Home
| Databases
| WorldLII
| Search
| Feedback
National Data Privacy Legislation |
LOI N°2017-020
SUR LA PROTECTION DES
DONNEES A CARACTERE PERSONNEL
L'Assemblée Nationale et le Sénat ont adopté;
Le Président de la République promulgue la loi dont la teneur suit:
CHAPITRE PREMIER : DISPOSITIONS GENERALES
Section 1: L'objet de la présente loi
Article Premier: Sans préjudice des dispositions de la loi n° 2011-003 du 12 janvier 2011 abrogeant et remplaçant la loi n° 96-019 du 19 juin 1996, portant code de l'état civil et ses textes d'application, la présente loi a pour objet de mettre en place un cadre normatif et institutionnel pour le traitement de données à caractère personnel, en vue de garantir de meilleurs services et de protéger contre les atteintes à la vie privée, susceptibles d'être occasionnées par l'utilisation des Technologies de l'Information et de la Communication.
Elle pose les conditions dans lesquelles tout traitement portant sur des données à caractère personnel, sous quelque forme que ce soit, respecte les libertés et les droits fondamentaux des citoyens.
Section 2: Définitions
Article 2: Au sens de la présente loi, on entend par :
Section 3: Champ d'application la loi
Article 3: Le champ d'application de la présente loi sur les données à caractère personnel comprend:
1. tout traitement de données à caractère personnel, effectué par une personne physique, par l'Etat, les collectivités locales, les personnes morales de droit public ou de droit privé ;
Article 4: Les dispositions de la présente loi sur les données à caractère personnel ne s'appliquent pas :
CHAPITRE H : PRINCIPES FONDAMENTAUX RELATIFS AUX TRAITEMENTS DES DONNEES A CARACTERE PERSONNEL
Section 1: Principes de base relatifs au traitement des données à caractère personnel
Article 5: Le traitement des données à caractère personnel effectué sans le consentement de la personne concernée, est interdit.
Toutefois, il peut être dérogé à cette exigence du consentement, lorsque le traitement est nécessaire :
Article 6: La collecte, l'enregistrement, le traitement, le stockage et la transmission des données à caractère personnel doivent se faire de manière licite, loyale et non frauduleuse.
Article 7: Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec les finalités prédéfinies.
Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement.
Elles doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.
Au-delà de cette durée, les données à caractère personnel ne peuvent faire l'objet d'une conservation qu'en vue de répondre spécifiquement à un traitement à des fins historiques, statistiques ou de recherches en vertu des dispositions légales.
Article 8: Les données à caractère personnel collectées doivent être exactes et, si nécessaire, mises à jour. Toute mesure raisonnable doit être prise pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées et traitées, soient effacées ou rectifiées.
Article 9: Le traitement des données à caractère personnel s'effectue conformément au principe de transparence qui implique une information obligatoire de la part du responsable de leur traitement.
Article 10: Les données à caractère personnel sont traitées de manière confidentielle et sont protégées conformément aux dispositions de l'article 47 de la présente loi, notamment lorsque le traitement comporte des transmissions de données dans un réseau.
Article 11: Tout traitement de données à caractère personnel effectué pour le compte du responsable du traitement doit être régi par un acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n'agit que sur la seule instruction du responsable du traitement et que les obligations prévues par la présente loi incombent également à celui-ci.
Dans le cadre de la sous-traitance pour des activités liées au traitement de données, toute personne participant à l'exécution de la mission est soumise à l'obligation de confidentialité.
Section 2 : Principes spécifiques au traitement de certaines catégories de données à caractère personnel
Article 12: 11 est interdit de procéder à la collecte et à tout traitement qui révèlent l'origine raciale, ethnique, linguistique ou régionale, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, la vie sexuelle, les données génétiques ou plus généralement celles relatives à l'état de santé de la personne concernée.
Article 13: L'interdiction fixée à l'article précédent ne s'applique pas pour les catégories de traitement suivantes lorsque:
Article 14: Le traitement des données à caractère personnel relatif aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être mis en oeuvre que par :
Article 15: Le traitement des données à caractère personnel à des fins de santé n'est légitime que :
Article 16: Les données à caractère personnel relatives à la santé sont collectées auprès de la personne concernée. Elles ne peuvent être collectées auprès d'autres sources qu'à condition que la collecte soit nécessaire aux fins du traitement ou que la personne concernée ne soit pas en mesure de fournir les données elle-même_
Article 17: Le traitement des données à caractère personnel réalisé aux fins de journalisme, de recherche ou d'expression artistique ou littéraire est admis, lorsqu'il est mis en œuvre aux seules fins d'expression littéraire et artistique ou d'exercice, à titre professionnel, de l'activité de journaliste ou de chercheur, dans le respect des règles déontologiques, législatives ou réglementaires de ces professions.
