Protection des données personnelles : La CNDP met les bouchées doubles
La mise en conformité des entreprises marocaines avec le règlement européen sur les données personnelles sera le principal chantier de la Commission nationale des données personnelles qui s’associe à la CGEM pour sensibiliser les entreprises marocaines.
Le positionnement du tissu productif marocain en matière de protection des données personnelles devrait profiter des exigences européennes, au lieu de les subir comme des contraintes à relever. Les enjeux de la mise en conformité des opérateurs nationaux qui traitent avec leurs homologues du vieux continent sont revenus dans le débat à l’occasion d’un séminaire tenu hier au siège de la CGEM à Casablanca en vue de décortiquer le contenu du règlement européen relatif à l’exploitation légal des données personnelles. La rencontre qui a vu une forte participation des cadres de la CNDP a permis de mettre en lumière l’importance de l’adaptation des entreprises concernées et cela avant le 25 mai 2018, date de l’entrée en vigueur de la loi communautaire. Pour Khalid Dahami, président de la Fédération du commerce et des services, la mise en conformité reste «un enjeu important qui ne manquera pas d’avoir des conséquences sur les entreprises. Il n’y a pas que l’offshoring qui est concerné, mais également le secteur de l’export», a-t-il précisé lors de son intervention. «Nous devons commencer notre travail de mise en conformité parce que les sanctions sont lourdes. On prévoit également une tournée régionale pour sensibiliser davantage sur le sujet», a-t-il ajouté. Depuis l’adoption du règlement européen en mai 2016, le CGEM a opté pour une démarche qui veut montrer avant tout que le respect des données personnelles des clients est un avantage concurrentiel, en plus du fait que cette protection atteste d’un comportement citoyen de la part des entreprises. Le même souci est partagé par le SG de la CNDP, Anis Houssine, qui semble optimiste quant à l’aboutissement des choix qui ont été opérés par la commission. «Le positionnement du CNDP a consisté à ne pas montrer le bâton et d’appliquer la loi 09-08 de façon stricte et non flexible, car ceci aurait abouti à une paralysie de l’économie». L’approche adoptée fédère les entreprises aux objectifs recherchés par la commission, lesquels s’inscrivent au-delà de sa vocation répressive.
Les étapes de la conformité
Le caractère extraterritorial du règlement européen devra pousser le tissu entrepreneurial concerné à mettre en place un dispositif qui renforce les droits des personnes concernées, mais surtout qui responsabilise davantage les acteurs traitant les données personnelles, avec la mise en place d’une gouvernance nouvelle. Les préparatifs concernent les entreprises marocaines opérant sur le sol européen ainsi que les sous-traitants qui réalisent des opérations pour le compte des entreprises européennes au Maroc. En plus de la tenue d’un registre de traitement des données, les entreprises concernées devront également sécuriser ce traitement et désigner un délégué à la protection des données. Le dispositif de mise à niveau avec la nouvelle législation englobe également la rédaction d’un contrat qui définit les caractéristiques de chaque traitement avec un niveau de protection équivalent à celui pratiqué au sein de l’espace communautaire. En plus de ces réglages, les opérateurs marocains devront adhérer à des codes de conduite, à côté de la transposition de clauses contractuelles types qui sont approuvées par la Commission européenne. Ce sont les responsables du traitement qui sont particulièrement visées par les nouvelles obligations, avec la tenue d’un registre qui liste les failles de sécurité du traitement afin de pouvoir y remédier. Il est à noter aussi enfin que l’obtention d’une décision dite d’adéquation de la part des autorités de l’UE devra suivre un schéma qui mette en place un comité de pilotage chargé d’inventorier les traitements des données en vue d’obtenir un Data Mapping efficace pour le respect des exigences du règlement européen.
280 plaintes reçues à septembre 2017
Après que l’année 2016 a enregistré 548 plaintes auprès de la commission et au cours des neuf premiers mois de l’année 2017, ce sont 280 plaintes qui ont été adressées à la CNDP, dont 80% par voie électronique. Depuis sa mise en place, 517 contrôles ont été effectués par la commission sur un total de 1.415 plaintes reçues depuis 2011. «Nous avons transmis à la justice 13 dossiers, et il y a eu jusqu’à présent 4 décisions judiciaires envers les entreprises qui refusent de collaborer en cas d’ouverture d’enquête», indique le SG de la commission, qui précise que les condamnations concernent essentiellement les violations du droit d’image des individus. Les sanctions restent exclusivement pécuniaires et peuvent atteindre 600.000 DH pour les récidivistes. L’usage des réseaux sociaux ainsi que de la voix postale restent jusqu’à présent une option écartée par les plaideurs, comme l’indiquent les données de la commission.