اجتمعت سلطة حماية البيانات ذات الطابع الشخصي تحت رئاسة السيد محمد الأمين ولد سيدي يوم الثلاثاء الموافق 13 يونيو 2023 بحضور أعضائها التالية أسماؤهم:
مريم آده، زينب محمد محمود التقي، خطاري ولد اليزيد، آمدو عمر صال، القاضي يحيى ولد باريك، القاضي محمد عبد الرحمن ولد محمد مفيد اب، الأستاذ المحامي محمد المامي ولد مولاي اعل.
وبعد الاطلاع على:
-
-
- القانون رقم 2017-020 الصادر بتاريخ 17 يوليو 2017 المتعلق بحماية البيانات ذات الطابع الشخصي؛
- القانون رقم 2013-025 الصادر بتاريخ 15 يوليو 2013 المتعلق بالاتصالات الإلكترونية المعدل؛
- المرسوم رقم 2022-13 الصادر بتاريخ 18 فبراير 2022 المتعلق بتشكيلة وتنظيم وسير عمل سلطة حماية البيانات ذات الطابع الشخصي؛
- النظام الداخلي لسلطة حماية البيانات ذات الطابع الشخصي (المصادق عليه من طرف الوزير الأول بتاريخ 12 أغسطس 2022).
-
وبعد الاطلاع على التقرير المقدم من طرف المقررين أعضاء السلطة: القاضي محمد عبد الرحمن محمد مفيد اب، الأستاذ المحامي محمد المامي ولد مولاي اعل، السيد آمادو عمار صال، والسيد خطاري اليزيد، وبعد الاستماع إلى ملاحظات مفوض الحكومة السيد الحسن ولد باب.
تصدر الرأي التالي:
توصلت سلطة حماية البيانات ذات الطابع الشخصي بتاريخ 29 مايو 2023 بمسودة مشروع قانون يتعلق بتحديد هوية المشتركين في خدمات الاتصالات الإلكترونية المفتوحة للجمهور، وذلك بإحالة من طرف معالي السيد وزير التحول الرقمي والابتكار وعصرنة الإدارة، من أجل إبداء الرأي حوله.
إن الغرض من هذا القانون هو وضع إطار تشريعي لتحديد هويات المشتركين في خدمات الاتصالات الإلكترونية المفتوحة للجمهور، وتحديد الإجراءات التقنية للاشتراك لدى المشغلين.
يحتوي مشروع القانون على أحكام تتعلق بالتزامات المشغلين والتزامات المشتركين وبعض العقوبات بالإضافة إلى حماية البيانات ذات الطابع الشخصي.
تذكر السلطة بالتعريفات التالية الواردة في المادة 2 من قانون حماية البيانات ذات الطابع الشخصي:
البيانات ذات الطابع الشخصي: أي معلومة، مهما كانت دعامتها وأيا كانت طبيعتها، بما فيها الصوت والصورة، متعلقة بشخص طبيعي معروف أو يمكن التعرف عليه بشكل مباشر أو غير مباشر، بالرجوع إلى رقم تعريف أو إلى واحد أو أكثر من العناصر الخاصة بهويته الجسمية أو الفيسيولجية أو الوراثية أو النفسية أو الثقافية أو الاجتماعية أو الاقتصادية وتلك المصنفة حساسة.
البيانات الحساسة: أي معلومة تتعلق بالرأي أو الأنشطة الدينية أو الفلسفية أو السياسية أو النقابية أو الحياة الجنسية أو العرق أو الصحة أو التدابير الاجتماعية أو المتابعة القضائية أو العقوبات الجزائية أو الإدارية.
معالجة البيانات ذات الطابع الشخصي: أي عملية أو مجموعة عمليات يقام بها بطرق أوتوماتيكية أم لا ومطبقة على بيانات ذات طابع شخصي، مثل الجمع أو التسجيل أو التنظيم أو الحفظ أو التكييف أو التغيير أو الاستخراج أو المراجعة أو الاستخدام أو الإبلاغ أو بواسطة الإرسال أو النشر أو أي شكل آخر من الوضع تحت التصرف أو المقارنة أو الربط البيني، وكذا الإغلاق أو التشفير أو المحو أو الإتلاف.
ملف البيانات ذات الطابع الشخصي: أي مجموعة منظمة من البيانات ذات الطابع الشخصي التي يمكن النفاذ إليها حسب معايير محددة، سواء كانت تلك المجموعة ممركزة أو غير ممركزة أو موزعة على أساس وظيفي أو جغرافي.
الربط البيني للبيانات ذات الطابع الشخصي: ربط البيانات ذات الطابع الشخصي المعالجة لغرض معين مع غيرها من البيانات المعالجة لأغراض مماثلة أم لا.
حول مسودة مشروع القانون:
تقتصر الملاحظات والاقتراحات المقدمة من سلطة حماية البيانات ذات الطابع الشخصي على مواد مسودة مشروع القانون المتعلقة بحماية البيانات ذات الطابع الشخصي.
