PMI-PME : COMMENT ABORDER LA PROTECTION DES DONNÉES PERSONNELLES

  • Par Nesrine Roudane
  • Avocate, associée-gérante du cabinet Roudane & Partners
  • Membre du Conseil de l’Ordre des avocats au Barreau de Casablanca

Peines d’emprisonnement et amendes de 10.000 à 300.000 dirhams à l’encontre des personnes physiques, amendes doublées à l’encontre des personnes morales, risque de confiscation de matériel et de fermeture d’établissements commerciaux, sans parler des poursuites civiles… Le dispositif répressif de la loi n° 09-08 sur la protection des personnes physique  à l’égard du traitement des données à caractère personnel, adoptée fin 2008 et pleinement entrée en vigueur en juillet 2012, est imposant. Pourtant, et même si la plupart des grandes entreprises, et particulièrement celles du secteur financier (banques, sociétés d’assurances, etc.) se conforment à la loi, celle-ci peine à s’imposer auprès des propriétaires de petites et moyennes entreprises marocaines, qui risquent donc de voir ces sanctions leur être appliquées  en cas de violation constatée par la Commission nationale de protection des données personnelles (CNDP). Mais dans bien des cas, le problème réside non pas dans une résistante  entrepreneuriale  ouverte  à l’égard de la loi, mais dans une méconnaissance de ses tenants et aboutissants, des formalités administratives à compléter et des mesures à mettre en place dans le cadre de l’exploitation commerciale d’une entreprise de petite et moyenne taille, soit 99% des entreprises au Maroc.

Pourquoi une loi sur la protection des données personnelles ?

La protection des données personnelles – c’est-à-dire toute donnée identifiant ou permettant d’identifier un individu – relève du droit à la vie privée, droit fondamental garanti par l’article 12 de la Déclaration universelle des droits de l’homme et l’article 24  de la Constitution de 2011. L’Etat est donc tenu de mettre en place un régime juridique permettant, d’une part, la jouissance effective de ce droit et, d’autre part, les sanctions applicables en cas de violation. C’est dans ce contexte, et celui du développement, au cours des 40 dernières années, de technologies qui permettant la collecte et le traitement de quantité de données personnelles que la protection des personnes physiques est devenue, d’abord aux Etats-Unis (où l’on parle plutôt de « data privacy ») puis en Europe, une préoccupation législative majeure. L’apparition des réseaux sociaux et le développement du commerce électronique, puis celui des crimes commis contre leurs utilisateurs, a amplifié le besoin d’intervention du législateur. Au Maroc, la loi n° 09-08, adoptée fin 2008 et entrée pleinement en vigueur en juillet 2012, est une adaptation de la Directive européenne sur la protection des données personnelles de 1995, remplacée depuis mai dernier par le Règlement général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données  (« RGPD »), qui comportent de nouvelles dispositions, notamment celles relatives à la protection des mineurs.

L’objectif de la loi

Tous les jours, les entreprises collectent, au moyen de formulaires papier ou électroniques, mais aussi de caméras de surveillance et d’autres moyens techniques, des données sur leurs employés, fournisseurs et clients, ou les visiteurs de leurs locaux ou site Internet, et traitent ces données en les enregistrant dans un fichier, en les consultant, en les communiquant à des tiers,  ou même en les détruisant.  Le but de la loi est de fournir un cadre pour la collecte de toutes ces données et leur tra itement,  pour le contrôle de cette activité et pour la répression des infractions.

Le régime de déclaration et d’autorisation

Il est obligatoire pour une PMI/PME, avant de collecter des données personnelles et de les traiter, de procéder, à l’aide  d’un formulaire, à une déclaration ou, si le traitement concerne des données dites « sensibles » (incluant notamment le numéro de CIN) ou implique le transfert des données à l’étranger, à une demande d’autorisation auprès de la CNDP. Au fil des ans, la CNDP a publié sur son site Internet (site  Internet en conformité avec la loi !), les délibérations et décisions prises pour simplifier la procédure administrative relative aux finalités les plus communes : gestion des ressources humaines, gestion des fournisseurs, gestion des clients, sécurité des biens et des personnes, etc. Elle a également publié la liste des pays estimés fournir un cadre adéquat de protection des données personnelles pour permettre le transfert suivant une procédure moins rigoureuse et qui  inclut tous les pays de l’Espace économique européen (sauf la Croatie) ainsi que le Canada. Enfin, elle a publié un guide sur la conformité des sites de commerce en ligne, après avoir constaté, en 2014, que 99% des sites collectaient des données personnelles sans fournir l’information requise par la loi ou sans obtenir le consentement des personnes concernées (ce qui est encore très largement le cas au Maroc). Dans chaque cas, il suffit de compléter un formulaire et de fournir les informations et documents requis. Normalement, une entreprise devra procéder à  environ quatre ou cinq déclarations et une à trois demandes d’autorisation pour couvrir l’ensemble de son activité commerciale et il suffira, en tout, d’une bonne journée de travail pour monter tous les  dossiers. Des informations complémentaires pourront toujours être demandées et fournies par la suite.

