Politique de confidentialité

Politique de confidentialite

  1. ASSOCIATION MAGHREB SECOURS – APPLICATION MOBILE KARAM
    Charte de protection de vos données personnelles – dernière mise à jour le 29/11/2022

Nous vous fournissons un accès à vos données. Vous pouvez nous contacter en envoyant un mail à contact-donnees@karam.ma pour la rectification, la limaitation, l’opposition, la suppression et la portabilité. Nous vous informons que dès réception de votre mail, nous traiterons celui-ci en vous certifiant que votre demande sera effectuée dans les plus brefs délais. Toutetois en vous prévenant qu’une période de traitement pourra se faire entre 1 jour ouvrable et 1 mois pour traiter votre demande.

  1. PRÉAMBULE
    L’Association Maghreb Secours dite l’A.M.S d’intérêt général à but non lucratif N°1326 du 14
    Juin 2015 accordent une grande importance à la protection de vos données personnelles.
    C’est ainsi que, dans le cadre de la collecte de vos données à caractère personnel, nous
    souhaitons vous informer des moyens mis en œuvre par notre maison d’édition et des
    finalités poursuivies, conformément aux lois MAROCAINES
    1. QUELQUES NOTIONS
    ♦ Les données à caractère personnel
    Données qui permettent d’identifier directement ou indirectement (par regroupement
    d’informations) des personnes physiques (notamment par les noms, prénoms, identifiants,
    numéros de téléphone…).
    ♦ Un fichier
    Tout ensemble structuré de données à caractère personnel, quel que soit le support, « papier
    » et/ou « numérique ».
    ♦ Un traitement
    Toute opération ou tout ensemble d’opérations portant sur ces données, quel que soit le
    procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation,
    l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par
    transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou
    l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
    ♦ Responsable de traitement
    Le responsable du traitement est la Societé Be Good pour le compte de laquelle est réalisé le
    traitement. L’ensemble des traitements est donc réalisé pour le compte de l’A.M.S.
    La société Be Good détermine :
    • Les finalités du traitement ;
    • Les moyens de toute opération (collecte, enregistrement, modification…) appliquée à
    des données à caractère personnel
    La Société Be Good pour le compte de son client l’A.M.S s’engage à :
    • Veiller au respect des principes de la protection des données à caractère personnel ;
    • Informer les personnes de leurs droits ;
    ♦ Sous-traitant
    Le sous-traitant est toute personne physique ou morale, l’autorité publique, le service ou
    organisme traitant des données personnelles pour le compte de l’A.M.S et seulement sur ses
    instructions. Le sous-traitant doit être une entité juridique distincte de l’A.M.S et est soumis à
    une obligation de sécurité et de confidentialité de vos données afin d’en assurer la
    protection. À tout moment, et à la demande de l’A.M.S, le sous-traitant doit pouvoir
    présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et
    organisationnelles pour justifier de la protection de vos données.
    2 LA COLLECTE DES DONNEES
    Nous collectons vos données à caractère personnel principalement pour répondre à une ou
    plusieurs des finalités énumérées ci-dessous, pour lesquelles nous vous informons du
    fondement légal de la collecte et de la durée de conservation de vos données :
    ● Envoi de Newsletter
    ● Envoi de E-mail pour information
    ● Informations  pour un évènement humanitaire
    ● Appel pour campagne de don de sang au Centre de transfusion sanguine
    ● Gestion de votre droit d’accès d’opposition, de rectification, de suppression de vos
    données
    ● Votre participation relatif à un geste humanitaire
    ● Votre demande de participation à une action humanitaire
    ● une prise de contact avec nos services via le formulaire accessible en ligne sur
    www.karam.ma
    ● Gérer des avis sur la qualité des capsules publicitaires
    ● gestion d’application mobile
    Lorsque votre consentement est nécessaire à la collecte de vos données à caractère
    personnel, nous le faisons par le biais d’une case à cocher ou d’un bouton « Accepter » au
    moment de votre inscription sur nos services en ligne.
    A tout moment, vous avez la possibilité :
    ● – de retirer votre consentement en cliquant sur le mail de désinscription présent dans
    chaque email envoyé par nos soins ;
    ● – de retirer votre consentement en exerçant vos droits d’opposition au traitement de vos
    données et de demander la suppression de vos données comme indiqué au point 4 de la
    présente Charte ;
    3. LES DONNEES QUE NOUS COLLECTONS
    Nous nous efforçons de collecter vos données en nous limitant aux données strictement
    nécessaires à la finalité du traitement envisagé.

3.1 Les données collectées sont les suivantes :
♦ Données personnelles des enfants de moins de 15 ans*
L’application Karam et son site www.karam.ma ne sont pas autorisés aux personnes mineurs
de moins de 18 ans et de moins de 21 ans pour certains comtés USA.

  1.  L’EXERCICE DE VOS DROITS
    Conformément à la Loi 09-08 relative à la protection des personnes physiques à l’égard du
    traitement des données à caractère personnel, telle qu’elle a été adoptée par la Chambre des
    représentants et la Chambre des conseillers fait à Fès, le 22 Safar 1430 et promulguée au
    bulletin Officiel N° – 7 Rabii I 1430 ( 5-3-2009) à savoir :
    Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009) portant promulgation de la loi n° 09-08
    relative à la protection des personnes physiques à l’égard du traitement des données à
    caractère personnel. LOUANGE A DIEU SEUL ! (Grand Sceau de Sa Majesté Mohamed VI) Que
    l’on sache par les présentes – puisse Dieu en élever et en fortifier la teneur ! Que Notre
    Majesté Chérifienne, Vu la Constitution, notamment ses articles 26 et 58, A décidé ce qui suit
    : Est promulguée et sera publiée au Bulletin officiel, à la suite du présent dahir, la loi n° 09-08
    relative à la protection des personnes physiques à l’égard du traitement des données à
    caractère personnel, telle qu’adoptée par la Chambre des représentants et la Chambre des
    conseillers. Fait à Fès, le 22 safar 1430 (18 février 2009). Pour contreseing : Le Premier
    ministre, Abbas El Fassi * * * Loi n° 09-08 relative à la protection des personnes physiques à
    l’égard du traitement des données à caractère personnel Chapitre premier : Dispositions
    générales Section première : Définitions et champ d’application Article premier :
    L’informatique est au service du citoyen et évolue dans le cadre de la coopération
    internationale. Elle ne doit pas porter atteinte à l’identité, aux droits et aux libertés
    collectives ou individuelles de l’Homme. Elle ne doit pas constituer un moyen de divulguer
    des secrets de la vie privée des citoyens. Pour l’application de la présente loi, on entend par :
    1. « Données à caractère personnel » : toute information, de quelque nature qu’elle soit et
    indépendamment de son support, y compris le son et l’image, concernant une personne
    physique identifiée ou identifiable, dénommée ci-après « personne concernée ». Est réputée
    identifiable une personne qui peut être identifiée, directement ou indirectement,
    notamment par référence à un numéro d’identification ou à un ou plusieurs éléments
    spécifiques de son identité physique, physiologique, génétique, psychique, économique,
    culturelle ou sociale ;
  2.   « Traitement de données à caractère personnel » (« traitement ») :
    toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés
    automatisés et appliquées à des données à caractère personnel, telles que la collecte,
    l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction,
    la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre
    forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage,
    l’effacement ou la destruction ;
  3.  « données sensibles » : données à caractère personnel qui
    révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou
    philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à
    sa santé y compris ses données génétiques ; 4. « fichier de données à caractère personnel» («
    fichier ») : tout ensemble structuré de données à caractère personnel accessibles selon des
    critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière
    fonctionnelle ou géographique, tels que les archives, les banques de données, les fichiers de
    recensement ; 5. « responsable du traitement» : la personne physique ou morale, l’autorité
    publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres,
    détermine les finalités et les moyens du traitement de données à caractère personnel.
