www.themegallery.com

LOGO

Protection des Données

Personnelles au Maroc

Casablanca, le 11 Octobre 2017

Cadre juridique national et nouveau règlement

européen

11. Cadre juridique de la protection des données à

caractère personnel au Maroc

22.

Le RGPD : nouveautés et démarche de conformité

Plan

Cadre juridique de la protection des données à caractère personnel au

Maroc

11.

La confiance et l’économie numériques (2,1 m transactions en 2015);

L’essor de l’industrie de l’Offshoring

« Data-driven economy »;

Nouveaux métiers dédiés à la PDP;

Un avantage concurrentiel.

Une tendance mondiale et un sujet d’actualité (Snowden, Apple VsFBI, etc);

Le monde est devenu un grand village planétaire;

Un prérequis à la signature d’accords internationaux (blanchimentd’argent, échange d’information, etc.).

La protection de la vie privée;

Un droit humain fondamental.

Mo

nd

iali

sa

tio

nE

tat

de

dro

it

En

jeu

x

éc

on

om

iqu

es

Les Enjeux

Article 24 de la Constitution :« Toute personne a droit à la protection de sa vie privée ».

Loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Décret n°2-09-165 pris pour l’application de la loi n°09-08

Décision du 1er Ministre n°3-33-11 approuvant le règlement intérieur de la CNDP

Textes de base

1

2

4

5

3

18 Février 2009 (BO n° 5714 du 05/03/2009)

21 Mai 2009 ( BO n° 5744 du 18/06/2009).

28 mars 2011 ( BO n° 5932 du07/04/2011)

6

Définition des notions de bases /champs d’application;

Principes clés à respecter dans tout traitement de données à caractère personnel;

Les droits de la personne concernée;

Les obligations du responsable du traitement;

Les modalités de notification de traitement;

Les sanctions;

La CNDP.

Apports de la loi 09-08

7

Champs d’application de la loi 09-08

Nature du traitement

Automatisé.

Non automatisé sur des fichiers manuels

Territorialité du responsable du traitement

est établi sur le territoire marocain.

recourt à des moyensautomatisés ou non situés sur le territoire marocain.

8

La loi ne s’applique pas :

aux traitements de données personnelles effectués par une personne physique pour des besoins exclusivement personnels ou domestiques ;

aux données recueillies et traitées dans l’intérêt de la défense nationale et de la sécurité intérieure et extérieure de l’Etat ;

Champs d’application de la loi 09-08

9

Notions de base de la Loi 09-08 :

• Données à caractère personnel

• Traitement de données à caractère personnel

• Données sensibles

• Responsable du traitement

• Personne concernée

• …….

Notions de base

10

Données à caractère personnel

• «Toute information, de quelque nature qu’elle soit et indépendamment de son support, ycompris le son et l’image, concernant une personne physique identifiée ou identifiable... »Article premier de la loi 09-08;

• Exemples : Nom, Prénom, Adresse, Numéro de téléphone, Email, Adresse IP, Photo,Vidéo, Données bancaires, Données biométriques, Données génétiques…

Données sensibles :

• Toute donnée qui révèle l’origine raciale ou ethnique, les opinions politiques; lesconvictions religieuses ou philosophiques, l’appartenance syndicale et les donnéesrelatives à la santé y compris les données génétiques»;

• Exemples : Empreintes digitales, Certificats médicaux...

Notions de base

11

Traitement de données personnelles

• « Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel... »;

• Exemples : GRH, Gestion des clients, vidéosurveillance, gestion des dossiers médicaux, recherche biomédicale…

Responsable de traitement

• «La personne physique ou morale, l’autorité publique, le service ou tout autreorganisme, qui seul ou conjointement avec d’autres, détermine les finalités et lesmoyens du traitement de données à caractère personnel...» ;

• Exemples : Ministère, université, hôpital, entreprise, etc.

