Aniss Lahoussine - SG de la Commission nationale de contrôle de protection des données à caractère personnel (CNDP) Nouveautés et poids de l'entrée en vigueur du règlement général sur la protection des données à l'échelle européenne (RGPD), adaptation de la législation nationale à l'arsenal juridique européen, avancées du Maroc en matière de protection des données personnelles : Lahoussine Aniss, secrétaire général de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), explique les enjeux liés aux bouleversements en cours en matière de protection des données personnelles.
Finances News Hebdo : Le règlement général sur la protection des données (RGPD) à l'échelle européenne est entré en vigueur le 25 mai 2018. A quoi faudrait-il relier sa pertinence par rapport à la réglementation antérieure ?
Lahoussine Aniss : Outre les droits traditionnels (information, accès, rectification, opposition, restriction du profilage automatisé servant de base à une décision, etc.), le RGPD a introduit de nouveaux droits pour les individus, tels le renforcement des conditions applicables au consentement, notamment celui des enfants, le droit à l'oubli, le droit à la limitation du traitement et le droit à la portabilité des données. Les organismes concernés par le RGPD doivent désormais être en mesure de démontrer (Accountabilty) qu'ils ont pris toutes les mesures techniques, organisationnelles et juridiques garantissant le respect des obligations prévues par le règlement. A ce titre, il y a lieu de citer la réalisation de l'analyse d'impact sur la vie privée des traitements mis en œuvre, la préparation et la mise à jour de la cartographie des traitements et des données (Data mapping), la désignation d'un délégué à la protection des données. A cela s'ajoutent, entre autres, la notification des violations des données personnelles (Data Breach Notification) et le respect des droits à l'oubli, de limitation et de portabilité des personnes concernées etc. Certaines de ces obligations incombent aussi aux sous-traitants, ce qui n'était pas le cas dans les transpositions nationales de la directive 95/46, qui limitait les obligations des sous-traitants aux engagements contractuels pris envers les donneurs d'ordres. Le nouveau règlement vise aussi à harmoniser les standards de protection au sein des pays de l'UE et à renforcer les pouvoirs dissuasifs des autorités de contrôle en leur permettant de prononcer des amendes pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial de l'organisme sanctionné. Le RGPD se caractérise également par son caractère extraterritorial, puisqu'il peut s'appliquer à des entités qui ne sont pas installées en Europe, lorsqu'elles traitent les données personnelles de personnes qui se trouvent au sein de l'UE, dans le cadre de l'offre d'un produit ou d'un service ou afin de suivre les comportements des résidents européens.
F.N.H. : Le Maroc, à travers la CNDP, s'emploie à harmoniser sa réglementation en conformité avec celle de l'UE. Le RGPD apporte-t-il une nouvelle dans cette stratégie de convergence ?
L. A. : Le Maroc a fait le choix d'arrimer son dispositif législatif et réglementaire à l'acquis communautaire, et ce en vue de créer un climat propice à l'intégration de son économie avec celle de son premier partenaire économique. Pour cette raison et vu que le RGPD est en train de devenir une référence internationale en matière de protection de la vie privée et des données personnelles, il est judicieux d'étudier l'opportunité d'inclure les apports du nouveau règlement européen dans un éventuel projet de révision de la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Bien évidemment, en prenant en compte les spécificités du contexte marocain et les développements que connait le domaine de la protection de la vie privée dans d'autres régions du monde. C'est dans cet esprit que la CNDP a initié, en partenariat avec l'Union européenne, deux études qui visent, d'une part, à identifier l'écart entre les législations marocaine et européenne dans le domaine de la protection de la vie et, d'autre part, à analyser l'impact d'une éventuelle convergence de la loi 09-08 vers le RGPD. L'objectif final étant, bien entendu, de proposer un projet d'amendement qui renforcera le rapprochement législatif et réglementaire entre les deux partenaires économiques tout en étant adapté au contexte marocain.
F.N.H. : L'application de ce nouveau dispositif concernera-t-elle immédiatement le Maroc ? Ou existe-t-il une période transitoire permettant aux pays non membres de l'UE de s'y conformer ?