Les dispositions de la présente loi ne font pas obstacle à l'application des dispositions des lois relatives à la presse écrite ou audiovisuelle et du code pénal.
Article 18: Il est interdit de procéder à la prospection directe à l'aide de tout moyen de communication utilisant, sous quelque forme que ce soit, les données à caractère personnel d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir de telles prospections.
Les données à caractère personnel ne sont communiquées à des tiers, ou utilisées à des fins de prospection, que dès lors que la personne concernée a formellement exprimé son accord.
Article 19: Aucune décision de justice impliquant une appréciation sur le comportement d'une personne, ne peut avoir pour fondement un traitement automatisé des données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
Aucune décision, produisant des effets juridiques à l’égard d'une personne, ne peut être prise sur le seul fondement d'un traitement automatisé des données à caractère personnel destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.
Section 3: Principes spécifiques au transfert des données à caractère personnel vers un pays tiers
Article 20: Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un pays tiers que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font ou peuvent faire l'objet.
Article 21: L'Autorité de Protection des Données à caractère personnel publie et tient à jour la liste des Etats qu'elle considère comme offrant un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel.
Article 22: Avant tout transfert des données à caractère personnel vers un pays tiers ne figurant pas sur cette liste, le responsable du traitement doit préalablement informer l'Autorité de Protection des Données à caractère personnel.
Le transfert de données à caractère personnel ne peut se faire que selon les conditions et règles de procédure arrêtées par l'Autorité de Protection des Données à caractère personnel.
Article 23: Le caractère suffisant du niveau de protection d'un pays s'apprécie en fonction, notamment, des mesures de sécurité qui y sont appliquées, conformément à la présente loi, des caractéristiques propres du traitement, telles que ses finalités, sa durée ainsi que de la nature, de l'origine et de la destination des données traitées.
Article 24: Le responsable d'un traitement peut transférer des données à caractère personnel vers un pays tiers ne répondant pas aux conditions prévues à l'article 21 de la présente loi, si le transfert est ponctuel, non massif et que la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes :
Article 25: L'Autorité de Protection des Données à caractère personnel peut autoriser, sur la base d'une demande dûment motivée, un transfert ou un ensemble de transferts de données vers un pays tiers n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard des dispositions de la présente loi. Ces garanties peuvent résulter de clauses contractuelles appropriées.
Section 4: Interconnexions des fichiers comportant des données à caractère personnel
Article 26: L'interconnexion de fichiers portant sur des données à caractère personnel constitue un traitement au sens du point 14 de l'article 2 de la présente loi.
Article 27: L'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public, et dont les finalités correspondent à des intérêts publics différents, doit faire l'objet d'une autorisation de l'Autorité de Protection des Données à caractère personnel.
Il en est de même pour les traitements mis en œuvre par l'Etat aux fins de mettre à la disposition des usagers de l'Administration un ou plusieurs services à distance dans le cadre de l'administration électronique.
Article 28:L'interconnexion de fichiers relevant de personnes privées et dont les finalités principales sont différentes, est également soumise à autorisation de l'Autorité de Protection des Données à caractère personnel.
Article 29: Toute interconnexion des fichiers doit permettre d'atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables des traitements et des bénéficiaires ou usagers.
Elle ne peut pas entraîner de discrimination ou de réduction des droits, libertés et garanties, pour les personnes concernées et doit tenir compte du principe de pertinence des données faisant l'objet de l'interconnexion.
Article 30: La demande d'autorisation d'interconnexion comprend toutes les informations nécessaires sur :
Article 31: La demande d'autorisation d'interconnexion ainsi que les autorisations d'interconnexion sont inscrites sur le répertoire des traitements.
