Home | Databases | WorldLII | Search | Feedback National Data Privacy Legislation

Mauritania: Projet de loi sur la protection des donnees personnelles (in French [2017] NDPrivLegis 2 (1 January 2017)

Projet de loi sur la protection des données personnelles

REPUBLIQUE ISLAMIQUE DE MAURITANIE
Honneur-Fraternité-Justice

Le Premier Ministère

Projet de loi sur les Données Personnelles.

Exposé des Motifs

Depuis la mise en place d'institutions démocratiques garantissant les libertés individuelles et le respect de la vie privée des citoyens, aucune disposition juridique n'envisageait les aspects liés à la protection des données personnelles.

Ce contexte a ainsi créée un vide juridique empêchant toute forme de sanction sur les atteintes à la vie privé mais aussi laissant les citoyens dans l'insécurité pour toutes les données liées à leur vie privée.

Ce projet de texte ne remet pas en cause les attributions prévues par la Loi N° 2011-003 abrogeant et remplaçant la loi N° 96019 du 19 juin 1996 portant Code de l'Etat Civil ainsi que celle prévues par le décret 2010-150 portant création, organisation et fonctionnement de l'Agence Nationale du Registre des Populations et des Titres Sécurisés (ANRPTS).

Une législation dans ce domaine aura pour vocation à fixer le cadre juridique global de la mise en œuvre de toute forme de traitement de données personnelles en posant de manière expresse les différents mécanismes et les droits des personnes visées par un traitement de données personnelles.

Ce projet de loi sera de nature à :

✓ Renforcer la sécurité publique et celle des citoyens;
✓ Renforcer les droits des citoyens;
✓ Protéger contre les atteintes à la vie privée.

Telle est l'économie du présent projet de loi soumis à votre approbation.

Le Premier Ministre
Yahya Ould Hademine

Projet de loi n° sur les données personnelles.

CHAPITRE PREMIER : DISPOSITIONS GENERALES

Section Première : Objet de la loi sur les données personnelles Article Premier : Cette loi ne remet pas en cause les attributions prévues par la Loi N° 2011-003 abrogeant et remplaçant la loi N° 96019 du 19 juin 1996 portant Code de l'Etat Civil ainsi que celle prévues par le décret 2010-150 portant création, organisation et fonctionnement de l'Agence Nationale du Registre des Populations et des Titres Sécurisés (ANRPTS).

Elle a pour objet de mettre en place un cadre normatif et institutionnel sur le traitement de données personnelles en vue de garantir de meilleurs services, de prévenir et de lutter contre les atteintes à la vie privée susceptibles d'être occasionnées par l'utilisation des nouvelles technologies de l'information et de la communication.

Elle pose les conditions dans lesquelles tout traitement portant sur des données personnelles, sous quelque forme que ce soit, respecte les libertés et droits fondamentaux des citoyens.

Elle veille à ce que le recours aux nouvelles Technologies de l'Information et de la Communication (TIC) ne porte pas atteinte aux libertés individuelles ou publiques, notamment à la vie privé et aux droits fondamentaux de la personne.

Section II : Définitions

Article 2 : Au sens de la présente loi, on entend par :

1. Communication électronique: les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique au sens de la loi n°2013-025 portant sur les communications électroniques.
2. Code de conduite: tout projet de règles, notamment les chartes d'utilisation, élaboré par le responsable du traitement, en conformité avec la présente loi, afin d'instaurer un usage correct des ressources informatiques, de l'Internet et des communications électroniques de la structure concernée et homologué par l'Autorité de Protection des Données Personnelles;
3. Consentement de la personne dont les données personnelles font l'objet d'un traitement : toute manifestation de volonté expresse, non équivoque et libre, par laquelle la personne concernée ou son représentant légal, accepte que ses données personnelles fassent l'objet d'un traitement manuel ou électronique ;
4. Copies temporaires: données copiées temporairement dans un espace dédié, pour une durée limitée dans le temps, pour les besoins du fonctionnement du logiciel de traitement;
5. Données personnelles: toute information, quel que soit son support et de quelque nature qu'elle soit, y compris le son et l'image, relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ;
6. Données génétiques: toute information concernant les caractères héréditaires d'un individu ou d'un groupe d'individus apparentés;
7. Données sensibles: toute information relative aux opinions ou activités religieuse, philosophique, politique, syndicale, à la vie sexuelle ou raciale, à la santé, aux mesures d'ordre social, aux poursuites, aux sanctions pénales ou administratives ;
8. Données dans le domaine de la santé: toute information concernant l'état physique et mental d'une personne concernée ;
9. Fichier de données personnelles: tout ensemble structuré de données personnelles accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
10. Interconnexion des données personnelles : la mise en relation de données personnelles traitées pour une finalité déterminée avec d'autres données traitées pour des finalités identiques ou non ;
11. Pays tiers: tout Etat autre que la Mauritanie;
12. Responsable du traitement : la personne physique ou morale, publique, privée ou tout autre organisme ou association qui, seul ou conjointement avec d'autres, prend la décision de collecter et de traiter des données personnelles ;
13. Sous-traitant: toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement
14. Traitement des données personnelles: toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés ou non, et appliquées à des données personnelles, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction

