Protection des données: la CNDP et Microsoft annoncent des modalités opératoires conformes à la loi 09-08

mercredi, 6 avril, 2022 à 16:08

Rabat – La Commission nationale de la protection des données à caractère personnel (CNDP) et Microsoft ont annoncé mercredi des modalités opératoires pour s’assurer de la conformité à la loi 09.08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, des clients marocains, responsables de traitement, qui utilisent la plateforme Office 365.

Dans le cadre du travail accompli entre les deux parties, Microsoft a fourni à la CNDP toutes les garanties nécessaires à la réalisation de la continuité et la conformité juridique exigée par la CNDP, indique la commission dans un communiqué.

La même source relève que plusieurs sessions de travail ont permis à la CNDP de prendre connaissance des engagements de Microsoft en matière de protection des données à caractère personnel et à cette dernière de fournir tous documents et répondre à toutes les questions de la CNDP, notamment s’agissant des engagements de sécurité, de confidentialité, de transparence quant au lieu d’hébergement des données et les garanties contractuelles offertes aux responsables de traitements marocains en tant que sous-traitants.

Sur cette base, la CNDP a approuvé un processus accéléré pour permettre aux responsables de traitement qui sollicitent le transfert de leurs données sur la plateforme Office 365 d’obtenir une approbation facilitée de transfert à l’étranger, souligne-t-on.

Ainsi, Microsoft va mettre en place sur son site www.microsoft.com/trustedcloud/morocco une section d’information dédiée aux clients marocains sur la protection des données à caractère personnel visant à rappeler aux responsables de traitement leur responsabilité quant au choix du fournisseur de service cloud et comment Microsoft supporte les responsables de traitement marocains dans leur parcours de conformité à la loi 09-08.

Ce site mettra par ailleurs à leur disposition une fiche pratique ainsi qu’un modèle de déclaration, dont le contenu est approuvé par la CNDP, que les responsables de traitement pourront soumettre, à la CNDP, en appui de leur demande de transfert à l’étranger afin de bénéficier de la procédure accélérée.

Le communiqué relève que les parties se réjouissent de cette collaboration clé et envisagent de poursuivre leurs discussions aux fins de signer une convention DataTika dans un avenir très proche. La délivrance d’une autorisation de traitement ou de transfert de données à caractère personnel par la CNDP ne se substitue aucunement aux autorisations éventuelles devant être délivrées par les autorités tierces compétentes (DGSSI, régulateurs ou autres) ou aux textes législatifs et réglementaires en vigueur.

Cité par le communiqué, le président de la CNDP, Omar Seghrouchni, a dit que ce “travail, mené depuis plusieurs mois, démontre que la protection des données à caractère personnel des citoyens ainsi que l’accompagnement positif des fournisseurs de services restent au centre de toute l’équation digitale”.

Selon lui, “il ne s’agit pas d’enterrer la donnée, mais de favoriser sa circulation en assurant la continuité juridique de sa protection. La démonstration est faite que tout fournisseur de services, quand il le souhaite, est en mesure de proposer des services digitaux responsables. Aux responsables de traitement de savoir sélectionner les bons fournisseurs, dans l’intérêt de leurs clients”.

De son côté, la directrice générale de Microsoft Maroc, Salima Amira, s’est dite “confiante que cette collaboration va favoriser l’accélération de la digitalisation des entreprises marocaines”.

Et de relever que “la conformité est au cœur de notre stratégie et nos engagements pour accompagner les entreprises marocaines de toutes tailles dans leur processus de digitalisation”.

“Elles pourront utiliser la puissance du cloud de confiance Microsoft, tout en respectant les réglementations locales visant à protéger les données personnelles de leurs employés et clients finaux”, a-t-elle fait observer.

La CNDP est la garante du respect de la loi 09.08 et accompagne les entreprises publiques et privées dans leurs démarches de conformité à la loi. Elle vise à assurer la continuité juridique tout au long de la chaîne de traitement des données à caractère personnel, y compris lors des transferts de données à un sous-traitant et en particulier des transferts à l’étranger.

La loi 09.08 soumet la possibilité de transfert à l’étranger à l’obtention d’une autorisation préalable. La CNDP qui maintient une liste de pays adéquats, veut aussi s’assurer que les responsables de traitement ont bien mis en place les procédures idoines régissant ces transferts.