CHAPITRE Ill - FORMALITES PREALABLES AU TRAITEMENT DES DONNÉES A CARACTERE PERSONNEL
Section 1: Dispenses de formalités
Article 32: Sont dispensés de toutes les formalités préalables à un traitement des données à caractère personnel quel que soit le support à un tel traitement en conformité avec les textes en vigueur :
Section 2 : Régime de déclaration
Article 33: Tous les traitements de données, en dehors des cas prévus aux articles 32 et 37 de la présente loi, doivent faire l'objet d'une déclaration auprès de l'Autorité de Protection des Données à caractère personnel.
La déclaration, conforme à un modèle établi par l'Autorité de Protection des Données à caractère personnel, comporte l'engagement que le traitement satisfait aux exigences de la loi.
L'Autorité de Protection des Données à caractère personnel atteste, par un accusé de réception, que la déclaration requise a bien été faite et délivre immédiatement un récépissé qui permet au demandeur de mettre en œuvre le traitement envisagé. Seul le récépissé donne droit à la mise en œuvre d'un traitement.
Article 34: Lorsque des traitements de données à caractère personnel relèvent d'un même organisme et ont des finalités identiques ou liées entre elles, ils peuvent faire l'objet d'une déclaration unique.
Dans ce cas, les informations requises en application de l'article 43 de la présente loi ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.
Article 35: Pour les catégories les plus courantes de traitements de données à caractère personnel dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés des individus, l'Autorité de Protection des Données à caractère personnel établit et publie des normes destinées à simplifier ou à exonérer l'obligation de déclaration.
Les normes relatives à la déclaration simplifiée précisent :
Ces normes peuvent prendre en compte les codes de conduite homologués par l'Autorité de Protection des Données à caractère personnel.
Article 36: L'Autorité de Protection des Données à caractère personnel peut définir, parmi les catégories de traitements visées à l'article 35 de la présente loi, celles qui sont dispensées de déclaration. Pour ce faire, l'Autorité de Protection des Données à caractère personnel tient compte de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées.
Dans les mêmes conditions, l'Autorité de Protection des Données à caractère personnel peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique conformément aux dispositions de l'article 34 de la présente loi.
Section 3: Régime de l'autorisation
Article 37: Ne sont mis en œuvre, qu'après autorisation de l'Autorité de Protection des Données à caractère personnel :
Article 38: Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ayant les mêmes destinataires ou catégories de destinataires, peuvent être autorisés par une décision unique de l'Autorité de Protection des Données à caractère personnel. Dans ce cas, le responsable de chaque traitement adresse à l'Autorité de Protection des Données à caractère personnel, un engagement de conformité de celui-ci à la description figurant dans 1' autorisation.
Article 39: L'Autorité de Protection des Données à caractère personnel se prononce dans un délai de deux (2) mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois, sur décision motivée de son président.
Lorsque l'Autorité de Protection des Données à caractère personnel ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.
Section 4 : Régime de l'autorisation sur avis de l'Autorité de Protection des Données à caractère personnel
Article 40: Hormis les cas où ils doivent être autorisés par la loi et par dérogation aux dispositions des articles précédents, les traitements des données à caractère personnel opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité locale ou d'une personne morale de droit privé gérant un service public, sont autorisés par acte réglementaire, pris après avis motivé de l'Autorité de Protection des Données à caractère personnel.
Ces traitements portent sur :
Article 41: L'Autorité de Protection des Données à caractère personnel saisie d'une demande d'avis se prononce dans un délai de deux (2) mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois, sur décision motivée du président.
Si l'Autorité de Protection des Données à caractère personnel saisie ne se prononce pas jusqu'à l'expiration du délai fixé à l'alinéa précédent, l'avis est réputé favorable.
Article 42: L'acte réglementaire pris sur avis de l'Autorité de Protection des
Données à caractère personnel et autorisant les traitements visés à l'article 40 de la présente loi précise :
Section 5: Dispositions communes
Article 43: Les demandes d'avis, les déclarations et les demandes d'autorisations doivent préciser:
Les demandes d'avis portant sur les traitements intéressant la sûreté de l'État, la défense nationale ou la sécurité publique, peuvent ne pas comporter tous les éléments d'information énumérés ci-dessus, sous réserve des informations minimales prévues à l'article 42 de la présente loi.
Article 44: Le responsable d'un traitement déjà déclaré ou autorisé doit procéder à une nouvelle déclaration ou demande d'autorisation auprès de l'Autorité de Protection des Données à caractère personnel, en cas de changement affectant les informations mentionnées à l'article précédent.