    Lorsque les finalités et les moyens du traitement sont déterminés par des dispositions
    législatives ou réglementaires, le responsable du traitement doit être indiqué dans la loi
    d’organisation et de fonctionnement ou dans le statut de l’entité légalement ou
    statutairement compétente pour traiter les données à caractère personnel en cause ; 6. «
    sous-traitant » : la personne physique ou morale, l’autorité publique, le service ou tout autre
    organisme qui traite des données à caractère personnel pour le compte du responsable du
    traitement ; 7. « tiers » : la personne physique ou morale, l’autorité publique, le service ou
    tout autre organisme autre que la personne concernée, le responsable du traitement, le
    sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du
    traitement ou du sous-traitant, sont habilitées à traiter les données ; 8. « destinataire » : la
    personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui
    reçoit communication de données, qu’il s’agisse ou non d’un tiers. Les organismes qui sont
    susceptibles de recevoir communication de données dans le cadre d’une disposition légale ne
    sont pas considérées comme destinataires, notamment la Commission nationale de contrôle
    de la protection des données à caractère personnel instituée à l’article 27 ci-après et
    dénommée la Commission nationale ; 9. « consentement de la personne concernée » : toute
    manifestation de volonté, libre, spécifique et informée, par laquelle la personne concernée
    accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement ;
    10. « cession ou communication » : toute divulgation ou information d’une donnée portée à
    la connaissance d’une personne autre que la personne concernée ; 11. « interconnexion de
    données » : forme de traitement qui consiste à établir un rapport entre les données d’un
    fichier et les données d’un fichier ou de plusieurs fichiers tenus par un autre ou par d’autres
    responsables, ou tenus par le même responsable mais dans un autre but. Article 2 : 1. La
    présente loi s’applique au traitement des données à caractère personnel, automatisé en tout
    ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel
    contenues ou appelées à figurer dans des fichiers manuels ; 2. La présente loi s’applique au
    traitement des données à caractère personnel répondant à la définition du paragraphe 1
    ci-dessus : a) lorsqu’il est effectué par une personne physique ou morale dont le responsable
    est établi sur le territoire marocain. Le responsable d’un traitement qui exerce une activité
    sur le territoire marocain dans le cadre d’une installation, quelle que soit sa forme juridique,
    y est considéré comme établi ; b) lorsque le responsable n’est pas établi sur le territoire
    marocain mais recourt, à des fins de traitement des données à caractère personnel, à des
    moyens automatisés ou non, situés sur le territoire marocain, à l’exclusion des traitements
    qui ne sont utilisés qu’à des fins de transit sur le territoire national ou sur celui d’un Etat dont
    la législation est reconnue équivalente à celle du Maroc en matière de protection des
    données à caractère personnel ; 3. Dans le cas visé au b du paragraphe 2 ci-dessus, le
    responsable du traitement doit notifier à la Commission nationale, l’identité d’un
    représentant installé au Maroc qui, sans préjudice de sa responsabilité personnelle, se
    substitue à lui dans tous ses droits et obligations résultant des dispositions de la présente loi
    et des textes pris pour son application ; 4. La présente loi ne s’applique pas : – au traitement
    de données à caractère personnel effectué par une personne physique pour l’exercice
    d’activités exclusivement personnelles ou domestiques ; – aux données à caractère personnel
    recueillies et traitées dans l’intérêt de la défense nationale et de la sécurité intérieure ou
    extérieure de l’Etat. Elle ne s’applique aux données à caractère personnel recueillies et
    traitées à des fins de prévention et de répression des crimes et délits que dans les conditions
    fixées par la loi ou le règlement qui crée le fichier en cause ; ce règlement précise le
    responsable du traitement, la condition de légitimité du traitement, la ou les finalités du
    traitement, la ou les catégories de personnes concernées et les données ou les catégories de
    données s’y rapportant, l’origine de ces données, les tiers ou les catégories de tiers auxquels
    ces données peuvent être communiquées et les mesures à prendre pour assurer la sécurité
    du traitement. Il est soumis à l’avis préalable de la Commission nationale ; – aux données à
    caractère personnel recueillies en application d’une législation particulière. Les projets ou
    propositions de loi portant création de fichiers relatifs aux données précitées sont
    communiqués à la Commission nationale en précisant l’autorité responsable du fichier, la ou
    les finalités du traitement, la ou les catégories de personnes concernées et les données ou les
    catégories de données s’y rapportant, l’origine de ces données, les tiers ou les catégories de
    tiers auxquels ces données peuvent être communiquées et les mesures à prendre pour
    assurer la sécurité du traitement. Section 2 : Qualité des données et consentement préalable
    de la personne concernée Article 3 : 1. Les données à caractère personnel doivent être : a)
    traitées loyalement et licitement ; b) collectées pour des finalités déterminées explicites et
    légitimes, et ne pas être traitées ultérieurement de manière incompatible avec finalités ; c)
    adéquates, pertinentes et non excessives, au regard des finalités pour lesquelles elles sont
    collectées, et pour lesquelles, elles sont traitées ultérieurement ; d) exactes et, si nécessaire,
    mises à jour. Toutes les mesures raisonnables doivent être prise, pour que les données,
    inexactes, ou incomplètes, au regard des finalités pour lesquelles elles, sont collectées et
    pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ; et
    conservées sous une forme permettant l’identification des personnes concernées pendant
    une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles
    sont collectées et pour lesquelles elles sont traitées ultérieurement. 2. Sur demande du
    responsable du traitement et, s’il existe un intérêt légitime, la Commission nationale peut
    autoriser la conservation de données, à caractère personnel à des fins historiques,
    statistiques, ou scientifiques au-delà de la période, citée au e) du paragraphe précédent ; 3. Il
    incombe au responsable du traitement d’assurer le respect des dispositions des paragraphes
    qui précèdent, sous le contrôle de la Commission nationale. Article 4 : Le traitement des
    données, à caractère personnel, ne peut être effectué que si la personne concernée a
    indubitablement donné son consentement à l’opération ou à l’ensemble des opérations
    envisagées. Les données à caractère personnel objet du traitement ne peuvent être
    communiquées à un tiers que pour la réalisation de fins,directement liées aux fonctions du
    cédant et du cessionnaire et sous réserve du consentement du préalable, de la personne
    concernée. Toutefois, ce consentement n’est pas exigé si le traitement est nécessaire : a) au
    respect d’une obligation légale à laquelle est soumis(e) la personne concernée ou le
    responsable du traitement ; b) à l’exécution d’un contrat auquel la personne concernée, est
    partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ; c) à la
    sauvegarde d’intérêts vitaux de la personne concernée, si elle est physiquement ou
    juridiquement dans l’incapacité de donner son consentement ; d) à l’exécution d’une mission
    d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le
    responsable du traitement ou le tiers auquel les données sont communiquées ; e) à la
    réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le
    destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés
    fondamentaux de la personne concernée. Chapitre II : Des droits de la personne concernée
    Article 5 :Droit à l’information lors de la collecte des données 1. Toute personne sollicitée
    directement, en vue d’une collecte de ses données personnelles, doit être préalablement
    informée de manière expresse, précise et non équivoque par le responsable du traitement ou
    son représentant, sauf si elle en a déjà eu connaissance, des éléments suivants : a) l’identité
    du responsable du traitement et, le cas échéant, de son représentant ; b) les finalités du
    traitement auquel les données sont destinées ; c) toute information, supplémentaires telles
    que : * les destinataire ou les catégories de destinataires ; * le fait de savoir si la réponse aux
    questions, est obligatoire ou facultative, ainsi que les conséquences éventuelles d’un défaut
    de réponse ; * l’existence d’un droit d’accès aux données à caractère personnel la concernant
    et de rectification de ces données,dans la mesure où, compte tenu des circonstances
    particulières dans lesquelles les données sont collectées, ces informations, sont nécessaires
    pour assurer un traitement loyal des données à l’égard de la personne, concernée ; d) les
    caractéristiques du récépissé de la déclaration auprès de la Commission nationale ou celles
    de l’autorisation délivrée par ladite commission ; 2. Les documents, qui servent de base à la
    collecte des données à caractère personnel doivent contenir les informations visées au
    paragraphe précédent ; 3. Lorsque les données, à caractère personnel n’ont pas été
    collectées auprès de la personne concernée, le responsable du traitement ou son
    représentant doit, avant l’enregistrement des données ou si une communication de données
    à un tiers est envisagée, au plus tard lors de la première communication de données, fournir
    à la personne concernée au moins les informations visées aux a), b) et c) ci-dessus, sauf si la
    personne en a déjà eu connaissance. 4. En cas de collecte de données, en réseaux, ouverts, la
    personne concernée doit être informée, sauf si elle sait déjà que les données à caractère
    personnel la concernant peuvent circuler sur les réseaux sans garanties de sécurité et qu’elles
    risquent d’être lues et utilisées, par des tiers non autorisés. Article 6 : Limites au droit à
    l’information L’obligation d’information prévue à l’article 5 ci-dessus n’est pas applicable : a)
    aux données à caractère personnel dont la collecte et le traitement sont nécessaires à la
    défense nationale, la sûreté intérieure ou extérieure de l’Etat, la prévention ou la répression
    du crime ; b) lorsque l’information de la personne concernée se révèle impossible,
    notamment en cas de traitement de données à caractère personnel à des fins statistiques,
    historiques ou scientifiques. Dans ce cas, le responsable du traitement est tenu d’aviser la
    Commission de l’impossibilité d’informer la personne concernée et de et de lui présenter le
    motif de cette impossibilité ; c) si la législation prévoit expressément l’enregistrement ou la
    communication des données à caractère personnel ; d) au traitement de données à caractère
    personnel effectuées à des fins exclusivement journalistiques, artistiques ou littéraires.