Section III: Champ d'application

Article 3 : Le champ d'application de la présente loi sur les données personnelles concerne:

1. tout traitement de données personnelles effectué par une personne physique, par l'Etat, les collectivités locales, les personnes morales de droit public ou de droit privé;
2. tout traitement mis en œuvre par un responsable sur le territoire mauritanien ou en tout lieu où la loi mauritanienne s'applique;
3. tout traitement mis en œuvre par un responsable, établi ou non sur le territoire mauritanien, qui recourt à des moyens de traitement situés sur le territoire national, à l'exclusion des moyens qui ne sont utilisés qu'à des fins de transit;
4. tout traitement des données concernant la sécurité publique, la défense, la recherche et la poursuite d'infractions pénales ou la sûreté de l'Etat, mêmeliées à un intérêt économique ou financier important de l'Etat, sous réserve des dérogations que définit la présente loi et des dispositions spécifiques en la matière fixées par d'autres lois;

Article 4 : Les dispositions de cette loi sur les données personnelles ne s'appliquent pas :

1. aux traitements de données mis en Suvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition toutefois que les données ne soient pas destinées à une communication systématique à des tiers ou à la diffusion ;
2. aux copies temporaires faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.

CHAPITRE II : PRINCIPES FONDAMENTAUX RELATIFS AUX TRAITEMENTS DES DONNEES PERSONNELLES

Section Première : Principes de base relatifs au traitement des données personnelles

Article 5 : Le traitement des données personnelles sans le consentement de la personne concernée, est interdit.

Toutefois, il peut être dérogé à cette exigence du consentement lorsque le traitement est nécessaire :

1. au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
2. à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées;
3. à l'exécution d'un contrat auquel la personne concernée est partie ;
4. à la sauvegarde de l'intérêt ou des droits et libertés fondamentaux de la personne concernée.

Article 6 : La collecte, l'enregistrement, le traitement, le stockage et la transmission des données personnelles doivent se faire de manière licite, loyale et non frauduleuse.

Article 7 : Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec les finalités prédéfinies.

Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement.

Elles doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.

Au-delà de cette durée, les données personnelles ne peuvent faire l'objet d'une conservation qu'en vue de répondre spécifiquement à un traitement à des fins historiques, statistiques ou de recherches en vertu des dispositions légales.

Article 8 : Les données personnelles collectées doivent être exactes et, si nécessaire, mises à jour. Toute mesure raisonnable doit être prise pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées et traitées, soient effacées ou rectifiées.

Article 9 : Le traitement des données à caractère personnel s'effectue conformément au principe de transparence qui implique une information obligatoire de la part du responsable du traitement portant sur les données personnelles.

Article 10 : Les données personnelles sont traitées de manière confidentielle et sont protégées conformément aux dispositions de l'article 47 de la présente loi, notamment lorsque le traitement comporte des transmissions de données dans un réseau.

Article 11 : Tout traitement de données personnelles effectué pour le compte du responsable du traitement doit être régi par un acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n'agit que sur la seule instruction du responsable du traitement et que les obligations prévues par la présente loi incombent également à celui-ci.

Dans le cadre de la sous-traitance pour des activités liées au traitement de données, toute personne participant à l'exécution de la mission est soumise à l'obligation de confidentialité.

Section II : Principes spécifiques au traitement de certaines catégories de données personnelles

Article 12 : Il est interdit de procéder à la collecte et à tout traitement qui révèlent l'origine raciale, ethnique, linguistique ou régionale, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, la vie sexuelle, les données génétiques ou plus généralement celles relatives à l'état de santé de la personne concernée.

Article 13 : L'interdiction fixée à l'article précédent ne s'applique pas pour les catégories de traitements suivantes lorsque :

1. le traitement des données personnelles porte sur des données manifestement rendues publiques par la personne concernée ;
2. la personne concernée a donné son consentement par écrit, quel que soit le support, à un tel traitement ;
3. le traitement des données personnelles est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;
4. le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ;
5. une procédure judiciaire ou une enquête pénale est ouverte ;
6. le traitement des données personnelles s'avère nécessaire pour un motif d'intérêt public notamment à des fins historiques, statistiques ou scientifiques ;
7. le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie;
8. le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis;
9. le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou est effectué par une autorité publique ou est assigné par une autorité publique au responsable du traitement ou à un tiers, auquel les données sont communiquées;
10. le traitement est effectué dans le cadre des activités légitimes d'une fondation, d'une association ou de tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse, mutualiste ou syndicale. Toutefois, le traitement doit se rapporter aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées.

Article 14 : Le traitement des données personnelles relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être mis en Suvre que par:

1. les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales;
2. les auxiliaires de justice pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi.