Article 45: L'avis, la déclaration ou la demande d'autorisation peuvent être adressés à l'Autorité de Protection des Données à caractère personnel par voie électronique, par voie de transmission classique sur support papier ou par voie postale.
L'Autorité de Protection des Données à caractère personnel délivre un récépissé ou avis de réception, le cas échéant, par voie électronique.
L'Autorité de Protection des Données à caractère personnel peut être saisie par toute personne agissant par elle-même, par l'entremise de son avocat ou par toute autre personne physique ou morale dûment mandatée.
CHAPITRE IV: OBLIGATIONS RELATIVES AUX CONDITIONS DE TRAITEMENTS DES DONNEES A CARACTERE PERSONNEL
Section 1: Obligation de confidentialité
Article 46: Le traitement des données à caractère personnel est strictement confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l'autorité du responsable du traitement, et seulement sur ses instructions.
Pour la réalisation du traitement, le responsable doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant au plan des connaissances techniques et juridiques qu'à celui de l'intégrité personnelle. Sans préjudice de l'application des dispositions de cette loi, un engagement écrit est signé des personnes amenées à traiter de telles données, à respecter la confidentialité et la sécurité des données.
Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations en matière de protection de la sécurité et de la confidentialité des données, incombant au sous-traitant ainsi qu'à ses agents intervenant au traitement des données à caractère personnel. Il prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
Section 2: Obligation de sécurité
Article 47: Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il prend, en particulier, toute mesure visant à :
Section 3: Obligation de conservation
Article 48: Les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques.
Section 4: Obligation de pérennité
Article 49: Le responsable du traitement est tenu de prendre toute mesure utile pour assurer que les données à caractère personnel traitées pourront être exploitées, ultérieurement, quel que soit le support technique utilisé.
Le responsable du traitement est tenu de sauvegarder les données par la constitution de copies de sécurité, et si nécessaire, de convertir les données pour un stockage pérenne.
CHAPITRE V: DROITS CONFERES AUX PERSONNES DONT LES DONNEES A CARACTERE PERSONNEL FONT L'OBJET D'UN TRAITEMENT
Section 1 : Droit à l'information
Article 50: Lorsque des données à caractère personnel sont collectées directement auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à celle-ci, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, les informations suivantes :
Toutefois, les dispositions de cet article ne s'appliquent pas aux données recueillies et utilisées:
Article 51: Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, les informations visées à l'article précédent sont transmises à ladite personne, au moment de l'enregistrement des données ou, si leur communication est prévue, au plus tard lors de la première communication.
Article 52: Sauf disposition contraire, toute personne utilisatrice des technologies de l'information et de la communication doit être informée de manière claire et complète par le responsable du traitement ou son représentant :
L de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
2. des moyens dont elle dispose pour s'y opposer.
Il est formellement interdit de subordonner l'accès à un service disponible sur un réseau de communications électroniques à l'acceptation, par l'abonné ou l'utilisateur concerné, du traitement des informations stockées dans son équipement.
Toutefois, les dispositions de l'alinéa précédent ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement de l'utilisateur :
Section 2 : Droit d'accès
Article 53: Toute personne physique justifiant de son identité a le droit de demander, par écrit, quel que soit le support, au responsable d'un traitement des données à caractère personnel, de lui fournir :
Article 54: Si la personne concernée en fait la demande, le responsable du traitement doit délivrer à la personne concernée une copie, quel que soit le support utilisé, des données à caractère personnel la concernant.
Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme n'excédant pas le coût de la reproduction.
En cas de risque de dissimulation ou de disparition des données à caractère personnel, la personne concernée peut en informer l'Autorité de Protection des Données à caractère personnel, qui prend alors toutes mesures de nature à éviter cette dissimulation ou cette disparition.
Article 55: Toute personne, qui dans l'exercice de son droit d'accès, a des raisons sérieuses de soutenir que les données qui lui ont été communiquées ne sont pas conformes aux données traitées, peut en informer l'Autorité de Protection des Données à caractère personnel qui procède aux vérifications nécessaires.
Article 56: Le droit d'accès d'un patient aux données à caractère personnel le concernant est exercé par le patient lui-même ou par l'intermédiaire d'un médecin qu'il désigne.
En cas de décès du patient, son conjoint vivant avec lui et ses enfants, ou ses parents (père ou mère), s'il s'agit d'un mineur, peuvent exercer le droit d'accès, par l'intermédiaire d'un médecin qu'ils désignent.
