Dès ce 25 mai, les entreprises marocaines, ayant une présence ou traitent avec l’Europe, dont l’activité est non-conforme au nouveau règlement général sur la protection des données à caractère personnel encourent de lourdes sanctions.
La protection des données est un droit inscrit dans la Charte des droits fondamentaux de l’Union européenne qui ne date pas d’aujourd’hui. Désormais, avec le nouveau règlement général sur la protection des données qui entrera en vigueur demain 25 mai dans tous les Etats membres de l’Union européenne, les choses vont forcément se corser.
Des millions d’Européens utilisent au quotidien internet et échangent des données à caractère personnel : banque en ligne, achats, réseaux sociaux, déclaration d’impôts… Bref une digitalisation qui s’amplifie de jour en jour, simplifie certes la vie des citoyens, mais qui n’est pas exempte d’incidences. D’où la nécessité de protéger ces données, d’autant plus que les risques y afférents sont nombreux : vol d’identité, fraude, mauvaise utilisation…
La protection s’avère plus qu’obligatoire si l’on prend en considération que certaines données telle que la santé, l’origine raciale… sont d’une extrême sensibilité.
Telles que définies par le RGPD, les données à caractère personnel sont des informations se rapportant à une personne physique « identifiée ou identifiable ». Il peut s’agir par exemple d’un nom, d’un prénom, d’une adresse mail, d’une localisation, d’un numéro de carte d’identité, ou d’une adresse IP. Les règles s’appliquent lorsqu’elles sont utilisées, conservées ou collectées numériquement ou sur papier.
Le RGDP s’applique même aux entreprises non installées en Europe
Internalisation oblige, les entreprises européennes traitent avec leurs homologues étrangères. Ceci étant, le nouveau règlement européen s’appliquera aux entreprises non installées en Europe lorsqu’elles traitent des données dans le but d’offrir des produits et/ou des services à des personnes qui se trouvent dans le vieux continent. Ainsi, la responsabilité du respect des principes du règlement européen est étendue aux sous-traitants, indépendamment de leur pays d’installation. A titre d’exemple, si une entreprise marocaine (généralement hors UE) vise des clients européens pour offrir des biens et services même gratuitement, elle pourrait être soumise au RGPD. Le leitmotiv est de respecter les règles imposées par l’UE pour pouvoir échanger avec le marché européen. Nous pouvons citer à ce sujet des centres d’assistance, des centres d’appel… qui vont être concernés par le nouveau règlement. Le point focal du RGPD est l’introduction de sanctions dissuasives qui sont calculées selon des critères bien définis. Les montants élevés des sanctions visent à offrir des moyens de pression pour dissuader les acteurs tentés de détourner la protection des données personnelles. Elles sont d’ailleurs applicables à partir de mai 2018.
Qui s’occupe des sanctions ?
Le RGPD impose aux opérateurs hors UE de nommer un « représentant RGPD » localisé dans l’UE. Ce dernier se veut le responsable en cas de sanctions. Toutefois, si l’entreprise n’a pas de pied-à-terre dans l’UE, il s’agira plutôt du DPO (Data Protection Officer) qui sous-traitera le traitement. Son travail consistera alors à s’assurer que l’entreprise étrangère respectera bien le RGPD via des clauses contractuelles. Rappelons que de l’avis des professionnels, le Maroc dispose d’une loi sur la protection des données personnelles qui est proche de ce qui est appliqué au sein du territoire européen.
Une chose est cependant sûre : bien que les entreprises marocaines soient déjà sensibilisées aux précautions requises pour le traitement des données à caractère personnel, il est cependant important qu’elles étudient attentivement le RGPD et prévoient de s’aligner avec ces dispositifs dans le cas où elles traiteraient des données en provenance de l’UE. La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) recommande d’ailleurs aux entreprises concernées qui ne l’ont pas encore fait, d’initier un projet de conformité au RGPD afin d’éviter les sanctions commerciales et financières très lourdes.
Aussi, le règlement est-il une réelle opportunité pour améliorer les processus internes et apporter une plus grande confiance non seulement aux citoyens mais aussi aux entreprises partenaires à l’international. C’est la moitié pleine du verre.
« Les entreprises marocaines, surtout celles opérant dans l’Offshoring, pourraient préserver leurs parts de marché et surtout disposeraient d’un avantage concurrentiel et un argument de taille pour rassurer et convaincre les donneurs d’ordre européens de leur confier la réalisation de projets soumis aux dispositions du RGPD », rassure Aniss Lahoussine, SG de la CNDP. Dans la même veine, les entreprises marocaines opérant dans le commerce électronique pourraient proposer leurs produits et/ou services aux consommateurs européens sans risquer de subir les sanctions lourdes qui peuvent atteindre 20 millions d’euros et surtout en respectant les mêmes standards de la protection de la vie privée proposés par leurs concurrents européens.