A- Cadre juridique :
Appréhender le cadre juridique réglementant la protection des données personnelles au Maroc exige d’abord d’en clarifier la nomenclature avant de présenter brièvement ses principes fondamentaux qui oriente les exigences légales procédurales.
La loi n° 09-08 définit, les données à caractère personnel comme étant « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable ». Pourtant considérant que le cas en l’espèce est relatif à des données de santé, la loi les qualifie ainsi de données sensibles, exigeant alors une protection plus accrue.
Le traitement est défini dans la loi comme étant toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement et autres.
Quant au responsable du traitement, il est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
Le cadre juridique réglementant la protection des données personnelles au Maroc est orienté par certains principes fondamentaux, dont on cite notamment l’obligation de consentement de la personne concernée, la clarté de la finalité du traitement, qui doit être déterminée et ne doit pas être traitée ultérieurement de manière incompatible avec cette finalité. Ces principes s’accouplent avec l’obligation de proportionnalité et la loyauté de ce traitement, impliquant que les données personnelles collectées soient en adéquation avec la finalité du traitement et que les personnes concernées soient dûment informées.
B- Droits et obligations des personnes concernées :
Les usagers de la machine auront des droits relatifs à la collecte de leurs données personnelles qu’il convient de protéger afin d’être en compliance avec les exigences légales. Inhérent
au premier principe évoqué ci-dessus, les usagers doivent exprimer leur consentement librement, en acceptant ou en refusant la collecte de leurs informations personnelles.
Ces personnes disposent également d’un Droit à l’information lors de la collecte des données, faisant que toute personne dont il est envisagé de traiter les données personnelles a le droit d’être informée de façon précise, expresse et non équivoque de l’utilisation ou du stockage des données la concernant.
Ils disposent également d’un droit d’accès, reconnu par l’article 7 de la loi n° 09-08. Il permet à toute personne d’accéder aux informations la concernant pour s’assurer de leur exactitude. A ce droit s’ajoute le droit de rectification qui permet aux personnes concernées d’exiger la rectification des informations la concernant, notamment lorsqu’elles sont inexactes ou incomplètes par le biais d’une requête.
La loi a également préservé aux personnes concernées le droit d’opposition à la prospection directe, permettant à toute personne dont les données à caractère personnel font l’objet d’un traitement de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection commerciale.
Ce panel de droits reconnus aux usagers est garanti par les obligations qui incombent au responsable du traitement, qui doit dans un premier lieu obligatoirement avant de procéder au traitement, recueillir le consentement expresse de la personne concernée. Le responsable de traitement est également tenu de procéder à des déclarations et autorisations préalables auprès de la CNDP. (Voir infra)
Finalement, le responsable est tenu d’Obligations de confidentialité, de sécurité des traitements et de secret professionnel, en mettant en œuvre toutes les mesures techniques et organisationnelles pour protéger les données à caractère personnel, afin d’empêcher qu’elles soient endommagées, modifiées ou utilisées par un tiers non autorisé à y accéder.
Ces mesures doivent être renforcées lorsqu’il s’agit de données sensibles ou de données relatives à la santé conformément aux dispositions de l’article 24.
C- Démarche procédurale :
Considérant que le client va procéder à la collecte de données relatives à la santé, que la loi qualifie de sensibles, il est tenu d’effectuer auprès de la CNDP non pas une déclaration préalable mais plutôt une autorisation préalable à la collecte, qui peut être délivrée par la CNDP en remplissant le formulaire du lien suivant: https://www.cndp.ma/images/lois/CNDP-Autorisation-Prealable.pdf .
Cette autorisation préalable prend en compte le caractère délicat des données personnelles sensibles, et permet à la CNDP, de contrôler la protection des données à caractère personnel et de veiller au respect, par le responsable du traitement, des dispositions de la loi n° 09-08.
Toutefois, si ces données seront transférées en dehors du Maroc, il faut exercer une demande de transfert. Ainsi, le responsable de traitement doit, dans un premier temps, s’assurer d’avoir obtenu le récépissé d’autorisation de traitement qui fait l’objet d’un transfert, avant d’effectuer cette demande de transfert auprès de la CNDP.
Une fois le récépissé obtenu, le responsable de traitement pourra renseigner le formulaire de demande de transfert à l’étranger auprès de la CNDP sur lien suivant :
https://www.cndp.ma/images/lois/CNDP-Transfert-Etranger.pdf en application des articles 43 et 44 de la Loi 09-08
Toutes les données à caractère personnel collectées dans ce contexte devront être détruites dès lors que la finalité déclarée ou autorisée est atteinte.
Pour toute demande de renseignement complémentaire, notre équipe juridique et fiscale se tient à votre disposition.
Fidèlement vôtre,
Ilham Taha-Bouamri
Comptable agréé et fiscaliste indépendant