Article 57: Le responsable du traitement des données à caractère personnel peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.
En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable du traitement auprès duquel elles sont adressées.
Article 58: Par dérogation aux dispositions des articles 53 et suivants de la présente loi, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense nationale ou la sécurité publique, le droit d'accès s'exerce dans les conditions suivantes:
1. la demande est adressée à l'Autorité de Protection des Données à caractère personnel, qui désigne l'un de ses membres (magistrat) pour mener les investigations nécessaires. Celui-ci peut se faire assister d'un agent de l'Autorité de Régulation Multisectorielle. Il est notifié au requérant qu'il a été procédé aux vérifications ;
2_ lorsque l'Autorité de Protection des Données à caractère personnel constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense nationale ou la sécurité publique, ces données peuvent être communiquées au requérant ;
3. lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations soient communiquées au requérant par le gestionnaire du fichier directement saisi.
Section 3: Droit d'opposition
Article 59: Sauf dans le cas d'un traitement répondant à une obligation légale, toute personne physique a le droit de s'opposer, sans aucun frais, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. La personne concernée a le droit, d'une part, d'être informée avant que des données la concernant ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et, d'autre part, de se voir expressément offrir le droit de s'opposer, gratuitement, à ladite communication ou utilisation.
Article 60: Toute personne concernée par un traitement, a le droit de s'opposer, sous réserve des exceptions légales, à ce que les données à caractère personnel la concernant fassent l'objet de la levée du secret professionnel.
Section 4: Droit de rectification et de suppression
Article 61: Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.
Article 62: Lorsque l'intéressé en fait la demande par écrit, quel que soit le support, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'article précédent dans un délai d'un (1) mois après l'enregistrement de la demande. En cas de contestation, la charge de la preuve incombe au responsable du traitement auprès duquel est exercé le droit de rectification.
Si une donnée a été transmise à un tiers, le responsable du traitement est tenu d'accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.
Article 63: Les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable de ce traitement qu'il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.
Lorsque les héritiers en font la demande, le responsable du traitement justifie, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'article précédent.
CHAPITRE VI : REGULATION EN MATIERE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL
Section 1: de l'Autorité de Protection de Données à caractère personnel
Article 64: Il est créé une Autorité de Protection des Données à caractère personnel, chargée de veiller à ce que les traitements des données à caractère personnel, en République Islamique de Mauritanie, soient mis en œuvre conformément aux dispositions de la présente loi.
L'Autorité de Protection des Données à caractère personnel est une personne morale de droit public, indépendante, dotée de l'autonomie financière et de gestion. Elle est rattachée au Premier Ministre.
Elle informe les personnes concernées et les responsables de traitement de leurs droits et obligations et s'assure que l'utilisation des Technologies de l'Information et de la Communication ne comporte pas de menace au regard des libertés publiques et de la vie privée.
Article 65: La composition de l'Autorité de Protection des Données à caractère personnel, les modalités et les conditions de nomination de ses membres sont fixées par décret.
Un Commissaire du Gouvernement, désigné par le Premier Ministre, siège auprès de l'Autorité de Protection des Données à Caractère Personnel. Le Commissaire du Gouvernement est convoqué à toutes les séances de l'Autorité, dans les mêmes conditions que les membres de celle-ci. Il informe l'Autorité sur les orientations du gouvernement et sur les motivations de l'Administration concernant la mise en œuvre des traitements, mais ne prend pas part au vote.
Article 66: L'Autorité de Protection des Données à caractère personnel dispose de services placés sous l'autorité de son Président. Elle dispose, en outre, d'un personnel mis à sa disposition par l'État et peut pourvoir au recrutement d'agents en fonction des besoins de son fonctionnement.
Les agents assermentés, qui peuvent être appelés à participer à la mise en oeuvre des missions de vérification mentionnées aux articles 74 et76 de la présente loi, doivent y être habilités par l'Autorité de Protection des Données à caractère personnel. Cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi.
Article 67: Le mandat des membres de l'Autorité de Protection des Données à caractère personnel, est de quatre (4) ans renouvelable, une seule fois.
À l'exception du Président, les membres de l'Autorité de Protection des Données à caractère personnel n'exercent pas leurs fonctions à titre exclusif, sous réserve des incompatibilités prévues à l'article 68.