تنبه سلطة حماية البيانات ذات الطابع الشخصي على أنه إذا كان مشروع القانون هذا يهدف إلى إنشاء نظام قانوني خاص يتعلق بتنفيذ تقنيات تحديد هوية المشتركين، فإن جميع معالجات البيانات الناتجة عن هذه التقنية ستظل خاضعة لأحكام القانون 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي.
إن سلطة حماية البيانات تذكر بأن معالجات البيانات ذات الطابع الشخصي التي يقوم بها المشغلون يجب أن تمتثل لأحكام القانون 2017-020 قبل 05 يوليو 2024 وإلا فإن المشغلين سيتعرضون للعقوبات الإدارية والمالية المنصوص عليها في القانون آنف الذكر.
بشأن المادة 3 المتعلقة بتحديد هوية المشتركين باستخدام التعريف البيو ميتري:
-
-
- تلاحظ سلطة حماية البيانات أن المادة 3 من مسودة مشروع القانون تنص على معالجة البيانات باستخدام التعريف البيو ميتري لضمان تحديد هوية المشتركين، وهو ما يندرج تحت نظام الترخيص المنصوص عليه في المادة 37 من القانون رقم 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي.
- تعتبر سلطة حماية البيانات أن عملية تحديد هويات المشتركين يمكن أن تسبب مخاطر عالية على حقوق وحريات المواطنين المعنيين، لأنها تمس بيانات ذات طابع شخصي جدا وعلى نطاق واسع، وعليه يجب أن يحال المرسوم المطبق لهذا القانون إلى سلطة حماية البيانات لإبداء رأيها حول التقنيات والغرض من المعالجة وطبيعة البيانات المعالجة وأمنها ومدة حفظها وأثر تنفيذ إجراءاتها.
- إن سلطة حماية البيانات ذات الطابع الشخصي لا ترخص جمع وحفظ البيانات البيو مترية للمواطنين من قبل المشغلين في إطار عملية تحديد هويات المشتركين في خدمات الاتصالات الإلكترونية المفتوحة للجمهور، لكنها تعطي رأيا إيجابيا لاستخدام المطابقة البيو مترية (Authentification biométrique) المراقبة من طرف الشخص المعني.
-
تقترح سلطة حماية البيانات تعديل المادة 3 على النحو التالي:
“يعد تحديد المشغلين لهوية مشتركيهم إلزاميا ومنهجيا على امتداد التراب الوطني ويمكن إجراؤه باستخدام المطابقة البيو مترية؛
يخضع تسويق أي بطاقة SIM / USIM / eSlM وأي جهاز آخر للوصول إلى الشبكات و / أو خدمات الاتصالات الإلكترونية للالتزام بالتحديد المسبق لهوية المشترك؛
يحظر بيع أي بطاقة SIM / USIM / eSlM وأي جهاز آخر للوصول إلى الشبكات و / أو خدمات الاتصالات الإلكترونية خارج النقاط المحددة بقرار من سلطة التنظيم“.
بشأن المادة 15 المتعلقة بشروط الاشتراك:
-
-
- تذكر سلطة حماية البيانات بأن أي معالجة للبيانات ذات الطابع الشخصي تظل خاضعة لأحكام القانون 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي، وعليه فإن تحديد شروط وتقنيات الاشتراك يجب أن يتم بموجب المرسوم المطبق للقانون، على أن يخضع للرأي المسبق لسلطة حماية البيانات ذات الطابع الشخصي.
-
تقترح سلطة حماية البيانات تعديل المادة 15 على النحو التالي:
“تحدد شروط وتقنيات الاشتراك بالمرسوم المطبق لهذا القانون، بعد رأي مسبق من سلطة حماية البيانات ذات الطابع الشخصي”.
بشأن المادة 16 المتعلقة بالتزامات المشغلين فيما يتعلق بحماية البيانات ذات الطابع الشخصي:
-
-
- تذكر سلطة حماية البيانات بأن تنفيذ أي معالجة للبيانات ذات الطابع الشخصي تترتب عليه التزامات تتعلق بشروط المعالجة وهي: ضمان السرية والأمن والحفظ والاستمرارية وفقًا لأحكام المواد 46، 47، 48، 49 من القانون رقم 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي.
-
تقترح سلطة حماية البيانات تعديل المادة 16 على النحو التالي:
“يتخذ المشغل جميع التدابير للوفاء بالالتزامات المتعلقة بشروط معالجة البيانات ذات الطابع الشخصي طبقا لأحكام القانون 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي”.
