protection des données personnelles au maroc - fcs.ma · personnelles au maroc casablanca, le 11...
Post on 12-Sep-2018
238 Views
Preview:
TRANSCRIPT
www.themegallery.com
LOGO
Protection des Données
Personnelles au Maroc
Casablanca, le 11 Octobre 2017
Cadre juridique national et nouveau règlement
européen
11. Cadre juridique de la protection des données à
caractère personnel au Maroc
22.
Le RGPD : nouveautés et démarche de conformité
Plan
Cadre juridique de la protection des données à caractère personnel au
Maroc
11.
La confiance et l’économie numériques (2,1 m transactions en 2015);
L’essor de l’industrie de l’Offshoring
« Data-driven economy »;
Nouveaux métiers dédiés à la PDP;
Un avantage concurrentiel.
Une tendance mondiale et un sujet d’actualité (Snowden, Apple VsFBI, etc);
Le monde est devenu un grand village planétaire;
Un prérequis à la signature d’accords internationaux (blanchimentd’argent, échange d’information, etc.).
La protection de la vie privée;
Un droit humain fondamental.
Mo
nd
iali
sa
tio
nE
tat
de
dro
it
En
jeu
x
éc
on
om
iqu
es
Les Enjeux
Article 24 de la Constitution :« Toute personne a droit à la protection de sa vie privée ».
Loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel
Décret n°2-09-165 pris pour l’application de la loi n°09-08
Décision du 1er Ministre n°3-33-11 approuvant le règlement intérieur de la CNDP
Textes de base
1
2
4
5
3
18 Février 2009 (BO n° 5714 du 05/03/2009)
21 Mai 2009 ( BO n° 5744 du 18/06/2009).
28 mars 2011 ( BO n° 5932 du07/04/2011)
6
Définition des notions de bases /champs d’application;
Principes clés à respecter dans tout traitement de données à caractère personnel;
Les droits de la personne concernée;
Les obligations du responsable du traitement;
Les modalités de notification de traitement;
Les sanctions;
La CNDP.
Apports de la loi 09-08
7
Champs d’application de la loi 09-08
Nature du traitement
Automatisé.
Non automatisé sur des fichiers manuels
Territorialité du responsable du traitement
est établi sur le territoire marocain.
recourt à des moyensautomatisés ou non situés sur le territoire marocain.
8
La loi ne s’applique pas :
aux traitements de données personnelles effectués par une personne physique pour des besoins exclusivement personnels ou domestiques ;
aux données recueillies et traitées dans l’intérêt de la défense nationale et de la sécurité intérieure et extérieure de l’Etat ;
Champs d’application de la loi 09-08
9
Notions de base de la Loi 09-08 :
• Données à caractère personnel
• Traitement de données à caractère personnel
• Données sensibles
• Responsable du traitement
• Personne concernée
• …….
Notions de base
10
Données à caractère personnel
• «Toute information, de quelque nature qu’elle soit et indépendamment de son support, ycompris le son et l’image, concernant une personne physique identifiée ou identifiable... »Article premier de la loi 09-08;
• Exemples : Nom, Prénom, Adresse, Numéro de téléphone, Email, Adresse IP, Photo,Vidéo, Données bancaires, Données biométriques, Données génétiques…
Données sensibles :
• Toute donnée qui révèle l’origine raciale ou ethnique, les opinions politiques; lesconvictions religieuses ou philosophiques, l’appartenance syndicale et les donnéesrelatives à la santé y compris les données génétiques»;
• Exemples : Empreintes digitales, Certificats médicaux...
Notions de base
11
Traitement de données personnelles
• « Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel... »;
• Exemples : GRH, Gestion des clients, vidéosurveillance, gestion des dossiers médicaux, recherche biomédicale…
Responsable de traitement
• «La personne physique ou morale, l’autorité publique, le service ou tout autreorganisme, qui seul ou conjointement avec d’autres, détermine les finalités et lesmoyens du traitement de données à caractère personnel...» ;
• Exemples : Ministère, université, hôpital, entreprise, etc.