Les membres de l'Autorité de Protection des Données à caractère personnel sont inamovibles pendant la durée de leur mandat. Sauf faute grave, il ne peut être mis fin à leurs fonctions qu'en cas de démission ou d'empêchement constaté par l'Autorité de Protection des Données à caractère personnel, dans les conditions fixées par décret.
Les membres de l'Autorité de Protection des Données à caractère personnel sont tenus au secret professionnel, conformément aux textes en vigueur.
L'Autorité de Protection des Données à caractère personnel établit un règlement intérieur qui précise, notamment, les règles relatives aux délibérations, à l'instruction et à la présentation des dossiers.
Les règles relatives à l'organisation et au fonctionnement de l'Autorité de Protection des Données à caractère personnel sont fixées par décret.
Article 68: La qualité de membre de l'Autorité de Protection des Données à caractère personnel est incompatible avec la qualité de membre du Gouvernement, de l'exercice des fonctions de dirigeants d'entreprise, de la détention de participation dans les entreprises du secteur de l'informatique ou des communications électroniques.
Tout membre de l'Autorité de Protection des Données à caractère personnel doit informer celle-ci des intérêts directs ou indirects qu'il détient ou envisage de détenir, des fonctions qu'il exerce ou envisage d'exercer et de tout mandat qu'il détient ou envisage de détenir au sein d'une personne morale.
Le cas échéant, l'Autorité prend toutes les dispositions utiles pour assurer l'indépendance et l'impartialité de ses membres. Un code de conduite est mis en place à cet effet.
Article 69: Si, en cours de mandat, le président ou un membre de l'Autorité de Protection des Données à caractère personnel cesse d'exercer ses fonctions, il est procédé à son remplacement dans les conditions prévues par la présente loi.
Le mandat du successeur ainsi désigné est limité à la période restant à courir. Ce dernier peut être désigné pour un seul mandat.
Article 70: Les membres de l'Autorité de Protection des Données à caractère personnel, avant leur entrée en fonction, prêtent serment devant la Cour suprême, siégeant en audience solennelle, le serment dont la teneur suit : «Je jure au nom d'Allah Le Tout Puissant de bien et fidèlement remplir ma fonction de membre de l'Autorité de Protection des Données à caractère personnel, en toute indépendance et impartialité, de façon digne et loyale, et de garder le secret des délibérations».
Les autres agents choisis par l'Autorité de Protection des Données à caractère personnel prêtent serment dans les mêmes conditions.
Article 71: Les membres de l'Autorité de Protection des Données à caractère personnel jouissent d'une immunité totale pour les opinions émises dans l'exercice ou à l'occasion de l'exercice de leur fonction. Dans l'exercice de leur attribution, les membres de l'Autorité de Protection des Données à caractère personnel ne reçoivent d'instruction d'aucune autre autorité.
Article 72: Les ministres, autorités publiques, dirigeants d' entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel prennent toutes mesures afin de faciliter la tâche de l'Autorité de Protection des Données à caractère personnel. Sauf si la loi en dispose autrement, et sous réserve du droit d'opposition à la visite visé à l'article 74 de la présente loi, ils ne peuvent s'opposer à l'action de l'Autorité de Protection des Données à caractère personnel pour quelque motif que ce soit.
Section 2: Attributions de l'Autorité de Protection des Données à caractère personnel
Article 73: L'Autorité de Protection des Données à caractère personnel exerce les missions suivantes :
1. elle veille à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi ;
2. elle informe les personnes concernées et les responsables de traitement de leurs droits et obligations. A cet effet :
3. elle homologue les codes de bonne conduite qui lui sont présentés ;
elle tient un répertoire des traitements des données à caractère personnel à la disposition du public ;
Section 3 Contrôle et sanctions administratives et pécuniaires
Article 74: Les agents de l'Autorité de Protection des Données à caractère personnel, ainsi que les agents de service assermentés ont accès, dans les conditions prévues par les dispositions des article 46 et suivants du Code de Procédure Pénale, relatifs à la répression des infractions flagrantes, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement des données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.
Le Procureur de la République territorialement compétent en est préalablement informé.
Article 75: En cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation de l'autorité judiciaire compétente dans le ressort de laquelle sont situés les locaux à visiter ou du juge délégué par elle. Ce magistrat est saisi à la requête du Président de l'Autorité de Protection des Données à caractère personnel. Il statue par une ordonnance motivée, en procédure d'urgence et sans obligation de présence.