    Article 7 : Droit d’accès La personne concernée, justifiant de son identité, a le droit d’obtenir
    du responsable du traitement, à des intervalles raisonnables, sans délais et gratuitement : a)
    la confirmation que les données à caractère personnel la concernant sont ou ne sont pas
    traitées, ainsi que des informations portant au moins sur les finalités du traitement, les
    catégories de données sur lesquelles il porte, et les destinataires ou les catégories de
    destinataires auxquels les données à caractère personnel sont communiquées ; b) la
    communication, sous une forme intelligible, des données, à caractère personnel faisant
    l’objet des traitements, ainsi que de toute information disponible sur l’origine des données.
    Le responsable du traitement peut demander à la Commission nationale des délais de
    réponses aux demandes d’accès légitimes et peut s’opposer aux demandes manifestement
    abusives, notamment, par leur nombre et leur caractère répétitif. En cas d’opposition, la
    charge de la preuve du caractère manifestement abusif, incombe au responsable du
    traitement auprès duquel ces demandes ont été faites. c) la connaissance de la logique qui
    sous-tend tout traitement automatisé des données à caractère personnel la concernant.
    Article 8 : Droit de rectification La personne concernée, justifiant de son identité, a le droit
    d’obtenir du responsable du traitement : a) l’actualisation, la rectification, l’effacement ou le
    verrouillage des données à caractère personnel dont le traitement n’est pas conforme à la
    présente loi, notamment en raison du caractère incomplet et inexact de ces données ; le
    responsable du traitement est tenu de procéder aux rectifications nécessaires sans frais pour
    le demandeur et ce, dans un délai franc de dix jours. En cas de refus ou de non réponse dans
    le délai précité, la personne concernée peut introduire une demande de rectification auprès
    de la Commission nationale, laquelle charge l’un de ses membres à l’effet de mener toutes
    investigations utiles et faire procéder aux rectifications nécessaires, dans les plus brefs délais.
    La personne concernée est tenue informée des suites réservées à sa demande ; b) la
    notification aux tiers auxquels les données à caractère personnel ont été communiquées de
    toute actualisation, toute rectification, tout effacement ou tout verrouillage effectué
    conformément au point a) ci-dessus, si cela ne s’avère pas impossible. Article 9 : Droit
    d’opposition La personne concernée, justifiant de son identité, a le droit de s’opposer, pour
    des motifs légitimes, à ce que des données la concernant la fassent l’objet d’un traitement.
    Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à
    des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou
    celui d’un traitement ultérieur. Les dispositions du premier alinéa ne s’appliquent pas lorsque
    le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été
    écartée, par une disposition expresse de l’acte autorisant de traitement. Article 10 :
    Interdiction de la prospection directe.  Est interdite la prospection directe au moyen d’un
    automate d’appel, d’un télécopieur ou d’un courrier électronique ou d’un, moyen employant
    une technologie de même nature qui utilise, sous quelque forme que ce soit, les
    coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à
    recevoir de, prospections directes par ce moyen. Pour l’application du présent article, on
    entend par consentement toute manifestation de volonté libre, spécifique et informée par
    laquelle une personne accepte que des données à caractère personnel la concernant soient
    utilisées à des fins de prospection directe. Constitue une prospection directe l’envoi de tout
    message destiné à promouvoir, directement ou indirectement, des biens, des services ou
    l’image d’une personne vendant des biens ou fournissant des services. Toutefois, la
    prospection directe par courrier électronique est autorisée, si les coordonnées du
    destinataire ont été recueillies directement auprès de lui, dans le le respect des dispositions
    de la présente loi, à l’occasion d’une vente ou d’une prestation de services, si la prospection
    directe concerne des produits ou service analogues fournis par la même personne physique
    ou morale, et si le destinataire se voit offrir, de manière expresse, dénuée d’ambiguïté et
    simple, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, à
    l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque foi, qu’un courrier
    électronique de prospection lui est adressé. Dans tous les cas, il est interdit d’émettre, à des
    fins de prospection directe, des messages au moyen d’automates d’appel, télécopieurs et
    courriers électroniques, sans indiquer de coordonnées valables auxquelles le destinataire
    puisse utilement transmettre une demande tendant à obtenir que ces communications,
    cessent sans frais autre que ceux liés à la transmission de celle-ci. Il est également interdit de
    dissimuler l’identité de la personne pour le compte de laquelle la communication est émise
    et de mentionner un objet sans rapport avec la prestation ou le service proposé. Article 11 :
    Neutralité des effets Aucune décision de justice impliquant une appréciation sur le
    comportement d’une personne ne peut avoir pour fondement un traitement automatisé de
    données à caractère personnel destiné à évaluer certains aspects de sa personnalité. Aucune
    autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise
    sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de
    l’intéressé ou à évaluer certains aspects de sa personnalité. Ne sont pas considérées comme
    prises sur le seul fondement d’un traitement automatisé les décisions prises dans le cadre de
    la conclusion ou de l’exécution d’un contrat et pour lesquelles la personne concernée a été
    mise à même de présenter ses observations, ni celles satisfaisant les demandes de la
    personne concernée. Chapitre III : Des obligations des responsables du traitement Article 12 :
    Sauf dispositions législatives particulières, le traitement de données à caractère personnel
    doit faire l’objet : 1. d’une autorisation préalable lorsque les traitements concernent : a) les
    données sensibles visées à l’alinéa 3 de l’article premier ci-dessus. Toutefois, sont dispensés
    de ladite autorisation les traitements mis en oeuvre par association ou tout autre
    groupement à but non lucratif et à caractère religieux, philosophique, politique, syndical,
    culturel ou sportif : – pour les seules données qui révèlent l’une ou plusieurs des
    caractéristiques visées au paragraphe 3 de l’article premier cidessus et correspondant à
    l’objet de ladite association ou dudit groupement ; – sous, réserve que les données ne
    concernent que les membres de cette association ou de ce groupement et, le cas échéant, les
    personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
    – et qu’ils ne portent que sur des données non communiquées à des tiers, à moins que les
    personnes concernées n’y consentent expressément et que le groupement puisse fournir la
    preuve de ce consentement à première requête de l’autorité compétente ; b) l’utilisation de
    données à caractère personnel à d’autres fins que celles pour lesquelles elles ont été
    collectées ; c) des données génétiques, à l’exception de ceux mis en oeuvre par des
    personnels de santé et qui répondent à des fins médicales, qu’il s’agisse de la médecine
    préventive, des diagnostics ou des soins ; d) des données portant sur les infractions,
    condamnations ou mesures de sûreté, à l’exception de ceux mis en oeuvre par les auxiliaires
    de justice ; e) des données comportant le numéro de la carte d’identité national de la
    personne concernée ; f) l’interconnexion de fichiers relevant d’une ou de plusieurs personnes
    morales gérant un service public et dont les finalités d’intérêt public sont différentes ou
    l’interconnexion de fichiers relevant d’autres personnes morales et dont les finalités
    principales sont différentes. 2. d’une déclaration préalable dans les autre cas. Section
    première : Déclaration préalable Article 13 : La déclaration préalable prévue à l’article 12
    ci-dessus, qui comporte l’engagement que le traitement sera effectué conformément aux
    dispositions de la présente loi, est déposée auprès de la Commission Nationale dans les
    conditions prévues à la présente section. Cette déclaration a pour objet de permettre à la
    Commission Nationale d’exercer les compétences qui lui sont dévolues par la présente loi,
    afin de contrôler le respect de dispositions et d’assurer la publicité du traitement des
    données personnelles. Article 14 : Le responsable du traitement ou, le cas échéant, son
    représentant doit adresser une déclaration à la Commission nationale préalablement à la
    mise en oeuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble
    de tels traitements ayant une même finalité ou de, finalités liées. Article 15 : La déclaration
    prévue à l’article 12 ci-dessus doit comprendre : a) le nom et l’adresse du responsable du
    traitement et, le échéant, de son représentant ; b) la dénomination, les caractéristiques et la
    ou les finalités du traitement envisagé ; c) une description de la ou des catégories de
    personnes concernées et des données ou des catégories de données à caractère personnel
    s’y rapportant ; d) les destinataires, ou les catégories de destinataires auxquels les données
    sont susceptibles d’être communiquées ; e) les transferts de données envisagés à destination
    d’Etats étrangers ; f) la durée de conservation des données ; g) le service auprès duquel la
    personne concernée pourra exercer, le cas échéant, les droits qui lui sont reconnus par les
    dispositions de la présente loi, ainsi que les mesures prises pour faciliter l’exercice de ceux-ci ;
    h) une description générale permettant d’apprécier de façon préliminaire le caractère
    approprié des mesures prises pour assurer la confidentialité et la sécurité du traitement en
    application des dispositions des articles 23 et 24 ci-dessous ; i) les recoupements, les
    interconnexions, ou toutes autres formes de rapprochement des données ainsi que leur
    cession, sous-traitance, sous toute forme, à des tiers, à titre gratuit ou onéreux. Toute
    modification aux informations ci-dessus et toute suppression de traitement doivent être
    portées, sans délai, à la de la connaissance Commission nationale. En cas de cession d’un
