jeudi , 26 décembre 2024

Bilan et implications du RGPD pour les prestataires marocains en 2021

En novembre 2017, quelques mois avant son entrée en vigueur, LTE magazine vous avait expliqué ce que le nouveau Règlement Général de la Protection des Données par l’Union Européenne impliquait au niveau des prestataires marocains [1]. Le RGPD est à présent bien en place mais son bilan est contrasté. Après un bref rappel, nous donnons un point de la situation et quelques perspectives au niveau global ainsi que du point de vue du Maroc.

Le RGPD en bref

Le Règlement Général de la Protection des Données (RGPD) définit les lignes directrices ciblant les entreprises et les entités publiques qui détiennent et traitent les données identifiables et à caractère personnel de ressortissants de l’Union Européenne [2]. Il vise à augmenter la protection des personnes au niveau du traitement de leurs données personnelles et à mieux responsabiliser les acteurs de ce traitement. Son approche est de protéger la donnée de bout en bout, ce qui fait que son périmètre s’étend au-delà des frontières de l’Union Européenne dans une série de scénarios qui concernent aussi des entreprises marocaines, par exemple, pour un citoyen européen qui lors d’un voyage hors de l’Europe doit communiquer ses données personnelles, ou pour une entreprise étrangère qui effectue des traitements impliquant des données personnelles en sous-traitance. A cette fin, le RGPD introduit une série de grands principes tels que :

  • Le consentement : il devient explicite et positif, c’est-à-dire qu’il est contrôlé par le citoyen qui peut le retirer à tout moment. L’entreprise doit pouvoir fournir la preuve du consentement. Ceci impacte, par exemple, la gestion de l’affichage du bandeau de consentement par rapport à l’utilisation des cookies.

  • La transparence : les entreprises doivent pouvoir fournir aux individus des informations claires et non ambiguës sur la manière dont leurs données seront traitées via un registre.

  • Le droit des personnes physiques d’accéder à leurs données, à l’oubli, à la limitation du traitement (cas spécifiques) et à la portabilité.

  • La notion de responsabilité (« accountability ») : elle vise à rendre les entreprises matures pour ne plus avoir à passer par un contrôle préalable, en gardant cependant des preuves de leur respect du règlement.

  • Des sanctions potentiellement très lourdes sont également prévues en cas de non-respect.

Au niveau opérationnel, le RGPD s’appuie sur un délégué à la protection des données (DPO – Data Protection Officer) pour assurer la gouvernance des données et contrôler la conformité de l’entreprise. Les procédures déployées concernent la cartographie des traitements pour établir un registre de traitement des données personnelles, une analyse des risques, un plan d’action prioritisé, son implémentation dans des procédures internes et une documentation permettant de prouver la conformité. La mise en place impose des mesures de sécurité des données sur plusieurs lignes de défenses : des principes de sécurité intrinsèque “by design”, la gestion des flux entre acteurs du traitement, en particulier, les sous-traitants “by contract” et en dernier ressort en cas de fuite de données des obligations de notification d’une autorité nationale (DPA – Data Protection Authority) dans un délai de 72h.

Bilan en 2021

Après une phase initiale d’inquiétude, le RGPD a abouti à une véritable conscientisation et a engendré une dynamique de prise en main de la problématique de la protection des données. Ainsi, le nombre de DPO a fortement augmenté avec plus de 500.000 organisations publiques ou privées en disposant rien qu’en Europe. En 2021, 47% des sociétés estiment avoir atteint un niveau de conformité supérieur à 70% [3]. Au niveau des infractions constatées, plus de 800 amendes ont été infligées principalement à des multinationales Big Tech pour un montant de plus d’un milliard d’euros.

Le RGPD a surtout fourni un cadre global et harmonisé qui facilite le traitement des données de la vie privée des citoyens et instaure la confiance. La protection de bout en bout a eu un effet catalyseur bien au-delà de l’EU puisqu’on estime que 144 pays sont à présent dotés d’une législation respectueuse de la vie privée, souvent en alignement avec le RGPD.

