Données personnelles
A l’heure du Big Data et de l’omniprésence des systèmes d’information, la question de la protection des données à caractère personnel est devenue incontournable pour les entreprises. Au Maroc, la loi 09-08 et le CNDP imposent un cadre strict au traitement de ces données. Mais pour de nombreuses PME, il faut également tenir compte du RGPD européen pour continuer son activité.
Le traitement des données de personnes physiques par les entreprises concerne un très grand nombre d’opérations : gestion des ressources humaines, facturation, contrôle des accès, vidéosurveillance, campagnes marketing, utilisation de sites web ou d’applications mobiles, etc... À travers elles, de nombreuses données personnelles peuvent être enregistrées, telles que le nom des personnes, leurs coordonnées, numéro de carte d’identité nationale, photo, et toutes les informations utiles à l’activité de l’entreprise.
Respecter la loi marocaine
Si ces opérations sont bien souvent indispensables au travail de chaque société, elles ne doivent pas porter atteinte à la vie privée et aux droits des personnes concernées. C’est dans ce sens que la loi 09-08 a été adoptée au Maroc et que la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) a été créée. Ainsi, selon cette commission, « tous les traitements dont les responsables ou les moyens de traitement sont situés sur le territoire marocain, qu’ils soient propriété d’un organisme marocain ou d’un donneur d’ordre étranger - sous-traitance, délocalisation, etc. - sont tenus de se conformer à la loi 09-08 du 18 février 2009 (BO n°5714 du 05-03-2009) ».
Exigences de la loi 09-08
D’après cette loi, les entreprises doivent informer la CNDP avant de mettre en œuvre un traitement de données personnelles et, le cas échéant, obtenir certaines autorisations. Dans ce cadre, elles doivent s’assurer que ces données sont collectées et traitées d’une façon loyale, légitime et transparente, en veillant à leur exactitude et mise à jour. De plus, celles-ci doivent être nécessaires, proportionnelles et non excessives au regard de la finalité du traitement envisagé. Cette finalité doit d’ailleurs être précise et légitime, et communiquée aux personnes concernées lors de la collecte des informations et à la CNDP lors de la notification du traitement.
Respect du RGPD pour de nombreuses PME
Au-delà de la loi marocaine, qui devrait prochainement évoluer pour se rapprocher des règlementations internationales, de nombreuses PME sont également concernées par le règlement de l’Union Européenne (UE). En effet, le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en mai 2018, s’applique aussi en dehors de l’UE lorsque cela concerne des données personnelles de résidents européens.
De ce fait, beaucoup d’entreprises marocaines sont concernées dans les secteurs de l’offshoring (centres d’appels et autres sous-traitants), du tourisme (hôtels), des télécoms ou des banques notamment. Plus encore, les sites web visités par des Marocains Résidents à l’Etranger (MRE) ou tout ressortissant européen, doivent se conformer au RGPD.
La CNDP
La Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) a été créée par la loi n°09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Elle est chargée de vérifier que les traitements des données personnelles sont licites, légaux et qu’ils ne portent pas atteinte à la vie privée, aux libertés et droits fondamentaux de l’homme.
LE RGPD
Le Règlement Général sur la Protection des Données (RGPD) est le texte de référence en matière de protection des données à caractère personnel au sein de l’Union Européenne.
Conseils pour se conformer
- Diagnostiquer la situation : s’informer sur la ou les réglementations (locales et internationales) qui s’applique(nt) à l’entreprise, puis auditer les processus pour étudier leur conformité.
- Mettre en place un plan de conformité : sensibiliser les salariés et revoir l’ensemble des procédures et contrats pour les rendre conformes à la réglementation. Suivre le plan dans la durée pour veiller à ce que les nouveaux projets correspondent bien aux attentes.
- Désigner un Délégué à la Protection des Données (DPO) : rendu obligatoire par le RGPD dans certains cas, le DPO est chargé de mettre en œuvre la conformité au règlement européen. Il peut s’agir d’un salarié formé pour la fonction ou d’un prestataire externe qui suivra l’ensemble des projets.
L’œil de l’experte
« La mise en conformité au RGPD commence nécessairement par une phase d’audit. On répond à des questions simples : qui a les données, où elles sont, pourquoi on les collecte, conserve, transfère et à qui ? Combien de temps on les conserve ?
Les réponses à ces questions, vont permettre de cartographier les données personnelles. A l’issue de cet audit, on va mesurer l’écart entre ce que demande la réglementation et ce qui est vraiment en place dans l’entreprise. C’est à ce stade notamment que l’accompagnement d’un expert est utile car le texte est ardu et il faut aussi savoir prioriser en fonction des risques légaux quelles actions doivent être mises en place.
Ce qui amène à la deuxième phase, le plan d’implémentation des actions identifiées qui seront : rédiger la documentation, créer un registre des traitements, mettre en place un data protection officer, renforcer le volet IT, faire des formations… Tout ce dispositif prend généralement plusieurs mois».
Les signes encourageants de la reprise économique
Plusieurs mois après le début de la pandémie Covid-19, la conjoncture économique, nationale et internationale, semble confirmer la dynamique de [...]
Crise COVID-19 : Quel plan d'action pour les PME ?
Au lendemain de la période de confinement respectée dans le Royaume, les entreprises reprennent leurs activités tant bien que mal [...]
Secteur agroalimentaire
Soutenu par un contrat-programme dense jusqu’en 2021, les industries agroalimentaires bénéficient également des résultats du Plan Maroc Vert [...]