La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) recommande aux entreprises marocaines concernées d’initier un projet de conformité au Règlement général sur la protection des données (RGPD) afin d’éviter les sanctions prévues par le nouveau règlement et qui peuvent atteindre jusqu'à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
"Les organismes marocains concernés par le RGPD doivent être en mesure de démontrer (Accountabilty) qu’ils ont pris toutes les mesures techniques, organisationnelles et juridiques garantissant le respect des obligations prévues par le règlement", indique la CNDP dans un communiqué.
Il s’agit notamment de la réalisation de l’analyse d’impact sur la vie privée des traitements mis en œuvre, la préparation et la mise à jour de la cartographie des traitements et des données (Data mapping), la désignation d’un délégué à la protection des données, la notification des violations des données personnelles (Data Breach Notification) et le respect des droits à l’oubli, de limitation et de portabilité des personnes concernées, précise la CNDP.
Consciente des risques encourus par les organismes marocains concernés par ce règlement en cas de violation de ses dispositions et de l’impact éventuel sur la compétitivité de certains secteurs d’activité, la CNDP indique avoir a procédé à l’analyse de cette nouvelle loi communautaire afin d’identifier les différentes actions d’accompagnement qui peuvent être menées au profit des acteurs marocains concernés.
A cet effet, précise le communiqué, une rubrique dédiée au RGPD a été ajoutée, en mai 2017, au site Internet de la CNDP afin de permettre aux entreprises concernées de s’initier au nouveau règlement, notant que d’autres actions d’accompagnement identifiées en concertation avec les départements ministériels et fédérations professionnelles concernés seront programmées dans les mois à venir.
Le règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est entré en vigueur le 24 mai 2016, soit vingt jours après sa publication au Journal officiel de l’Union européenne. Il sera appliqué directement dans les 28 Etats membres à partir du 25 mai 2018.
Ce nouveau règlement vise à accompagner le développement effréné de la science et des technologies en unifiant et renforçant la protection des données personnelles en Europe.
Une des principales caractéristiques du RGPD est son champ d’application territorial qui peut couvrir, contrairement aux transpositions nationales de la directive 95/46/CE, des entreprises marocaines lorsqu’elles opèrent des traitements de données à caractère personnel visant des individus qui se trouvent dans le territoire de l'Union, ajoute-t-on de même source, faisant savoir que le nouveau règlement a aussi étendu aux sous-traitants, tels les entreprises marocaines opérant dans le secteur de l’Offshoring, une large partie des obligations réservées auparavant aux responsables de traitement installés sur le territoire européen.
Outre les droits traditionnels (information, accès, rectification, opposition, restriction du profilage automatisé servant de base à une décision...), le RGPD a introduit de nouveaux droits pour les individus, tels le renforcement des conditions applicables au consentement, notamment celui des enfants, le droit à l’oubli, le droit à la limitation du traitement et le droit à la portabilité des données, indique le communiqué.