Conseil Régional de l’Ordre des Experts-Comptables de...

Conseil Régional de l’Ordre des Experts-Comptables de Casablanca

Rencontre-débat « La gestion des données personnelles dans les cabinets d’expertise-comptable », 1er décembre 2016

Souâd El Kohen-SbataMembre de la CNDP


Rencontre-débat « La gestion des données personnelles dans les

cabinets d’expertise-comptable » Jeudi 1er décembre 2016

Cadre Juridique de la protection des données personnelles au Maroc : Plan de la présentation

Objectifs de l’encadrement de l’utilisation des données personnelles

Cadre juridique marocain: ◦ Références légales et réglementaires

◦ Définitions

◦ Principales dispositions de la loi n°09-08 applicable à la gestion des Ressources Humaines

Impact sur l’exercice de la profession d’expert Comptable


« La gestion des données personnelles dans les cabinets d’expertise-comptable », 01/12/2016

Objectifs stratégiques du nouveau dispositif légal sur la protection des données personnelles

Protection de la vie privée, des droits et libertésfondamentaux des personnes .Protéger le citoyen et toute personne vivant sur le territoire marocain contre l’utilisationabusive de ses données personnelles

Contribuer à la confiance numérique en instaurantune meilleure transparence dans l’utilisation desdonnées personnelles.Mettre à niveau l’arsenal juridique (avec comme référence la directive européenne95/46/CE et la convention n°108 du Conseil de l’Europe) pour favoriser ledéveloppement du Business Process Outsourcing .



Protection

des données

à caractère

personnel

Protection de la

vie privée des

personnes

Instauration

de la

confiance

numérique

Faciliter l’afflux

d’investissements

étrangers et le

transfert des

services au Maroc

Développement

de l’usage des

TI et de

l’économie

numérique



Cadre juridique de la protection des données à caractère personnel

Loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel du 18 Février 2009 ( BO n° 5714 du 05/03/2009)

Décret n°2-09-165 pris pour l’application de la loi n°09-08 du 21 Mai 2009 ( BO n° 5744 du 18/06/2009)

Décision du 1er Ministre n°3-33-11approuvant le règlement intérieur de la CNDP du 28 mars 2011 ( BO n° 5932 du07/04/2011)

Textes



Définitions et champs d’application

Principes

Droits de la personne concernée

Obligation du responsable de traitement

Sanctions

Mise en place d’une Autorité de contrôle

Cadre juridique de la protection des données à caractère personnel



Données à caractère personnel

Traitement

Fichier de données à caractère personnel

Données sensibles

Responsable du traitement

Personne concernée

Notions de base définies par la Loi 09-08



Notions de base de la Loi 09-08

Dahir n°1-09-15 du 18 février 2009 (B.O. n°5714 du 05 mars 2009)

Données à caractère personnel: « toute information, de quelque nature

qu’elle soit et indépendamment de son support, y compris le son et limage,

concernant une personne physique identifiée ou identifiable... » (Article premier)

Exemples

Nom, Prénom, Adresse, Numéro de téléphone, Email, Adresse IP, Photo,

Vidéo, Données biométriques, Données génétiques…





Notions de base de la Loi

Personne concernée:

La personne physique dont les données personnelles sont traitées.

Exemples :Les personnes concernées par les traitements RH

- les personnes employées par les employeurs quelle que soit la nature de leur emploi (contrat à

durée indéterminée : CDI, contrat à durée déterminée : CDD, contrat temporaire, intérim…) ;

- les apprentis ;

- les stagiaires ;

- les candidats à l’embauche.





Notion de traitement :

« Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à

des données à caractère personnel... » (Article premier)

toute manipulation de données à caractère personnel ( manuelle, partiellement ou totalement

informatisée)

Exemples de traitement utilisés par la fonction RH:La gestion du recrutement :

•Traitement des CV des candidats à l’embauche ; constitution des dossiers de recrutement ;

• Organisation des entretiens d’embauche et des moyens d’évaluation.

La gestion administrative des personnes concernées :

• Gestion du dossier administratif, tenu conformément aux dispositions législatives et réglementaires,

ainsi qu'aux dispositions statutaires, conventionnelles ou contractuelles qui régissent les intéressés ;

• Gestion de la paie ;

• Gestion des déclarations fiscales et sociales ; Gestion des carrières

Gestion des dossiers médicaux

Contrôle d’accès aux locaux





Fichier à caractère personnel :

« Tout ensemble structuré de données à caractère personnel accessible

selon des critères déterminés, que cet ensemble soit centralisé, décentralisé

ou réparti de manière fonctionnelle ou géographique…» (Article premier, al. 4)

Exemples :

Les archives ;

Les banques de données ;

Les fichiers de recensement …





Données sensibles: « données à caractère personnel qui révèlent

l’origine raciale ou ethnique, les opinions politiques, les convictions

religieuses ou philosophiques ou l’appartenance syndicale de la

personne concernée ou qui sont relatives à sa santé y compris ses

données génétiques» (Article premier, alinéa 3)

Exemples :

Empreintes digitales, Analyses médicales, CIN, etc.





Responsable du traitement

«La personne physique ou morale, l’autorité publique, le service ou tout autre

organisme, qui seul ou conjointement avec d’autres, détermine les finalités et

les moyens du traitement de données à caractère personnel...» (Article premier)

Exemples :

l’interlocuteur principal des personnes concernées et de l’autorité de contrôle,

la CNDP..



Champs d’application de la loi 09-08

Quels traitements?

1. aux traitements des données à caractère personnel automatisés en

tout ou en partie ;

2. aux traitements non automatisés des données à caractère

personnel contenues ou appelées à figurer dans des fichiers

manuels.




