Conformité avec la loi N°18-07 : LES PRINCIPES

Répertorier et déclarer toutes les opérations de traitement de données personnelles que vous
effectuez dans votre établissement

Répertorier et déclarer toutes les opérations de traitement de données personnelles effectuées au

niveau de la Banque ou de ses sous-traitants.

Le sous-traitant est toute personne physique ou morale, publique ou privée ou toute autre entité qui
traite des données à caractère personnel pour le compte du responsable du traitement.

Déclarer les traitements des données personnelles à l’ANPDP

 Transmettre ou déposer une déclaration des traitements existants, auprès de l'ANPDP,

comportant l'engagement que le traitement est effectué conformément aux dispositions de
la loi N°18-07. (Engagement signé par le Directeur Général).
 Pour tout nouveau traitement de données à caractère personnel, une déclaration préalable
ou demande d'autorisation doit être communiquée ou déposée au niveau de l'ANPDP.
 L'ANPDP mettra et avant l'application de la loi N°18-07 (à compter du mois d'août 2023), sur
son site web, les formulaires de déclaration et de déclaration préalable des traitements à la
disposition des organismes publics ou des personnes privées concernés.

Garantir les droits des personnes concernées par le traitement de leurs données à caractère
personnel

Droit à l’information ;

 Selon l'article 32 de la loi N°18-07, sauf si elle en a déjà eu connaissance, toute personne
sollicitée, en vue d’une collecte de ses données à caractère personnel, doit être,
préalablement, informée de manière expresse et non équivoque par le responsable du
traitement ou son représentant, des éléments suivants :

1. l’identité du responsable du traitement et, le cas échéant, de son représentant ;

2. les finalités du traitement ;
3. toutes informations supplémentaires utiles notamment le destinataire, l’obligation de
répondre et ses conséquences ainsi que ses droits et le transfert des données à
l’étranger.

Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée,
le responsable du traitement ou son représentant doit, avant l'enregistrement des données ou leur
communication à un tiers, fournir à la personne concernée les informations visées ci-dessus, sauf si la
personne en a déjà eu connaissance.

En cas de collecte de données, en réseaux ouverts, la personne concernée doit être informée, sauf si
elle sait déjà que les données à caractère personnel la concernant peuvent circuler sur les réseaux
sans garanties de sécurité et qu'elles risquent d'être lues et utilisées, par des tiers non autorisés.
  Selon l'article 33 de la loi N°18-07, l’obligation d’information prévue à l’article 32 de la
présente loi, n’est pas applicable :

4. lorsque l’information de la personne concernée se révèle impossible, notamment en cas

de traitement de données à caractère personnel, à des fins statistiques, historiques ou
scientifiques. Dans ce cas, le responsable du traitement est tenu d’aviser l’autorité
nationale de l’impossibilité d’informer la personne concernée et de lui présenter le motif
de cette impossibilité ;
5. si le traitement est édicté par la loi ;
6. si le traitement est effectué à des fins exclusivement journalistiques, artistiques ou
littéraires.

Droit d’accès

Selon l'article 34 de la loi N°18-07, la personne concernée a le droit d’obtenir du responsable

du traitement :

1. la confirmation que les données personnelles la concernant sont ou ne sont pas

traitées, les finalités du traitement, les catégories de données sur lesquelles il porte et
les destinataires ;
2. la communication, sous une forme intelligible, de ses données qui font l’objet de
traitement, ainsi que de toute information disponible sur l’origine des données.

Le responsable du traitement peut demander à l'ANPDP des délais de réponse aux demandes
d’accès légitimes et peut s’opposer aux demandes manifestement abusives, notamment, par
leur nombre et leur caractère répétitif. La charge de la preuve du caractère manifestement
abusif de la demande, incombe au responsable du traitement.

Droit de rectification

Selon l'article 35 de la loi N°18-07, la personne concernée, a le droit d’obtenir, à titre gratuit,
du responsable du traitement :

1-l’actualisation, la rectification, l’effacement ou le verrouillage des données

personnelles dont le traitement n’est pas conforme à la présente loi, notamment en raison du
caractère incomplet ou inexact de ces données ou dont le traitement est interdit par la loi. Le
responsable du traitement est tenu de procéder aux rectifications nécessaires sans frais
pour le demandeur, dans un délai de dix (10) jours de sa saisine.

