تدقيق الامتثال للجنة الوطنية بالمغرب — القانون 09-08 والمرسوم 2-09-165
تشخيص شامل لامتثالكم للقانون المغربي لحماية المعطيات ذات الطابع الشخصي. ثمانية محاور مدققة، تقرير مرتب موثّق مادة بمادة، وخطة معالجة بالكلفة على 90 يومًا. دون اتهامات ودون تسرّب: نخبركم في صمت قبل أن يُفتضح الأمر.
المجال
ثمانية محاور مدققة، من القانوني إلى التقني
نتعامل مع الامتثال كوحدة متكاملة. سياسة مثالية مع موقع بدون HSTS لا يعد امتثالًا. بنية تحتية محصّنة دون تصريح للجنة الوطنية، ليست امتثالًا كذلك.
تصاريح اللجنة الوطنية
جرد المعالجات الجارية مقابل تصاريح F211 وF112 وF118 وF214 المودعة فعلًا. الكشف عن المعالجات غير المُصرَّح بها، الوصلات المنتهية الصلاحية، والتعديلات الجوهرية غير المُبلَّغ بها.سجل المعالجات
مراقبة السجل الداخلي (الأغراض، الأسس القانونية، مدد الحفظ، المناولون، تدابير الأمن) وفق متطلبات المادة 23 من القانون 09-08 ومرسوم تطبيقه.حقوق الأشخاص
التحقق من المساطر الداخلية للنفاذ والتصحيح والاعتراض والحذف (المواد 7 إلى 11 من القانون 09-08): قنوات الإيداع، آجال الرد، تتبع الطلبات.الأسس القانونية والموافقة
تدقيق الموافقات المجموعة (الشكل، الإثبات، السحب) والأسس القانونية الأخرى المعتمدة. الانسجام بين البيانات المعروضة والمعالجات الفعلية.النقل الدولي للمعطيات
خرائط المناولين خارج المغرب وعمليات النقل المرتبطة بهم (SaaS أمريكي، استضافة بالاتحاد الأوروبي، إلخ). التحقق من السند القانوني (ترخيص F118، SCC، بلد ملائم) والوثائق التعاقدية.ملفات تعريف الارتباط والمتتبعات
تحليل الشريط، الحجب الفعلي للمتتبعات قبل الموافقة، دقة الموافقة (الفئات)، واستمرارية الاختيارات. مقارنة مع متطلبات اللجنة الوطنية وتوجيه ePrivacy.أمن التطبيق
تقييم التدابير التقنية المطلوبة بموجب المادة 23 (السلامة، السرية، التوفر): TLS، ترويسات HTTP الأمنية، إدارة الوصول، التسجيل، النسخ الاحتياطي، مسطرة الإخطار بالتسرّب.المناولة وعقود معالجة البيانات
جرد المناولين، التحقق من الشروط التعاقدية النموذجية (DPA)، شروط المناولة من الباطن، وتدابير الأمن المفروضة تعاقديًا.
المنهجية
ست خطوات، من ثلاثة إلى ستة أسابيع
منهجية قابلة للتكرار، تزامنية قدر الإمكان، لا تعطل قسم المعلوميات ولا المسؤولين عن المهن.
- 1
تأطير أولي
محادثة من 45 دقيقة لفهم نشاطكم، معالجاتكم الأساسية، أنظمتكم (CMS، CRM، ERP، أدوات التسويق) ورهاناتكم. توقيع اتفاقية سرية صارمة قبل أي تبادل تقني.
- 2
جمع الوثائق
استرجاع تصاريح اللجنة الوطنية القائمة، سجل المعالجات، السياسات المنشورة، عقود المناولة، وخريطة تدفقات المعطيات. تدقيق تزامني: نشتغل دون تعطيل فرقكم.
- 3
تحليل غير تدخلي للموقع
فحص خارجي للموقع العمومي: ترويسات HTTP، شهادات TLS، ملفات تعريف الارتباط المُودعة، المتتبعات الخارجية، سطح النماذج، حضور البيانات الإلزامية. لا تدخل، لا فحص عدواني — مجرد ملاحظة عمومية.
- 4
مقابلات مستهدفة
مقابلات قصيرة (30 دقيقة) مع المسؤولين المحددين (المعلوميات، التسويق، الموارد البشرية، القانوني) لفهم الممارسات الفعلية والكشف عن الفجوات بين الوثائق والتشغيل.
- 5
تقرير مرتب
تسليم تقرير منظم: ملاحظات حسب المحور، مستوى المخاطر (حرج / مرتفع / متوسط / منخفض)، مراجع قانونية دقيقة (مادة بمادة)، وخطة معالجة بالكلفة مع أوامر القدر الزمني والمالي.