Concernant le Maroc, la loi 09-08 antérieure au RGPD (2009) assurait déjà la protection des personnes physiques à l’égard du traitement des données à caractère personnel en s’appuyant sur la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP). Cette loi s’appuie aussi sur les notions de manifestation du consentement de la personne concernée et la détermination claire de la finalité. Elle a été formulée en harmonie avec le cadre européen précédent le RGPD et forme une base solide en cas de besoin de son respect. Dans le cas d’une sous-traitance de traitement tel que l’off-shoring t.q. Business Processing ou call centers, des clauses alignées avec le RGPD font partie du contrat avec le responsable du traitement situé en Europe avec des contraintes spécifiques, par exemple, une autorisation est nécessaire pour étendre le traitement à d’autres sous-traitants qui sont alors, eux aussi, impactés [4].

En matière de cybersécurité, le RGPD a favorisé l’application des bonnes pratiques permettant d’être mieux protégé contre les cyber-attaques. Ceci a cependant un coût et les petites entreprises ont un retard certain par rapport aux grosses organisations. Les entreprises ont aussi été mieux armées pour affronter les impacts de la pandémie notamment pour réorganiser les flux vers le télétravail ainsi que la mise en place d’applications de santé et de traçabilité. 

Notons aussi la disparition du bouclier de protection des données (Privacy Shield), négocié en 2016 entre l’UE et les USA. Ce dispositif de délégation n’offrait pas de garanties suffisantes et a été annulé en juillet 2020. Depuis, les entreprises américaines ont largement investi dans le RGPD. Au niveau marocain, on peut faire le parallèle avec la liste des pays reconnus comme ayant un dispositif législatif solide en matière de protection des données personnelles : essentiellement les pays de l’UE étendue et le Canada mais pas les USA. Le Brexit a aussi généré une variante particulière de RGPD: l’UK-GDPR.

Quelques perspectives

De manière globale, la mise en œuvre du RGPD reste une tâche ardue qui demande de surmonter de nombreux obstacles en termes d’expertise, ressources, arbitrages au sein de l’organisation ou encore de résistance au changement. A cette fin, de plus en plus d’entreprises mettent en place une cellule dédiée indépendante des services métiers, voire externalisée, afin de disposer d’effets de spécialisation et de mutualisation.

Au niveau juridique, le RGPD en tant que tel ne devrait pas évoluer à court terme. De son côté, la loi marocaine déjà largement alignée avec les principes internationaux devrait évoluer afin d’accroître encore les synergies en la matière. Ceci est dans l’esprit de l’adhésion du Maroc, en 2019, à la convention 108 à l’égard du traitement automatisé des données à caractère personnel [5]. A plus long terme, il est aussi envisagé que les procédures se basent plus sur les principes de contrôle en aval (accountability) en évolution des procédures actuelles de déclaration ou d’autorisation qui fonctionnent en amont des traitements [6].

(*) : M. Christophe Ponsard, CETIC, Centre d’Excellence en Technologies de l’Information et de la Communication en Belgique. Mail : christophe.ponsard@cetic.be

(**) : M. Mounir Touzani, INRAE, Institut national de recherche pour l’agriculture, l’alimentation et l’environnement, Toulouse France. Mail :  mounir.touzani@inrae.fr

Références:

[1] LTE Magazine Maroc, RGPD et impact sur nos prestataires (novembre 2017)

https://lte.ma/nouveau-reglement-general-sur-la-protection-des-donnees-de-lue-quel-impact-sur-nos-prestataires/

[2] Règlement  2016/679 du parlement européen et du conseil (27 avril 2016)

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR

[3] Baromètre RGPD 2021 : 3 ans après, quel bilan pour les entreprises ? (17/06/2021)  https://www.efl.fr/actualite/barometre-rgpd-2021-3-ans-bilan-entreprises_fd06be4ae-ec56-4fa7-b937-73564a6e9c85

[4] Les sociétés marocaines sont-elles concernées par le RGPD ? (30 novembre 2020)

https://www.sia-partners.com/fr/actualites-et-publications/de-nos-experts/protection-des-donnees-personnelles-comment-se-mettre-en

[5] Bienvenue au Maroc, 55ème Etat partie à la Convention 108 (28 mai 2019)

https://www.coe.int/fr/web/data-protection/-/welcome-to-morocco-55th-state-party-to-convention-108-

[6] RGPD, loi 09-08 au Maroc: quelles sont les règles pour les entreprises en 2021 ? (12/01/21)

https://podcast.ausha.co/parlons-gdpr-securite-by-tnp/rgpd-loi-09-08-au-maroc-quelles-sont-les-regles-pour-les-entreprises-en-2021

LTE.ma 2024 - ISSN : 2458-6293 Powered By NESSMATECH