En cas de refus ou de non réponse dans le délai précité, la personne concernée peut
introduire une demande de rectification auprès de l’autorité nationale, laquelle charge
l’un de ses membres à l’effet de mener toutes investigations utiles et faire procéder aux
rectifications nécessaires, dans les plus brefs délais. La personne concernée est tenue informée
des suites réservées à sa demande ;

2-la notification aux tiers auxquels les données personnelles ont été communiquées de
toute actualisation, toute rectification, tout effacement ou tout verrouillage des données à
caractère personnel effectué conformément au point (1) ci-dessus, si cela ne s’avère pas
impossible.
Les héritiers de la personne concernée peuvent utiliser le droit prévu par le présent article.

Droit d’opposition

Selon l'article 36 de la loi N°18-07, la personne concernée, a le droit de s’opposer, pour des motifs
légitimes à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Elle a le droit de s’opposer, à ce que, les données la concernant soient utilisées à des fins de
prospection, notamment commerciales, par le responsable actuel du traitement ou celui d’un
traitement ultérieur.

Les dispositions du point 1 suscité ne s’appliquent pas lorsque le traitement répond à une obligation
légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte
autorisant le traitement.

Le consentement

 Le traitement des données à caractère personnel ne peut être effectué qu’avec le

consentement exprès de la personne concernée.
 Le traitement des données à caractère personnel qui concerne un enfant ne peut s'effectuer
qu'après l'obtention du consentement de son représentant légal ou, le cas échéant, de
l'autorisation du juge compétent.

Les recommandations et la limitation de la conservation des données

Les données personnelles doivent être :

 traitées de manière licite et loyale ;

 collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées
ultérieurement de façon incompatible avec lesdites finalités ;
 adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont
collectées ou traitées ;
 exactes, complètes et, si nécessaire, mises à jour ;
 Les données doivent être conservées pendant une durée n’excédant pas celle nécessaire à la
réalisation des finalités pour lesquelles elles ont été collectées ou traitées ;

Sur demande du responsable du traitement et, s’il existe un intérêt légitime, l'ANPDP peut autoriser
la conservation de données personnelles à des fins historiques, statistiques ou scientifiques.

Le traitement des données sensibles

Est interdit le traitement des données sensibles au sens de la loi N°18-07, sauf dans les cas
suivants :

 la personne concernée a donné préalablement son consentement,

 le traitement est justifié par des motifs d’intérêt public indispensable pour garantir
l’exercice des fonctions légales ou statutaires du responsable du traitement,
 la loi le prévoit,
 l'autorisation de l'autorité nationale,
Les cas mentionnés dans les points de "a" à "e" du paragraphe 3 de l'article 18 de la loi N° 18-
07.

L’interconnexion de fichiers (données)

 Les données à caractère personnel objet du traitement ne peuvent être communiquées à un

tiers que pour la réalisation de fins directement liées aux fonctions du responsable du
traitement et du destinataire ;
 L’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un
service public pour des finalités différentes en relation avec l'intérêt général, doit faire l’objet
d’une autorisation de l'ANPDP ;
 Les mêmes dispositions mentionnées au paragraphe précédent s'appliquent à toute
interconnexion de fichiers relevant de personnes physiques et dont les finalités sont
différentes ;
 L’interconnexion des fichiers doit permettre d’atteindre des objectifs légaux et légitimes pour
les responsables des traitements. Elle ne peut entraîner de discrimination ou de réduction
des droits, des libertés et des garanties pour les personnes concernées ;
 L'ANPDP mettra et avant l'application de la loi N°18-07 (à compter du mois d'août 2023), sur
son site web, le formulaire d'autorisation d'interconnexion de fichiers à la disposition des
organismes publics ou des personnes privées concernés.

