Vous êtes sur la page 1sur 25

Nouvelles obligations des sociétés marocaines en

matière de protection des données personnelles


29 septembre 2017
Sommaire

Introduction
I. Cadre juridique
II. Protection des données personnelles au Maroc aujourd’hui
III. Protection des données personnelles au Maroc à compter du
25 mai 2018
IV. RGPD : comment se mettre en conformité ?
V. Les risques et sanctions
VI. Les bons réflexes

2
Introduction: Contexte en Afrique

Seulement 9 législations et 7 autorités de contrôle en Afrique


alors que :
- les nouvelles technologies se développent avec une extrême rapidité en Afrique
- le 16 février 2010, la CEDEAO (Communauté Economique Des Etats d’Afrique de
l’Ouest) a adopté un acte additionnel relatif à la protection des données à caractère
personnel, d’application directe dans les Etats membres
- sensibilisation sur les enjeux de la protection des données à caractère
personnelle. Ex: sept. 2017 conférence à Abuja (Nigéria) pour l’harmonisation de la
législation sur la cybercriminalité et les preuves électroniques, avec des garanties pour
l’état de droit et les droits de l’homme au sein de la CEDEAO.

 7 autorités de contrôle: la Commission nationale des données personnelles au Maroc


(cndp.ma), l’Instance Nationale de Protection des Données Personnelles (inpdp.nat.tn) en Tunisie, la
Commission nationale de l’informatique et des libertés au Bénin (cnilbenin.bj), la Commission des
données personnelles au Sénégal (cdp.sn), la Commission de l’informatique et des libertés (cil.bf) au
Burkina Faso, la commission de protection des données personnelles au Gabon, Data Protection
Commission au Ghana (dataprotection.org.gh).

 9 législations : Maroc, Tunisie, Benin, Sénégal, Burkina Faso, Gabon, Ghana, Afrique du Sud,
Angola
3
I- Cadre juridique

 Consécration par la Constitution de 2011 de la primauté des conventions


internationales ratifiées:
- Déclaration universelle des droits de l’Homme, 10 décembre 1948:
droits fondamentaux de l’individu, leur reconnaissance et leur respect par la loi et
insiste sur la nécessité du respect inaliénable de ces droits fondamentaux par tous
les pays.
- Pacte international relatif aux droits civils et politiques: Parmi ses
principales dispositions, on retrouve le droit à la vie privée en son article 17.
Maroc : signature le 19 janvier 1977 et ratification le 3 mai 1979, s’est engagé à
œuvrer pour le respect de ses engagements.
 Article 17 de la Constitution rappelle des dispositions de la déclaration
universelle des droits de l’Homme: Protection apportée par la loi contre les
immixtions arbitraires dans la vie privée des individus et les atteintes à leur
honneur et leur réputation
Article 34 de la Constitution: droit au respect de la vie privée
4
I- Cadre juridique

 Loi n°53-05 promulguée au dahir n° 1-07-129 du 30 novembre 2007- 19 kaada


1428, relative à l’échange électronique de données juridiques (BORM n°5584,
6 déc. 2007)

 Loi n°09-08 promulguée par le dahir n° 1-09-15 du 18 février 2009 - 22 safar


1430, relative à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel (BORM n° 5417, 5 mars 2009)

 Création de la Commission Nationale de contrôle des Données à


caractère Personnel (CNDP) - officiellement installée le 31 août 2010
Chargée de vérifier que les traitements des données personnelles sont
licites, légaux et qu’ils ne portent pas atteinte aux droits de l’Homme
et libertés fondamentales.

5
I- Cadre juridique

 Loi n° 31-08 promulguée par le dahir n°1-11-03 du 18 février 2011 – 14 rabii


1432, édictant des mesures de protection des consommateurs (BORM n° 5932,
7 avr. 2011)

 Loi n°
132-13 portant approbation du protocole additionnel à la convention
européenne pour la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel promulguée par le Dahir n°1-
14-136 du 3 chaoual 1435 (31 juill.2014) (BORM n°6288, 4 sept.2014)

 Loi n°88-13 promulguée par le dahir n°1-16-122 du 10 août 2016 – 6 kaada


1437, relative à la presse et à l’édition (BORM n°
6522, 1 déc. 2016)

 Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril


2016, relatif à la protection des personnes physiques à l'égard du traitement
des données à caractère personnel et à la libre circulation de ces données,
« RGPD », applicable à compter du 25 mai 2018