Personne concernée
• La personne physique dont les données personnelles sont traitées;
• Exemples : salarié, client, patient, étudiant, fournisseur …
Notions de base
12
Etre informée lors de la collecte de ses données ;
Exprimer son consentement ;
Exercer ses droits d’accès, de rectification etd’opposition ;
Etre protégée contre les messages publicitairesabusifs;
Garder le contrôle sur ses données personnelles
Droits des personnes concernées
Cadre juridique de la PDP au Maroc
13
La CNDP reçoit les plaintes de toute personne concernée estimant être lésée
par un traitement de données personnelles (Article 28 de la loi 09-08);
La plainte peut être adressée à la CNDP par:
Voie Postale
Voie électronique (+80% des cas)
Dépôt sur place
Via les Réseaux Sociaux (FB & Twitter)
La CNDP peut également déclencher une procédure par auto-saisine.
Droits des personnes concernées : instruction des plaintes
14
Evolution du nombre des plaintes reçues par la CNDP entre
Janvier 2012 et Septembre 2017
743
162
396
584
280
0
100
200
300
400
500
600
700
Droits des personnes concernées : instruction des plaintes
15
Traiter les données d’une façon loyale, légitime et transparente
Respecter les finalités du traitement
Respecter la durée de conservation (limitée et selon la finalité)
Respecter le principe de proportionnalité
Veiller sur la qualité des données (Exactes, fiables, mise à jour)
Garantir aux personnes concernées l’exercice de leurs droits
Accomplir les formalités de notification auprès de la CNDP
Assurer la sécurité et la confidentialité des données (article 23 dela loi 09-08)
Instaurer une relation de confiance et de transparence avec les clients,
usagers, collaborateurs ou partenaires
Obligations du responsable de traitement
16
Cadre juridique de la PDP au Maroc
• Traitement des données sensibles;
• Détournement de finalité;
• Données portant sur les infractions , condamnations ou mesures de sûreté;
• CIN;
• Interconnexion de fichiers ayant des finalités différentes.
Demande d’autorisation
Déclaration
Demande de transfert des données à l’étranger
Notification des traitements à la CNDP
17
les types de sanctions:
• Pécuniaires (entre 10 000DH et 300 000DH).
• Privatives de liberté (entre 3 Mois et Deux ans).
• Administratives.
Les sanctions sont portées au double :
• Si l’auteur de l’infraction est une personne morale (pour les amendes);
• En cas de récidive;
Les Sanctions
18
Sensibilisation et information
Protection
Contrôle et investigation
Veille juridique et technologique
La CNDP
19
Le 31 août 2010 : instauration de la Commission
Composition: Le président et six membres, nommé par Sa Majesté le Roi; Secrétariat général :
Département juridiqueDépartement du contrôle et de l’expertiseDépartement administratif et financierDépartement de la communicationDépartement des systèmes d’information
Février 2012: Mise en place des structures administratives
La CNDP
Cadre juridique de la PDP au Maroc
20
Chiffres clés
30/09/2017
Délibérations doctrinales
24
Plaintes
1415
Déclarations
2434
Transferts
778
Autorisations
2521
Contrôles
517
La CNDP
Le RGPD : nouveautés et démarche de conformité2
2.
Sommaire
Caractère extraterritorial du RGPD
Principaux changements
Comment s’y préparer?
1
3
2
Quelle est la différence entre une directive et un
règlement ?
Un règlement est une loi communautaire directementapplicable dans tous les états-membres de l'Union.
La directive est un acte normatif dont les objectifsdoivent être transposés dans les droits nationaux desEtats membres dans un délai fixé par la Directive.
Date d’application « le 25 mai 2018 »
Une réforme globale, qui poursuit 3 objectifs:
Renforcer les droits des personnes
Responsabiliser les acteurs traitant des données personnelles
Etablir une gouvernance nouvelle de la régulation
1
3
2
Une application territoriale élargie
Le critère d’établissement
Traitements effectués dans le cadre des activitésd’acteurs établis sur le territoire de l’UE…
…qu’ils aient ou non lieu dans l’UE
Le critère de ciblage
Traitements effectués par des acteurs non établis surle territoire de l’UE dès lors qu’ils visent despersonnes se trouvant sur le territoire de l’UE
• Offre de biens et services
• Suivi de comportements au sein de l’UE
Principaux changements pour un sous-traitant
Directive 95/46 :
• Les obligations du sous-traitant se limitaient à l’engagement dene traiter les données du responsable du traitement que surinstruction de ce dernier et à la prise des mesures techniques etorganisationnelles permettant de les sécuriser.