Article 76: Les agents de l'Autorité de Protection des Données à caractère personnel et les agents mentionnés à l'article 74 de la présente loi peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles. Ils peuvent accéder aux programmes informatiques et aux données, demander la transcription de tout traitement dans des documents appropriés directement utilisables pour les besoins du contrôle.
Ils peuvent être assistés par des experts choisis par le président de ladite autorité.
Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application des articles précédents.
Article 77: L'Autorité de Protection des Données à caractère personnel peut prononcer les mesures suivantes :
Article 78: Si le responsable du traitement ne se conforme pas à la mise en demeure qui lui a été adressée, l'Autorité de Protection des Données à caractère personnel peut prononcer à son encontre, après procédure contradictoire, les sanctions suivantes :
1, un retrait provisoire de l'autorisation accordée pour une durée maximale de trois mois ;
Article 79: En cas d'urgence, lorsque la mise en œuvre d'un traitement ou l'exploitation de données à caractère personnel entraîne une violation de droits et libertés, l'Autorité de Protection des Données à caractère personnel, après procédure contradictoire, peut décider :
Le Ministre fait alors connaître à l'Autorité de Protection des Données à caractère personnel les suites qu'il a données à cette information, au plus tard quinze jours après l'avoir reçue.
Article 80: En cas de manquements aux dispositions légales et réglementaires relatives aux données à caractère personnel, hormis les sanctions ci-dessus, l'Autorité de Protection des Données à caractère personnel peut prendre des sanctions pécuniaires à l'encontre des contrevenants. Le montant de la sanction pécuniaire est proportionné à la gravité du manquement. Lors du Zef manquement, il ne peut excéder dix millions (10.000.000) d'ouguiyas.
En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder cinquante millions (50.000.000) d'ouguiya ou s'agissant d'une entreprise, 5% du chiffre d'affaires hors taxes du dernier exercice clos.
Le recouvrement des pénalités se fait conformément à la législation relative au recouvrement des créances de l'Etat, étrangères à l'impôt et au domaine.
Article 81: Les sanctions prononcées par l'Autorité de Protection des Données à caractère personnel sont prises sur la base d'un rapport établi par l'un de ses membres, désigné par le président de ladite Autorité.
Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister.
Article 82: Les sanctions prononcées par l'Autorité de Protection des Données à caractère personnel peuvent être rendues publiques sur décision de son président. Ce dernier peut également ordonner, aux frais des personnes sanctionnées, l'insertion de ces sanctions dans des publications, journaux ou autres supports qu'il aura désignés.
Article 83: Les sanctions et décisions prises par l'Autorité de Protection des Données à caractère personnel sont susceptibles de recours devant la Cour Suprême.
Section 4 : des dispositions pénales
Article 84: Est puni d'un (1) à trois (3) mois d'emprisonnement et de cent mille (100.000) à un million (1.000.000) d'ouguiyas d'amende, ou de l'une de ces deux peines seulement, le fait d'entraver, intentionnellement et sans droit, l'action de l'Autorité de Protection des Données à caractère personnel soit :
Article 85: Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre, telles qu'elles sont prévues par la présente loi, est puni d'un (1) à deux (2) mois d'emprisonnement et de cinquante (50.000) à cinq cent mille (500.000) Ouguiya d'amende ou de l'une de ces deux peines seulement.
Article 86: Est puni des mêmes peines prévues à l'article précédent le fait, même par erreur, imprudence ou négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues aux articles 77, 78, ou 79 de la présente loi.
Article 87: Est puni des mêmes peines prévues à l'article 85 le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite.
Article 88: Est puni des mêmes peines prévues à l'article 85, le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures de sécurité prévues par la présente loi.
Article 89: Est puni des mêmes peines prévues à l'article 85, le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette dernière, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes.
Article 90: Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'identité de celles-ci, est puni de quinze jours (15) à un (1) mois d'emprisonnement et de cinquante (50.000 ) à cinq cent mille (500.000) ouguiya d'amende ou de l'une de ces deux peines seulement.
Article 91: Est puni des mêmes peines prévues à l'article précédent le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté judiciaires.
Article 92: Le fait de conserver et/ou de traiter des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à l'Autorité de Protection des Données à caractère personnel, est puni de quinze jours (15) à un (1) mois d'emprisonnement et de cent (100.000) à cinq cent mille (500.000) ouguiya d'amende ou de l'une de ces deux peines seulement, sauf si cette conservation est effectuée, dans les conditions prévues par la loi, à des fins historiques, statistiques ou scientifiques.