    fichier de données, le cessionnaire est tenu de remplir les formalités de déclaration prévues
    par la présente loi. Les modalités de la déclaration à la Commission nationale des
    changements affectant les informations visées à l’alinéa cidessus sont fixées par le
    gouvernement, après avis de ladite commission. Article 16 : La Commission nationale fixe la
    liste des catégories de traitements de données à caractère personnel qui, compte tenu des
    données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des
    personnes concernés, et pour lesquelles la déclaration doit préciser uniquement les éléments
    prévus aux b), c), d), e) et f) de l’article 15 ci-dessus. La décision de la Commission nationale
    est soumise à homologation du gouvernement. Article 17 : La Commission nationale fixe la
    liste des traitements non automatisés de données à caractère personnel qui peuvent faire
    l’objet d’une déclaration simplifiée, dont elle précise les éléments par une décision
    homologuée par le gouvernement. Article 18 : L’obligation de déclaration ne s’applique pas
    aux traitements ayant pour seul objet la tenue d’un registre qui est, en vertu de dispositions
    législatives ou réglementaires, destinée à l’information du public et ouvert à la consultation
    du public ou de toute personne justifiant d’un intérêt légitime. Toutefois, dans ce cas, il doit
    être désigné un responsable du traitement des données dont l’identité est rendue publique
    et notifiée à la Commission nationale et qui est responsable de l’application des dispositions
    du chapitre II de la présente loi vis-à-vis des personnes concernées. Le responsable du
    traitement dispensé de déclaration doit communiquer à toute personne qui en fait la
    demande les informations relatives à la dénomination et à la finalité du traitement, à
    l’identité du responsable, aux données traitées, à leurs destinataires et, le cas échéant, aux
    transferts envisagés à destination de l’échanger. La Commission Nationale fixe la liste des
    traitements répondant à la définition prévue ci-dessus par une décision soumise à
    l’homologation du gouvernement. Article 19 : La Commission nationale délivre, dans un délai
    de 24 heures courant à compter de la date du dépôt de la déclaration un récépissé de ladite
    déclaration, dont les caractéristiques doivent figurer dans toutes les opérations de collecte
    ou de transmission des données. Le responsable du traitement peut mettre ledit traitement
    en œuvre dès réception dudit récépissé. Article 20 : Lorsqu’il apparaît à la Commission
    nationale, à l’examen de la déclaration qui lui est fournie, que le traitement envisagé
    présente des dangers manifestes pour le respect et la protection de la vie privée et des
    libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font
    l’objet ou peuvent faire l’objet, elle décide de soumettre ledit traitement au régime
    d’autorisation préalable prévu ci-après. Sa décision, motivée, est notifiée au déclarant dans
    les huit jours suivant celui du dépôt de la déclaration. Section 2 : Autorisation préalable
    Article 21 : 1. Le traitement des données sensibles est subordonné à une autorisation de la loi
    qui en fixe les conditions. A défaut, il doit être autorisé par la Commission nationale ; 2. Cette
    autorisation est accordée au vu du consentement exprès de la personne concernée ou
    lorsque le traitement des données est indispensable à l’exercice des fonctions légales ou
    statutaires du responsable du traitement ; 3. Outre l’ordre de la loi, le consentement exprès
    de la personne concernée ou l’obligation légale ou statutaire du responsable, l’autorisation
    préalable de la Commission nationale peut également être accordée dans les cas où : a) le
    traitement est nécessaire à la défense d’intérêts vitaux de la personne concernée ou d’une
    autre personne et si la personne concernée se trouve dans l’incapacité physique ou juridique
    de donner son consentement ; b) le traitement porte sur des données manifestement
    rendues publiques par la personne concernée et que son consentement au traitement des
    données peut légitimement être déduit de ses déclarations ; c) le traitement est nécessaire à
    la reconnaissance, l’exercice ou la défense d’un droit en justice et est effectué exclusivement
    à cette fin. Article 22 : Par dérogation aux dispositions de l’article 21 ci-dessus, le traitement
    des données relatives à la santé est subordonné à une déclaration à la Commission nationale,
    lorsqu’il a pour seule finalité : – la médecine préventive, les diagnostics médicaux,
    l’administration de soins ou de traitements ou la gestion des services de santé et qu’il est
    effectué par un praticien de la santé soumis au secret professionnel ou par toute autre
    personne également soumise à une obligation de secret ; – de sélectionner les personnes
    susceptibles de bénéficier d’un droit, d’une prestation ou d’un contrat, dès lors qu’elles n’en
    sont exclues par aucune disposition légale ou réglementaire. Section 3 : Des obligations de
    confidentialité et de sécurité des traitements et de secret professionnel Article 23 : 1. Le
    responsable du traitement doit mettre en oeuvre les mesures techniques et
    organisationnelles appropriées pour protéger les données à caractère personnel contre la
    destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès
    non autorisé, notamment lorsque le traitement comporte des transmissions de données dans
    un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent
    assurer, compte tenu de l’Etat de l’art et des coûts liés à leur mise en œuvre, un niveau de
    sécurité approprié au regard des risques présentés par le traitement et de la nature des
    données à protéger ; 2. Le responsable du traitement, lorsque le traitement est effectué pour
    son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des
    mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et il
    doit veiller au respect de ces mesures ; 3. La réalisation de traitements en sous-traitance doit
    être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du
    traitement et qui prévoit notamment que le sous-traitant n’agit que sous la seule instruction
    du responsable du traitement et que les obligations visées au paragraphe 1 ci-dessus lui
    incombent également ; 4. Aux fins de la conservation des preuves, les éléments du contrat ou
    de l’acte juridique relatif à la protection des données et les exigences portant sur les mesures
    visées au paragraphe 1 ci-dessus sont consignés par écrit ou sous une autre forme
    équivalente. Article 24 : 1. Les responsables du traitement des données sensibles ou relatives
    à la santé doivent prendre les mesures appropriées pour : a) empêcher l’accès de toute
    personne non autorisée aux installations utilisées pour le traitement de ces données
    (contrôle de l’entrée dans les installations) ; b) empêcher que les supports de données
    puissent être lus, copiés, modifiés ou retirés par des personnes non autorisées (contrôle des
    supports de données) ; c) empêcher l’introduction non autorisée, ainsi que la prise de
    connaissance, la modification ou l’élimination non autorisées de données à caractère
    personnel introduites (contrôle de l’insertion) ; d) empêcher que les systèmes de traitement
    automatisés de données puissent être utilisés par des personnes non autorisées au moyen
    d’installations de transmission de données (contrôle de l’utilisation) ; e) garantir que seules
    les personnes autorisées puissent avoir accès aux données visées par l’autorisation (contrôle
    de l’accès) ; f) garantir la vérification des entités auxquelles les données à caractère personnel
    peuvent être transmises par des installations de transmission de données (contrôle de la
    transmission) ; g)garantir qu’il soit possible de vérifier a posteriori, dans un délai approprié en
    fonction de la nature du traitement à fixer dans la réglementation applicable à chaque
    secteur particulier, quelles données à caractère personnel sont introduites, quand elles l’ont
    été et pour qui (contrôle de l’introduction) ; h) empêcher que lors de la transmission de
    données à caractère personnel et du transport des supports, les données puissent être lues,
    reproduites, modifiées ou éliminées sans autorisation (contrôle du transport). 2. Suivant la
    nature des organismes responsables du traitement et du type d’installations avec lequel il est
    effectué, la Commission nationale peut dispenser de certaines mesures de sécurité, à
    condition que le respect des droits, libertés et garanties des personnes concernées soit
    assuré. Article 25 : Toute personne agissant sous l’autorité du responsable du traitement ou
    de celle du sous-traitant , ainsi que le sous-traitant lui-même qui accède à des données à
    caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf
    en vertu d’obligations légales. Article 26 : Le responsable du traitement de données à
    caractère personnel, ainsi que les personnes qui, dans l’exercice de leurs fonctions, ont
    connaissance de données à caractère personnel traitées, sont tenues de respecter le secret
    professionnel même après avoir cessé d’exercer leurs fonctions, dans les termes prévus par la
    loi pénale. Les dispositions de l’alinéa premier ci-dessus n’exempte pas de l’obligation de
    fournir des informations, conformément aux dispositions légales applicables aux fichiers en
    cause ou conformément à la législation de droit commun, Chapitre IV : De la Commission
    nationale de contrôle de la protection des données à caractère personnel Section première :
    Institution, pouvoirs et attributions Article 27 : Il est institué auprès du Premier ministre une
    Commission nationale de contrôle de la protection des données à caractère personnel,
    chargée de mettre en oeuvre et de veiller au respect des dispositions de la présente loi et des
    textes pris pour son application. A cet effet, elle est chargée de :
    A. – Donner son avis : 1. au gouvernement ou au parlement sur les projets ou propositions de
    lois ou projets de règlements relatifs au traitement de données à caractère personnel dont
    elle est saisie ; 2. à l’autorité compétente sur les projets de règlements créant des fichiers
    relatifs aux données à caractère personnel recueillies et traitées à des fins de prévention et
    de répression des crimes et délits, l’avis demandé, dans le cas d’espèce, vaut déclaration ; 3.
