Fichiers du personnel, bases de données d’utilisateurs ou de prospects, etc. Les entreprises doivent aujourd’hui se conformer à la nouvelle réglementation qui concerne les données à caractère personnel. Pourtant, la plupart sont loin d’être prêtes et s’exposent ainsi à des sanctions lourdes.

Depuis le 15 novembre dernier, les entreprises marocaines sont tenues d’être en conformité avec la loi 08-09 pour toutes les données personnelles dont elles disposent. Elles «sont maintenant responsables de l’intégrité des données qu’elles détiennent, de la durée de leur détention, ainsi que de l’utilisation qu’elles en font», explique Selma Bennani, Directrice Maroc du cabinet de conseil français Solucom. Dorénavant, la manipulation de données personnelles doit répondre à des règles précises. Les personnes doivent être informées lors du recueil de leurs données et peuvent s’opposer à tout moment à leur traitement ou à leur utilisation à des fins commerciales. Dans le cas d’un abonnement téléphonique par exemple, cela peut se faire pendant la durée de l’abonnement ou après la rupture du contrat. Les bases de données et les traitements qui en sont faits doivent être déclarés auprès de la Commission Nationale marocaine de protection des Données à caractère Personnel (CNDP). Les entreprises doivent ensuite mettre en place les procédures et les dispositifs de sécurité adéquats. Mais pour beaucoup d’entre elles, la partie est loin d’être gagnée.

Structurer la manipulation des données
La loi promulguée en 2009 oblige en effet les entreprises à auditer et à sécuriser tout le processus de recueil, de traitement et d’utilisation des données personnelles. Elle prévoit même des sanctions qui peuvent s’avérer très lourdes pour les petites entreprises : jusqu’à 300.000 DH d’amende et jusqu’à deux ans d’emprisonnement. Pour Mohamed Bennis, Président de l’Association des Utilisateurs de Systèmes d’Information au Maroc (AUSIM), ce texte fait partie des «éléments structurants qui vont dans le sens de l’amélioration des dispositifs ». Il «répond à des enjeux importants, notamment pour le secteur de l’outsourcing, sur lequel le Maroc a beaucoup misé», ajoute Selma Bennani. En effet, au delà du coté répressif de la loi, celle-ci ouvre aussi les entreprises marocaines vers de nouvelles opportunités de business, notamment avec l’Europe. Le fait de répondre aux standards internationaux dans ce domaine leur permet de gagner la confiance des partenaires internationaux. « Disposer d’un système performant de gestion de données personnelles permet aussi d’améliorer l’image d’une entreprise», assure la dirigeante. Pour Mohamed Bennis, « il y a un besoin important en matière de formation et de sensibilisation des entreprises».

Il y a encore du travail
L’AUSIM et Solucom ont édité un livre blanc en partenariat avec la CNDP et le Ministère du Commerce, de l’Industrie et des Nouvelles Technologies (MCINT). Il s’adresse aux responsables «clés» dans le domaine du traitement des données dans les entreprises (DG, DSI, parfois DRH, etc).
Sur un échantillon d’entreprises sondées par l’association professionnelle parmi ses membres, seules 20% affirment avoir lancé ou achevé le chantier de la mise en conformité de leurs systèmes de gestion des données personnelles. 70% sont au stade de la réflexion ou ont déjà lancé l’inventaire préalable. Les 10% d’entreprises restantes, quant à elles, affirment ne pas se soucier de cette problématique pour l’instant. Et ces chiffres concernent des entreprises structurées, avec des départements dédiés aux systèmes d’information. Si on élargit l’échantillon à l’ensemble des entreprises marocaines, constituées en majeure partie de PME et TPE aux moyens limités, la proportion de celles qui ne respectent pas cette loi devrait monter en flèche. Il apparaît clair aujourd’hui que les entreprises marocaines ne sont pas encore prêtes à appliquer cette loi.  Reste à savoir comment les pouvoirs publics et la justice vont gérer cette situation.

Le chiffre
300.000 DH
C’est ce qu’encourent les entreprises marocaines (ainsi que deux années d’emprisonnement) pour la non conformité de leurs systèmes de gestion des données à caractère personnel ou pour tout usage non autorisé qui en est fait.