Parmi les déclarations et demandes d’autorisation les plus communément requises pour une PMI/PME, on retrouve :

–  La déclaration relative à la gestion des ressources humaines ;

–  La déclaration relative à la gestion de la relation avec les fournisseurs ;

–  La déclaration relative à la gestion de la relation client ;

–  La demande d’autorisation relative au transfert des données personnelles à l’étranger (y compris en cas d’hébergement d’un site Internet à l’étranger) ;

–  La demande d’autorisation relative à l’utilisation de caméras de vidéosurveillance ;

–  La demande d’autorisation relative à l’utilisation de procédés biométriques (empreintes digitales, y compris pour l’accès aux ordinateurs).

Chaque déclaration ou demande d’autorisation, qui doit être signée et cachetée par le représentant légal, qui devra par ailleurs démontrer cette qualité, comporte un volet juridique (informations sur la société, le représentant légal, tiers impliqué, nature du traitement, etc.) et un volet technique (nature des données collectées et traitées, mesures de protection déployées, etc.). Après le dépôt ou l’envoi au siège de la CNDP, à Rabat, le suivi sera effectué avec la personne désignée à cet effet jusqu’à l’émission du récépissé de déclaration ou de l’autorisation demandée, dans la mesure où le traitement ne viole pas les droits des personnes concernées.

La mise en œuvre de la protection

Une fois les procédures administratives accomplies, il faudra maintenant mettre en œuvre, de manière effective,  le traitement dans le respect du cadre déclaré ou autorisé. Cela nécessite l’adoption d’une politique spécifique relative aux données personnelles (qui pourra par ailleurs servir au titre des mentions légales requises pour les  sites Internet) et son respect par l’ensemble des personnes qui pourraient être amenées à accéder aux données collectées par l’entreprise  et jusqu’à la fin du cycle de protection, c’est-à-dire après la destruction  ou l’anonymisation des données, notamment à des fins statistiques. La base de la mise en œuvre de la protection concerne la mise en conformité de tous les formulaires utilisés par l’entreprise pour la collecte des données, ce qui est relativement simple mais souvent ignoré. Ensuite, le processus relatif au traitement lui-même doit être systématisé. Pour simplifier grandement ce processus, il est recommandé:

–  De limiter  la collecte d’informations  à celles absolument nécessaires aux finalités du traitement envisagé ;

–  D’établir une charte concernant l’accès aux données et leur partage éventuel avec des tiers;

–  De journaliser l’accès aux données et leur utilisation ;

–  De nommer un cadre de l’entreprise comme responsable interne du traitement des données personnelles conformément à la loi. Enfin, une formation de quelques heures suffira, en général, à initier tous les salariés de l’entreprise à la mise en œuvre de la politique relative à la protection des données personnelles, qui veillera notamment à l’exercice des droits d’accès, de rectification et d’opposition des personnes concernées, qui sont au cœur du dispositif législatif.

La certification

Pour les entreprises qui souhaitent agir comme sous-traitants d’entreprises situées dans l’Espace Economique Européen et qui doivent, dans ce cadre, traiter des données collectées par ces entreprises en Europe, il est préférable d’être certifiées conforme aux dispositions de la Loi ou, mieux encore, à celles du RGPD, ce qui requiert l’intervention d’auditeurs professionnels juridiques et techniques qualifiés sur une base annuelle. Cela est nécessaire sur une base individuelle dans la mesure où le Maroc n’a toujours pas été reconnu par le Conseil Européen comme ayant un régime assurant une protection adéquate des données personnelles, en raison du très haut taux de non-conformité des entreprises publiques et privées marocaines avec la loi. L’intervention de professionnels, en amont dans le cadre de la procédure administrative et de la mise en place de la politique interne de l’entreprise, permettra en général d’accélérer le processus de certification et d’en réduire le coût de manière significative. Cette même certification sera par ailleurs utile si l’entreprise doit agir comme sous-traitant d’une autre entreprise marocaine, dans la mesure où cette dernière est tenue de s’assurer de la protection des données dans le cadre du traitement qu’elle confie à ses sous-traitants.

Les coûts de la conformité

La mise en conformité de l’entreprise avec les dispositions de la loi n° 09-08 ou du RGPD (plus strictes) a bien évidemment un coût. Outre les honoraires des divers professionnels dont les services sont éventuellement requis pour compléter le volet administratif, la mise en place de mesure de protection (achat de logiciels informatiques, matériels d’équipement, formation du personnel, etc.), ce coût peut être assez important pour la PMI/PME, particulièrement si une certification est requise. Toutefois, le coût de la mise en conformité  restera toujours moindre que le coût de la non-conformité. Depuis 2012, très peu de plaintes ont résulté dans l’application des dispositions pénales de la loi, mais cela devrait changer prochainement, après la mise en place d’un protocole entre le Parquet et la CNDP relatif à la constitution des dossiers et la volonté déclarée  de la CNDP  de voir augmenter le taux de conformité des entreprises marocaines, 10 ans après l’adoption de la loi  et un an après l’entrée en vigueur du RGPD.

 

LEAVE A REPLY

Please enter your comment!
Entrez votre nom ici