Aller au contenu principal

Protection des données personnelles : Comment se mettre en conformité avec le RGPD?

Les sociétés marocaines sont-elles concernées par le RGPD ?

Qu’est ce que le RGPD ?

Le Règlement Général sur la Protection des Données pour RGPD et en anglais General Data Protection Regulation pour GDPR est un nouveau règlement européen entré en vigueur en mai 2016. Il concerne la réglementation des données à caractère personnel (ou données personnelles parfois dans la suite de l’ouvrage) dans l’Union européenne. 

Tous les organismes privés et publics, en Europe, sont désormais soumis à un ensemble d’obligations, qui pour certains, préexistaient sous l’égide de la Directive 95/46/CE et la loi dite « Informatique et Libertés ».

Parcours client et collecte de données : établir une relation de confiance

Cette réglementation impacte tous les processus d’entreprise dans la mesure où la donnée personnelle est un actif important. Si le RGPD vise à mieux encadrer la protection des données à caractère personnel de toutes les personnes concernées (clients, prospects, employés, prestataires, etc.), les enjeux sont particulièrement impactant sur la gestion client.

En effet, lors du parcours client, la collecte de données à caractère personnel est un atout : elle permet de mieux connaître la personne concernée et de lui adresser le produit ou service le plus adapté à ses besoins. En parallèle, la valeur que le client accorde à ses données personnelles progresse au fur et à mesure que le caractère sensible des données s’accentue, que leur périmètre s’élargit et que les bénéfices tirés de leur utilisation passent aux mains de l’entreprise. Les entreprises font donc face à un nouveau défi : concevoir des produits et des services de manière transparente, tout en maîtrisant le caractère confidentiel des données. Pour le client, cela se traduit par un prix adapté aux données qu’il a bien voulu donner, une information claire et transparente des usages de ses données par l’entreprise ainsi que la possibilité de les contrôler à tout moment.

Des sanctions renforcées et des opportunités à saisir

Le risque de non-conformité est d’autant plus fort que les consommateurs sont de plus en plus attentifs à la protection renforcée de leur vie privée, au risque que l’entreprise perde des parts de marché et s’expose à un risque d’image fort. A celui-ci viennent s’ajouter un risque financier ainsi qu’un risque judiciaire (sanction pénale et réparations civiles).

L’entrée en application de ce nouveau règlement introduit un nouveau paradigme. Si avant mai 2018, la non-conformité constituait un risque maîtrisé, ce n’est désormais plus le cas. En effet, ne pas respecter le RGPD peut coûter jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires en Europe (amende administrative), le chiffre le plus élevé des deux étant retenu.

Sans évoquer la perte de capital, chaque entreprise doit revoir son organisation, les règles régissant ses systèmes d’information et ses processus, peu importe la localisation de son siège social à partir du moment où des données personnelles de résidents européens sont concernées.

Comment devenir conforme au RGPD en quatre étapes?

1. Comprendre le cycle de vie des données personnelles

Chaque organisme doit pouvoir encadrer la gestion des données personnelles de leur collecte à leur suppression et piloter leur utilisation, et ceci à travers:

  1. La licéité des traitements de données personnelles ou comment justifier leur réalisation
  2. La conservation et la suppression des données ou comment maîtriser leur cycle de vie
  3. Le registre des traitements, pierre angulaire du dispositif de conformité

2. Structurer la gouvernance de la donnée personnelle

La réglementation impose un nouveau cadre d’entreprise lié à la protection des données personnelles. Cette gouvernance s’appuie sur un réseau d’acteurs dont les rôles et responsabilités sont clairement définis et communiqués à l’ensemble des collaborateurs des organismes. Celle-ci est particulièrement importante dans le cadre de la gestion des réponses à apporter aux demandes d’exercice de droits. Elle est achevée par une réponse précise et pertinente aux questions suivantes:

  1. L’organisation interne autour de la protection des données : quels rôles et quelles responsabilités ?
  2. La gestion des demandes d’exercice de droits : quel processus à mettre en place ?

3. Sécuriser les systèmes d’information

Chaque organisme doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité de son système d’information adapté au niveau des risques auxquels il s’expose.

La sécurité des systèmes d’information est réalisée par :

  1. La gouvernance des systèmes d’information
  2. La capitalisation sur la norme ISO 27001 dans le cadre d’une mise en conformité RGPD
  3. La gestion des violations de données à caractère personnel

4. Décliner opérationnellement le RGPD dans les organismes

Chaque organisme traite quotidiennement des données personnelles afin de répondre aux besoins de leurs clients et de développer leur place sur le marché. Il est toutefois nécessaire d’anticiper et encadrer les risques qui peuvent résulter de ces activités en gardant et en maîtrisant le contrôle des données personnelles.

