Tous les organismes publics et privés traitant les données à caractère personnel doivent répertorier et déclarer toutes les opérations de traitement de données personnelles qu'ils effectuent dans leurs établissements ou dans les établissements de leurs sous-traitants.

Le sous-traitant est toute personne physique ou morale, publique ou privée ou toute autre entité qui traite des données à caractère personnel pour le compte du responsable du traitement

• Transmettre ou déposer une déclaration des traitements existants, auprès de l'ANPDP, comportant l'engagement que le traitement est effectué conformément aux dispositions de la loi N°18-07.

• Pour tout nouveau traitement de données à caractère personnel, une déclaration préalable ou demande d'autorisation doit être communiquée ou déposée au niveau de l'ANPDP.

• L'ANPDP mettra et avant l'application de la loi N°18-07 (à compter du mois d'août 2023), sur son site web, les formulaires de déclaration et de déclaration préalable des traitements à la disposition des organismes publics ou des personnes privées concernés.

• Le traitement des données à caractère personnel ne peut être effectué qu’avec le consentement exprès de la personne concernée.
• Le traitement des données à caractère personnel qui concerne un enfant ne peut s'effectuer qu'après l'obtention du consentement de son représentant légal ou, le cas échéant, de l'autorisation du juge compétent.

Les données personnelles doivent être :

• traitées de manière licite et loyale;
• collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées ultérieurement de façon incompatible avec lesdites finalités;
• adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ou traitées;
• exactes, complètes et, si nécessaire, mises à jour ;
• Les données doivent être conservées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées;

Sur demande du responsable du traitement et, s’il existe un intérêt légitime, l'ANPDP peut autoriser la conservation de données personnelles à des fins historiques, statistiques ou scientifiques.

Est interdit le traitement des données  sensibles au sens de la loi  N°18-07, sauf dans les cas suivants:

• la personne concernée a donné préalablement son consentement,
• le traitement est justifié par des motifs d’intérêt public indispensable pour garantir l’exercice des fonctions légales ou statutaires du responsable du traitement,
• la loi le prévoit,
• l'autorisation de l'autorité nationale,

les cas mentionnés dans les points de "a" à "e" du paragraphe 3 de l'article 18 de la loi N° 18-07.

• Les données à caractère personnel objet du traitement ne peuvent être communiquées à un tiers que pour la réalisation de fins directement liées aux fonctions du responsable du traitement et du destinataire;
• L’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public pour des finalités différentes en relation avec l'intérêt général, doit faire l’objet d’une autorisation de l'ANPDP;
• Les mêmes dispositions mentionnées au paragraphe précédent s'appliquent à toute interconnexion de fichiers relevant de personnes physiques et dont les finalités sont différentes;
• L’interconnexion des fichiers doit permettre d’atteindre des objectifs légaux et légitimes pour les responsables des traitements. Elle ne peut entraîner de discrimination ou de réduction des droits, des libertés et des garanties pour les personnes concernées;
• L'ANPDP mettra et avant l'application de la loi N°18-07 (à compter du mois d'août 2023), sur son site web, le formulaire d'autorisation d'interconnexion de fichiers à la disposition des organismes publics ou des personnes privées concernés.

• Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêche qu’elles soient déformées, endommagées, ou que des tiers non autorisées y aient accès;
• L'ANPDP peut décider de la sécurisation de la transmission notamment par le cryptage, dans le cas où la circulation en réseau des données à caractère personnel, peut comporter un risque pour les droits, les libertés et les garanties des personnes concernées;
• En cas de collecte de données, en réseaux ouverts, la personne concernée doit être informée, sauf si elle sait déjà que les données à caractère personnel la concernant peuvent circuler sur les réseaux sans garanties de sécurité et qu'elles risquent d'être lues et utilisées, par des tiers non autorisés;
• Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite;

            Ces mesures doivent assurer, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

• Lorsque le traitement est effectué pour le compte du responsable du traitement, il doit choisir un sous-traitant qui apporte des garanties suffisantes inhérentes aux mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et doit veiller au respect de ses mesures;
• La réalisation de traitement en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sous la seule instruction du responsable du traitement et dans le respect des obligations prévues au point 4 suscité.

           Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures prévues au point 4 suscité, sont consignés par écrit ou sous une autre forme équivalente;

• Les organismes à caractère public sont tenues d'appliquer les mesures sécuritaires édictées par le Référentiel National de Sécurité de l’Information (RNSI-2020) du Ministère de la Poste, des Télécommunications (MPT) notamment la partie DOMAINE 2 - Protection des données à caractère personnel. (Instruction n°02/PM du 3 juillet 2016, portant mise en œuvre du Référentiel National Normalisé de Sécurité Informatique);
• L'ANPDP peut procéder aux investigations requises par des constatations dans les locaux et lieux où a eu lieu le traitement à l'exception des locaux d'habitation et peut, pour l’exercice de ses missions, accéder aux données traitées et à toutes informations et documents quel que soit le support.

• Le traitement des données à caractère personnel est confidentiel;
• Toute personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en cas d’exécution d’une obligation légale;
• Le responsable du traitement ainsi que les personnes qui, dans l’exercice de leurs fonctions, ont eu connaissance de données à caractère personnel, sont tenues au respect du secret professionnel même après avoir cessé d’exercer leurs fonctions, sous peine des sanctions prévues par la législation en vigueur;
• Le responsable du traitement doit établir une charte informatique à faire signer par les intervenant ayant accès au traitement des données à caractère personnel (un modèle de charte informatique est en annexe 02 du Référentiel National de Sécurité de l’Information (RNSI-2020).

• Conformément aux prescriptions des articles 25 point 5 et 44 de la loi n° 18-07, chaque responsable de traitement, qu'il soit une instance publique ou privée, qui souhaite transférer des données à caractère personnel à l'étranger, est tenu de déposer une demande auprès de l'ANPDP.
• L'ANPDP mettra et avant l'application de la loi N°18-07 (à compter du mois d'août 2023), sur son site web, le formulaire d'autorisation de transfert des données à caractère personnel vers l'étranger à la disposition des organismes publics ou des personnes privées concernés.

• Il est entendu par prospection directe, toute sollicitation directe effectuée au moyen de l'envoi de message, quel que soit le support ou la nature, destinée à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services.
• L'ANPDP contrôle les prestataires de services et opérateurs économiques et commerciaux s'ils respectent ou non les dispositions relatives à l'interdiction de la prospection directe stipulées dans l'article 37 de la loi N° 18-07.
• Toute personne ayant fait l'objet d'une prospection directe, sans son consentement préalable, a le droit de s'opposer par tous moyens devant le prestataire de services ou l'opérateur économique ou commercial concerné, qui doit immédiatement mettre fin à la prospection.