L’offshoring face au nouveau règlement européen
Le Règlement général européen sur la protection des données prend en considération les exigences de protection de la vie privée à l’ère des réseaux sociaux et des objets connectés. Le secteur de l’offshoring au Maroc se prépare assez bien aux changements.
Un nouveau Règlement général européen sur la protection des données (RGPD) est entré en vigueur, le 25 mai dernier. Cette nouvelle loi a trois principaux objectifs, à savoir renforcer les droits des personnes, responsabiliser les acteurs traitant des données et crédibiliser la régulation. Plus clairement, elle devrait régir la manière dont les entreprises vont pouvoir gérer les données personnelles qu’elles manipulent. Le RGPD remplace et abroge la directive européenne d’octobre 1995 qui fut adoptée avant l’avènement des réseaux sociaux, le cloud, le big data ou encore les objets connectés. Il fallait une loi dans l’air du temps, adaptée aux évolutions technologiques et garantissant une meilleure protection des personnes et de la vie privée. C’est dans ce contexte que la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a mené, en collaboration avec l’Union européenne, une étude sur l’opportunité du rapprochement du cadre légal national (la loi 09.08) vers ce nouveau règlement. Un séminaire de restitution des résultats de l’étude a eu lieu mercredi dernier à Rabat. Il en ressort l’existence de plusieurs écarts entre la loi marocaine et le nouveau dispositif européen. À commencer par l’absence de conditions applicables au consentement des mineurs concernant les services de la société de l’information. Selon Alessandra Fratini, experte mandatée, les écarts constatés portent également sur l’absence d’une définition de «data breach» et de l’obligation de notification à l’autorité de contrôle, accompagnée de la communication à la personne concernée, le cas échéant.
Eric Nénéhidini, expert mandaté, a expliqué que dans le cas de non-adaptation au nouveau règlement général européen, le Maroc sera confronté aux barrières économiques du marché unique. Des difficultés d’accès au marché européen peuvent également surgir dans ce cas. L’étude, ajoute l’expert, recommande une convergence progressive à moyen et long termes afin de profiter des avantages du nouveau régime sans en subir les contraintes dans l’immédiat. Mais pour atténuer l’impact du RGPD sur un secteur comme celui de l’offshoring au Maroc, une démarche proactive a été adoptée. C’est ce qu’a expliqué Nadia Tafrant, directeur adjoint juridique de Phone Group. Elle a indiqué que plusieurs ateliers et groupes de travail dédiés au RGPD ont été organisés, par la Commission juridique et sécurité de l’AMRC et/ou en coordination avec la CNDP, pour accompagner les membres dans ce processus. L’objectif est de préserver et développer les parts de marché avec les clients, donneurs d’ordres européens et les mettre en confiance. L’on essaiera même de baliser le terrain à une labellisation RGDP pour le secteur afin de créer une émulation susceptible d’accélérer la mise en conformité avec le nouveau règlement. Tafrant n’a pas manqué de mettre en avant les interrogations du secteur à ce niveau : s’il serait appelé à être audité, quel organisme serait amené à le faire et à quelle échéance le référentiel sectoriel devrait voir le jour. Si l’on considère l’adaptation au RGDP dans le monde, un sondage de Cloud security alliance auprès de 1.000 entreprises, publié en avril dernier, montre que 17% de ces entreprises ont exprimé leur bonne préparation au nouveau règlement. Parmi elles, 55% se sont dites plus ou moins préparées et seules 9% ont exprimé leur impréparation à se mettre au diapason du nouveau dispositif.
Les obligations des sous-traitants
Le RGPD a étendu aux sous-traitants, que sont les entreprises marocaines opérant dans le secteur de l’offshoring, une large partie des obligations réservées auparavant aux responsables de traitement, installés sur le territoire européen. Il s’agit de tout ce qui a trait aux traitements effectués par des acteurs non établis sur le territoire de l’UE dès lors qu’ils visent des personnes se trouvant sur le territoire de l’UE. Cela porte aussi bien sur l’offre de biens et services que sur le suivi de comportements au sein de l’UE.