Règlement européen – Obligations étendues - :– Présenter des garanties suffisantes quant à la mise en œuvre des mesures
techniques et organisationnelles assurant la conformité des traitements auxexigences du règlement (Art28).
– Ne pas recruter un autre sous-traitant que si le responsable de traitement l’yautorise par écrit (Art28).
– Disposer d’un contrat ou d’un autre acte juridique au titre du droit del’Union ou d’un état membre qui le lie à l’égard du responsable dutraitement et qui définit les caractéristiques du traitement ainsi que lesobligations de chaque partie contractante(Art28).
– Tenir un registre des traitements (Art30).
– Sécuriser les traitements et les données personnelles (Art32).
– Notifier au responsable de traitement les violations des donnéespersonnelles et ce, dans les meilleurs délais après en avoir pris connaissance(Art33).
– Désigner un délégué à la protection des données (Art37).
Principaux changements pour un sous-traitant
Le cadre des transferts hors de l’Union mis à jour
Transferts fondés sur une décision d’adéquation• Un niveau de protection des droits fondamentaux
« substantiellement équivalent »
D’autres outils pour assurer un niveau de protectionsuffisant et appropriés des personnes• Les règles d’entreprises contraignantes (BCR)
• Les clauses contractuelles types approuvées par la CommissionEuropéenne
• Les clauses contractuelles adoptées par une autorité etapprouvées par la Commission européenne
• Les codes de conduite et mécanisme de certification
Conformité: un nouveau paradigme pour les
responsables de traitement
Transparence et responsabilisation des acteurs
• la protection des données dès la conception et par défaut (privacyby design).
• Un allègement des formalités administratives et uneresponsabilisation des acteurs (accountability).
Une boîte à outils pour la mise en conformité:• La tenue d’un registre des traitements mis en œuvre.• La notification de failles de sécurité (aux autorités et personnes
concernées).• La certification de traitements.• L’adhésion à des codes de conduites.• Le DPO (délégué à la protection des données).• Les études d’impact sur la vie privée (EIVP).
Principaux changements pour les personnes
concernées
Consentement renforcé (Art
7), notamment celui des
enfants (Art 8).
Le droit à l’oubli (Art 17).
Le droit à la limitation du
traitement (Art 18).
Le droit à la portabilité des données (Art
20).
Les sanctions prévues
Des sanctions unifiées et alourdies
• Des décisions uniques applicables sur l’ensemble du territoire de l’Union.
• Des amendes adaptées mais dissuasives: jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires
mondial du responsable de traitement.
Comment s’y préparer?
1
DÉSIGNER UN COMITÉ DE PILOTAGE
2INVENTORIER LES TRAITEMENTS DE
DONNÉES PERSONNELLES (DATA MAPPING)
3
IDENTIFIER ET PRIORISER LES ACTIONS À MENER
4
MANAGER LES RISQUES (EIVP)
5
ORGANISER LES PROCESSUS INTERNES
6
DOCUMENTER LA CONFORMITÉ
(ACTUALISATION DES DOCUMENTS)
Comment s’y préparer ?
Une adresse email dédiée a été mise en place pour répondre à
toutes vos demandes d'information à propos du règlement
: rgpd@cndp.ma
Rubrique spéciale RGPD
sur le site web de la CNDP :
www.cndp.ma
MERCI !34
34
Imm. Les patios, Bd. Annakhil, 3ème étage,
Hay Riyad Rabat, MAROC
+212 5 37 71 70 73
+212 5 37 57 11 24
+212 5 37 57 21 41
contact@cndp.ma
www.cndp.ma
@CNDP_Maroc
@CNDP.Maroc
Questions et discussion
top related