African Legal Factory > Articles > Données Personnelles > Déclarer ses traitements de données personnelles au Maroc

Déclarer ses traitements de données personnelles au Maroc

11 août 2021
Publié par : Kelly HAZAN
Catégorie : Données Personnelles Maroc

STARTUPS MAROCAINES, APPRENEZ À COMPLÉTER VOS DÉCLARATIONS PREALABLES DE TRAITEMENT DE DONNÉES PERSONNELLES !

Déclarer vos traitements de données personnelles auprès de la CNDP est obligatoire si votre startup traite des données personnelles. Qu’est-ce qu’un traitement de données personnelles ? Quel formulaire remplir ? Cet article a pour objectif de vous apprendre simplement à comprendre cette réglementation.

QUAND MA STARTUP RÉALISE T-ELLE UN TRAITEMENT DE DONNÉES PERSONNELLES ?

Les startups sont amenées à effectuer des traitements de données personnelles dans le cadre de leurs activités, notamment en réalisant des campagnes de marketing, en effectuant la paie, la facturation ou en développant un site Internet e-commerce.

Or, ces traitements utilisent souvent des données à caractère personnel que sont par exemple : nom, prénom, numéro de CIN, email, photo, numéro de téléphone, empreintes digitales, ADN, RIB. Ces données qui permettent d’identifier ou de rendre identifiable les personnes concernées (ex : salariés, clients ou fournisseurs), doivent être protégées, traitées proportionnellement à l’objectif visé et conservées pendant une durée limitée, n’excédant pas la durée nécessaire à l’accomplissement de la finalité du traitement.

Vous trouverez ci-dessous d’autres exemples de finalités de traitements de données personnelles :

gestion du personnel et administration des salaires ;
accès à / consultation d’une base de données de contacts contenant des données à caractère personnel (ex: logiciel CRM);
envoi d’e-mails promotionnels ;
déchiquetage de documents contenant des données à caractère personnel ;
publication / affichage d’une photo d’une personne sur un site internet ;
conservation d’adresses IP ou d’adresses MAC ;
enregistrement de vidéosurveillance.

Quel champ géographique ? Tous les traitements de données personnelles dont les responsables du traitement (ex: start’up qui réalise le traitement) ou les moyens de traitement sont situés sur le territoire marocain doivent se conformer à la loi 09-08 du 18 février 2009 (BO n°5714 du 05-03-2009).

QUE DOIS-JE FAIRE SI JE RÉALISE UN TRAITEMENT DE DONNÉES PERSONNELLES AU MAROC VIS-À-VIS DE LA CNDP ?

Tous les traitements de données à caractère personnel doivent être déclarés préalablement à leur mise en œuvre auprès de la CNDP(à l’exclusion de ceux exclus du champ d’application de la loi n°09-08, ou dispensés de déclaration à la CNDP, ou soumis au régime de l’autorisation préalable).

Warning 1 : si vous traitez des données sensibles, c’est à dire notamment des données qui portent sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données génétiques ou relatives à la santé, des données génétiques ou des données comportant la CIN, il convient de réaliser une demande d’autorisation à la CNDP. Il ne s’agit donc pas de déclarer que l’on va traiter des données personnelles mais de demander une autorisation à la CNDP pour réaliser ce traitement de données sensibles ;

Warning 2 : si vous transférez des données à l’étranger (en dehors du Maroc), ou par exemple, si des données personnelles sont hébergées ou transmises à l’étranger, vous devez également réaliser une demande de transfert de données à l’étranger auprès de la CNDP.

QU’ELLE EST LA PROCEDURE A SUIVRE POUR DECLARER UN TRAITEMENT DE DONNÉES PERSONNELLES ?

Étape 1 :

Il convient de télécharger le formulaire de déclaration normale F211 ou le formulaire de déclaration normale simplifiée (conformément à une décision) F214 préalable à la réalisation de traitement de données à caractère personnel et de le renvoyer à la CNDP. Il convient de joindre à ce formulaire notamment :

un document autorisant le signataire à engager la personne morale ;
une copie de la carte nationale d’identité du signataire ;
tout autre document utile, le cas échéant.

Pour obtenir des informations sur ce que doit comporter la déclaration : https://www.cndp.ma/fr/service-en-ligne/responsables-de-traitement.html

Étape 2 :

La CNDP délivre le récépissé de la déclaration dans un délai de 24 heures.
La CNDP notifie dans un délai de 8 jours à la startup déclarant sa décision de soumettre le traitement au régime de l’autorisation préalable, si elle estime que le traitement envisagé présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes concernées.

Attention, lorsque le dossier est incomplet, ces délais ne commencent à courir qu’à partir du moment où les informations ou les documents demandés par la CNDP ont été fournis.

POURQUOI DEVEZ-VOUS ABSOLUMENT RESPECTER LA RÉGLEMENTATION ?

Pourquoi devez-vous absolument respecter et vous mettre en conformité avec la réglementation de la loi 09-08 ?

Afin d’éviter des sanctions financières prévues par la loi 09-08 ainsi que des condamnations pénales !

Mais ce n’est pas tout : le fait de respecter les exigences de la loi 09-08 permet de vous démarquer de vos concurrents. En effet, vous obtenez ainsi un avantage concurrentiel extrêmement positif, en termes de réputation et d’image de marque pour votre entreprise. Cela démontre notamment une gestion exemplaire des données personnelles traitées pour le compte de votre client ainsi que le respect de mesures de sécurité et de confidentialité.

N’hésitez pas à nous contacter pour tout renseignement.

Références :

Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009) portant promulgation de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Décret 2-09-165 du 21 mai 2009 pris pour l’application de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

koraichi mohammed

de 23 mars 2022 à 10:51 Répondre

veuillez nous fournir explications sur la partie du formulaire CNDP -F 214 page 2/5 partie A TRAITEMENT DECLARE // Denomination du traitement. ? FINALITE ?
- Sonia MAVOUNA
  
  de 25 avril 2022 à 19:01 Répondre
  
  Bonjour, nous avons essayé de vous joindre par email afin de pouvoir vous fournir une réponse complète. Pourriez-vous svp nous écrire à hello@africanlegalfactory.com ?

Cookie	Durée	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 an	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.

Cookie	Durée	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
m	2 ans	Ce cookie est installé par stripe.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.