    à l’autorité compétente sur les projets et propositions de lois portant création et traitement
    des données relatives aux enquêtes et données statistiques recueillies et traitées par des
    autorités publiques ; 4. au gouvernement sur les modalités de la déclaration prévue au
    paragraphe 2 de l’article 12 ci-dessus ; 5. au gouvernement sur les modalités d’inscription au
    registre national institué par l’article 45 de la présente loi ; 6. au gouvernement sur les règles
    de procédure et de protection des données des traitements de fichiers sécurité qui doivent
    faire l’objet d’un enregistrement. B. – Recevoir : 1. notification de l’identité du représentant
    installé au Maroc qui se substitue au responsable du traitement résidant à l’étranger ; 2. les
    déclarations prévues aux articles 12 (paragraphe 2) et 13 et délivrer récépissé de la
    déclaration ; 3. l’identité du responsable du traitement des registres tenus pour être ouverts
    au public, prévu à l’article 19 ci-dessus. Article 28 : Aux fins prévues à l’article 27 (1er alinéa)
    ci-dessus, la Commission nationale est habilitée à : 1. autoriser la conservation des données
    au-delà d’une durée prévue ; 2. accorder au responsable du traitement un délai
    supplémentaire pour répondre aux demandes de communication présentée par la personne
    concernée ; 3. faire procéder aux rectifications justifiées lorsque le responsable du traitement
    refuse d’y procéder à la demande de l’intéressé ; 4. instruire et délivrer les autorisations
    prévues à l’article 12 ci-dessus ; 5. fixer la liste des catégories de traitements bénéficiant
    d’une déclaration simplifiée ; 6. fixer la liste des traitements non automatisés soumis à
    déclaration simplifiée ; 7. fixer la liste des traitements correspondant à la définition de
    l’article 18 de la présente loi ; 8. délivrer récépissé de la déclaration prévue à l’article 13, en
    précisant le contenu ; 9. délivrer les autorisations prévues à l’article 21 ci-dessus ; 10. établir
    la liste des pays à législation adéquate en matière de protection des personnes physiques à
    l’égard du traitement des données à caractère personnel ; 11. autoriser les transferts de
    données dans les cas prévus à l’article 43 ci-dessous ; 12. assurer la tenue du registre national
    de la protection des données prévu à l’article 45 ci-dessous ; 13. accorder les dispenses des
    mesures de sécurité eu égard à la qualité du responsable du traitement et du type
    d’installations avec lequel ce traitement est effectué ; 14. décider de soumettre à autorisation
    un traitement légalement soumis à déclaration conformément à l’article 20 ci-dessus ; 15.
    procéder au retrait du récépissé ou de l’autorisation conformément aux dispositions de
    l’article 51 de la présente loi. La Commission nationale est également compétente pour : 1.
    recevoir les plaintes de toute personne concernée estimant être lésée par la publication d’un
    traitement de données à caractère personnel, de les instruire et de leur donner suite en
    ordonnant la publication de rectificatifs ou/et la saisine du procureur du Roi aux fins de
    poursuites ; 2. expertiser, à la demande des autorités publiques, notamment des autorités
    judiciaires, les éléments soumis à leur appréciation lors des contentieux nés de l’application
    de la présente loi ou des textes pris pour son application ; 3. assister le gouvernement dans la
    préparation et la définition de la position marocaine lors des négociations internationales
    dans le domaine de la protection des données à caractère personnel ; 4. coopérer avec les
    organismes similaires de contrôle du traitement des données à caractère personnel dans les
    Etats étrangers. Article 29 : Afin de permettre une mise en application appropriée de la
    protection des données, la Commission nationale mène une mission permanente
    d’information du public et des personnes concernées sur les droits et obligations édictés par
    la présente loi et les textes pris pour son application. Article 30 : La Commission nationale est
    dotée : 1. des pouvoirs d’investigation et d’enquête permettant à ses agents, régulièrement
    commissionnés à cet effet par le président, d’avoir accès aux données faisant l’objet de
    traitement, de requérir l’accès direct aux locaux au sein desquels le traitement est effectué,
    de recueillir et de saisir toutes les informations et tous documents nécessaires pour remplir
    les fonctions de contrôle, le tout conformément aux termes de la commission qu’ils
    exécutent ; 2. du pouvoir d’ordonner que lui soient communiqués, dans les délais et selon les
    modalités ou sanctions éventuelles qu’elle fixe, les documents de toute nature ou sur tous
    supports lui permettant d’examiner les faits concernant les plaintes dont elle est saisie ; 3. du
    pouvoir d’ordonner ou de procéder ou de faire procéder aux modifications nécessaires pour
    une tenue loyale des données contenues dans le fichier ; 4. du pouvoir d’ordonner le
    verrouillage, l’effacement ou la destruction de données et celui d’interdire provisoirement ou
    définitivement, le traitement de données à caractère personnel, même de celles incluses
    dans des réseaux ouverts de transmission de données à partir de serveurs situés sur le
    territoire national. Article 31 : L’exercice des pouvoirs visés aux paragraphes 2 et 4 de l’article
    30 ci-dessus est subordonné au respect d’une procédure disciplinaire garantissant les droits
    de la défense et notamment le principe du contradictoire précisé dans le règlement intérieur
    de la Commission nationale et applicable à toutes les autres procédures mises en oeuvre par
    la Commission nationale et présentant un caractère disciplinaire. Section 2 : Composition de
    la commission nationale Article 32 : La Commission nationale de contrôle de la protection des
    données à caractère personnel se compose de sept membres : – un président nommé par Sa
    Majesté le Roi ; – six membres nommés également par Sa Majesté le Roi, sur proposition : *
    du Premier ministre ; * du président de la Chambre des représentants ; * du président de la
    Chambre des conseillers. La durée du mandat des membres de la Commission nationale est
    de cinq ans renouvelable une seule fois. Les modalités et les conditions de nomination des
    membres de la Commission nationale sont fixées par décret. Section 3 : Organisation et
    fonctionnement de la Commission nationale Article 33 : La Commission nationale se réunit
    sur convocation de son président, agissant de sa propre initiative ou à la demande de la
    moitié des membres. Le président fixe l’ordre du jour de la réunion. Article 34 : Les réunions
    de la Commission nationale se tiennent valablement lorsque les deux tiers au moins des
    membres sont présents. Les décisions sont prises valablement à la majorité des membres
    présents, la voix du président étant prépondérante en cas de partage égal des voix. Section 4
    : Statut des membres Article 35 : Les fonctions de membre de la Commission nationale sont
    incompatibles avec celles d’administrateur, de gérant, de membre du directoire ou de
    directeur général unique ou de membre du conseil de surveillance d’une société de
    traitement de données à caractère personnel. Un membre de la Commission nationale ne
    peut participer à une délibération ou à des vérifications relatives à un organisme au sein
    duquel il a détenu un intérêt, direct ou indirect, ou a exercé un mandat ou une fonction, si un
    délai de cinq ans ne s’est écoulé entre la date où est intervenue la cessation de fonction, la
    fin du mandat ou de la disposition de l’intérêt et la date de sa nomination au sein de la
    Commission nationale. Si l’incompatibilité édictée par l’alinéa précédent concerne le
    président de la Commission nationale, il désigne un membre de la Commission nationale
    pour exercer la plénitude de ses compétences lorsque l’affaire concernant l’organisme en
    cause est appelée devant la Commission nationale. La décision du président est publiée au
    « Bulletin Officiel ». Article 36 : Les membres de la Commission Nationale sont tenus au
    secret professionnel pour les faits, actes et informations dont ils ont pu avoir connaissance à
    l’occasion de l’accomplissement de leurs fonctions. Ils sont soumis à la même obligation,
    même après la fin de leur mandat. Les fonctionnaires, agents ou techniciens qui exercent des
    fonctions au sein de la Commission nationale ou auprès de ses membres sont également
    soumis à l’obligation de respecter le secret professionnel. Article 37 : Les membres et les
    fonctionnaires ou agents et techniciens de la Commission nationale sont protégés contre les
    outrages ou les atteintes à leur personne dans les termes des articles 265 et 267 du code
    pénal. Article 38 : Lorsque la Commission nationale délibère sur une question mettant en