Article 15 : Le traitement des données personnelles à des fins de santé n'est légitime que :

1. lorsque la personne concernée a donné son consentement ;
2. lorsqu'il porte sur des données manifestement rendues publiques par la personne concernée;
3. lorsqu'il est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où celle-ci se trouve dans l'incapacité physique ou juridique de donner son consentement ;
4. lorsqu'il est nécessaire à la réalisation d'une finalité fixée par la loi;
5. lorsqu'il est nécessaire à la promotion et à la protection de la santé publique y compris le dépistage;
6. lorsqu'il est nécessaire pour la prévention d'un danger concret ou la répression d'une infraction pénale déterminée;
7. lorsqu'il est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ;
8. lorsqu'il est nécessaire aux fins de médecine préventive, de diagnostics médicaux, de l'administration de soins ou de traitements soit à la personne concernée, soit de son parent ou lorsque les services de santé agissent dans l'intérêt de la personne concernée.

Article 16 : Les données personnelles relatives à la santé sont collectées auprès de la personne concernée. Elles ne peuvent être collectées auprès d'autres sources qu'à condition que la collecte soit nécessaire aux fins du traitement ou que la personne concernée ne soit pas en mesure de fournir les données elle-même.

Article17: Le traitement des données personnelles réalisé aux fins de journalisme, de recherche ou d'expression artistique ou littéraire est admis lorsqu'il est mis en Suvre aux seules fins d'expression littéraire et artistique ou d'exercice, à titre professionnel, de l'activité de journaliste ou chercheur, dans le respect des règles déontologiques, législatives ou réglementaires de ces professions.

Les dispositions de la présente loi ne font pas obstacle à l'application des dispositions des lois relatives à la presse écrite ou audiovisuelle et du code pénal.

Article 18 : Il est interdit de procéder à la prospection directe à l'aide de tout moyen de communication utilisant, sous quelque forme que ce soit, les données personnelles d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir de telles prospections.

Les données personnelles ne sont communiquées à des tiers ou utilisées à des fins de prospection que dès lors que la personne concernée a formellement exprimée son accord.

Article 19 : Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé des données personnelles destiné à évaluer certains aspects de sa personnalité.

Aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé des données personnelles destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité

Section III : Principes spécifiques au transfert des données personnelles vers un pays tiers

Article 20 : Le responsable d'un traitement ne peut transférer des données personnelles vers un pays tiers que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font ou peuvent faire l'objet.

Article 21 : Avant tout transfert des données personnelles vers un pays tiers, le responsable du traitement doit préalablement informer l'Autorité de Protection des Données Personnelles. Le transfert de données personnelles ne peut se faire que selon les conditions et règles de procédure arrêtées par l'Autorité de Protection des Données Personnelles.

Article 22 : Avant tout traitement des données personnelles provenant de l'étranger, l'Autorité de Protection des Données Personnelles doit préalablement, vérifier que le responsable du traitement assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes concernées.

Article 23 : Le caractère suffisant du niveau de protection s'apprécie en fonction notamment des mesures de sécurité qui y sont appliquées conformément à la présente loi, des caractéristiques propres du traitement, telles que ses finalités, sa durée ainsi que de la nature, de l'origine et de la destination des données traitées.

Article 24 : Le responsable d'un traitement peut transférer des données personnelles vers un pays tiers ne répondant pas aux conditions prévues à l'article 21 de la présente loi si le transfert est ponctuel, non massif et que la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes:

1. à la sauvegarde de la vie de cette personne;

2. à la sauvegarde de l'intérêt public ;
3. au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ;
4. à l'exécution d'un contrat entre le responsable du traitement et l'intéressé.

Article 25 : L'Autorité de Protection des Données Personnelles peut autoriser, sur la base d'une demande dûment motivée, un transfert ou un ensemble de transferts de données vers un pays tiers et n'assurant pas un niveau de protection adéquat, ceci lorsque le responsable du traitement offre des garanties suffisantes au regard des dispositions de la présente loi.

Section IV : Interconnexion des fichiers comportant des données personnelles

Article 26 : L'interconnexion de fichiers portant sur des données personnelles constitue un traitement au sens du point 14 de l'article 2 de la présente loi.

Article 27 : L'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents doit faire l'objet d'une autorisation de l'Autorité de Protection des Données Personnelles.

Il en est de même pour les traitements mis en œuvre par l'Etat aux fins de mettre à la disposition des usagers de l'administration un ou plusieurs services à distance dans le cadre de l'administration électronique.

Article 28: L'interconnexion de fichiers relevant de personnes privées et dont les finalités principales sont différentes est également soumise à autorisation de l'Autorité de Protection des Données Personnelles.

Article 29 : Toute interconnexion des fichiers doit permettre d'atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables des traitements et des bénéficiaires ou usagers.