6
II. Protection des données personnelles au Maroc aujourd’hui

A l’issu de la loi n°
09-08, les entreprises marocaines ont dû mettre en place des
processus de protection des données personnelles traitées.
 Définitions (art. 1er de la Loi n°09-08)
• Données à caractère personnel : Toute information, de quelque nature qu’elle soit et
indépendamment de son support concernant une personne physique identifiée ou
identifiable

• Données sensibles : Données relatives à l’origine raciale ou ethnique, aux opinions


politiques, aux convictions religieuses ou philosophiques ou l’appartenance syndicale, ou
à la santé ou ses données génétiques

• Traitement de données personnelles : Toute opération effectuée ou non à l’aide de


procédés automatisés, notamment par enregistrement, organisation, conservation,
adaptation ou modification , extraction, consultation, utilisation, communication,
rapprochement ou interconnexion, ainsi que le verrouillage, l’effacement ou la
destruction de données à caractère personnel
7
Qui est concerné ?
Questions à se poser

 Suis-je en présence de données


personnelles ?
Oui

 Un traitement de données est-il mis


en œuvre ?
Oui

 Dans le cadre d’activités autres


qu’exclusivement personnelles?
Oui

 L’entité et/ou le moyen de traitement


sont situés sur le territoire marocain?

8
 Obligations du responsable du traitement

 Déclaration préalable (art. 13 à 15 Loi 09-08)  Autorisation préalable (art. 12)

- Une telle déclaration doit comprendre certaines - Autorisation préalable donnée par la loi
informations obligatoires : identification du responsable du ou
traitement, des finalités, de la durée de conservation des la CNDP (art. 12 et 21 de la Loi 09-08)
données qui figurent dans le formulaire type mis à
disposition par la CNDP
- Les traitements portant sur les données
- Une fois la déclaration préalable présentée, et après sensibles, les données génétiques, les
contrôle du respect des règles applicables au traitement, la données des infractions et
CNDP délivre un récépissé dans les 24h qui permet la mise condamnations pénales
en œuvre du traitement à réception
- Pour les traitements sollicitant le
- Déclaration simplifiée : organisée par la CNDP et soumise à numéro de la carte d’identité
l’homologation du gouvernement marocain pour les
traitements non automatisés de données (art. 17)

9
III. Protection des données personnelles au Maroc
à compter du 25 mai 2018
Evolution du contexte au Maroc
 La CNDP renforce ses actions de sensibilisation au respect des données
personnelles par les corps de métiers concernés et l’Administration.
 CNDP a mobilisé 12 contrôleurs assermentés afin d’auditer 30 sites Internet
exploités par des entreprises marocaines.
=> Opération menée dans le cadre de la campagne internationale
« Internet sweep day »*.
«Internet sweep day» : réunit chaque année une trentaine d’autorités de protection de
données personnelles en vue d’évaluer le degré de respect de la vie privée et des données
personnelles par les sites web et/ou application mobile. Maroc : seul pays africain participant
Objectifs: identification des meilleures pratiques à mettre en place par les éditeurs
de sites web et permettre aux internautes d’avoir plus de contrôle sur leurs
données personnelles.
* Communiqué de presse CNDP du 26 mai 2017
10
Demande de mise en conformité avec le RGPD

Septembre 2017

 La CNDP recommande aux entreprises marocaines concernées d’initier un


projet de conformité au Règlement Général sur la Protection des Données
(RGPD).*

 La CNPD indique que: « les organismes marocains concernés par le RGPD


doivent être en mesure de démontrer qu’ils ont pris toutes les mesures
techniques, organisationnelles et juridiques garantissant le respect des
obligations prévues par le règlement ».

*Communiqué de presse de la CNDP du 7 septembre 2017


11
Pourquoi les entreprises marocaines sont concernées par le RGPD?

Les entreprises marocaines en tant que sous-traitant doivent respecter


certaines obligations du RGPD
«sous-traitant»: la personne physique ou morale, l'autorité publique, le service
ou un autre organisme qui traite des données à caractère personnel pour le
compte du responsable du traitement.

