Conseil Régional de l Ordre des Experts-Comptables de Casablanca Rencontre-débat «La gestion des données personnelles dans les cabinets d expertise-comptable» Jeudi 1 er décembre 2016 Souâd El Kohen-Sbata Membre de la CNDP Rencontre-débat «La gestion des données personnelles dans les cabinets d expertise-comptable», 1 er décembre 2016
Cadre Juridique de la protection des données personnelles au Maroc : Plan de la présentation Objectifs de l encadrement de l utilisation des données personnelles Cadre juridique marocain: Références légales et réglementaires Définitions Principales dispositions de la loi n 09-08 applicable à la gestion des Ressources Humaines Impact sur l exercice de la profession d expert Comptable
Objectifs stratégiques du nouveau dispositif légal sur la protection des données personnelles Protection de la vie privée, des droits et libertés fondamentaux des personnes. Protéger le citoyen et toute personne vivant sur le territoire marocain contre l utilisation abusive de ses données personnelles Contribuer à la confiance numérique en instaurant une meilleure transparence dans l utilisation des données personnelles. Mettre à niveau l arsenal juridique (avec comme référence la directive européenne 95/46/CE et la convention n 108 du Conseil de l Europe) pour favoriser le développement du Business Process Outsourcing.
Protection de la vie privée des personnes Développement de l usage des TI et de l économie numérique Protection des données à caractère personnel Instauration de la confiance numérique Faciliter l afflux d investissements étrangers et le transfert des services au Maroc
Cadre juridique de la protection des données à caractère personnel Textes Loi n 09-08 relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel du 18 Février 2009 ( BO n 5714 du 05/03/2009) Décret n 2-09-165 pris pour l application de la loi n 09-08 du 21 Mai 2009 ( BO n 5744 du 18/06/2009) Décision du 1 er Ministre n 3-33-11approuvant le règlement intérieur de la CNDP du 28 mars 2011 ( BO n 5932 du07/04/2011)
Cadre juridique de la protection des données à caractère personnel Définitions et champs d application Principes Droits de la personne concernée Obligation du responsable de traitement Sanctions Mise en place d une Autorité de contrôle
Notions de base définies par la Loi 09-08 Données à caractère personnel Traitement Fichier de données à caractère personnel Données sensibles Responsable du traitement Personne concernée
Notions de base de la Loi 09-08 Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) Données à caractère personnel: «toute information, de quelque nature qu elle soit et indépendamment de son support, y compris le son et limage, concernant une personne physique identifiée ou identifiable...» (Article premier) Exemples Nom, Prénom, Adresse, Numéro de téléphone, Email, Adresse IP, Photo, Vidéo, Données biométriques, Données génétiques
Notions de base de la Loi 09-08 Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) Notions de base de la Loi Personne concernée: La personne physique dont les données personnelles sont traitées. Exemples : Les personnes concernées par les traitements RH - les personnes employées par les employeurs quelle que soit la nature de leur emploi (contrat à durée indéterminée : CDI, contrat à durée déterminée : CDD, contrat temporaire, intérim ) ; - les apprentis ; - les stagiaires ; - les candidats à l embauche.
Notions de base de la Loi 09-08 Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) Notion de traitement : «Toute opération ou ensemble d opérations effectuées ou non à l aide de procédés automatisés et appliquées à des données à caractère personnel...» (Article premier) toute manipulation de données à caractère personnel ( manuelle, partiellement ou totalement informatisée) Exemples de traitement utilisés par la fonction RH: La gestion du recrutement : Traitement des CV des candidats à l embauche ; constitution des dossiers de recrutement ; Organisation des entretiens d embauche et des moyens d évaluation. La gestion administrative des personnes concernées : Gestion du dossier administratif, tenu conformément aux dispositions législatives et réglementaires, ainsi qu'aux dispositions statutaires, conventionnelles ou contractuelles qui régissent les intéressés ; Gestion de la paie ; Gestion des déclarations fiscales et sociales ; Gestion des carrières Gestion des dossiers médicaux Contrôle d accès aux locaux
Notions de base de la Loi 09-08 Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) Fichier à caractère personnel : «Tout ensemble structuré de données à caractère personnel accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique» (Article premier, al. 4) Exemples : Les archives ; Les banques de données ; Les fichiers de recensement
Notions de base de la Loi 09-08 Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) Données sensibles: «données à caractère personnel qui révèlent l origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques» (Article premier, alinéa 3) Exemples : Empreintes digitales, Analyses médicales, CIN, etc.
Notions de base de la Loi 09-08 Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) Responsable du traitement «La personne physique ou morale, l autorité publique, le service ou tout autre organisme, qui seul ou conjointement avec d autres, détermine les finalités et les moyens du traitement de données à caractère personnel...» (Article premier) Exemples : l interlocuteur principal des personnes concernées et de l autorité de contrôle, la CNDP..
Champs d application de la loi 09-08 Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) Quels traitements? 1. aux traitements des données à caractère personnel automatisés en tout ou en partie ; 2. aux traitements non automatisés des données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels.