La sécurité des données personnelles

 Prendre toute précaution utile au regard de la nature des données et, notamment, pour
empêche qu’elles soient déformées, endommagées, ou que des tiers non autorisées y aient
accès ;
 Sécurisation de la transmission notamment par le cryptage, dans le cas où la circulation en
réseau des données à caractère personnel, peut comporter un risque pour les droits, les
libertés et les garanties des personnes concernées ;
 En cas de collecte de données, en réseaux ouverts, la personne concernée doit être
informée, sauf si elle sait déjà que les données à caractère personnel la concernant peuvent
circuler sur les réseaux sans garanties de sécurité et qu'elles risquent d'être lues et utilisées,
par des tiers non autorisés;

 mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les
données à caractère personnel contre la destruction accidentelle ou illicite, la perte
accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le
traitement comporte des transmissions de données dans un réseau, ainsi que contre toute
autre forme de traitement illicite;

Ces mesures doivent assurer, un niveau de sécurité approprié au regard des risques présentés par le
traitement et de la nature des données à protéger.

 choisir un sous-traitant qui apporte des garanties suffisantes inhérentes aux mesures de
sécurité technique et d’organisation relatives aux traitements à effectuer et doit veiller au
respect de ses mesures ;
 La réalisation de traitement en sous-traitance doit être régie par un contrat ou un acte
juridique qui lie le sous-traitant au responsable du traitement
 Les organismes à caractère public sont tenues d'appliquer les mesures sécuritaires édictées
par le Référentiel National de Sécurité de l’Information (RNSI-2020) du Ministère de la Poste,
 des Télécommunications (MPT) notamment la partie DOMAINE 2 - Protection des données à
caractère personnel. (Instruction n°02/PM du 3 juillet 2016, portant mise en œuvre du
Référentiel National Normalisé de Sécurité Informatique) ;
 L'ANPDP peut procéder aux investigations requises par des constatations dans les locaux et
lieux où a eu lieu le traitement à l'exception des locaux d'habitation et peut, pour l’exercice
de ses missions, accéder aux données traitées et à toutes informations et documents quel
que soit le support.

Le secret professionnel (confidentialité)

 Le traitement des données à caractère personnel est confidentiel ;

 Toute personne agissant sous l’autorité du responsable du traitement ou de celle du sous-
traitant, qui accède à des données à caractère personnel ne peut les traiter que sur
instruction du responsable du traitement, sauf en cas d’exécution d’une obligation légale ;
 Le responsable du traitement ainsi que les personnes qui, dans l’exercice de leurs fonctions,
ont eu connaissance de données à caractère personnel, sont tenues au respect du secret
professionnel même après avoir cessé d’exercer leurs fonctions, sous peine des sanctions
prévues par la législation en vigueur;
 Le responsable du traitement doit établir une charte informatique à faire signer par les
intervenant ayant accès au traitement des données à caractère personnel (un modèle de
charte informatique est en annexe 02 du Référentiel National de Sécurité de l’Information
(RNSI-2020).

Le transfert des données vers l'étranger

 Conformément aux prescriptions des articles 25 point 5 et 44 de la loi n° 18-07, chaque

responsable de traitement, qu'il soit une instance publique ou privée, qui souhaite transférer
des données à caractère personnel à l'étranger, est tenu de déposer une demande auprès de
l'ANPDP.
 L'ANPDP mettra et avant l'application de la loi N°18-07 (à compter du mois d'août 2023), sur
son site web, le formulaire d'autorisation de transfert des données à caractère personnel
vers l'étranger à la disposition des organismes publics ou des personnes privées concernés.

L'interdiction de la prospection directe

 Il est entendu par prospection directe, toute sollicitation directe effectuée au moyen de
l'envoi de message, quel que soit le support ou la nature, destinée à promouvoir,
directement ou indirectement, des biens, des services ou l'image d'une personne vendant
des biens ou fournissant des services.
 L'ANPDP contrôle les prestataires de services et opérateurs économiques et commerciaux
s'ils respectent ou non les dispositions relatives à l'interdiction de la prospection directe
stipulées dans l'article 37 de la loi N° 18-07.
 Toute personne ayant fait l'objet d'une prospection directe, sans son consentement
préalable, a le droit de s'opposer par tous moyens devant le prestataire de services ou
l'opérateur économique ou commercial concerné, qui doit immédiatement mettre fin à la
prospection.