Protection adéquate : le sous-traitant doit prouver le respect de garanties


suffisantes quant à la mise en œuvre de mesures techniques et
organisationnelles appropriées => le traitement doit répondre aux exigences du
règlement et garantir la protection des droits de la personne concernée

 Critère de l’établissement et du ciblage

12
Quelles entreprises marocaines sont concernées par le RGPD?

 Les principales activités impactées


- Commerce électronique en 2015 au Maroc*
 2,5 M d’opérations de paiement en ligne par cartes bancaires marocaines et
étrangères réalisées par les sites marchands
 Coût global des transactions : 1,330 Md de dirhams
 Soit une croissance de 22,5% par rapport à 2014
 Divers services offerts : 81,3% du volume d’affaires lié au e-commerce
marocain mobilisé par 3 secteurs en 2015 : Banque et monétique, acteurs
du e-paiement (règlement de factures et recharges téléphoniques) et
e-commerçants)
 Le Maroc totalise 700 sites marchands en 2015 soit une hausse nette annuelle
de 150 sites

* Source: Dounia Mounadi, E-Commerce : le grand boom, aujourd’hui.ma, 31 mars 2016


13
- L’Offshoring : Call centers, BPO, ITO

 Les recettes du secteur de l’Offshoring : une hausse de 2,4 % entre 2011 et 2015

 L’activité des Centres d’appels et Business process outsourcing (BPO) des outsourceurs,
constitue la principale composante de l’Offshoring avec une part de 66 %, en hausse de
10,7 % fin 2015

 Au premier semestre 2016, les recettes du secteur de l’Offshoring ont enregistré un


accroissement de 18,1 %

 Le secteur de l'offshoring au Maroc a créé 63 000 emplois et contribue positivement à la


balance commerciale à hauteur de 8 milliards de Dirhams

 Le Maroc attire sur son sol des filiales de référence mondiales comme Capgemini,
Accenture, IBM, Dell, Amazon, BNP Paribas, Axa, Atos, GFI, Sofrecom, Teleperformance.

Articles: « Challenge » du 9 août 2016, « Usine Nouvelle » du 13 mai 2016 14


IV. RGPD : comment se mettre en conformité ?

 Elaborer un contrat qui lie le sous-traitant à l'égard du responsable du traitement

 Assurer la sécurité du traitement (article 32)

 Organiser les processus internes (Accountability)


Obligation de mettre en œuvre des mécanismes et des procédures internes permettant de
démontrer le respect des règles relatives à la protection des données.
Objectif: garantir un haut niveau de protection des données personnelles
=> Comment mettre en place des procédures internes qui garantissent la
protection des données à tout moment ?

 Devoir de conseil auprès du responsable de traitement


- réalisation des analyses d'impact relatives à la protection des données (PIA);
- prévention des failles de sécurité ou la destruction des données;
- contribution aux audits
15
 Cartographier les traitements de données personnelles (Data mapping)
Elaborer un registre des traitements à l’aide du tableau ci-dessous (article 30)

16
 Obligation de désigner un délégué à la protection des données (Data
Protection Officer)

Missions:
- informer et de conseiller le responsable de traitement ou le sous-traitant
ainsi que leurs employés,
- contrôler le respect du règlement et du droit national en matière de
protection des données,
- coopérer avec l’autorité de contrôle
Sa désignation est obligatoire dans 3 cas:
- organisme public,
- entreprise dont l’activité de base vous amène à réaliser un suivi régulier
et systématique des personnes à grande échelle
- ou, à traiter à grande échelle des données dites «sensibles» ou relatives
à des condamnations pénales et à des infractions.

17
 Responsabilité du sous-traitant
Possible action en réparation de dommage
- Responsabilité du sous-traitant au même titre que le responsable de
traitement (ex: faille de sécurité détectée au sein de son système).
- Le demandeur peut choisir d'intenter l'action devant :
(i) les juridictions des Etats membres dans lesquels le responsable du
traitement ou le sous-traitant dispose d'un établissement; ou
(ii) dans l'Etat membre dans lequel la personne concernée réside.

Attention : le sous-traitant devra réparer tout dommage qu'une personne peut


subir du fait d'un traitement effectué en violation du règlement.

18
V- Sanctions

1. Sanctions légales à l’encontre des responsables de traitement

 Au Maroc (art. 51 de la Loi 09-08) :


- Retrait du récépissé de déclaration ou d’autorisation

- Ordonne toute modification pour assurer la légalité du traitement,


notamment le verrouillage, l'effacement ou la destruction des données

- Prononce de peines d’emprisonnement et d’amendes :

Personnes physiques (3 mois à 2 ans d’emprisonnement et/ou


10.000 à 300.000 Dirhams d’amende)

Personnes morales (20.000 à 600.000 Dirhams d’amende,


confiscation des biens ou fermeture de l’établissement)

19
 RGPD : renforcement des pouvoirs de sanction des autorités de protection
Les sanctions sont désormais partagées, le sous-traitant pourra être contrôlé et sanctionné
par la CNIL au même titre que l'est aujourd'hui le responsable de traitement.