    cause une administration, les membres représentants du gouvernement participent aux
    délibérations avec voix consultative. Article 39 : La Commission nationale élabore et
    approuve son règlement intérieur, qui est soumis à l’homologation du gouvernement avant
    sa publication au « Bulletin Officiel ». Section 5 : Administration Article 40 : Le président est
    assisté, dans l’exercice de ses fonctions administratives et financières, par un secrétaire
    général nommé par le gouvernement sur proposition du président. Le secrétaire général,
    outre les pouvoirs qu’il exerce par délégation du président, est chargé : – de gérer le
    personnel recruté ou détaché selon les décisions du président ; – de préparer et d’exécuter le
    budget de la Commission nationale dont il est sous-ordonnateur ; – de préparer et de passer
    les marchés de la Commission nationale ; – de préparer les documents de travail des réunions
    de la Commission nationale et de tenir le registre de ses décisions ; – de suivre les travaux des
    comités mis en place par la Commission nationale et de mettre à leur disposition les moyens
    matériels et humains nécessaires à l’accomplissement de leurs missions. Article 41 : Le
    secrétaire général dispose, pour l’exercice de ses attributions, d’un personnel administratif et
    technique composé de fonctionnaires des administrations publiques ou d’agents publics,
    détachés auprès de la Commission nationale, et d’un personnel recruté conformément aux
    procédures applicables en la matière, notamment par voie contractuelle. Article 42 : La
    Commission nationale crée les comités permanents ou ad hoc nécessaires à
    l’accomplissement de ses missions par des dispositions du règlement intérieur. Elle fixe dans
    le même règlement les modalités de fonctionnement et d’organisation de ces comités, qui
    doivent être présidés par un membre de la Commission nationale, mais peuvent être
    composés de personnalités choisies en dehors des membres de la Commission nationale ou
    faisant partie de son personnel. Chapitre V : Du transfert de données vers un pays étranger
    Article 43 : Le responsable d’un traitement ne peut transférer des données à caractère
    personnel vers un Etat étranger que si cet Etat assure un niveau de protection suffisant de la
    vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont
    ces données font l’objet ou peuvent faire l’objet. Le caractère suffisant du niveau de
    protection assuré par un Etat s’apprécie notamment en fonction des dispositions en vigueur
    dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du
    traitement telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la
    destination des données traitées. La Commission nationale établit la liste des Etats répondant
    aux critères définis aux alinéas 1 et 2 ci-dessus. Article 44 : Par dérogation aux dispositions de
    l’article 43 ci-dessus, le responsable d’un traitement peut transférer des données à caractère
    personnel vers un Etat ne répondant pas aux conditions prévues à l’article ci-dessus, si la
    personne à laquelle se rapportent les données a consenti expressément à leur transfert ou :
    1. Si le transfert est nécessaire : a) à la sauvegarde de la vie de cette personne ; b) à la
    préservation de l’intérêt public ; c) au respect d’obligations permettant d’assurer la
    constatation, l’exercice ou la défense d’un droit en justice ; d) à l’exécution d’un contrat entre
    le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la
    demande de celui-ci ; e) à la conclusion ou à l’exécution d’un contrat conclu ou à conclure,
    dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ; f) à
    l’exécution d’une mesure d’entraide judiciaire internationale ; g) à la prévention, le diagnostic
    ou le traitement d’affections médicales. 2. Si le transfert s’effectue en application d’un accord
    bilatéral ou multilatéral auquel le Royaume du Maroc est partie ; 3. Sur autorisation expresse
    et motivée de la Commission nationale lorsque le traitement garantit un niveau de protection
    suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes,
    notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.
    Chapitre VI : Du registre national de la protection des données à caractère personnel et des
    limites à la création ou à l’usage de registres centraux et de fichiers Article 45 : Il est institué
    un registre national de la protection des données à caractère personnel, désigné ci-après par
    registre national, dont la tenue est dévolue à la commission, qui en assure la mise à
    disposition du public. Article 46 : Sont inscrits au registre national : a) les fichiers dont sont
    responsables du traitement les autorités publiques ; b) les fichiers dont le traitement est
    effectué par des personnes privées ; c) les références aux lois ou règlements publiés portant
    création de fichiers publics ; d)Ies autorisations délivrées en application de la présente loi et
    des textes pris pour son application ; e) les données relatives aux fichiers qui sont nécessaires
    pour permettre aux personnes concernées d’exercer les droits d’information, d’accès, de
    rectification, de suppression et d’opposition prévus par la présente loi, notamment les
    précisions que comporte la déclaration, fixées aux a) à e) de l’article 15 ci-dessus. Article 47 :
    Les fichiers dont le traitement a pour seul objet la tenue d’un registre qui, en vertu de
    dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert
    à la consultation du public sont dispensés de l’inscription au registre national. Toutefois, doit
    figurer audit registre national l’identité de la personne responsable du traitement aux fins
    d’exercice par les personnes concernées des droits prévus au chapitre Il de la présente loi.
    Article 48 : Les modalités d’inscription des données prévues à l’article 46 ci-dessus au registre
    national et celles de sa tenue à jour sont fixées par le gouvernement, après avis de la
    Commission nationale. Article 49 : Les traitements de données à caractère personnel
    relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre
    que par : – les juridictions, les autorités publiques et les personnes morales gérant un service
    public, agissant dans le cadre de leurs attributions légales ; – les auxiliaires de justice, pour les
    stricts besoins de l’exercice des missions qui leur sont confiées par la loi ; – l’organisme chargé
    de la protection des droits d’auteur et des droits voisins visé à l’article 11 (2e alinéa) de la loi
    n° 34-05 modifiant et complétant la loi n° 2-00 relative aux droits d’auteur et droits voisins.
    Article 50 : La création, la tenue et le traitement de registres centraux concernant les
    personnes soupçonnées d’activités illicites, de délits et d’infractions administratives et les
    décisions prévoyant des peines, des mesures de sûreté, des amendes et des sanctions
    accessoires relèvent des seuls services publics qui ont une compétence expresse en vertu de
    la loi d’organisation et de fonctionnement et qui doivent respecter les règles de procédure et
    de protection des données prévues par la loi, après avis de la Commission nationale. Chapitre
    VII : Des sanctions Article 51 : Sans préjudice des sanctions pénales, lorsqu’il apparaît, à la
    suite de la mise en oeuvre du traitement objet de la déclaration ou de l’autorisation prévue à
    l’article 12 de la présente loi, que ce traitement porte atteinte à la sûreté ou à l’ordre public
    ou est contraire à la morale et aux bonnes moeurs, la Commission nationale peut, sans délais,
    retirer, selon le cas, le récépissé de la déclaration ou l’autorisation. Article 52 : Sans préjudice
    de la responsabilité civile à l’égard des personnes ayant subi des dommages du fait de
    l’infraction, est puni d’une amende de 10.000 à 100.000 DH, quiconque aura mis en oeuvre
    un fichier de données à caractère personnel sans la déclaration ou l’autorisation exigée à
    l’article 12 ci-dessus ou aura continué son activité de traitement de données à caractère
    personnel malgré le retrait du récépissé de la déclaration ou de l’autorisation. Article 53 : Est
    puni d’une amende de 20.000 à 200.000 DH par infraction, tout responsable de traitement de
    données à caractère personnel refusant les droits d’accès, de rectification ou d’opposition
    prévus aux articles 7, 8 et 9 ci-dessus. Article 54 : Est puni d’un emprisonnement de trois
    mois à un an et d’une amende de 20.000 à 200.000 DH ou de l’une de ces deux peines
    seulement quiconque, en violation des a), b) et c) de l’article 3 de la présente loi, collecte des
    données à caractère personnel par un moyen frauduleux, déloyal ou illicite, met en oeuvre un
    traitement à des fins autres que celles déclarées ou autorisées ou soumet les données
    précitées à un traitement ultérieur incompatible avec les finalités déclarées ou autorisées.
