Sensibiliser les entreprises marocaines au nouveau Règlement européen sur la protection des données personnelles (RGPD), c’est l’objectif de la rencontre organisée par la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) et la Fédération du commerce et services au siège de la CGEM, mercredi 11 octobre 2017.
Une réglementation qui ne manquera pas d’avoir des conséquences sur les entreprises marocaines en relation avec des citoyens européens. Cette loi dont les contours restent flous pour les entreprises marocaines a été adoptée en 2016 et entrera en application le 25 mai 2018. En effet, la violation de ce texte de loi peut aller jusqu’à la mise en faillite d’un prestataire travaillant avec les pays européens, ce qui soulève plusieurs interrogations aussi bien au niveau pratique que juridique. Pour s’y préparer, la CNDP a présenté aux représentants d’entreprises marocaines ayant pris part à cette réunion un ensemble de recommandations accompagnées d’un éclairage sur les principales dispositions de cette nouvelle loi.
Ainsi, la commission propose aux entreprises de désigner un comité de pilotage qui assurera le suivi du projet de conformité à cette réglementation, d’inventorier et cartographier le traitement de données à caractère personnel en utilisant le data mapping afin de préparer un registre de traitement pour ces données. Ce registre permettra d’identifier et prioriser les actions à mener pour se conformer à la règlementation européenne et aussi manager les risques en faisant des analyses d’impact sur la question. Dans son mode d’emploi, la commission propose également d’organiser en interne des processus de traitement de données personnelles qui vont aider les entreprises à établir des procédures et documenter leur conformité face aux autorités de contrôle. Dans cette nouvelle configuration, l’exterritorialité du droit s’applique aux entreprises marocaines à partir du moment où le client visé par celles-ci est européen. Cette problématique ne concerne pas uniquement les exportateurs mais l’ensemble des entreprises qui traitent ce type de données personnelles. S’agissant de la coopération avec le Maroc, cette nouvelle réglementation prévoit deux méthodes en cas de violation de données à caractère personnel.
Lorsqu’il s’agit d’un sous-traitant les autorités européennes peuvent poursuivre le donneur d’ordre. Dans le cas où l’entreprise est installée au Maroc, les autorités européennes demanderont la collaboration de la CNDP. Notons par ailleurs que le nombre de plaintes déposées auprès de la CNDP est en constante augmentation depuis 2012. Ces requêtes sont passées de 7 plaintes en 2012 à 584 en 2016. Pour cette année, la CNDP a compté 280 plaintes jusqu’à fin septembre. Concernant les recours en justice, 13 dossiers ont été transmis aux tribunaux et 4 sanctions ont été prononcées à l’encontre des concernés.
