Quelles sont les autorités de contrôle de la protection des données personnelles au Maroc ?


Dans quel pays transférer des données personnelles et à quelles conditions ?

Quel pays dispose d’une législation spécifique ou d’une autorité de protection des données personnelles ?

Cette carte vous permet de visualiser les différents niveaux de protection des données des pays dans le monde. Vous pouvez afficher les autorités de protection des données à l'aide de l'icône « calque » située en haut à gauche de la carte.

L'icône « loupe » vous permet de rechercher un pays et de le positionner sur la carte.

Quelles sont les autorités de contrôle de la protection des données personnelles au Maroc ?

Entretien avec Me Lina Fassi Fihri, déléguée à la protection des données personnelles

Depuis 2009, le Maroc a légiféré selon le texte de loi n° 09-08 et une autorité de contrôle, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), pour régir le traitement des données personnelles.

Depuis le mois de mai 2018 est entré en vigueur le règlement général européen relatif à la protection des données personnelles (RGPD) qui s’applique, dans certains cas, en dehors de l’UE et par conséquent à certaines entreprises marocaines. Dans cette interview, Me Lina Fassi Fihri revient sur la définition même de ces données car certains amalgames subsistent, les enjeux et les engagements des entreprises en la matière.

ALM: Pouvez-vous nous définir au préalable la protection des données personnelles?

Me Lina Fassi-Fihri : Pour simplifier, il s’agit de l’encadrement juridique de l’utilisation ou du traitement des données personnelles d’une personne physique. Le traitement de données renvoie à la simple consultation sur une plate-forme, ou à la collecte dans un fichier ou au transfert. Et pour rappel, des données personnelles sont toutes les informations qui permettent d’identifier une personne physique, aussi bien son nom que son adresse email, son numéro de carte nationale, ses données de géolocalisation…Les définitions quant à la protection des données personnelles demeurent larges. La protection des données personnelles ne vise pas l’interdiction de leur utilisation mais elle a pour objectif d’imposer le respect des règles protégeant les individus, à travers leur consentement et la sécurisation des opérations pour que leurs données ne soient pas utilisées à mauvais escient.

Quelles sont les entreprises les plus concernées? Les patrons  marocains sont-ils conscients des enjeux?

Toutes les entreprises sont concernées puisque la loi n° 09-08 s’applique déjà à toutes. Toutes les entreprises ont normalement un fichier client, collectent les données relatives à leur personnel, etc. Or, ces traitements doivent faire l’objet de déclaration ou d’autorisation auprès de la CNDP. S’agissant du règlement européen, les sociétés concernées sont celles qui commercialisent des biens ou des services à des résidents dans l’Union européenne ou encore celles qui sont sous-traitantes d’entreprises basées dans l’Union européenne. Sont donc visées principalement les sociétés qui évoluent dans l’offshoring, à savoir les centres d’appels, les sociétés d’ingénierie informatique ou encore celles qui sous-traitent la paie. Hormis les grands groupes ou les filiales de multinationales, peu de dirigeants d’entreprises marocaines savent de quoi il s’agit et se sont inquiétés de leur mise en conformité. Pourtant, il s’agit d’une opportunité réelle de communiquer positivement, à l’instar des actions Responsabilité sociale d’entreprise et surtout de ne pas perdre de parts de marché si leurs donneurs d’ordre sont européens.

Quelles sont alors vos recommandations pour que les entreprises évitent des sanctions en respectant ce dispositif légal ?

Les sanctions peuvent être importantes, notamment s’agissant du règlement européen. Elles peuvent aller jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires mondial. Si les autorités de contrôle sont encore dans une phase de sensibilisation, les sanctions, ou en tout cas les mises en demeure, vont finir par arriver, y compris au Maroc. Ma recommandation serait de faire donc un audit de son activité au regard de la loi marocaine mais aussi du règlement européen et d’implémenter les recommandations issues de cet audit dans un plan de conformité. Ce plan devra comprendre aussi bien les mesures de sécurité informatique que la modification de la documentation (contrat du personnel, contrat avec ses clients, charte, police…) que l’organisation elle-même (atelier de formation, la mise en place de procédure d’alerte, l’identification d’un délégué à la protection des données, etc.).

Qu’est-ce qui peut déclencher une consultation d’un avocat spécialisé dans le domaine ?

Dans l’urgence, une consultation d’un avocat peut être déclenchée par une mise en demeure reçue d’une autorité de contrôle ou bien par un contrat à revoir avec l’un de ses clients qui souhaite s’assurer que la société est conforme à cette règlementation. Il arrive, également, que ce soit une demande du groupe auquel la société marocaine est affiliée ou encore tout simplement une prise de conscience de la direction qui souhaite se mettre en conformité pour conserver ses clients et exercer son activité dans le respect de la loi.

Quels sont les moyens de sensibilisation des entreprises ?

La CNDP et certaines fédérations professionnelles telles que l’APEBI font un travail de sensibilisation important, il faut que ces actions se poursuivent et aussi que les consommateurs soient informés de leurs droits et les réclament. C’est sûrement aussi par ce biais que les opérateurs économiques réagiront.

Bio Express Maître Lina Fassi Fihri

Avocate au Barreau de Paris depuis 2006, Maître Lina Fassi Fihri a travaillé à Paris au sein d’un cabinet spécialisé dans la restructuration d’entreprise. Après une expérience professionnelle dans le secteur public au Maroc, elle s’associe, en 2012, au bureau de Casablanca du cabinet d’avocats LPA CGR, nouveau nom de Lefèvre Pelletier & Associés.

Elle est spécialisée en droit des sociétés, droit social et en protection des données personnelles. En novembre 2018, elle obtient un diplôme universitaire pour devenir déléguée à la protection des données personnelles.

Quelles autorités assurent la protection des données personnelles dans ces différents pays France Maroc et Sénégal ?

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle en France. Pour toute préoccupation relative à la protection des données, les entreprises françaises doivent généralement se tourner vers la CNIL.

Quelle autorité assure la protection des données personnelles ?

Qui est chargé de contrôler la bonne application du règlement ? Ce sont les autorités indépendantes de chaque Etat (en France, la CNIL) qui contrôlent l'application de la législation relative à la protection des données.

Quelle est la loi régissant le traitement des données personnelles au Maroc ?

La loi n° 09-08 définit, dans son article premier, les données à caractère personnel comme étant « toute information de quelque nature qu'elle soit et indépendamment de son support, y compris le son et l'image, concernant une personne physique identifiée ou identifiable ».

Quel texte réglementaire protège la confidentialité des données des citoyens du Maroc ?

Législation relative à la protection des données personnelles. « Toute personne a droit à la protection de sa vie privée », article 24 de la Constitution du Maroc.