Données personnelles : Les nouveaux défis de l’offshoring et de l’e-commerce
Le règlement européen sur la protection des données personnelles sera applicable en mai 2018 dans tous les pays de l’Union européenne. Comment le Maroc se prépare à cette échéance.
Les nouvelles réalités du numérique ont dicté la Réforme générale de la protection des données personnelles (RGPD) au sein de l’UE. Cette révision réglementaire concerne en premier lieu le Maroc. Ce règlement adopté en avril 2016 sera applicable en mai 2018. Les pouvoirs publics et les opérateurs économiques se préparent à cette phase transitoire. Parmi les secteurs concernés se trouvent l’offshoring, l’hôtellerie, le transport aérien et l’e-commerce.
L’UE serre la vis
La réforme de la protection des données lancée, l’UE poursuit trois objectifs : Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ; responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ; crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées. Le Maroc est concerné spécifiquement par le deuxième objectif qui prévoit la mise en place d’un nouveau cadre de transferts des données hors de l’UE. La Commission européenne impose désormais deux critères. Le premier : «les responsables de traitement et les sous-traitants peuvent transférer des données hors UE seulement s’ils encadrent ces transferts avec des outils assurant un niveau de protection suffisant et approprié des personnes». L’UE recommande aux opérateurs marocains de créer ou mettre à jour les outils suivants : des règles d’entreprises contraignantes et l’adhésion à des codes de conduite ou à un mécanisme de certification. Les autorités publiques seront amenées à prendre des mesures contraignantes pour faire respecter les lois sur les données personnelles. Le deuxième objectif de la RGPD est que «les données transférées hors UE restent soumises au droit de l’union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieurs». Ce nouveau cadre réglementaire prévoit trois niveaux de sanctions : encadrées, graduées et renforcées à l’encontre des donneurs d’ordre européens dont les sous-traitants ne respectent pas la RGPD.
Les autorités de protection peuvent notamment prononcer un avertissement, émettre des mises en demeure ou suspendre complètement les flux de données. Pour préparer cette nouvelle phase, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) multiplient les rencontres avec les opérateurs économiques pour assurer une transition en douceur.
Mobilisation de la CNDP
Le 18 septembre une première réunion a été tenue entre la CNDP et le ministère de l’Industrie, de l’investissement, du commerce et de l’économie numérique d’un côté et les représentants de la CGEM, l’Association marocaine de la relation client (AMRC) et l’APEBI. L’objectif était «d’informer toutes les entreprises concernées par le RGPD et de l’impact éventuel de ce nouveau règlement sur leur compétitivité et sur les nouvelles opportunités d’affaires qui se présenteront à elles en adoptant une approche proactive visant à incorporer la protection de la vie privée et des données personnelles dans toute activité nécessitant le traitement de données personnelles», nous explique Lahoussine Aniss, SG de la CNDP. Cette instance s’appuie sur la GCEM et les fédérations professionnelles qui y sont affiliées en tant que relais pour atteindre la majorité des entreprises concernées. La CNDP continue «d’identifier les secteurs qui peuvent être affectés par le RGPD et les prioriser en fonction du nombre d’entreprises concernées et de l’impact de l’entrée en application du RGPD sur leur compétitivité. L’impact pour un hôtel étant moins critique que pour une entreprise opérant dans l’offshoring», précise le SG de cette instance marocaine en charge du traitement des données personnelles. D’ailleurs, la CNDP reste confiante quant à la réussite de ce processus de mise à niveau. La commission invite «les entreprises structurées ayant les moyens pour mener en interne un processus de conformité qui nécessite une expertise particulière et des ressources humaines et financières conséquentes», tout en accordant une attention particulière aux «PME-PMI concernées en mettant à leur disposition des guides simplifiés». À cet effet, la CNDP prépare un atelier pratique sur le RGPD au profit du secteur privé afin d’apporter tout ajustement nécessaire aux processus de conformité, enclenchés au niveau de chaque entreprise concernée. La CNDP a mis en place également des canaux de communication avec les entreprises pour répondre à leurs questionnements.
«La nouvelle réglementation est une opportunité»
Lahoussine Aniss
SG de la CNDP
Les Inspirations ÉCO : Que recommande la CNDP aux opérateurs pour se conformer à cette nouvelle réglementation ?
Lahoussine Aniss : La conformité avec le RGPD ne doit pas être perçue comme une contrainte pour les entreprises marocaines mais plutôt comme une opportunité pour se doter d’un avantage concurrentiel par rapport à leurs concurrents dans d’autres pays, car une entreprise conforme au RGPD inspirera confiance au consommateur installé sur le sol européen lorsqu’elle lui offre des produits ou des services et sera un partenaire plus fiable pour les donneurs d’ordres européens qui veulent confier à des partenaires étrangers des projets impliquant un traitement des données personnelles.
Sur un plan pratique, comment se déroule cette conformité ?
Concrètement il faut commencer par lire, comprendre et déterminer si l’entreprise est concernée par le RGPD ou non, et si oui en quelle qualité. À cet effet, la rubrique dédiée au RGPD qui a été ajoutée au site de la CNDP peut constituer un bon point de départ. Ensuite, il faut prendre les mesures organisationnelles, techniques et juridiques pour prouver, à tout moment, aux autorités de contrôle que les principes énumérés dans le RGPD sont respectés (la désignation d’un délégué à la protection des données, la réalisation des études d’impact des traitements sur la vie privée des individus, la tenue d’un registre exhaustif des traitements des données, le respect des différents droits des personnes concernées, la notification des éventuelles failles de sécurité, etc).
Combien de temps faudrait-il pour que les opérateurs s’y conforment?
Le temps nécessaire pour se conformer diffère d’une entreprise à l’autre. Il dépend en fait de plusieurs paramètres, tels le nombre de traitements de données personnelles concernées par le RGPD, leur complexité, la quantité et la sensibilité des données mises en jeu, les mesures préalablement entreprises pour mettre en œuvre les principes de la protection de la vie privée et des données personnelles au sein de l’organisme, le degré de compréhension du nouveau règlement et de ses principes, le montant et la nature des investissements déployés par l’entreprise dans la conformité (RH, finances, achat de l’expertise externe, etc.). Bien évidemment la CNDP est disposée à répondra à toutes les questions des entreprises marocaines via une adresse dédiée à ce sujet (RGPD@cndp.ma).
