posted by Laila Touhami20/02/2024
Qu'est-ce que la Loi 09-08 et pourquoi est-elle cruciale pour les entreprises au Maroc ?
La loi marocaine n° 09-08, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, encadre le traitement des données à caractère personnel effectué par les entreprises opérant au Maroc.
La loi 09-08 s'inscrit dans un contexte global marqué par l'importance croissante du Règlement Général sur la Protection des Données personnelles (RGPD), qui a un impact significatif sur les entreprises privées et les organismes publics à travers le monde.
Découvrons son impact et son importance pour les entreprises
La Loi 09-08 s'applique lorsque le traitement des données à caractère personnel est effectué par une personne physique ou morale ayant son siège sur le territoire marocain.
Elle s'applique également lorsque le responsable du traitement n'est pas établi au Maroc, mais utilise des moyens automatisés ou non situés sur le territoire marocain.
Toutefois, la Loi 09-08 ne s'applique pas aux traitements effectués à des fins de transit sur le territoire marocain ou sur celui d'un État dont la législation est reconnue équivalente à celle du Maroc.
Dans ce cas, le responsable du traitement doit désigner un représentant au Maroc qui se substitue à lui dans tous ses droits et obligations au regard de la Loi 09-08.
La Loi 09-08 s'applique au traitement des données à caractère personnel, qu'il soit automatisé ou non, ainsi qu'au traitement des données contenues ou destinées à figurer dans des fichiers manuels.
Le traitement de données à caractère personnel est défini comme toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés, portant sur des données à caractère personnel.
Telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
Cependant, la Loi 09-08 ne s'applique pas aux traitements de données à caractère personnel effectués à des fins strictement personnelles ou domestiques, aux données utilisées pour la défense nationale.
Ainsi qu'à la sécurité intérieure ou extérieure de l'État, aux données utilisées pour la prévention et la répression des crimes et délits (sauf conditions spécifiques fixées par la loi), et aux données collectées en application d'une législation particulière.
Quelles sont les mesures à prendre pour se conformer à la Loi 09-08 ?
1ère étape : Identifier si votre entreprise agit en tant que responsable de traitement ou sous-traitant :
Il est essentiel, dans un premier temps, de déterminer si l'entreprise et gérant agit en tant que responsable de traitement ou sous-traitant au sens de la Loi 09-08.
Le responsable de traitement est celui qui détermine les finalités et les moyens du traitement des données, tandis que le sous-traitant traite les données pour le compte du responsable.
2ème étape : Identifier la base légale et les finalités du traitement des données :
Une fois le rôle défini, il convient d'identifier les finalités du traitement des données et les bases légales qui les justifient.
La notion de finalité désigne l'objectif, le dessein ou la raison pour laquelle les données à caractère personnel ont été collectées et sont traitées par l'entreprise responsable du traitement.
Cette notion revêt une importance capitale dans le processus de mise en conformité d'une entreprise avec la Loi 09-08. La compliance des entreprises est ici très importante.
Les finalités doivent être déterminées, explicites et légitimes, et le traitement des données doit reposer sur une base légale prévue par la loi.
Ainsi, tout traitement de données à caractère personnel doit reposer sur une base légale.
En effet, l'article 4 de la Loi 09-08 énonce les bases légales applicables, notamment lorsque
le traitement est nécessaire :
• Au respect d'une obligation légale à laquelle est soumise la personne concernée ou le responsable du traitement ;
• À l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à sa demande ;
• À la sauvegarde d'intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l'incapacité de donner son consentement ;
• À l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;
• À la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas porter atteinte à l'intérêt ou aux droits et libertés fondamentaux de la personne concernée.
En l'absence d'une base légale énoncée ci-dessus, le traitement des données à caractère personnel ne peut être effectué que si la personne concernée a clairement donné son consentement à l'opération ou à l'ensemble des opérations envisagées.
Une fois les bases du traitement des données établies, la prochaine étape consiste à mettre en œuvre les démarches de déclaration ou d'autorisation auprès de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP).
Les traitements nécessitant une autorisation préalable sont ceux portant sur les données sensibles, les données relatives aux infractions, condamnations ou mesures de sûreté, ainsi que les traitements impliquant l'interconnexion de fichiers ou le traitement de données sensibles.
Dans cette optique, il convient de souligner que l'article 21 de la Loi 09-08 énonce l'obligation pour le responsable du traitement de solliciter une autorisation de la part de la CNDP pour le traitement de données sensibles.