    Article 55 : Est puni d’un emprisonnement de trois mois à un an et d’une amende de 20.000 à
    200.000 DH ou de l’une de ces deux peines seulement quiconque : – conserve des données à
    caractère personnel au-delà de la durée prévue par la législation en vigueur ou celle prévue
    dans la déclaration ou l’autorisation ; – conserve les données précitées en violation des
    dispositions du e) de l’article 3 de la présente loi. Est puni des mêmes peines le fait de traiter
    à des fins autres qu’historiques, statistiques ou scientifiques des données à caractère
    personnel conservées au-delà de la durée mentionnée au premier alinéa ci-dessus. Article 56
    : Est puni d’un emprisonnement de trois mois à un an et d’une amende de 20.000 à 200.000
    DH ou de l’une de ces deux peines seulement quiconque procède à un traitement de
    données à caractère personnel en violation des dispositions de l’article 4 ci-dessus. Article 57
    : Est puni d’un emprisonnement de six mois à deux ans et d’une amende de 50.000 à 300.000
    DH ou de l’une de ces deux peines seulement quiconque procède, sans le consentement
    exprès des personnes intéressées, au traitement des données à caractère personnel qui,
    directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions
    politiques, philosophiques ou religieuses, les appartenances syndicales des personnes ou qui
    sont relatives à la santé de celles-ci. Est puni des mêmes peines quiconque procède au
    traitement des données à caractère personnel concernant des infractions, des
    condamnations ou des mesures de sûreté. Article 58 : Est puni d’un emprisonnement de trois
    mois à un an et d’une amende de 20.000 à 200.000 DH ou de l’une de ces deux peines
    seulement, quiconque aura procédé ou fait procéder à un traitement de données à caractère
    personnel sans mettre en oeuvre les mesures visant à préserver la sécurité des données
    prévues aux articles 23 et 24 ci-dessus. Article 59 : Est puni d’un emprisonnement de trois
    mois à un an et d’une amende de 20.000 à 200.000 DH ou de l’une de ces deux peines
    seulement, quiconque procède à un traitement de données à caractère personnel concernant
    une personne physique malgré l’opposition de cette personne, lorsque cette opposition est
    fondée sur des motifs légitimes ou lorsque ce traitement répond à des fins de prospection,
    notamment commerciale, tel que mentionné à l’article 9 ou par voie électronique tel que
    prévu à l’article 10 de la présente loi. Article 60 : Est puni d’un emprisonnement de trois mois
    à un an et d’une amende de 20.000 à 200.000 DH ou de l’une de ces deux peines seulement,
    quiconque effectue un transfert de données à caractère personnel vers un Etat étranger, en
    violation des dispositions des articles 43 et 44 de la présente loi. Article 61 : Est puni d’un
    emprisonnement de six mois à un an et d’une amende de 20.000 à 300.000 DH ou de l’une
    de ces deux peines seulement, tout responsable de traitement, tout sous-traitant et toute
    personne qui, en raison de ses fonctions, est chargé (e) de traiter des données à caractère
    personnel et qui, même par négligence, cause ou facilite l’usage abusif ou frauduleux des
    données traitées ou reçues ou les communique à des tiers non habilités. Le tribunal pourra,
    en outre, prononcer la saisie du matériel ayant servi à commettre l’infraction ainsi que
    l’effacement de tout ou partie des données à caractère personnel faisant l’objet du
    traitement ayant donné lieu à l’infraction. Article 62 : Est puni d’un emprisonnement de trois
    à six mois et d’une amende de 10.000 à 50.000 DH ou de l’une de ces deux peines seulement,
    quiconque : – entrave l’exercice des missions de contrôle de la Commission nationale ; –
    refuse de recevoir les contrôleurs et de les laisser remplir leurs commissions ; – refuse
    d’envoyer les documents ou informations demandé (e) s ; – refuse de transmettre les
    documents prévus par la loi. Article 63 : Tout responsable qui refuse d’appliquer les décisions
    de la Commission nationale est passible d’un emprisonnement de trois mois à un an et d’une
    amende de 10.000 à 100.000 DH ou de l’une de ces deux peines seulement. Article 64 :
    Lorsque l’auteur de l’une des infractions prévues et sanctionnées au titre du présent chapitre
    est une personne morale et sans préjudice des peines qui peuvent être appliquées à ses
    dirigeants auteurs de l’une des infractions prévues ci-dessus, les peines d’amende sont
    portées au double. En outre, la personne morale peut être punie de l’une des peines
    suivantes : – la confiscation partielle de ses biens ; – la confiscation prévue à l’article 89 du
    code pénal ; – la fermeture du ou des établissements de la personne morale où l’infraction a
    été commise. Article 65 : En cas de récidive, les sanctions prévues au présent chapitre sont
    portées au double. Est en état de récidive, toute personne ayant été condamnée par décision
    de justice devenue irrévocable pour l’une des infractions prévues au présent chapitre a
    commis une infraction de même nature dans l’année qui suit le prononcé d’une telle
    décision. Article 66 : Outre les officiers de police judiciaire, les agents de la Commission
    nationale spécialement commissionnés à cet effet par le président et assermentés dans les
    formes du droit commun peuvent rechercher et constater, par procès-verbal, les infractions
    aux dispositions de la présente loi et des textes pris pour son application. Leurs
    procès-verbaux sont adressés au procureur du Roi dans les cinq jours suivant les opérations
    de recherche et de constatation. Chapitre VIII : Dispositions transitoires Article 67 : Les
    personnes physiques ou morales dont l’activité consistait, avant la date de publication de la
    présente loi au Bulletin officiel à effectuer, à titre principal ou accessoire, des traitements de
    données à caractère personnel répondant à la définition prévue à l’article premier ci-dessus,
    disposent d’un délai maximum de deux ans, courant à compter de la date d’installation de la
    Commission nationale qui sera constatée par un acte administratif publié au Bulletin officiel,
    pour régulariser leur situation en conformité avec les dispositions de la présente loi. A défaut
    de cette régularisation dans le délai précité, leurs activités sont réputées être exercées sans
    déclaration ou sans autorisation. Le contrevenant s’expose, dans ce cas, aux sanctions
    prévues par la présente loi. _________ Le texte en langue arabe a été publié dans l’édition
    générale du « Bulletin Officiel » n° 5711 du 27 safar 1430 (23 février 2009).
    Ainsi, vous disposez d’un droit d’accès, de rectification, de limitation, d’opposition, de
    suppression, de portabilité de vos données que vous pouvez exercer à tout moment en
    adressant un mail à : contact-donnees@karam.ma.
    Il est précisé que le droit d’accès peut porter sur toutes les données vous concernant, alors
    que le droit à la portabilité ne peut porter que sur les données fournies expressément par
    vos soins (adresse mail, nom utilisateur, numéro de téléphone, âge , sex, bio etc…) et sur les
    données générées par votre activité au cours de notre relation commerciale (historique des
    achats, échanges, réclamations…)
    Enfin, vous avez la possibilité d’organiser le sort de vos données personnelles après votre
    décès. Il suffit pour cela de désigner une personne qui sera chargée d’exercer vos droits. A
    défaut, vos héritiers pourront exercer certains droits tels que le droit d’accès s’il est
    nécessaire pour le règlement de votre succession ou le droit d’opposition pour procéder à la
    clôture de votre compte utilisateur et s’opposer au traitement de vos données.
    En cas de manquement à nos obligations, vous pourrez également former une réclamation
    auprès de la C.N.D.P
    5. LA TRANSMISSION DES DONNEES
    Afin de pouvoir réaliser les traitements ci-dessus énumérés, nous sommes amenés à partager
    vos données en donnant accès aux personnels autorisés et dûment habilités à cet effet, à
    savoir :
    – Nos services internes :
    – Nos sous-traitants :
    • Nos sous-traitants informatiques éventuels
    • Nos centres d’appel et de gestion des e-mails éventuels
    Par ailleurs, nous travaillons avec des sous-traitants notamment Maghreb Assistance,
    constructeur de l’Application Karam et qui utilise une technologie basée sur l’intelligence
    artificielle permettant de vous adresser, lorsque vous y avez consenti, nos communications
    par voie électronique lorsque vous êtes connecté. Bien entendu, vous avez la possibilité de
    refuser à tout moment les cookies de personnalisation lors de votre navigation sur internet.
    Enfin, nous pouvons être amenés à transmettre vos données à des organismes publics, des
    auxiliaires de justice afin exclusivement de répondre à des obligations légales et
    réglementaires, mais également à des organismes chargés d’effectuer des recouvrements de
    créances.
    ♦ Transmission de vos données à des tiers situés à l’étranger
    Nous collaborons principalement avec des sous-traitants ou des partenaires tiers situés au
    Maroc, dans l’Union Européenne et aux USA.
    Cependant, lorsque nous collaborons avec un partenaire ou un potentiel sous-traitant situé
    hors du Maroc et qui peut intervenir dans le cadre de nos relations clients, internautes etc…
    Nous garantissons de mettre en œuvre toutes les mesures appropriées pour garantir un
    niveau de protection suffisant de vos données, en imposant des clauses contractuelles
    strictes validées par le Maroc pour obtenir des garanties de sécurisation et de confidentialité
    et en se réservant la possibilité de mener des audits.
    De manière générale, nous faisons le nécessaire pour nous orienter vers les pays dits « sûrs »
    offrant une protection importante de vos données et si cela est nécessaire, nous demandons
    à l’autorité CNDP avant toute collecte de données si celle-ci l’exige selon les pays ;
    ♦ Cession de vos données
    Vos données ne font pas l’objet de cession au bénéfice de tiers.
    6. LA SECURITE DES DONNEES
    La sécurité et la confidentialité des données personnelles que vous nous confiez, est une priorité pour
    nous.
    En effet, nous faisons nos meilleurs efforts pour prendre toutes les mesures techniques,
    organisationnelles et précautions utiles au regard de la nature des données personnelles que
    vous nous communiquez et des risques présentés par leur traitement. Ceci afin de préserver
    la sécurité de vos données personnelles et, notamment, empêcher qu’elles soient
    déformées, détruites, endommagées, ou que des tiers non autorisés y aient accès.