Elle ne peut pas entraîner de discrimination ou de réduction des droits, libertés et garanties pour les personnes concernées ni être assortie de mesures de sécurité appropriées et doit tenir compte du principe de pertinence des données faisant l'objet de l'interconnexion.

Article 30 : La demande d'autorisation d'interconnexion comprend toute information sur:

1. la nature des données personnelles relative à l'interconnexion ;
2. la finalité pour laquelle l'interconnexion est considérée nécessaire;
3. la durée pour laquelle l'interconnexion est permise;
4. et toute autre information utile à la prise de décision.

Article 31 : La demande d'autorisation d'interconnexion ainsi que les autorisations d'interconnexion sont inscrites sur le répertoire des traitements.

CHAPITRE III - DES FORMALITES PREALABLES AU TRAITEMENT DES
DONNEES A CARACTERE PERSONNEL

Section I : Des dispenses de formalités

Article 32 : Sont dispensés de toutes les formalités préalables à un traitement des données personnelles quel que soit le support à un tel traitement en conformité avec les textes en vigueur, les traitements :

1. mentionnés à l'article 4 de la présente loi;
2. les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;
3. les traitements mis en œuvre par une association ou tout organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical dès lors que ces données correspondent à l'objet de cette association ou de cet organisme, qu'elles ne concernent que leurs membres et qu'elles ne doivent pas être communiquées à des tiers.

4. Réalisés avec le consentement par écrit de la personne concernée.

Section II : Du régime de la déclaration

Article 33 : Tous les traitements de données en dehors des cas prévus aux articles 32 et 37 de la présente loi, doivent faire l'objet d'une déclaration devant l'Autorité de Protection des Données Personnelles.

La déclaration, conforme à un modèle établi par l'Autorité de Protection des Données Personnelles, comporte l'engagement que le traitement satisfait aux exigences de la loi.

L'Autorité de Protection des Données Personnelles atteste par un accusé de réception toute déclaration. Elle délivre, sans délai de un (1) mois un récépissé qui permet au demandeur de mettre en œuvre le traitement envisagé.

Le délai d'un (1) mois visé à l'alinéa précédent peut être prorogé une fois sur décision motivée de l'Autorité Protection des Données Personnelles.

Toutefois, seul le récépissé donne droit à la mise en œuvre d'un traitement.

Article 34Lorsque des traitements des données à caractère personnel relèvent d'un même organisme et ont des finalités identiques ou liées entre elles peuvent faire l'objet d'une déclaration unique.

Dans ce cas, les informations requises en application de l'article 43 de la présente loi ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.

Article 35 : Pour les catégories les plus courantes de traitement des données à caractère personnel dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés l'Autorité de Protection des Données Personnelles établit et publie des normes destinées à simplifier ou à exonérer l'obligation de déclaration.

Les normes relatives à la déclaration simplifiée précisent:

1. les finalités des traitements faisant l'objet d'une déclaration simplifiée;
2. les données à caractère personnel ou catégories de données à caractère personnel traitées;
3. la ou les catégories de personnes concernées;
4. les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées;
5. la durée de conservation des données à caractère personnel.

Ces normes peuvent prendre en compte les codes de conduite homologués par l'Autorité de Protection des Données Personnelles.

Article 36: L'Autorité de Protection des Données Personnelles peut définir, parmi les catégories de traitements visées à l'article 35 de la présente loi, celles qui sont dispensées de déclaration. Pour ce faire, l'Autorité de Protection des Données Personnelles tient compte de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées.

Dans les mêmes conditions, l'Autorité de Protection des Données Personnelles peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique conformément aux dispositions de l'article 34 de la présente loi.

Section III: Du régime de l'autorisation

Article 37Ne sont mis en œuvre qu'après autorisation de l'Autorité de Protection des Données Personnelles :

1. les traitements des données personnelles portant sur des données génétiques et sur la recherche dans le domaine de la santé;
2. les traitements des données personnelles portant sur des données relatives aux infractions, condamnations ou mesures de sûreté;
3. les traitements des données personnelles ayant pour objet une interconnexion de fichiers ;
4. les traitements portant sur un numéro national d'identification ou tout autre identifiant de portée générale;
5. les traitements des données personnelles comportant des données biométriques ;
6. les traitements des données personnelles ayant un motif d'intérêt public notamment à des fins historiques, statistiques ou scientifiques.

Article 38 : Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de l'Autorité de Protection des Données Personnelles. Dans ce cas, le responsable de chaque traitement adresse à l'Autorité de Régulation un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

Article 39 : L'Autorité de Protection des Données Personnelles se prononce dans un délai de deux (2) mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque l'Autorité de Protection des Données Personnelles ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.

Section IV : Du régime de d'autorisation sur avis de l'Autorité de Protection des Données Personnelles

Article 40Hormis les cas où ils doivent être autorisés par la loi et par dérogation aux articles précédents, les traitements des données personnelles opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité locale ou d'une personne morale de droit privé gérant un service public, sont autorisés par acte réglementaire pris après avis motivé de l'Autorité de Protection des Données Personnelles.