Article 93: Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité, telle que définie par la loi, le règlement ou la décision de l'Autorité de Protection des Données à caractère personnel autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni d'un (1) à trois(3) mois d'emprisonnement et de cent mille (100.000) à un million (1.000.000) d'ouguiyas d'amende ou de l'une de ces deux peines seulement.
Article 94: Hormis les cas où la loi en dispose autrement, le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération d'une personne ou à l'intimité de la vie privée de celle-ci, de porter sans autorisation de cette personne, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni d'un (1) à trois (3) mois d'emprisonnement et de cent mille (100.000) à un million (1.000.000) d'ouguiyas d'amende ou de l'une de ces deux peines seulement.
La divulgation prévue à l'alinéa précédent, lorsqu'elle a été commise par imprudence ou négligence, est punie de quinze jours (15) à (2) mois d'emprisonnement et de cinquante mille (50.000) à deux cents (200.000) ouguiya d'amende ou de l'une de ces deux peines seulement.
Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.
Article 95: Dans les cas prévus aux articles ci-dessus de la présente section, l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné.
Les membres et les agents de l'autorité de protection des données à caractère personnel sont habilités à constater l'effacement de ces données.
Article 96: Les personnes morales autres que l'Etat, les collectivités locales et les établissements publics sont pénalement responsables des infractions prévues par la présente loi, commises pour leur compte, par une personne physique, agissant soit individuellement, soit en tant que membre d'un organe de la personne morale, qui exerce un pouvoir de direction en son sein, fondé sur:
La personne morale peut être tenue pour responsable lorsque l'absence de surveillance ou de contrôle de la part d'une personne physique mentionnée au paragraphe précédent a rendu possible la commission de l'infraction.
La responsabilité des personnes morales n'exclut pas celle des personnes physiques auteurs ou complices des mêmes faits.
Article 97: Les peines encourues par les personnes morales sont :
Article 98: Le procureur de la République avise le président de l'Autorité de Protection des Données à caractère personnel de toutes les poursuites relatives aux infractions pénales prévues par la présente loi, et le cas échéant, des suites qui leur sont données.
Il l'informe de la date et de l'objet de l'audience de jugement au moins dix jours avant cette date.
La juridiction d'instruction ou de jugement peut appeler le président de l'Autorité de Protection des Données à caractère personnel ou son représentant à déposer ses observations ou à les développer oralement à l'audience.
Les dispositions de la présente section s'appliquent sans préjudice des règles relatives à la liberté de presse en vigueur en République Islamique de Mauritanie, notamment l'ordonnance n° 2006-017 du 12 juillet 2006 sur la liberté de la presse et ses textes subséquents, et la loi n° 2010045 du 26 juillet 2010, relative à la communication audiovisuelle, ainsi qu'aux sanctions applicables en cas d'infraction aux règles organisant cette liberté.
CHAPITRE VII : DISPOSITIONS TRANSITOIRES ET FINALES
Article 99: A compter de la date d'entrée en vigueur de la présente loi et de la mise en place effective de l'Autorité de Protection des Données à caractère personnel, tous les traitements de données à caractère personnel doivent répondre aux prescriptions de celle-ci, dans les délais ci-après :
I. trois ans, pour les traitements de données opérés pour le compte de l'Etat, d'un établissement public, d'une collectivité locale ou d'une personne morale de droit privé gérant un service public ;
2. deux ans, pour les traitements de données à caractère personnel effectués pour le compte de personnes autres que celles soumises aux dispositions du point précédent.
Article 100: A défaut de la régularisation dans les délais fixés à l'article précédent, les traitements sont réputés avoir été exercés sans déclaration ou sans autorisation au mépris des dispositions de la présente loi.
Article 101: La présente loi sera exécutée comme loi de l'Etat et publiée au Journal Officiel de la République Islamique de Mauritanie.
Fait à Nouakchott, le 22 Juillet 2017
Mohamed Ould ABDEL AZIZ
Le Premier Ministre
Yahya Ould HADEMINE
Ministre de l'Emploi, de la Formation Professionnelle et des Technologies de l'Information et de la Communication
WorldLII:
Copyright Policy
|
Disclaimers
|
Privacy Policy
|
Feedback
URL: http://www.worldlii.org/int/other/NDPrivLegis/2017/3.html