Déclarer ses traitements de données personnelles au Maroc

STARTUPS MAROCAINES, APPRENEZ À COMPLÉTER VOS DÉCLARATIONS PREALABLES DE TRAITEMENT DE DONNÉES PERSONNELLES !

Déclarer vos traitements de données personnelles auprès de la CNDP est obligatoire si votre startup traite des données personnelles. Qu’est-ce qu’un traitement de données personnelles ? Quel formulaire remplir ? Cet article a pour objectif de vous apprendre simplement à comprendre cette réglementation.

QUAND MA STARTUP RÉALISE T-ELLE UN TRAITEMENT DE DONNÉES PERSONNELLES ?

Les startups sont amenées à effectuer des traitements de données personnelles dans le cadre de leurs activités, notamment en réalisant des campagnes de marketing, en effectuant la paie, la facturation ou en développant un site Internet  e-commerce.

Or, ces traitements utilisent souvent des données à caractère personnel que sont par exemple : nom, prénom, numéro de CIN, email, photo, numéro de téléphone, empreintes digitales, ADN, RIB. Ces données qui permettent d’identifier ou de rendre identifiable les personnes concernées (ex : salariés, clients ou fournisseurs), doivent être protégées, traitées proportionnellement à l’objectif visé et conservées pendant une durée limitée, n’excédant pas la durée nécessaire à l’accomplissement de la finalité du traitement.

Vous trouverez ci-dessous d’autres exemples de finalités de traitements de données personnelles :

• gestion du personnel et administration des salaires ;
• accès à / consultation d’une base de données de contacts contenant des données à caractère personnel (ex: logiciel CRM);
• envoi d’e-mails promotionnels ;
• déchiquetage de documents contenant des données à caractère personnel ;
• publication / affichage d’une photo d’une personne sur un site internet ;
• conservation d’adresses IP ou d’adresses MAC ;
• enregistrement de vidéosurveillance.

Quel champ géographique ? Tous les traitements de données personnelles dont les responsables du traitement (ex: start’up qui réalise le traitement) ou les moyens de traitement sont situés sur le territoire marocain doivent se conformer à la loi 09-08 du 18 février 2009 (BO n°5714 du 05-03-2009).

QUE DOIS-JE FAIRE SI JE RÉALISE UN TRAITEMENT DE DONNÉES PERSONNELLES AU MAROC VIS-À-VIS DE LA CNDP ?

Tous les traitements de données à caractère personnel doivent être déclarés préalablement à leur mise en œuvre auprès de la CNDP(à l’exclusion de ceux exclus du champ d’application de la loi n°09-08, ou dispensés de déclaration à la CNDP, ou soumis au régime de l’autorisation préalable).

Warning 1 : si vous traitez des données sensibles, c’est à dire notamment des données qui portent sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données génétiques ou relatives à la santé, des données génétiques ou des données comportant la CIN, il convient de réaliser une demande d’autorisation à la CNDP. Il ne s’agit donc pas de déclarer que l’on va traiter des données personnelles mais de demander une autorisation à la CNDP pour réaliser ce traitement de données sensibles ;

Warning 2 : si vous transférez des données à l’étranger (en dehors du Maroc), ou par exemple, si des données personnelles sont hébergées ou transmises à l’étranger, vous devez également réaliser une demande de transfert de données à l’étranger auprès de la CNDP.

QUELLE EST LA PROCEDURE A SUIVRE POUR DECLARER UN TRAITEMENT DE DONNÉES PERSONNELLES ?

Étape 1 : 

Il convient de télécharger le formulaire de déclaration normale F211 ou le formulaire de déclaration normale simplifiée (conformément à une décision) F214  préalable à la réalisation de traitement de données à caractère personnel et de le renvoyer à la CNDP. Il convient de joindre à ce formulaire notamment :

• un document autorisant le signataire à engager la personne morale ;
• une copie de la carte nationale d’identité du signataire ; 
• tout autre document utile, le cas échéant.

Pour obtenir des informations sur ce que doit comporter la déclaration : https://www.cndp.ma/fr/service-en-ligne/responsables-de-traitement.html 

Étape 2 : 

• La CNDP délivre le récépissé de la déclaration dans un délai de 24 heures.
• La CNDP notifie dans un délai de 8 jours à la startup déclarant sa décision de soumettre le traitement au régime de l’autorisation préalable, si elle estime que le traitement envisagé présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes concernées.

Attention, lorsque le dossier est incomplet, ces délais ne commencent à courir qu’à partir du moment où les informations ou les documents demandés par la CNDP ont été fournis.

POURQUOI DEVEZ-VOUS ABSOLUMENT RESPECTER LA RÉGLEMENTATION ? 

Pourquoi devez-vous absolument respecter et vous mettre en conformité avec la réglementation de la loi 09-08 ? 

Afin d’éviter des sanctions financières prévues par la loi 09-08 ainsi que des condamnations pénales ! 

Mais ce n’est pas tout : le fait de respecter les exigences de la loi 09-08 permet de vous démarquer de vos concurrents. En effet, vous obtenez ainsi un avantage concurrentiel extrêmement positif, en termes de réputation et d’image de marque pour votre entreprise. Cela démontre notamment une gestion exemplaire des données personnelles traitées pour le compte de votre client ainsi que le respect de mesures de sécurité et de confidentialité.

Références :