Ces traitements portent sur:

1. la sûreté de l'Etat, la défense ou la sécurité publique;
2. la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté;
3. le recensement de la population;
4. les données personnelles faisant apparaître, directement ou indirectement, les origines raciales, ethniques ou régionales, la filiation, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ;
5. le traitement de salaires, pensions, impôts, taxes et autres liquidations
6. la mise en œuvre du recouvrement des ressources de l'Etat. Article 41: L'Autorité de Protection des Données Personnelles saisie d'une demande d'avis se prononce dans un délai de deux (2) mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.

Si l'Autorité de Protection des Données Personnelles saisie ne se prononce pas jusqu'à l'expiration du délai fixé à l'alinéa précédent, l'avis est réputé favorable.

Article 42 : L'acte réglementaire pris sur avis de l'Autorité de Protection des Données Personnelles et autorisant les traitements visés à l'article 40 de la présente loi précise :

7. la dénomination et la finalité du traitement;
8. le service auprès duquel s'exerce le droit d'accès ;
9. les catégories des données à caractère personnel enregistrées;
10. les destinataires ou catégories de destinataires habilités à recevoir communication de ces données;
11. les dérogations à l'obligation d'information prévues par les dispositions de l'article 50 de la présente loi, s'il y'a lieu.

Section V : Dispositions communes

Article 43: Les demandes d'avis, les déclarations et les demandes d'autorisations doivent préciser :

1. l'identité et l'adresse du responsable du traitement ou, si celui-ci n'est pas établi sur le territoire national, celles de son représentant dûment mandaté ;
2. la ou les finalités du traitement
3. les interconnexions envisagées ou toutes autres formes de mise en relation avec d'autres traitements;
4. les données personnelles traitées, leur origine et les catégories de personnes concernées par le traitement ;
5. la durée de conservation des informations traitées ;
6. le ou les services chargés de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées;
7. les destinataires habilités - ou non - à recevoir communication des données;
8. la fonction de la personne ou le service auprès duquel s'exerce le droit d'accès;
9. les dispositions prises pour assurer la sécurité des traitements et des données;
10. l'indication du recours à un sous-traitant s'il y a lieu ;
11. les transferts de données personnelles envisagés à destination d'un pays tiers.

Les demandes d'avis portant sur les traitements intéressant la sûreté de l'État, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d'information énumérés ci-dessus sous réserve des informations minimales prévues à l'article 42.

Article 44 : Le responsable d'un traitement déjà déclaré ou autorisé procède à une nouvelle déclaration ou demande d'autorisation auprès de l'Autorité de Protection des Données Personnelles en cas de changement affectant les informations mentionnées à l'article précédent.

Article 45 : L'avis, la déclaration ou la demande d'autorisation peut être adressé à l'Autorité de Protection des Données Personnelles par voie électronique, par voie de transmission classique sur support papier ou par voie postale.

L'Autorité de Protection des Données Personnelles délivre un récépissé de réception, le cas échéant par voie électronique.

L'Autorité de Protection des Données Personnelles peut être saisie par toute personne, agissant par elle-même, par l'entremise de son avocat ou par toute autre personne physique ou morale dûment mandatée.

54

CHAPITRE IV : OBLIGATIONS RELATIVES AUX CONDITIONS DE
TRAITEMENTS DES DONNEES PERSONNELLES

Section I: Obligation de confidentialité

Article 46 : Le traitement des données personnelles est strictement confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l'autorité du responsable du traitement et seulement sur ses instructions.

Pour la réalisation du traitement, le responsable doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d'intégrité personnelle. Sans préjudice de l'application des dispositions de cette loi, un engagement écrit est signé des personnes amenées à traiter de telles données, à respecter la confidentialité et la sécurité des données.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations en matière de protection de la sécurité et de la confidentialité des données, incombant au sous-traitant ainsi qu'à ses agents intervenant au traitement des données personnelles. Il prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Section II : Obligation de sécurité

Article 47 : Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il prend, en particulier, toute mesure visant à :

1. garantir que les personnes autorisées ne puissent accéder qu'aux données personnelles relevant de leur compétence ;
2. garantir que puisse être vérifiée et constatée a posteriori l'identité des personnes ayant eu accès au système d'information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne;
3. garantir que puisse être vérifiée et constatée l'identité des tiers auxquels des données personnelles peuvent être transmises ;
4. empêcher toute personne non autorisée d'accéder aux locaux et aux équipements utilisés pour le traitement des données ;
5. empêcher que des supports de données puissent, en toute circonstance, être lus, copiés, modifiés, effacés, détruits ou déplacés par une personne non autorisée;
6. empêcher l'introduction non autorisée de toute donnée dans le système d'information ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées ;
7. empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données ;
8. sauvegarder les données par la constitution de copies de sécurité;
9. rafraîchir et si nécessaire convertir les données pour un stockage pérenne.