Personne concernée

• La personne physique dont les données personnelles sont traitées;

• Exemples : salarié, client, patient, étudiant, fournisseur …

Notions de base

12

Etre informée lors de la collecte de ses données ;

Exprimer son consentement ;

Exercer ses droits d’accès, de rectification etd’opposition ;

Etre protégée contre les messages publicitairesabusifs;

Garder le contrôle sur ses données personnelles

Droits des personnes concernées

Cadre juridique de la PDP au Maroc

13

La CNDP reçoit les plaintes de toute personne concernée estimant être lésée

par un traitement de données personnelles (Article 28 de la loi 09-08);

La plainte peut être adressée à la CNDP par:

Voie Postale

Voie électronique (+80% des cas)

Dépôt sur place

Via les Réseaux Sociaux (FB & Twitter)

La CNDP peut également déclencher une procédure par auto-saisine.

Droits des personnes concernées : instruction des plaintes

14

Evolution du nombre des plaintes reçues par la CNDP entre

Janvier 2012 et Septembre 2017

743

162

396

584

280

0

100

200

300

400

500

600

700

Droits des personnes concernées : instruction des plaintes

15

Traiter les données d’une façon loyale, légitime et transparente

Respecter les finalités du traitement

Respecter la durée de conservation (limitée et selon la finalité)

Respecter le principe de proportionnalité

Veiller sur la qualité des données (Exactes, fiables, mise à jour)

Garantir aux personnes concernées l’exercice de leurs droits

Accomplir les formalités de notification auprès de la CNDP

Assurer la sécurité et la confidentialité des données (article 23 dela loi 09-08)

Instaurer une relation de confiance et de transparence avec les clients,

usagers, collaborateurs ou partenaires

Obligations du responsable de traitement

16

Cadre juridique de la PDP au Maroc

• Traitement des données sensibles;

• Détournement de finalité;

• Données portant sur les infractions , condamnations ou mesures de sûreté;

• CIN;

• Interconnexion de fichiers ayant des finalités différentes.

Demande d’autorisation

Déclaration

Demande de transfert des données à l’étranger

Notification des traitements à la CNDP

17

les types de sanctions:

• Pécuniaires (entre 10 000DH et 300 000DH).

• Privatives de liberté (entre 3 Mois et Deux ans).

• Administratives.

Les sanctions sont portées au double :

• Si l’auteur de l’infraction est une personne morale (pour les amendes);

• En cas de récidive;

Les Sanctions

18

Sensibilisation et information

Protection

Contrôle et investigation

Veille juridique et technologique

La CNDP

19

Le 31 août 2010 : instauration de la Commission

Composition: Le président et six membres, nommé par Sa Majesté le Roi; Secrétariat général :

Département juridiqueDépartement du contrôle et de l’expertiseDépartement administratif et financierDépartement de la communicationDépartement des systèmes d’information

Février 2012: Mise en place des structures administratives

La CNDP

Cadre juridique de la PDP au Maroc

20

Chiffres clés

30/09/2017

Délibérations doctrinales

24

Plaintes

1415

Déclarations

2434

Transferts

778

Autorisations

2521

Contrôles

517

La CNDP

Le RGPD : nouveautés et démarche de conformité2

2.

Sommaire

Caractère extraterritorial du RGPD

Principaux changements

Comment s’y préparer?

1

3

2

Quelle est la différence entre une directive et un

règlement ?

Un règlement est une loi communautaire directementapplicable dans tous les états-membres de l'Union.

La directive est un acte normatif dont les objectifsdoivent être transposés dans les droits nationaux desEtats membres dans un délai fixé par la Directive.

Date d’application « le 25 mai 2018 »

Une réforme globale, qui poursuit 3 objectifs:

Renforcer les droits des personnes

Responsabiliser les acteurs traitant des données personnelles

Etablir une gouvernance nouvelle de la régulation

1

3

2

Une application territoriale élargie

Le critère d’établissement

Traitements effectués dans le cadre des activitésd’acteurs établis sur le territoire de l’UE…

…qu’ils aient ou non lieu dans l’UE

Le critère de ciblage

Traitements effectués par des acteurs non établis surle territoire de l’UE dès lors qu’ils visent despersonnes se trouvant sur le territoire de l’UE

• Offre de biens et services

• Suivi de comportements au sein de l’UE

Principaux changements pour un sous-traitant

Directive 95/46 :

• Les obligations du sous-traitant se limitaient à l’engagement dene traiter les données du responsable du traitement que surinstruction de ce dernier et à la prise des mesures techniques etorganisationnelles permettant de les sécuriser.