    À cette fin, nous avons mis en place des mesures techniques qui renforce La sécurité et la
    confidentialité des données personnelles reposent également sur les bonnes pratiques de
    chacun.7
    8. VOS DONNEES ET LES RESEAUX SOCIAUX
    a) Nos comptes et pages sur les réseaux sociaux :
    Notre association dispose de comptes et de pages sur les réseaux sociaux Facebook… et plus.
    Vous pouvez ainsi suivre nos posts, vous informer sur nos actualités.
    Vous pouvez également liker nos pages, partager nos publications, et
    commenter nos contenus. Cependant, nous sommes susceptibles de réaliser
    des statistiques anonymes notamment sur le nombre de visiteurs et du
    nombre d’abonnés à nos pages, le nombre de likes etc…
    Avant d’utiliser ces médias sociaux, nous vous invitons à prendre précisément connaissance
    des conditions générales d’utilisation et des politiques de confidentialité sur les données à
    caractère personnel présentes sur chacun de ces réseaux sociaux et de paramétrer
    directement sur les réseaux sociaux l’accès et la confidentialité de vos données.
    b) Connexion grâce au Social Connect
    Sur notre application Karam  vous avez la
    possibilité de vous connecter grâce aux identifiants de vos comptes de réseaux sociaux
    (Avec votre E-mail Google, Apple…) afin de visionner les capsules et faire un don gratuit
    Nous ne conservons ni ne collectons de données des utilisateurs connectés avec leur compte
    Facebook ou Instagram.
    c) Les modules sociaux ou plug in
    Certains de nos sites ou applications disposent de boutons de réseaux sociaux tiers tels
    que « J’aime » ou « partagez » permettant en un clic d’aimer ou de partager nos pages.
    Par la simple présence de ces boutons sur nos sites, les réseaux sociaux en question sont
    ainsi informés de votre visite sur nos sites ou applications et en font mention sur votre
    compte de réseau social, et ce même si vous n’êtes pas connecté avec votre compte.
    Vous pouvez tout à fait empêcher cela si vous le souhaitez en veillant à vous déconnecter
    de vos réseaux sociaux avant de naviguer sur nos sites et applications.
    9. LES COOKIES ET TRACEURS
    a) Définition
    Un cookie désigne un fichier qui va être déposé sur votre terminal (ordinateur, smartphone,
    ou encore liseuse numérique) lorsque vous visitez un de nos sites, ou lors de l’installation et
    l’utilisation d’un logiciel ou d’une application mobile.
    Un cookie permet de stocker différentes données techniques permettant le contrôle général
    de l’accès du public à nos sites (nombre de visites, fréquence d’exposition à une bannière
    publicitaire, connexion à d’autres sites, …) ou la personnalisation des pages affichées en vue
    de vos prochaines interactions avec un site (votre compte, votre parcours…).
    Le terme de « cookie » recouvre à titre d’exemple, les cookies https, les cookies flash, le
    résultat du calcul d’empreinte « fingerprinting », plugins, etc.
    a) Les cookies dits « techniques » exemptés de consentement
    – Les cookies de session (SSO)
    – Les cookies permettant la mémorisation d’un panier d’achat
    b) Les cookies nécessitant votre consentement
    – Les cookies de persistance de connexion
    – Les cookies faisant l’objet d’une gestion de consentement confiée à notre prestataire Be Good ou Maghreb Secours
    Assistance voire autre.
    Nous sommes à même de gérer les cookies, nous pouvons aussi demander à un sous-traitant
    de réaliser cette tâche.
    Dès votre visite sur l’un de nos sites et tant que vous ne vous déconnectez pas ou que vous
    ne changez pas de navigateur, un bandeau d’information s’affiche mentionnant brièvement
    les finalités poursuivies par les cookies tout en vous offrant la possibilité d’accepter tous les
    cookies, de continuer sans accepter les cookies ou de personnaliser vos préférences.
    Pour votre parfaite information, vous trouverez, ci-après, un descriptif des types de cookies
    que vous avez la possibilité d’accepter ou de refuser :
    -Mesure d’audience du site
    Les cookies de mesures d’audience permettent de suivre les statistiques d’usage du site. En
    autorisant ces cookies vous nous aider à optimiser le site et à améliorer celui-ci.
    -Cookies de performance
    Ces cookies collectent des informations sur la manière dont les visiteurs utilisent le site, par
    exemple les pages les plus souvent consultées et les messages d’erreur qui s’affichent. Ces
    cookies ne collectent pas d’informations permettant d’identifier un visiteur. Il est
    uniquement utilisé pour améliorer le fonctionnement du site.
    -Optimisation du parcours client
    Ces cookies nous permettent de comprendre vos préférences sur le site et de vous
    fournir une expérience personnalisée ainsi qu’une navigation optimisée.
    ∙ Analyse et optimisation de l’expérience client
    ∙ Sélectionner du contenu personnalisé
    ∙ Analyser activement les caractéristiques du terminal pour l’identification
    ∙ Créer un profil pour afficher un contenu personnalisé
    ∙ Utiliser des données de géolocalisation précises
    ∙ Exploiter des études de marché afin de générer des données d’audience
    ∙ Stocker et/ou accéder à des informations sur un terminal
    ∙ Développer et améliorer la visibilité
    ∙ Mesurer la performance du contenu
    -Analyse et optimisation de l’expérience client
    Les solutions utilisées permettent de mieux comprendre la navigation de nos utilisateurs
    afin de mieux répondre à leurs attentes. Mieux comprendre nous permet d’optimiser
    l’expérience utilisateur et de proposer une navigation personnalisée. Ces solutions nous
    aident à adapter le contenu du site pour un parcours plus adapté à vos besoins.
    -Publicité Personnalisée
    Des publicités personnalisées susceptibles de vous intéresser peuvent vous être
    présentées et leurs performances peuvent être mesurées.
    -Réseaux Sociaux
    Ces cookies permettent aux utilisateurs de partager des pages et du contenu via des
    réseaux sociaux tiers et de cibler la publicité qui vous sera proposée par ces derniers. »
    11. CONTENUS ET RESPONSABILITE
    Nos sites peuvent contenir des liens hypertextes vers d’autres sites Internet.
    L’A.M.S ne garantit ni la pérennité, ni les contenus, ni les services qui y sont proposés. Il vous
    appartient d’être vigilant sur les liens hypertextes.
    Les contenus de nos sites (notamment les contenus consultables et/ou téléchargeables, les
    marques, les logos, le graphisme du Site, les photographies, les textes, les illustrations) et les
    logiciels (hors logiciels libres) intégrés à nos sites sont des créations originales protégées au
    Maroc par les lois sur la propriété intellectuelle ainsi qu’à l’étranger par les conventions
    internationales relatives au droit d’auteur. L’A.M.S est titulaire exclusif des droits
    d’exploitation attachés à ces contenus et logiciels.
    Vous vous engagez à respecter les dispositions impératives afférentes à la propriété
    intellectuelle et notamment à ne pas reproduire, représenter, diffuser et/ou modifier tout ou
    partie des éléments reproduits ou consultables sur nos sites ou applications mobiles sans
    l’accord préalable et exprès de l’A.M.S
    Le non-respect de ces dispositions est constitutif d’un acte de contrefaçon engageant la
    responsabilité civile et/ou pénale de son auteur.
    L’A.M.S met en œuvre ses meilleurs efforts pour veiller à une bonne utilisation de ses sites et
    applications mobiles par les utilisateurs.
    Néanmoins, l’A.M.S ne pourra voir sa responsabilité engagée du fait des commentaires de
    certains utilisateurs de ses sites. Tous commentaires touchant l’intégrité du Royaume du
    Maroc dans l’entièreté de ses frontières ou s’attaquant à la Monarchie Marocaine feront
    l’objet d’une déclaration auprès des Services de Police du Royaume Chérifien.
    ♦ Mise à jour de la Charte et modifications
    Nous nous réservons le droit de modifier la présente Charte, à tout moment, en tout ou
    partie compte tenu des modifications et évolutions de nos usages et procédures internes.
    Ces dernières veilleront à être toujours en conformité avec les éventuelles modifications des
    dispositions législatives et réglementaires marocaines, voire dans la possibilité du respect des
    règlements internationaux lorsqu’ils rentrent dans le cadre marocain .
    Nous vous invitons à consulter régulièrement cette Charte, avant toute collecte de vos
    données, pour une meilleure connaissance et compréhension de l’utilisation de vos données
    à caractère personnel par notre association.
    Nous pouvons modifier les dispositions de la présente Politique à tout moment et
    indiquerons quand des modifications ont été apportées en révisant la date en haut de la
    présente Politique. Nous vous encourageons à consulter la Politique chaque fois que vous
    accédez aux Services pour vous assurer que vous comprenez nos pratiques de collecte,
    d’utilisation et de divulgation d’informations. Si nous apportons des modifications
    importantes à cette politique, nous vous fournirons un avis supplémentaire sur ces
    modifications.
Retour en haut