Section III : Obligation de conservation

Article 48 : Les données personnelles ne peuvent être conservées au-delà de la durée nécessaire qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques.

Section IV : Obligation de pérennité

Article 49 : Le responsable du traitement est tenu de prendre toute mesure utile pour assurer que les données personnelles traitées pourront être exploitées, ultérieurement, quel que soit le support technique utilisé.

Le responsable du traitement est tenu de sauvegarder les données par la constitution de copies de sécurité et si nécessaire de convertir les données pour un stockage pérenne.

CHAPITRE V : DROITS CONFERES AUX PERSONNES DONT LES DONNEES PERSONNELLES FONT L'OBJET D'UN TRAITEMENT

Section première : Droit à l'information

Article 50 : Lorsque des données personnelles sont collectées directement auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à celle-ci, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, les informations suivantes :

1. l'identité du responsable du traitement ou de son représentant ;
2. la ou les finalité(s) du traitement auquel les données sont destinées ;
3. les catégories de données concernées ;
4. le ou les destinataires auxquels les données sont susceptibles d'être communiquées ;
5. le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d'un défaut de réponse;
6. l'existence d'un droit d'accès, de rectification et d'opposition aux données ;
7. la durée de conservation des données;
8. le cas échéant, les transferts des données envisagés à destination de l'étranger;
9. le fait de pouvoir demander à ne plus figurer sur le fichier, la procédure à suivre et ses conséquences.

Toutefois, les dispositions de cet article ne s'appliquent pas aux données recueillies et utilisées:

− lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté;

− dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement ou à la prévention, la recherche, la constatation et la poursuite de toute infraction;

− lorsque le traitement est nécessaire à la prise en compte d'un intérêt économique ou financier important de l'Etat, y compris dans les domaines monétaire, budgétaire, douanier et fiscal.

Article 51: Lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, les informations visées à l'article précédent sont transmises à ladite personne au moment de l'enregistrement des données ou, si leur communication est prévue, au plus tard lors de la première communication.

Article 52Sauf disposition contraire, toute personne utilisatrice des technologies de l'information et de la communication doit être informée de manière claire et complète par le responsable du traitement ou son représentant:

1. de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
2. des moyens dont elle dispose pour s'y opposer.

Il est formellement interdit de subordonner l'accès à un service disponible sur un réseau de communications électroniques à l'acceptation, par l'abonné ou l'utilisateur concerné, du traitement des informations stockées dans son équipement.

Toutefois, les dispositions de l'alinéa précédent ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement de l'utilisateur soit:

3. a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
4. est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

Section II : Droit d'accès

Article 53 : Toute personne physique justifiant de son identité a le droit de demander, par écrit, quel que soit le support, au responsable d'un traitement des données personnelles, de lui fournir :

1. les informations permettant de connaître et de contester le traitement ;
2. la confirmation que des données personnelles la concernant font ou ne font pas l'objet de ce traitement ;
3. la communication, sous une forme accessible et intelligible, des données personnelles qui la concernent ;
4. des informations relatives aux finalités du traitement, aux catégories de données personnelles traitées et aux destinataires auxquels les données sont communiquées ;
5. le cas échéant, des informations relatives aux transferts de données personnelles envisagés à destination d'un pays tiers.

Article 54 : Si la personne concernée en fait la demande, le responsable du traitement doit délivrer, à la personne concernée, une copie, quel que soit le support, des données personnelles la concernant.

Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme n'excédant pas le coût de la reproduction

En cas de risque de dissimulation ou de disparition des données personnelles, la personne concernée peut en informer l'Autorité de Protection des Données Personnelles qui prend toutes mesures de nature à éviter cette dissimulation ou cette disparition.

Article 55 : Toute personne qui dans l'exercice de son droit d'accès, a des raisons sérieuses d'admettre que les données qui lui ont été communiquées ne sont pas conformes aux données traitées, peut en informer l'Autorité de Protection des Données Personnelles qui procède aux vérifications nécessaires.

Article 56 : Le droit d'accès d'un patient aux données personnelles le concernant est exercé par le patient lui-même ou par l'intermédiaire d'un médecin qu'il désigne.

En cas de décès du patient, son conjoint vivant avec lui et ses enfants, s'il s'agit d'un mineur, ses parents (père ou mère), peuvent exercer le droit d'accès, par l'intermédiaire d'un médecin qu'ils désignent.

Article 57 : Le responsable du traitement des données personnelles peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.

En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable du traitement auprès duquel elles sont adressées.

Article 58: Par dérogation aux articles 53 et suivants de la présente loi, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions suivantes. :

1. la demande est adressée à l'Autorité de Protection des Données Personnelles qui désigne l'un de ses membres appartenant ou ayant appartenu à la Cour Suprême pour mener les investigations nécessaires. Celui-ci peut se faire assister d'un autre agent de l'Autorité de Régulation. Il est notifié au requérant qu'il a été procédé aux vérifications ;
2. lorsque l'Autorité de Protection des Données Personnelles constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant ;
3. lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

Section III: Droit d'opposition

Article 59 : Sauf dans le cas d'un traitement répondant à une obligation légale, toute personne physique a le droit de s'opposer sans aucun frais, à ce que des données personnelles la concernant fassent l'objet d'un traitement.

