Le Règlement européen n°2016/679 du Parlement européen du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est entré en vigueur le 24 mai 2016, soit vingt jours après sa publication au Journal officiel de l'Union européenne. Il sera appliqué directement dans les 28 Etats membres à partir du 25 mai 2018. Ce nouveau règlement, dénommé RGPD en français et GDPR en anglais, remplace et abroge la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995. Il vise à accompagner le développement effréné de la science et des technologies en unifiant et renforçant la protection des données personnelles en Europe. Une des principales caractéristiques du RGPD est son champ d'application territorial qui peut couvrir, contrairement aux transpositions nationales de la directive 95/46/CE, des entreprises marocaines lorsqu'elles opèrent des traitements de données à caractère personnel visant des individus qui se trouvent dans le territoire de l'Union. Aussi, le nouveau règlement a étendu aux sous-traitants, telles les entreprises marocaines opérant dans le secteur de l'Offshoring, une large partie des obligations réservées auparavant aux responsables de traitement installés sur le territoire européen. Outre les droits traditionnels (information, accès, rectification, opposition, restriction du profilage automatisé servant de base à une décision, etc.), le RGPD a introduit de nouveaux droits pour les individus, tels le renforcement des conditions applicables au consentement, notamment celui des enfants, le droit à l'oubli, le droit à la limitation du traitement et le droit à la portabilité des données. Les organismes marocains, concernés par le RGPD, doivent être en mesure de démontrer (Accountabilty) qu'ils ont pris toutes les mesures techniques, organisationnelles et juridiques garantissant le respect des obligations prévues par le règlement, notamment la réalisation de l'analyse d'impact sur la vie privée des traitements mis en œuvre, la préparation et la mise à jour de la cartographie des traitements et des données (data mapping), la désignation d'un délégué à la protection des données, la notification des violations des données personnelles (data breach notification), le respect des droits à l'oubli, de limitation et de portabilité des personnes concernées, etc. Consciente des risques encourus par les organismes marocains concernés par ce règlement en cas de violation de ses dispositions et de l'impact éventuel sur la compétitivité de certains secteurs d'activité, la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP) a procédé à l'analyse de cette nouvelle loi communautaire afin d'identifier les différentes actions d'accompagnement qui peuvent être menées au profit des acteurs marocains concernés. À cet effet, une rubrique dédiée au RGPD a été ajoutée, en mai 2017, au site Internet de la CNDP afin de permettre aux entreprises concernées de s'initier au nouveau règlement et d'autres actions d'accompagnement identifiées en concertation avec les départements ministériels et fédérations professionnelles concernés seront programmées dans les mois à venir. La CNDP recommande aux entreprises concernées, qui ne l'ont pas encore fait, d'initier un projet de conformité au RGPD afin d'éviter les sanctions très lourdes, prévues par le nouveau règlement et qui peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial.