Champs d’application de la loi 09-08

La loi ne s’applique pas:

aux traitements de données personnelles effectués par une

personne physique pour des besoins exclusivement

personnels ou domestiques ;

aux données recueillies et traitées dans l’intérêt de la défense

nationale et de la sécurité intérieure et extérieure de l’Etat ;




Principales dispositions de la Loi 09-08


Les droits de la personne concernée

Les obligations du responsable du traitement

Les modalités de notification de traitement

Les sanctions



Impacts sur la profession

d’expert-comptable



En sa qualité de prestataire de services, utilisateur de traitements de données

à caractère personnelle:

collectées directement Responsable de Traitement

ou par l’intermédiaire de ses clients Sous traitant

En sa qualité de conseil de l’entreprise

Les droits de la personne concernée


Quelles Garanties pour la vie privée de la personne concernée :

Etre informée lors de la collecte des données de l’identité du

Responsable de traitement, de la finalité du traitement (ou objectifs)

Exprimer son consentement ;

Exercer ses droits d’accès, de rectification et d’opposition.



Droit à l’information Droit d’accès

Droit de

rectificationDroit d’opposition

Protection contre les

messages

publicitaires abusifs

Droit à l’oubli



Obligations de l’expert comptableresponsable du traitement

Traiter les données d’une façon loyale, légitime et transparente ;

Respecter les finalités du traitement ;

Respecter le principe de proportionnalité ;

Veiller sur la qualité des données (exactes, fiables, complète et mises à jour) ;

Garantir aux personnes concernées l’exercice de leurs droits ;

Accomplir les formalités préalables auprès de la CNDP (déclaration et demande d’autorisation, etc) ;

Assurer la sécurité et la confidentialité des données.

Procéder à la notification préalable des traitements de données personnelles à la Commission, soit par le régime d’autorisation préalable ou de déclaration de traitement.

Voir tableau résumant la liste des traitements de données personnelles usuels, ainsi que les

formalités administratives de notifications à effectuer auprès de la CNDP.


« La gestion des données personnelles dans les cabinets d’expertise-comptable »,

01/12/2016

Obligations du responsable du traitement :La notification des traitements à la CNDP


Demande de déclaration préalable

• Demande d’autorisation préalable si collecte de données sensibles

(Pour les traitements RH , possibilité de bénéficier d’une procédure simplifiée en se

conformer à la Délibération n° 298-AU-2014 du 11/04/2014 portant modèle de demande d’autorisation type relative au traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des Ressources Humaines, en remplissant un formulaire de demande d’autorisation préalable conformément à une décision.)

Une demande d’autorisation de transfert de données à l’étranger ( si des données personnelles seront hébergées ou transmises hors du Royaume)



Obligations de l’expert-comptable

en tant que sous-traitant

(conformément aux dispositions de la loi 09-08)

Cas des traitements de données collectées par le client (Paie …)

En qualité de sous-traitant, la société n’est pas dans l’obligation d’effectuer les formalités de notifications préalables auprès de la CNDP pour les traitements des données personnelles de ses clients (exemple : la gestion comptable, la gestion de la paie, la gestion fiscale….) ;

Les procédures de notifications préalables doivent-être initiées par le responsable du traitement (le CLIENT donneur d’ordre) ;

Les obligations de sécurité et de confidentialité des données personnelles incombent au responsable de traitement comme au sous-traitant. La réalisation d’un traitement en sous-traitance doit être régie par un acte écrit qui prévoie des clauses de confidentialité.

Le sous-traitant est tenu de s’assurer que les données personnelles objet du contrat de sous-traitance, ont été collectées par le responsable de traitement conformément aux dispositions de ladite loi.



Sanctions :

Administratives

Pécuniaires

Pénales



Sanction administrative: Retrait du récépissé: Traitement portant atteinte à la sûreté ou

à l’ordre public ou est contraire à la morale et aux bonnes

mœurs

Sanction pécuniaire: 10.000 à 100.000DH: Mise en œuvre d’un traitement sans le

récépissé de la CNDP

20.000 à 200.000DH: Non respect des droits des personnes

concernées.



Sanctions Pécuniaire et/ou privatives de liberté :

Emprisonnement de trois mois à un an et/ou amende de 20.000 à 200.000DH

Mise en œuvre d’un traitement sans le consentement des personnes concernées ;

Non respect des mesures de sécurité ;

Non respect du droit d’opposition (messages publicitaires abusifs, etc) ;

Hébergement et transfert de données personnelles sans avoir le récépissé correspondant de la CNDP.

Non respect des mesures de sécurité ;

Non respect du droit d’opposition (messages publicitaires abusifs, etc) ;

Hébergement et transfert de données personnelles sans avoir le récépissé correspondant de la CNDP.



Une Autorité de Contrôle (ou un régulateur) instituée en

application de l’article 34 de la loi 09/08

La Commission se compose de 7 personnalités qualifiées :

Un Président nommé directement par Dahir et Six membres

nommés également par Dahir sur proposition du Premier

Ministre, du Président de la Chambre des Représentants et du Président de la Chambre des Conseillers



[email protected]

Immeuble Les patios, bd Annakhil, 3ème étage, Hay Ryad, Rabat.

BP: 6838 Rabat -Instituts

Tél: 05 37 57 11 24 / fax: 05 37 57 21 41



mailto:[email protected]

http://www.cndp.ma/

Conseil Régional de l’Ordre des Experts-Comptables de...

Documents

Transcript of Conseil Régional de l’Ordre des Experts-Comptables de...