Connexion
Éco-Conseil : Comment identifier une donnée ou une information à caractère personnel ?
Mohamed Amine Lemfadli : Une information ou une donnée à caractère personnel, selon la loi 09-08, correspond à toute information pouvant identifier directement ou indirectement une personne physique. Par exemple : le nom, le prénom, le numéro de CIN, le numéro de téléphone, la photo, le numéro du compte bancaire, l’adresse mail, les empreintes digitales, le CV et les diplômes, etc. Il faut savoir aussi qu’on peut combiner plusieurs informations pour identifier une personne indirectement. Par ailleurs, la loi a défini d’autres types de données personnelles considérées comme sensibles : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données relatives à la santé, y compris les informations génétiques.
Quelle responsabilité de l’entreprise vis-à-vis de la collecte de ces données ?
L’entreprise doit respecter un certain nombre d’exigences stipulées dans les différents articles de la loi 09-08. Exemple :
1. La finalité du traitement : il ne faut collecter que les données personnelles nécessaires à l’exécution d’un traitement pour une finalité bien précise. Les données dites optionnelles ne doivent plus être présentes dans les formulaires.
2. Avoir le consentement express de la personne concernée.
3. Assurer les droits des personnes : droit de consultation, de modification et d'opposition.
4. Respecter la durée de conservation : en cas de départ d’un salarié, de désabonnement téléphonique, de clôture d’un compte bancaire… les données personnelles de la personne concernée doivent être supprimées ou «anonymisées» après une durée de conservation légale imposée par d’autres lois.
5. Assurer la sécurité et la confidentialité des données personnelles.
Par ailleurs, la loi a prévu des sanctions pécuniaires de 10.000 à 300.000 DH et privatives de liberté de trois mois à deux ans en cas de non-conformité.
Comment les entreprises peuvent-elles se conformer à la loi sur la protection des données à caractère personnel ?
La mise en conformité à cette loi est un nouveau sujet pour les entreprises. Elle passe par plusieurs phases. Il est nécessaire de commencer par une séance de sensibilisation de toutes les parties prenantes aux enjeux, aux avantages et aux risques, dans une première étape de la première phase. La deuxième étape consiste à définir un cadre organisationnel de mise en conformité. Définir les rôles et responsabilités et nommer un responsable de conformité à la loi 09-08 (DPO «Data Privacy Officer» ou CIL «Correspondant informatique et libertés»). Ensuite, dans la troisième étape, il faut identifier et catégoriser les personnes concernées par les traitements (salariés, clients, prestataires…), cartographier les traitements des données personnelles (vidéosurveillance, contrôle d’accès, gestion de recrutement, gestion de la paie, abonnement téléphonique, souscription d’un contrat d’assurance, ouverture d’un compte bancaire...) et recenser les données personnelles collectées. La quatrième étape consiste à remplir les formulaires de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), les faire signer par le responsable de traitement et les déposer à la CNDP pour recevoir les numéros des récépissés propres à chaque traitement.
La deuxième phase consiste à démarrer le chantier de mise en conformité par rapport aux exigences de la loi, notamment l’insertion des mentions légales dans les contrats et formulaires, la sécurité physique et environnementale et la sécurité logique.
La dernière phase permet de définir les processus relatifs aux exigences de la loi : processus de réponse aux droits des personnes (consultation, modification, opposition), processus de contrôle interne, processus d’audit (par les auditeurs internes, les auditeurs CNDP…) et le processus de déclaration d’un nouveau traitement avant sa mise en production.
