale de ses fonctions;
- l’interconnexion envisagée ou toutes autres formes de mise en relation avec d’autres traitements;
- la durée de conservation des données traitées;
- les destinataires habilités à recevoir communication des données traitées;
- la fonction et la personne ou le service auprès duquel s’exerce le droit d’accès;
- les dispositions prises pour assurer la sécurité des traitements, la protection et la confidentialité des données traitées ainsi que le respect des droits des personnes concernées et les obligations légales du responsable du traitement;
- l’indication du recours à un sous-traitant ou du transfert des données à caractère personnel à destination d’un pays tiers;
- la nature et les descriptions complètes des données;
- le nom du pays d’hébergement des données transférées et le cadre juridique relatif aux données à caractère personnel applicable dans ledit pays;
- les modalités de transmission des données concernées;
- les garanties d’accès sans obstacle aux données transférées par la personne concernée pour l’exercice de ses droits et par l’Autorité de protection des données à caractère personnel pour l’exercice de leurs prérogatives respectives;
- les garanties d’exploitation des fichiers contenant des données à caractère personnel quel que soit le support technique utilisé par le responsable du traitement
Toute modification des informations déclarées par le responsable du traitement doit faire l’objet d’une déclaration auprès de la HAPDP dans un délai maximum de quinze (15) jours ouvrables.
- Demande d’avis
-
Les traitements des données à caractère personnel opérés pour le compte de l’Etat, d’une personne morale de droit public ou de droit privé gérant un service public, sont autorisés par décret, après avis motivé de l’Autorité de protection. Ces traitements portent sur :
- la sûreté de l’Etat, la défense nationale ou la sécurité publique ;
- la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ;
- le recensement de la population;
- le traitement de salaires, pensions, impôts, taxes et autres liquidations;
La demande d’avis est adressée à la HAPDP, soit par lettre recommandée, soit par voie électronique, mais avec accusé de réception qui peut être adressé par la même voie.A défaut elle peut être déposée directement auprès de la HAPDP contre décharge.La demande d’avis doit comprendre :
- l’identité, le domicile, l’adresse postale ou géographique du responsable du traitement ou si celui-ci n’est pas établi sur le territoire national, celles de son représentant dûment mandaté, et s’il s’agit d’une personne morale, sa dénomination sociale, son siège social, l’identité de son représentant légal, son numéro d’immatriculation au registre du commerce et du crédit mobilier, son numéro de déclaration fiscale ;
- la ou les finalité(s) du traitement ainsi que la description générale de ses fonctions ;
- les interconnexions envisagées ou toutes autres formes de mise en relation avec d’autres traitements ;
- les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
- la durée de conservation des données traitées ;
- le ou les service (s) chargé (s) de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données collectées ;
- les destinataires habilités à recevoir communication des données traitées ;
- la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès ;
- les dispositions prises pour assurer la sécurité des traitements, la protection et la confidentialité des données traitées ;
- l’indication du recours à un sous-traitant ou du transfert des données à caractère personnel à destination d’un pays tiers.
En cas de changement intervenu dans les mentions énumérées ci-dessus, le responsable du traitement en informe, sans délai, l’Autorité nationale de protection des données à caractère personnel.La Plénière de la HAPDP se prononce dans un délai maximum d’un (1) mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé d’un (1) mois supplémentaire sur décision motivée de la HAPDP. Lorsqu’elle ne s’est pas prononcée dans ces délais, la décision d’autorisation est réputée favorable.
- Les règles communes à toutes les déclarations(article 8 et 9 du décret)
-
Les déclarations et les demandes d’avis, d’homologation des chartes d’utilisation, sont adressées à la HAPDP, soit par lettre recommandée avec accusé de réception, soit par voie électronique avec accusé de réception.Les demandes de déclaration peuvent également être déposées directement auprès de la HAPDP contre décharge. La date de l’accusé de réception ou de la décharge constitue le point de départ du délai dont dispose la HAPDP pour notifier ses avis et ses autorisations. La HAPDP se prononce dans un délai maximum d’un mois à compter de la réception de la déclaration, de la demande d’avis, d’homologation ou d’autorisation Toutefois, ce délai peut être prorogé d’un mois supplémentaire par une décision motivée de la HAPDP. En cas de prorogation de ce délai,la HAPDP le notifie aux responsables du traitement concernés.L’absence de réponse de la HAPDP dans le délai imparti équivaut à un rejet de la déclaration ou de la demande. Dans ce cas, le responsable du traitement peut exercer un recours devant le Conseil d’Etat.