La personne concernée a le droit, d'une part, d'être informée avant que des données la concernant ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et, d'autre part, de se voir expressément offrir le droit de s'opposer, gratuitement, à ladite communication ou utilisation.

Article 60 : Toute personne concernée par un traitement, a le droit de s'opposer sous réserve des exceptions légales, à ce que les données personnelles la concernant fassent l'objet de la levée du secret professionnel.

60

Section IV : Droit de rectification et suppression

Article 61 : Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données personnelles la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Article 62 : Lorsque l'intéressé en fait la demande par écrit, quel que soit le support, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'article précédent dans un délai d'un (1) mois après l'enregistrement de la demande.

En cas de contestation, la charge de la preuve incombe au responsable du traitement auprès duquel est exercé le droit de rectification.

Si une donnée a été transmise à un tiers, le responsable du traitement est tenu d'accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

Article 63 : Les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable de ce traitement qu'il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.

Lorsque les héritiers en font la demande, le responsable du traitement justifie, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'article précédent.

CHAPITRE VI : DE LA REGULATION EN MATIERE DE PROTECTION DES
DONNEES PERSONNELLES

Section première: Autorité de Protection de Données personnelles

Article 64: Il est créé une Autorité de Protection des Données Personnelles chargée de veiller à ce que les traitements des données personnelles en Mauritanie soient mis en œuvre conformément aux dispositions de la présente loi.

L'Autorité de Protection des Données Personnelles est une personne morale de droit public, indépendante, dotée de l'autonomie financière et de gestion. Elle est rattachée au Premier Ministre.

Elle informe les personnes concernées et les responsables de traitement de leurs droits et obligations et s'assure que les Technologies de l'Information et de la Communication ne comportent pas de menace au regard des libertés publiques et de la vie privée.

Article 65 : Les membres de l'Autorité de Protection des Données Personnelles jouissent d'une immunité totale pour les opinions émises dans l'exercice ou à l'occasion de l'exercice de leur fonction.

Dans l'exercice de leur attribution, les membres de l'Autorité de Protection des Données Personnelles ne reçoivent d'instruction d'aucune autorité.

Article 66Les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel prennent toutes mesures afin de faciliter la tâche à de l'Autorité de Protection des Données Personnelles. Sauf si la loi en dispose autrement et sous réserve du droit d'opposition à la visite visé à l'article 68 de la présente loi, ils ne peuvent s'opposer à l'action de l'Autorité de Protection des Données Personnelles pour quelque motif que ce soit.

Section II: Des attributions de l'Autorité de Protection des Données Personnelles

Article 67: L'Autorité de Protection des Données Personnelles exerce les missions suivantes :

1) elle veille à ce que les traitements des données personnelles soient mis en œuvre conformément aux dispositions de la présente loi;

2) elle informe les personnes concernées et les responsables de traitement de leurs droits et obligations. A cet effet,

1. elle reçoit les formalités préalables à la création de traitements des données personnelles;
2. elle reçoit les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements des données personnelles et informe leurs auteurs des suites données à celles-ci ;

100. elle informe sans délai le procureur de la République des infractions dont elle a connaissance et elle peut ester en justice en cas de violation de la présente loi;

4. elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services de procéder à des vérifications portant sur tout traitement et, le cas échéant, d'obtenir des copies de tout document ou support d'information utile à sa mission ;
5. elle peut, dans les conditions définies aux articles 72 et suivants de la présente loi prononcer une sanction à l'égard d'un responsable de traitement ;
6. elle répond à toute demande d'avis.

3) elle homologue les codes de bonne conduite qui lui sont présentés ;

4) elle tient un répertoire des traitements des données personnelles à la disposition du public ;

5) elle conseille les personnes et organismes qui ont recours aux traitements des données personnelles ou qui procèdent à des essais ou expériences de nature à aboutir à de tels traitements ;

6) elle autorise, dans les conditions prévues par la présente loi, les transferts transfrontaliers des données personnelles;

7) elle présente au gouvernement toute suggestion susceptible de simplifier et d'améliorer le cadre législatif et réglementaire à l'égard du traitement des données personnelles;

8. elle coopère avec les autorités de protection des données personnelles des pays tiers, participe aux négociations internationales en matière de protection des données personnelles ;
9. elle publie les autorisations accordées et les avis émis dans le répertoire des traitements des données personnelles ;
10. elle établit chaque année un rapport d'activités remis au Premier Ministre et au Parlement et au Ministre en charge des communications électroniques

Section III: Contrôles, Sanctions administratives et pécuniaires

Article 68 : Les agents de Autorité de Protection des Données Personnelles ainsi que les agents de service assermentés ont accès, dans les conditions prévues par les dispositions des article 46 et suivants du Code de Procédure Pénale relatifs à la répression des infractions flagrantes, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en Suvre d'un traitement des données personnelles et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.