L. A. : Le RGPD est entré en vigueur en mai 2016. Le législateur européen a accordé aux organismes qui doivent s'y conformer deux années pour bien s'y préparer, qu'ils soient installés en Europe, au Maroc ou dans un autre pays. A partir du 25 mai 2018, tout organisme, indépendamment de son pays d'installation, qui opère un traitement qui entre dans le champ d'application du nouveau règlement européen, est tenu de respecter toutes ces dispositions et être en mesure de le démontrer en cas de contrôle d'une autorité de contrôle.
F.N.H. : La CNDP a été créée par la loi 09-08 du 18 février 2009. Depuis lors, quelle appréciation faites-vous de l'évolution des mécanismes mis en place pour renforcer la protection des données personnelles au Maroc ? Et qu'en est-il au sein des entreprises privées et des administrations publiques ?
L. A. : Tous les indicateurs de la CNDP prouvent que le Maroc a beaucoup progressé dans la consécration du droit à la protection de la vie privée et qu'il devient un partenaire crédible à l'échelle internationale dans le domaine de la protection des données personnelles. En matière de sensibilisation, la CNDP a organisé ou animé, depuis 2012, plus de 120 manifestations visant à expliquer aux organismes publics et privés le processus de conformité à la loi. Elle a aussi diffusé plus de 770 spots publicitaires télévisés et radiophoniques et est restée en contact permanent avec les internautes marocains à travers ses comptes dans les réseaux sociaux afin d'expliquer aux individus et aux internautes comment garder le contrôle sur leurs données personnelles et protéger leurs vies privées. Grâce à ces efforts de sensibilisation, la majorité des organismes, dont le modèle d'affaires repose sur l'utilisation massive des données personnelles, ont notifié leurs traitements à la CNDP. Une bonne partie de ces notifications concerne des établissements et des entreprises publiques, tels Bank Al-Maghrib, l'OMPIC, l'ANRT, l'OCP, la RAM, l'ADM et des départements ministériels comme ceux en charge de l'Education nationale, de l'Industrie, de la Santé, des Impôts, etc. Sur un autre registre, les plaintes reçues par la CNDP augmentent à une vitesse remarquable. Ainsi, la CNDP a reçu une seule plainte en 2011, 7 en 2012, 43 en 2013, 162 en 2014, 396 en 2015, 584 en 2016 et 508 en 2017. Ceci démontre que nos concitoyens sont de plus en plus conscients de leurs droits et n'hésitent pas à saisir la CNDP pour dénoncer toute violation de leurs vies privées. Les efforts consentis par la CNDP ont donné leurs fruits à l'échelle internationale. Actuellement, le Maroc est cité en exemple dans son aire géographique et culturelle et la communauté internationale de la protection de la vie privée est convaincue que le Maroc est sur la bonne voie dans le chantier de la protection des données personnelles. En témoignent le choix récemment de la CNDP pour assurer le secrétariat permanent de réseau des autorités africaines de protection des données personnelles et les diverses demandes de coopération et d'échange d'expertise adressées à la CNDP. Ceci étant dit, nous sommes conscients qu'il reste encore du chemin à parcourir.
F.N.H. : Enfin, quels sont les principaux chantiers au niveau de votre institution ?
L. A. : La CNDP travaille actuellement sur plusieurs chantiers qui s'inscrivent dans sa mission visant l'application effective des lois relatives à la protection de la vie privée et des données personnelles au Maroc. Je cite à titre d'exemples, la préparation et la sensibilisation des acteurs marocains concernés par le RGPD et l'étude de l'opportunité d'amender la loi 09-08 afin de l'aligner avec les nouveaux standards internationaux en la matière. Citons aussi le chantier du développement d'un écosystème de protection de la vie privée, composé de différents acteurs de la société marocaine pouvant jouer un rôle important dans la consécration de la culture de la protection de la vie privée et des données personnelles dans notre pays. C'est le cas par exemple de la presse, des fédérations professionnelles, des cabinets-conseil, des universitaires, des ONG et du corps judiciaire. L'éducation au numérique, notamment en faveur des plus jeunes pour les aider à tirer profit des innovations technologiques et informatiques, sans pour autant exposer leurs vies privées ou celles de leurs proches, est un autre chantier en cours. La coopération internationale est par ailleurs l'une de nos priorités, afin de se concerter avec nos partenaires internationaux au sujet des mécanismes appropriés garantissant un flux transfrontalier fluide des données personnelles dans le respect des standards internationaux en matière de protection de la vie privée. ■