Ces données sensibles se réfèrent aux informations à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou encore l'appartenance syndicale de la personne concernée, ainsi que les données relatives à sa santé, y compris ses données génétiques (cf. Loi n° 09-08, article 1.3).
L'octroi de cette autorisation est conditionné par l'obtention du consentement explicite de la personne concernée, sauf dans les cas où le traitement des données est jugé indispensable à l'exercice des fonctions légales ou statutaires du responsable du traitement.
Les autres traitements de données à caractère personnel doivent faire l'objet d'une déclaration préalable auprès de la CNDP.
Cette déclaration doit comprendre diverses informations, telles que l'identification du responsable du traitement, la description des finalités du traitement, les catégories de personnes concernées, les destinataires des données, etc.
Cependant, il convient de noter que l'obligation de déclaration ne concerne pas les traitements ayant pour seul but la tenue d'un registre, conformément aux dispositions législatives ou réglementaires, qui est destiné à fournir des informations au public et est accessible à la consultation par toute personne justifiant d'un intérêt légitime.
Dans de telles circonstances, l'identité du responsable du traitement des données est communiquée à la CNDP et rendue publique.
La procédure d'obtention des déclarations et autorisations implique la soumission de formulaires appropriés à la CNDP, le suivi des demandes et la réponse aux éventuelles remarques ou demandes complémentaires de l'autorité de contrôle.
Une fois les déclarations ou autorisations obtenues, les entreprises peuvent mettre en œuvre leurs traitements de données conformément à la Loi 09-08, en respectant les principes de confidentialité et de sécurité des données.
En conclusion, se conformer à la Loi 09-08 implique une démarche rigoureuse d'identification, d'analyse et de mise en œuvre des mesures nécessaires pour garantir la protection des données à caractère personnel traitées par votre entreprise.
Le transfert de données personnelles en dehors du Maroc est strictement réglementé par la loi 09-08, nécessitant des précautions spécifiques pour assurer la protection des données.
Conformément à l'article 43 de la loi n° 09.08, le responsable du traitement des données à caractère personnel ne peut effectuer de transfert de ces données vers un État étranger que si cet État assure un niveau de protection adéquat de la vie privée ainsi que des libertés et droits fondamentaux des individus concernés par le traitement de ces données, ou susceptibles d'être concernés.
La liste des États répondant à ces critères est établie par la Délibération n°236-2015 du 18 Décembre 2015, qui modifie la délibération n°465-2013 du 06 Septembre 2013 établissant ladite liste.
Selon l'article 1 de ladite délibération les autres pays autorisés sont :
Allemagne, Autriche, Bulgarie, Canada, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Liechtenstein, Lituanie,
Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République Tchèque, Roumanie, Royaume-Uni, Slovaquie, Slovénie, Suède, Suisse.
Si le transfert des données à caractère personnel est effectué vers l’un de ces pays, le responsable du traitement n’est pas soumis à une autorisation il suffit de notifier la CNDP du transfert des données vers un pays étranger et de mentionner le pays destinataires des données.
Toutefois, le responsable d'un traitement peut transférer des données à caractère personnel vers un État ne satisfaisant pas aux conditions prévues à l'article susmentionné, dans les cas suivants :
1. Si la personne concernée a expressément consenti au transfert, ou si le transfert est nécessaire pour :
a. Sauvegarder la vie de ladite personne;
b. Préserver l'intérêt public;
c. Respecter des obligations visant à établir, exercer ou défendre un droit en justice;
d. Exécuter un contrat entre le responsable du traitement et l'intéressé, ou des
mesures précontractuelles prises à la demande de celui-ci;
e. Conclure ou exécuter un contrat dans l'intérêt de la personne concernée entre le
responsable du traitement et un tiers;
f. Assurer l'exécution d'une mesure d'entraide judiciaire internationale;
g. Prévenir, diagnostiquer ou traiter des affections médicales.
2. Si
Royaume du Maroc est partie ;
le transfert est effectué en vertu d'un accord bilatéral ou multilatéral auquel le
3. Sur autorisation expresse et motivée de la Commission nationale, lorsque le traitement assure un niveau de protection adéquat de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou des règles internes qui le régissent.
Pour approfondir votre compréhension du droit commercial et des affaires, un domaine crucial pour la navigation réussie dans le monde des entreprises, nous vous invitons à consulter notre article détaillé.
Il offre un aperçu complet des réglementations et des meilleures pratiques essentielles pour garantir la conformité et le succès de votre entreprise dans le cadre légal actuel.
Explorez également les responsabilités des cogérants en entreprise, mettant en lumière l'importance d'une gestion des données à la fois prudente et conforme aux normes légales.
Recent Posts