Règlement général sur les données personnelles : Des secteurs matures, d’autres moins…

Les secteurs financiers ont opéré une mise à niveau substantielle, après l’entrée en vigueur du Règlement européen de protection des données personnelles. Cela participera-t-il à crédibiliser le système marocain ?

L’entrée en vigueur, le 25 mai dernier, du Règlement européen sur les données personnelles a eu un effet ricochet sur l’économie marocaine. En effet, outre l’application directe dudit règlement, les sociétés établies au Maroc agissant en qualité de sous-traitants de responsables de traitement soumis de droit au RGPD, seront également susceptibles d’avoir à respecter les prescriptions de celui-ci. En pratique, le responsable de traitement devra contraindre contractuellement ses propres sous-traitants au respect de cette nouvelle réglementation. «Le règlement reprend déjà des éléments contenus dans la loi 09-08, mais une certaine mise à niveau est nécessaire», explique Lahoussine Aniss, SG de la Commission nationale de protection des données personnelles (CNDP).

Ainsi, si le secteur financier, de même que l’opérateur national aérien Royal Air Maroc, montrent des signes de maturité, d’autres, comme le e-commerce, sont encore en cours de rattrapage. Et il faut dire que le chemin est sinueux. «En premier lieu, il faut effectuer un diagnostic. Cela va permettre d’évaluer le niveau de maturité de la structure, c’est-à-dire vérifier si elle a des process pour assurer un niveau de protection des données personnelles satisfaisant, quels sont les traitements de données personnelles nécessaires à son activité, si elle a procédé aux déclarations/autorisations auprès de l’autorité de contrôle, si les transferts de données à l’étranger sont conformes, combien de sous-traitants elle a ou encore comment sont formalisées ses relations contractuelles», explique Lina Fassi-Fihri, avocate associée du cabinet LPA-CGR. Et d’ajouter: «En fonction de ce diagnostic, il faut évaluer les écarts et établir un programme de mise en conformité en fonction des risques identifiés. Ce programme déclinera ensuite plusieurs actions à mettre en œuvre telles que la mise en place d’un registre de traitement, la désignation d’un représentant au sein de l’UE, la désignation d’un délégué à la protection des données, la modification ou la rédaction de contrat, etc.». Seulement, malgré le travail de la commission et l’adhésion aux normes mondiales, un mauvais signal a été envoyé par la Commission nationale de l’informatique et des libertés (CNIL), l’équivalent français de la CNDP. L’institution française a infligé, fin 2016, une sanction administrative de 30.000 euros à l’encontre du site «BrandAlley.fr».

La société éponyme, propriétaire de ce site de ventes en ligne, est épinglée pour plusieurs indélicatesses à l’égard de la loi française de protection des données personnelles, et parmi les chefs d’accusation, le fait qu’elle ait transféré vers le Maroc les données personnelles de ses clients via l’un de ses sous-traitants. «Or, en principe, de telles opérations ne sont possibles que si le pays de destination offre un niveau de protection comparable à celui en vigueur en Europe, ce qui n’était pas le cas ici», conclut sèchement la décision de la CNIL. Le rapport 2016 des autorités françaises chargées de la protection des données personnelles apporte une solution claire en rappelant que «l’arsenal juridique n’est qu’un premier pas vers l’effectivité du système», et que les réels indicateurs demeurent «d’une part, l’application des règles par les opérateurs, et, d’autre part, le pouvoir coercitif des instances nationales». Or, ce sont bien là les deux points faibles du système marocain, puisque même les organes de l’État sont encore hors-la-loi. Il convient en effet de rappeler que, hormis les traitements mis en œuvre dans l’intérêt de la défense nationale ou la sécurité intérieure et extérieure de l’État, tous les autres traitements mis en œuvre par l’administration publique sont soumis à la loi 09-08. «Il y a lieu de constater que plusieurs acteurs du secteur public s’y sont conformés, notamment Bank Al-Maghrib, l’ANRT, l’OMPIC… D’autres ont déclenché le processus, tels que l’Éducation nationale, le ministère de l’Industrie, la CNSS… Ceci dit, la CNDP poursuit ses efforts pour amener d’autres départements et organismes publics à se mettre en conformité avec les dispositions de la loi sur la protection des données personnelles», indique Saïd Ihrai, président de la CNDP. Ce dernier précise par ailleurs que «de plus en plus d’administrations publiques soumettent des demandes d’avis à la CNDP. C’est le cas du ministère de l’Économie et des finances, du ministère de l’Éducation nationale, de la CNSS, etc. Cela témoigne d’une prise de conscience, parmi les décideurs du secteur public, de l’intérêt qu’il y a à s’aligner sur les standards internationaux de la protection des données personnelles».

Le cloud-scepticisme encore très fort

Qu’il s’agisse d’un contrat de travail, de prestation de sous-traitance ou encore de «cloud computing», le risque d’utilisation frauduleuse de certaines données est clairement présent. Il s’agit donc d’insérer des clauses contractuelles comme garde-fou. Le «cloud» est d’ailleurs sérieusement remis en cause. Ce mécanisme qui désigne un service informatique permettant aux entreprises d’externaliser en totalité ou en partie leurs infrastructure informatique ou données demeure polémique, au vu de leur importance. Dans certains pays, il est interdit aux banques et aux assurances de recourir au cloud.