Champs d application de la loi 09-08 Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) La loi ne s applique pas: aux traitements de données personnelles effectués par une personne physique pour des besoins exclusivement personnels ou domestiques ; aux données recueillies et traitées dans l intérêt de la défense nationale et de la sécurité intérieure et extérieure de l Etat ;
Principales dispositions de la Loi 09-08 Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) Les droits de la personne concernée Les obligations du responsable du traitement Les modalités de notification de traitement Les sanctions
Impacts sur la profession d expert-comptable En sa qualité de prestataire de services, utilisateur de traitements de données à caractère personnelle: collectées directement ou par l intermédiaire de ses clients Responsable de Traitement Sous traitant En sa qualité de conseil de l entreprise
Les droits de la personne concernée Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2013) Quelles Garanties pour la vie privée de la personne concernée : Etre informée lors de la collecte des données de l identité du Responsable de traitement, de la finalité du traitement (ou objectifs) Exprimer son consentement ; Exercer ses droits d accès, de rectification et d opposition.
Droit à l information Droit d accès Droit de rectification Droit d opposition Protection contre les messages publicitaires abusifs Droit à l oubli
«La gestion des données personnelles dans les cabinets d expertise-comptable», 01/12/2016 Obligations de l expert comptable responsable du traitement Traiter les données d une façon loyale, légitime et transparente ; Respecter les finalités du traitement ; Respecter le principe de proportionnalité ; Veiller sur la qualité des données (exactes, fiables, complète et mises à jour) ; Garantir aux personnes concernées l exercice de leurs droits ; Accomplir les formalités préalables auprès de la CNDP (déclaration et demande d autorisation, etc) ; Assurer la sécurité et la confidentialité des données. Procéder à la notification préalable des traitements de données personnelles à la Commission, soit par le régime d autorisation préalable ou de déclaration de traitement. Voir tableau résumant la liste des traitements de données personnelles usuels, ainsi que les formalités administratives de notifications à effectuer auprès de la CNDP.
Obligations du responsable du traitement : La notification des traitements à la CNDP Dahir n 1-09-15 du 18 février 2009 (B.O. n 5714 du 05 mars 2009) Demande de déclaration préalable Demande d autorisation préalable si collecte de données sensibles (Pour les traitements RH, possibilité de bénéficier d une procédure simplifiée en se conformer à la Délibération n 298-AU-2014 du 11/04/2014 portant modèle de demande d autorisation type relative au traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des Ressources Humaines, en remplissant un formulaire de demande d autorisation préalable conformément à une décision.) Une demande d autorisation de transfert de données à l étranger ( si des données personnelles seront hébergées ou transmises hors du Royaume)
Obligations de l expert-comptable en tant que sous-traitant (conformément aux dispositions de la loi 09-08) Cas des traitements de données collectées par le client (Paie ) En qualité de sous-traitant, la société n est pas dans l obligation d effectuer les formalités de notifications préalables auprès de la CNDP pour les traitements des données personnelles de ses clients (exemple : la gestion comptable, la gestion de la paie, la gestion fiscale.) ; Les procédures de notifications préalables doivent-être initiées par le responsable du traitement (le CLIENT donneur d ordre) ; Les obligations de sécurité et de confidentialité des données personnelles incombent au responsable de traitement comme au sous-traitant. La réalisation d un traitement en sous-traitance doit être régie par un acte écrit qui prévoie des clauses de confidentialité. Le sous-traitant est tenu de s assurer que les données personnelles objet du contrat de sous-traitance, ont été collectées par le responsable de traitement conformément aux dispositions de ladite loi.
Sanctions : Administratives Pécuniaires Pénales
Sanction administrative: Retrait du récépissé: Traitement portant atteinte à la sûreté ou à l ordre public ou est contraire à la morale et aux bonnes mœurs Sanction pécuniaire: 10.000 à 100.000DH: Mise en œuvre d un traitement sans le récépissé de la CNDP 20.000 à 200.000DH: Non respect des droits des personnes concernées.
Sanctions Pécuniaire et/ou privatives de liberté : Emprisonnement de trois mois à un an et/ou amende de 20.000 à 200.000DH Mise en œuvre d un traitement sans le consentement des personnes concernées ; Non respect des mesures de sécurité ; Non respect du droit d opposition (messages publicitaires abusifs, etc) ; Hébergement et transfert de données personnelles sans avoir le récépissé correspondant de la CNDP. Non respect des mesures de sécurité ; Non respect du droit d opposition (messages publicitaires abusifs, etc) ; Hébergement et transfert de données personnelles sans avoir le récépissé correspondant de la CNDP.
Une Autorité de Contrôle (ou un régulateur) instituée en application de l article 34 de la loi 09/08 La Commission se compose de 7 personnalités qualifiées : Un Président nommé directement par Dahir et Six membres nommés également par Dahir sur proposition du Premier Ministre, du Président de la Chambre des Représentants et du Président de la Chambre des Conseillers
contact@cndp.ma www.cndp.ma Immeuble Les patios, bd Annakhil, 3ème étage, Hay Ryad, Rabat. BP: 6838 Rabat -Instituts Tél: 05 37 57 11 24 / fax: 05 37 57 21 41