  1. Information, transparence et contractualisation : quelles sont les obligations vis-à-vis des parties prenantes à vos activités ?
  2. Le Privacy by design et by default et l’analyse d’impact : comment anticiper et atténuer les risques ?
  3. La valorisation des données personnelles : quels points d’attention ?

 

Le contexte marocain

En raison de ses engagements économiques, et en vue d’obtenir le statut d’adéquation aux normes de l’Union européenne, le Maroc a dû adopter une législation protectrice des données à caractère personnel similaire à celle qui existe en Europe. En effet, les banques et les sous-traitants marocains, opérant surtout dans le secteur de l’Offshoring (Call centers, BPO, ITO...) et le secteur du commerce électronique, sont concernés par le respect de certaines obligations du RGPD et sont dans l’obligation de se conformer intégralement à la législation européenne.  

Afin d’être en adéquation avec les législations internationales en la matière, le législateur marocain a mis en place un régime juridique protecteur des données personnelles au cours de ces dernières années. 

  • La loi n° 07-03 promulguée par le dahir n° 1-03-197 du 11 novembre 2003, modifiant et complétant le Code pénal ;
  • La loi n° 53-05 promulguée par le dahir n° 1-07-129 du 30 novembre 2007, relative à l’échange électronique de données juridiques ; 
  • La loi n° 09-08 promulguée par le dahir n° 1-09-15 du 18 février 2009, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
  • La loi n° 31-08 promulguée par le dahir n° 1-11-03 du 18 février 2011, édictant des mesures de protection des consommateurs ;
  • La loi n° 132-13 portant approbation du protocole additionnel à la convention européenne pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel promulguée par le Dahir n° 1-14-136 du 31 juillet 2014 ;
  • La loi n° 88-13 promulguée par le dahir n° 1-16-122 du 10 août 2016, relative à la presse et à l’édition. 

Les dispositions de la loi N° 09-08

La loi n° 09-08 est celle qui contient les principes fondamentaux et les moyens de mise en œuvre de la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Elle est applicable sur toute information concernant une personne physique identifiée ou identifiable par référence à un numéro d’identification ou des éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. La loi définit aussi les traitements assurant la protection adéquate des citoyens.

Il est essentiel de souligner la manifestation du consentement de la personne concernée et la détermination claire de la finalité du traitement en adéquation et pertinence avec les données collectées loyalement. Le mécanisme de traitement s’articule autour de l’établissement des droits des personnes concernées, en premier lieu, à travers un consentement. Ensuite, par le droit à l’information lors de la collecte des données, le droit à l’accès ou rectification des informations, et le droit d’opposition à la prospection directe. D’autre part, les responsables du traitement sont dans l’obligation de recueillir le consentement, faire une déclaration préalable auprès de la Commission Nationale de contrôle de la protection des Données Personnelles (CNDP) et recourir parfois à une autorisation préalable délivrée par la Commission Nationale lors du traitement des données sensibles. Finalement, les responsables sont appelés à s’aligner avec les obligations de confidentialité, de sécurité des traitements et de secret professionnel.

Quels sont alors les points de convergence et d’écart entre la loi marocaine 09-08 et le règlement européen sur la protection des données personnelles (RGPD) ?

Il est à noter que la loi marocaine 09-08 présente une convergence avec la réglementation européenne dans la mesure où elle repose largement sur la Directive européenne 95/46/CE sur la protection des données personnelles sur laquelle s’assoit le RGPD. Toutefois, il a été constaté que contrairement à la loi 09-08, le champ d’application territorial du RGPD est élargi à certaines conditions, aux traitements effectués par les responsables ou sous-traitants non établis dans le territoire européen. Ajoutons à cela que la réglementation européenne prend en considération également les données biométriques et celles concernant la vie sexuelle. Dans la réglementation marocaine, on note l’absence de conditions applicables au consentement des mineurs en ce qui concerne les services de la société de l’information… Et la liste est loin d’être exhaustive.

Des études sont alors proposées et initiées par la CNDP, en partenariat avec l’Union européenne, afin de renforcer le rapprochement législatif et réglementaire entre les deux partenaires économiques tout en s'adaptant au contexte marocain. 

Sia Partners a réalisé un document détaillé afin de vous accompagner dans la prévention, la gestion et la minimisation de l’ensemble des risques découlant d’une non-conformité à cette nouvelle réglementation.

Expertise