بشأن المادة 17 المتعلقة بالحقوق المخولة للمشتركين الذين تم تحديد هوياتهم في مجال حماية البيانات ذات الطابع الشخصي:
-
-
- تذكر سلطة حماية البيانات بأن أي معالجة للبيانات ذات الطابع الشخصي تترتب عليها حقوق للأشخاص الذين تتم معالجة بياناتهم، وتشمل هذه الحقوق حق الإعلام وحق النفاذ وحق الاعتراض وحق التصحيح والحذف، وفقًا للمواد 50 و53 و59 و61 من القانون رقم 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي.
-
تقترح سلطة حماية البيانات تعديل المادة 17 على النحو التالي:
“يمارس المشتركون الخاضعون لإجراءات تحديد الهوية حقوقهم المتعلقة بالحق في الإعلام والنفاذ والاعتراض والتصحيح والحذف وفقًا لأحكام القانون رقم 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي”.
بشأن المادة 18 المتعلقة بالنفاذ إلى البيانات الشخصية للمشتركين:
-
-
- تعتبر سلطة حماية البيانات أن النفاذ إلى البيانات ذات الطابع الشخصي للمشتركين من قبل الوكلاء المحلفين لسلطة التنظيم لن يكون ضروريا ولا مشروعا إلا إذا كانت هناك حاجة تتعلق بتنفيذ مهام المراقبة الداخلة في صلاحيات سلطة التنظيم، كما أن مقتضيات القانون رقم 2013-025 المعدل المتعلق بالاتصالات الإلكترونية يحصر حق سلطة التنظيم في النفاذ للبيانات على البيانات المالية والتجارية والتقنية، وذلك لممارسة مهامها المتمثلة في مراقبة التزامات المشغلين، وفقًا لأحكام المادة 47، وبالتالي فإن سلطة التنظيم ليست طرفًا ثالثًا مسموحًا له بالنفاذ إلى البيانات ذات الطابع الشخصي التي يتم جمعها ومعالجتها من قبل المشغلين.
- تعتبر سلطة حماية البيانات أن مراقبة معالجة البيانات ذات الطابع الشخصي وإصدار العقوبات المترتبة على خرق الالتزامات المتعلقة بها هي اختصاص حصري لها بموجب أحكام القانون رقم 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي.
-
تقترح السلطة تعديل المادة 18 على النحو التالي:
“يتم تحديث البيانات الشخصية للمشتركين، ولا يمكن النفاذ إليها من طرف ثالث إلا في حالة التحقيق أو معلومات قضائية بناء على طلب كتابي من السلطة القضائية المختصة، ومن قبل الوكلاء المحلفين لسلطة حماية البيانات ذات الطابع الشخصي في إطار مهمة المراقبة الخاصة بهم، طبقا للنظم القانونية السارية”.
بشأن المادة 19 المتعلقة بمركزة البيانات التي يجمعها المشغلون من قبل خلية لدى سلطة التنظيم:
-
-
- تلفت سلطة حماية البيانات الانتباه إلى أن توسيع نطاق معالجة تحديد هوية المشتركين ليشمل سلطة التنظيم يتعارض مع اختصاصات الأخيرة المحددة في القانون رقم 2001-018 والقانون رقم 2013-025، كما أنه يزيد من المخاطر على الحقوق والحريات.
- يعتبر حفظ البيانات الشخصية للمشتركين لدى خلية في سلطة التنظيم معالجة للبيانات الشخصية بالمعنى المقصود في النقطة 14 من المادة 2 من القانون رقم 2017-020 والتي يجب أن يكون جمعها لأغراض محددة وصريحة ومشروعة، وتمنع معالجتها بطريقة غير متوافقة مع الأغراض المحددة مسبقًا طبقا لأحكام المادة 7 من نفس القانون.
- في هذا السياق لم يحدد مشروع القانون الغرض الذي من أجله تقوم خلية في سلطة التنظيم بمركزة البيانات الشخصية للمشتركين.
- بشكل عام، تذكر سلطة حماية البيانات بأن النفاذ إلى البيانات ذات الطابع الشخصي من قبل طرف ثالث في إطار حق الإبلاغ يتعين أن يكون عرضيًا فقط، ومتعلقا بأشخاص تم تحديدهم مسبقًا ودون أن يؤدي ذلك إلى إرسال ملفات كاملة أو الربط البيني بين الملفات.
- تعتبر سلطة حماية البيانات أن معالجة بيانات تحديد هوية المشتركين من قبل خلية لدى سلطة التنظيم لا يستجيب للأهداف والأغراض المتوخاة من مشروع القانون المتعلق بتحديد هوية المشتركين.
-
تقترح سلطة حماية البيانات حذف المادة 19.
إن سلطة حماية البيانات تُصدر رأيًا إيجابيًا شريطة أن يراعي مشروع القانون المتعلق بتحديد المشتركين في خدمات الاتصالات الإلكترونية المفتوحة للجمهور الملاحظات والاقتراحات الواردة أعلاه.
حرر في نواكشوط، بتاريخ 13يونيو 2023
الرئيس
محمد الأمين ولد سيدي