Les autorités de protection peuvent notamment:


- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l'effacement des données.

Amendes administratives: elles peuvent s’élever, selon la catégorie de l’infraction,


de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4%
du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

20
Exemples de sanctions récentes de la CNIL

 Hertz France juillet 2017: sanction de 40 000 euros (soit 400 000 dirhams)*
- Manquement à son obligation de prendre toutes les mesures de sécurité des données
personnelles des utilisateurs du site, conformément à l'article 34 de la Loi Informatique
et Libertés
- Première sanction sous l’empire de la loi pour une République numérique entrée en
vigueur en novembre 2016
- Accès libre à partir d’une adresse URL, aux données personnelles renseignées par 35 357
personnes inscrites sur le site «www.cartereduction-hertz.com» (identité, coordonnées,
numéro de permis)
- Mesures garantissant la sécurité et la confidentialité de ces données étaient insuffisantes
- La CNIL a alerté le sous-traitant en charge du développement du site, qui a
immédiatement mis fin à la violation des données
- Prise en compte de la réactivité de la société dans la résolution, son initiative de
diligenter un audit de sécurité ainsi que sa bonne coopération avec la Commission

* Délibération N San- 2017-010 du 18 juillet 2017 21


 FACEBOOK: avril 2017- sanction publique de 150 000 euros (soit 1 500 000 Dirhams)*
se justifie par le nombre des manquements (6 au total), leur gravité et le nombre important d’utilisateurs en
France (33 millions).
1. La combinaison de données dont font l’objet les utilisateurs de Facebook. Traitement effectué
en l’absence de base légale. Les utilisateurs ne consentent pas à la combinaison massive de leurs
données et ne peuvent s’y opposer, que ce soit lors création de leur compte ou a posteriori.
2. La collecte des données de navigation des internautes, via le cookie «datr». La CNIL estime que
« cette collecte massive de données effectuée via le cookie «datr» est déloyale en l’absence
d’information claire et précise ».
3. Aucune information immédiate est délivrée aux internautes sur leurs droits et sur l’utilisation
qui sera faite de leurs données notamment sur le formulaire d’inscription au service.
4. Elles ne recueillent pas le consentement exprès des internautes lorsqu’ils renseignent des
données sensibles dans leurs profiles (ex : leurs opinions politiques, religieuses ou leur
orientation sexuelle).
5. En renvoyant au paramétrage du navigateur, les sociétés ne permettent pas aux utilisateurs de
s’opposer valablement aux cookies déposés sur leur équipement terminal.
6. Elles ne démontrent pas que la conservation de l’intégralité des adresses IP des internautes
pendant toute la durée de vie de leur compte est nécessaire.

22
* Délibération N SAN – 2017-006 du 27 avril 2017
2. Sanctions « pratiques » :
Une intrusion dans le système de sécurité d’une entreprise entraine un
certain nombres de conséquences opérationnelles telles que:
• Coût et temps pour réparer la faille dans votre système de sécurité
• Publication de données confidentielles
• Réutilisation des données à d’autres fins
• Perte de confiance des utilisateurs du site
• Atteinte à l’image de l’entreprise
• Cout de l’interruption éventuelle des services

23
VI. Les bons réflexes

Attention à :
• Faire un état des lieux de ses traitements
• Tenir un registre des traitements mis en œuvre
• Notifier les failles de sécurité (aux autorité et
personnes concernées)
• Si besoin renforcer la sécurité
• Désigner un délégué à la protection des données
• Adhérer à des codes de conduites

24
Nacima Lamalchi-Elkilani Avocat Of Counsel
Bureaux de Paris et Casablanca Email : nla@uggc.com Site : www.uggc.com
Paris :
Tel : + 33 1 56 69 70 00 Fax : + 33 1 56 69 70 71
47 rue de Monceau 75008 Paris

Casablanca
Te: : +212 522 99 76 00 Fax : +212 522 23 86 66
97 boulevard Massira Al Khadra Casablanca