SNRT Bonjour, Comment allez vous?
Wassim BENZARTI Très bien.
SNRT Merci. Merci de répondre à l’invitation de Chaine Inter. Ravi de vous avoir parmi nous ce matin sur les ondes de Chaîne Inter. Alors expliquez nous en quoi consiste la CNDP et bien sûr son importance pour les entreprises marocaines.
Wassim BENZARTI D’accord, la CNDP, en fait, c’est une autorité administrative qui a été créée suite à la loi 09-08 et qui a pour principale mission de en fait de protéger le citoyen contre les traitements de ses données personnelles. Donc ça c’est la mission principale, c’est protéger les citoyens marocains contre les traitements de ses données qui peuvent être effectués soit par des entreprises ou des administrations. Et je rappelle l’article 24 de la Constitution marocaine qui qui précise clairement que toute personne a le droit à la protection de sa vie privée et donc la CNDP et toute la législation sur la protection des données personnelles vient donner garantir à chaque citoyen marocain la protection de ses données de de sa vie privée pour être exact.
SNRT : Là, vous vous parlez bien sûr des actions de la CNDP. Alors, quels sont les principaux domaines de la mise en conformité que les entreprises doivent tout simplement aborder en relation avec la CNDP?
Wassim BENZARTI Alors, en fait, la loi 09-08 qui régit la protection des données personnelles a donné deux ans à toute entreprise pour se conformer à cette loi. Ces deux ans ont expiré à partir de 2012. Donc pour vous dire qu’aujourd’hui on est très, très en retard. Les entreprises qui ne sont pas encore conformes, elles sont extrêmement en retard.
SNRT On n’est pas à jour, c’est ce que vous voulez dire?
Wassim BENZARTI Voilà, Beaucoup d’entreprises ne sont pas à jour. Malheureusement, les grandes entreprises le sont, les autres entreprises pas encore. Et donc chaque entreprise, si elle manipule des données personnelles, donc données personnelles, c’est toute données qui peut identifier une personne. Ça peut être son adresse, ça peut être une photo. C’est extrêmement large. Comme aujourd’hui, on peut déterminer une personne grâce à son adresse IP. Donc dès lors que vous manipulez ces données personnelles, vous êtes obligé d’obtenir des autorisations et déposer des déclarations à la CNDP. Donc ça, ça couvre plusieurs domaines, ça va, ça va couvrir les domaines relatifs à vos employés. Par exemple, vous ne pouvez pas installer de la vidéosurveillance partout, vous ne pouvez pas manipuler les données de vos employés. Ça concerne les clients et tout un tas d’autres acteurs à l’intérieur de l’entreprise.
SNRT : Quelles sont les sanctions effectivement, ou les conséquences possibles en cas de non-conformité avec la CNDP au Maroc?
Wassim BENZARTI Alors les sanctions sont assez importantes. Ça peut aller de trois mois à un an de prison ferme. Et pour les sanctions pécuniaires, ça peut monter jusqu’à 200 000 dirhams. Et si c’est une personne morale, c’est à dire si c’est une entreprise ce montant est porté au double, donc jusqu’à 400 000 dirhams. Et il faut savoir que la responsabilité est portée principalement par le représentant légal, donc le gérant ou le directeur général. Mais la loi prévoit aussi des sanctions contre d’autres personnes à l’intérieur de l’entreprise qui sont amenés à manipuler des données. Donc beaucoup de personnes pensent que c’est uniquement le gérant ou le directeur général qui peut être responsable. Mais la loi vise également des personnes, par exemple, qui qui sont amenées à manipuler des données à l’intérieur de l’entreprise.
SNRT : Voilà. Alors, vous l’avez dit tout à l’heure Wassim Benzarti, que depuis 2022, il n’y a pas eu de, on va dire, de réactualisation, concernant bien sûr les entreprises quelles sont les principales étapes que les entreprises doivent suivre pour mettre en place un programme de conformité avec bien sûr la CNDP, depuis bien sûr l’évaluation initiale jusqu’à la mise en œuvre. Est ce que c’est possible de nous expliquer pour qu’on puisse bien sûr comprendre?
Wassim BENZARTI Oui, bien sûr. Alors, les entreprises doivent d’abord cartographier les traitements de données. C’est la première étape. Ça fait un petit peu peur aux entreprises, mais c’est assez simple. On va identifier les différents traitements. Les grands traitements que l’on connaît, ce sont les données des employés, les données des fournisseurs, et des clients. Ça, c’est les traitements très, très classiques. Après des traitements plus complexes, il y a des fois des interconnexions entre les traitements. Mais la première étape consiste à cartographier. Une fois qu’on a une cartographie, on prépare ce qu’on appelle des déclarations et des autorisations à la CNDP. Et après s’ouvre une instruction à la CNDP qui se clôt par l’obtention de ces autorisations que vous devez afficher dans vos différents documents contractuels. Voilà.