Règlement européen – Obligations étendues - :– Présenter des garanties suffisantes quant à la mise en œuvre des mesures

techniques et organisationnelles assurant la conformité des traitements auxexigences du règlement (Art28).

– Ne pas recruter un autre sous-traitant que si le responsable de traitement l’yautorise par écrit (Art28).

– Disposer d’un contrat ou d’un autre acte juridique au titre du droit del’Union ou d’un état membre qui le lie à l’égard du responsable dutraitement et qui définit les caractéristiques du traitement ainsi que lesobligations de chaque partie contractante(Art28).

– Tenir un registre des traitements (Art30).

– Sécuriser les traitements et les données personnelles (Art32).

– Notifier au responsable de traitement les violations des donnéespersonnelles et ce, dans les meilleurs délais après en avoir pris connaissance(Art33).

– Désigner un délégué à la protection des données (Art37).

Principaux changements pour un sous-traitant

Le cadre des transferts hors de l’Union mis à jour

Transferts fondés sur une décision d’adéquation• Un niveau de protection des droits fondamentaux

« substantiellement équivalent »

D’autres outils pour assurer un niveau de protectionsuffisant et appropriés des personnes• Les règles d’entreprises contraignantes (BCR)

• Les clauses contractuelles types approuvées par la CommissionEuropéenne

• Les clauses contractuelles adoptées par une autorité etapprouvées par la Commission européenne

• Les codes de conduite et mécanisme de certification

Conformité: un nouveau paradigme pour les

responsables de traitement

Transparence et responsabilisation des acteurs

• la protection des données dès la conception et par défaut (privacyby design).

• Un allègement des formalités administratives et uneresponsabilisation des acteurs (accountability).

Une boîte à outils pour la mise en conformité:• La tenue d’un registre des traitements mis en œuvre.• La notification de failles de sécurité (aux autorités et personnes

concernées).• La certification de traitements.• L’adhésion à des codes de conduites.• Le DPO (délégué à la protection des données).• Les études d’impact sur la vie privée (EIVP).

Principaux changements pour les personnes

concernées

Consentement renforcé (Art

7), notamment celui des

enfants (Art 8).

Le droit à l’oubli (Art 17).

Le droit à la limitation du

traitement (Art 18).

Le droit à la portabilité des données (Art

20).

Les sanctions prévues

Des sanctions unifiées et alourdies

• Des décisions uniques applicables sur l’ensemble du territoire de l’Union.

• Des amendes adaptées mais dissuasives: jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires

mondial du responsable de traitement.

Comment s’y préparer?

1

DÉSIGNER UN COMITÉ DE PILOTAGE

2INVENTORIER LES TRAITEMENTS DE

DONNÉES PERSONNELLES (DATA MAPPING)

3

IDENTIFIER ET PRIORISER LES ACTIONS À MENER

4

MANAGER LES RISQUES (EIVP)

5

ORGANISER LES PROCESSUS INTERNES

6

DOCUMENTER LA CONFORMITÉ

(ACTUALISATION DES DOCUMENTS)

Comment s’y préparer ?

Une adresse email dédiée a été mise en place pour répondre à

toutes vos demandes d'information à propos du règlement

: rgpd@cndp.ma

Rubrique spéciale RGPD

sur le site web de la CNDP :

www.cndp.ma

MERCI !34

34

Imm. Les patios, Bd. Annakhil, 3ème étage,

Hay Riyad Rabat, MAROC

+212 5 37 71 70 73

+212 5 37 57 11 24

+212 5 37 57 21 41

contact@cndp.ma

www.cndp.ma

@CNDP_Maroc

@CNDP.Maroc

Questions et discussion