Le Procureur de la République territorialement compétent en est préalablement informé.

Article 69 : En cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation de l'autorité judiciaire compétente dans le ressort duquel sont situés les locaux à visiter ou du juge délégué par lui.

Ce magistrat est saisi à la requête du Président de Protection des Données Personnelles. Il statue par une ordonnance motivée, en procédure d'urgence et sans représentation obligatoire.

Article 70 : Les agents de l'Autorité de Protection des Données Personnelles et les agents mentionnés à l'article 68 de la présente loi peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie.

Ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles. Ils peuvent accéder aux programmes informatiques et aux données, demander la transcription de tout traitement dans des documents appropriés directement utilisables pour les besoins du contrôle.

Ils peuvent être assistés par des experts choisis par le Président de ladite autorité.

Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application des articles précédents.

Article 71 : L'Autorité de Protection des Données Personnelles peut prononcer les mesures suivantes :

1. un avertissement à l'égard du responsable du traitement ne respectant pas les obligations découlant de la présente loi et des dispositions réglementaires en vigueur.
2. une mise en demeure de faire cesser les manquements concernés dans le délai qu'elle fixe.

Article 72: Si le responsable du traitement ne se conforme pas à la mise en demeure qui lui a été adressée, l'Autorité de Protection des Données Personnelles peut prononcer à son encontre, après procédure contradictoire, les sanctions suivantes :

1. un retrait provisoire de l'autorisation accordée pour une durée maximum de trois mois,
2. un retrait définitif de l'autorisation accordée; le retrait définitif peut faire suite à une période de retrait provisoire à l'issue de laquelle le responsable du traitement ne se serait pas conformé aux exigences de la mise en demeure
3. une amende pécuniaire dans les conditions prévues à l'article 74 de la présente loi.

Article 73 : En cas d'urgence, lorsque la mise en œuvre d'un traitement ou l'exploitation de données personnelles entraîne une violation de droits et libertés, l'Autorité de Protection des Données Personnelles, après procédure contradictoire, peut décider :

1. l'interruption de la mise en œuvre du traitement pour une durée maximale de trois mois;
2. le verrouillage de certaines données personnelles traitées pour une durée maximale de trois mois;

3. l'interdiction temporaire ou définitive d'un traitement contraire aux dispositions de la présente loi.

Si le traitement a été autorisé par acte réglementaire dans les conditions définies à l'article 42 de la présente loi, l'Autorité Protection des Données Personnelles informe le Ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée.

Le Ministre fait alors connaître à l'Autorité Protection des Données Personnelles les suites qu'il a données à cette information au plus tard quinze jours après l'avoir reçue.

Article 74: En cas de manquements aux dispositions légales et réglementaires relatives aux données personnelles, hormis les sanctions ci-dessus, l'Autorité de Protection des Données Personnelles peut prendre des pécuniaires à l'encontre des contrevenants.

Le montant de la sanction pécuniaire est proportionné la gravité du manquement. Lors du 1er manquement, il ne peut excéder: 1 000 000 Ouguiyas

En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 5 000 000 Ouguiyas ou, s'agissant d'une entreprise, 5 % du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de XXX.

Le recouvrement des pénalités se fait conformément à la législation relative au recouvrement des créances de l'Etat étrangères à l'impôt et au domaine.

Article 75 : Les sanctions prononcées par l'Autorité de Protection des Données Personnelles le sont sur base d'un rapport établi par l'un de ses membres désigné par le président de l'Autorité de Protection des Données Personnelles.

Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister.

Article 76 : Les sanctions prononcées par l'Autorité de Protection des Données Personnelles peuvent être rendues publiques sur décision de son président. Il peut également ordonner, aux frais des personnes sanctionnées, l'insertion de ces sanctions dans des publications, journaux et supports qu'il désigne.

Article 77: Les sanctions et décisions prises par l'Autorité de Protection des Données Personnelles sont susceptibles de recours devant la Cour Suprême.

CHAPITRE VII: DISPOSITIONS FINALES

Article 78 : A compter de la date d'entrée en vigueur de la présente loi et de la mise en place effective de l'Autorité de Protection des Données Personnelles, tous les traitements de données personnelles doivent répondre aux prescriptions de celle-ci, dans les délais ci-après:

1. trois ans pour les traitements de données opérés pour le compte de l'Etat, d'un établissement public, d'une collectivité locale ou d'une personne morale de droit privé gérant un service public
2. deux ans pour les traitements de données personnelles effectuées pour le compte de personnes autres que celles soumises aux dispositions de l'alinéa précédent.

Article 79 : A défaut de la régulation dans les délais précités à l'article précédent, les traitements sont réputés être exercés sans déclaration ou sans autorisation conformément aux dispositions de la présente loi.