SNRT : Donc, vous le savez très bien d’ailleurs, tous ceux qui nous écoutent ce matin sur les ondes de Chaine Inter. Alors, la protection des données est un enjeu effectivement mondial. Alors, comment les entreprises marocaines peuvent elles se préparer pour bien sûr respecter, on va dire, les règles à l’international.
Wassim BENZARTI Et effectivement, c’est très important. C’est un sujet international. Aujourd’hui, beaucoup d’entreprises avant d’investir au Maroc, les grands groupes, ils font des audits très précis sur les données parce qu’en venant au Maroc ils apportent des données de citoyens étrangers.
Je prends le cas je ne sais pas moi d’Amazon. Donc ces grandes entreprises, quand elles viennent au Maroc, elles vont traiter des données de citoyens européens ou de citoyens étrangers au Maroc. Donc elles ne peuvent pas se permettre d’investir au Maroc si il n’y a pas une protection des données personnelles. C’est pour ça qu’elles font un audit au préalable.
Et beaucoup d’entreprises marocaines aujourd’hui doivent respecter des lois qui ne sont pas marocaines mais étrangères, comme le Rgpd, qui est une loi extraterritoriale. Donc effectivement, le sujet devient international. On doit et les entreprises marocaines doivent non seulement respecter la loi marocaine, mais souvent aussi la loi européenne.
Par rapport toujours à cette question de l’international, la CNDP a pré approuvé certains certains pays pour lesquels on a le droit de stocker des données à l’étranger et d’autres ne le sont pas. Donc c’est aussi un point important à savoir pour les entreprises marocaines.
SNRT : alors ce n’est pas pour être dans la répétition Wassim Benzarti, mais comment les entreprises peuvent-elles gérer les transferts on va dire internationaux de données, tout en respectant bien sûr les réglementations de la CNDP.
Wassim BENZARTI : oui très très bonne question parce que beaucoup d’entreprises ne savent pas que certaines de leurs données sont stockées à l’étranger.
Quand vous créez un site web, souvent vos données sont hébergées dans un serveur que vous ne connaissez même pas en tant que dirigeant de l’entreprise. Et c’est un point très important parce que lorsqu’on va faire le plan de conformité, on doit identifier où sont stockées les données. Et il y a certains pays pour lesquels la CNDP a une position plus sévère que d’autres. Donc la plupart des pays européens sont aujourd’hui préapprouvés par la CNDP puisqu’il faut savoir que l’Europe est en avant garde sur ce sujet. D’autres pays hors Europe ne sont pas préapprouvés et donc je conseille fortement à ces entreprises marocaines d’essayer, de stocker des données plutôt dans les pays européens que dans des pays hors UE. Même les États Unis, par exemple, ne sont pas un pays, selon la CNDP, qui garantit la protection des données aujourd’hui.
SNRT : Alors voici me benzarti, qu’est ce qu’on doit absolument retenir de cette rencontre, de cet entretien ce matin sur les ondes de Chaine Inter quels sont vos conseils? On va dire clés, ce qu’on doit absolument retenir.
Wassim BENZARTI : alors les entreprises marocaines vont avoir plusieurs défis à mon avis. La CNDP pour l’instant a une approche très pédagogique, elle essaie d’expliquer la loi et ce mais mais il faut savoir que qu’elle va certainement un jour ou l’autre basculer vers l’approche avec plus de sanctions pour faire appliquer la loi et les sanctions sont sévères.
Les pouvoirs de la CNDP en matière d’investigation sont très importants. Il faut, c’est très important pour les entreprises anticiper cette mise en conformité, et ne pas attendre justement le moment où la CNDP deviendra plus plus sévère. il y a aussi un risque réputationnel.
Aujourd’hui il est possible que des employés commencent à porter plainte contre leur employeur pour la question des données personnelles. C’est un sujet qui n’est pas encore très très très démocratisé. Mais bientôt il y aura un très un grand enjeu réputationnel pour les entreprises.
SNRT : Encore une fois, il y a toujours des sanctions, n’est ce pas Wassim Benzart.
Wassim BENZARTI : Oui, il y a toujours des sanctions, comme je l’ai dit aujourd’hui, la CNDP est dans une approche pédagogique, mais demain elle le sera beaucoup moins. Et il faut absolument anticiper ce changement d’approche.
SNRT : Très belle journée. Merci pour tous vos conseils à retenir. À noter bien sûr je rappelle que vous êtes wassim benzarti et vous êtes dirigeant d’un cabinet des droits des affaires et avocat au barreau de Paris. Très bonne journée et à très bientôt sur chaine inter.