- 6
العرض والمفاضلات
ورشة عرض مع لجنتكم التنفيذية. مفاضلات بشأن الأولويات، نوافذ إيداع اللجنة الوطنية، التوزيع الداخلي مقابل الخارجي. تخرجون بخارطة طريق تشغيلية على 90 يومًا.
ما تتلقونه بشكل ملموس
كل شيء قابل للتنفيذ. لا مُخرج زخرفي. التقرير مكتوب ليُقرأ من طرف إدارتكم <em>و</em> يُنفَّذ من طرف فريقكم التقني.
- تقرير تدقيق (40-80 صفحة) مع ملاحظات موثقة مادة بمادة
- خريطة بصرية للمعالجات وتدفقات المعطيات
- قائمة شاملة لتصاريح اللجنة الوطنية الناقصة أو الواجب تحديثها
- خطة معالجة بالكلفة (90 يومًا) مرتبة حسب المخاطر
- نماذج جاهزة للاستخدام الفوري (السجل، عقد معالجة نموذجي، مسطرة الحقوق)
- عرض شفوي للجنتكم التنفيذية
لمن
المنشآت المعنية بالأولوية
التدقيق معاير لأربعة ملامح سائدة بالمغرب، لكنه يبقى مفيدًا لأي منشأة تتعامل مع معطيات شخصية.
المقاولات الصغرى والمتوسطة المغربية
مواقع التجارة الإلكترونية والمنصات
الفروع المغربية لمجموعات الاتحاد الأوروبي
البنوك والتأمين والصحة
أسئلة متكررة
ما يُطرح علينا قبل التوقيع
كم يستغرق تدقيق شامل؟
بين 3 و6 أسابيع حسب حجم المنشأة وعدد الأنظمة المطلوب رسم خرائطها. يُسلَّم التقرير النهائي بعد 10 أيام عمل من نهاية المقابلات. للمنشآت دون 20 شخصًا بموقع بسيط، احتسبوا 3 أسابيع.
هل يطلق التدقيق رقابة من اللجنة الوطنية؟
لا. التدقيق خاص بشكل صارم بيننا وبينكم، محمي باتفاقية سرية. لا تُنقل أي معلومة إلى اللجنة الوطنية دون تعليمة صريحة منكم. إذا كشف التدقيق عن إخلالات جسيمة، نقدم لكم الخيارات — بما فيها التصحيح التلقائي، الذي تتعامل معه اللجنة عادةً بشكل إيجابي.
ما الفرق مع تدقيق اللائحة العامة لحماية البيانات؟
القانون 09-08 ومرسومه 2-09-165 قريبان هيكليًا من اللائحة العامة لحماية البيانات في المبادئ، لكنهما يختلفان في الآليات: تصريح مسبق إلزامي بالمغرب (مقابل سجل داخلي بالاتحاد الأوروبي)، ترخيص مسبق للمعالجات الحساسة، نماذج اللجنة الوطنية معيارية، نظام خاص بالنقل خارج المغرب. تدقيقنا يعالج الإطارين في آن معًا حين تكونون معنيين بهما.
هل تشتغلون مع مكتب محاماة؟
حين يقتضي الملف ذلك (نزاعات، توصيف قانوني دقيق لمعالجة متنازع فيها، مرافقة أمام اللجنة الوطنية)، ننسق التدقيق مع مكتب محاماة متخصص. يبقى تدخلنا مستقلًا وتقريرنا قابلًا للتسليم مع أو بدون محامٍ.
كم تكلفة التدقيق؟
يعتمد السعر على حجم المنشأة وعدد المعالجات. للإرشاد: تدقيق قصير (مقاولة صغرى/موقع تعريفي) ابتداء من 25.000 درهم، تدقيق معياري (مقاولة متوسطة متعددة الأنظمة) بين 60.000 و120.000 درهم، تدقيق ممتد (مجموعة أو قطاع منظّم) بعرض سعر مخصص. يُقدَّم عرض سعر ثابت بعد محادثة التأطير الأولى المجانية.
وبعد التدقيق، هل ترافقون عملية وضع الامتثال؟
نعم، لكن دون فرض. أنتم أحرار في تنفيذ الخطة داخليًا أو مع مزود آخر أو معنا. تقريرنا مفصل بما يكفي ليكون قابلًا للتنفيذ من طرف أي فريق كفء. إذا أوكلتم لنا وضع الامتثال، نطبق خصمًا على الباقة المخصصة.
نبدأ بـ45 دقيقة من التأطير. دون التزام.
في نهاية المحادثة، تخرجون برأي أولي مؤهَّل وعرض سعر ثابت إذا أردتم التقدم. لا متابعة تجارية عدوانية: ليست هذه طريقة البيت.