Accueil » Régulation » Bilan et implications du RGPD pour les prestataires marocains en 2021

Bilan et implications du RGPD pour les prestataires marocains en 2021

novembre 1, 2021 dans Régulation

En novembre 2017, quelques mois avant son entrée en vigueur, LTE magazine vous avait expliqué ce que le nouveau Règlement Général de la Protection des Données par l’Union Européenne impliquait au niveau des prestataires marocains [1]. Le RGPD est à présent bien en place mais son bilan est contrasté. Après un bref rappel, nous donnons un point de la situation et quelques perspectives au niveau global ainsi que du point de vue du Maroc.

Le RGPD en bref

Le Règlement Général de la Protection des Données (RGPD) définit les lignes directrices ciblant les entreprises et les entités publiques qui détiennent et traitent les données identifiables et à caractère personnel de ressortissants de l’Union Européenne [2]. Il vise à augmenter la protection des personnes au niveau du traitement de leurs données personnelles et à mieux responsabiliser les acteurs de ce traitement. Son approche est de protéger la donnée de bout en bout, ce qui fait que son périmètre s’étend au-delà des frontières de l’Union Européenne dans une série de scénarios qui concernent aussi des entreprises marocaines, par exemple, pour un citoyen européen qui lors d’un voyage hors de l’Europe doit communiquer ses données personnelles, ou pour une entreprise étrangère qui effectue des traitements impliquant des données personnelles en sous-traitance. A cette fin, le RGPD introduit une série de grands principes tels que :

Le consentement : il devient explicite et positif, c’est-à-dire qu’il est contrôlé par le citoyen qui peut le retirer à tout moment. L’entreprise doit pouvoir fournir la preuve du consentement. Ceci impacte, par exemple, la gestion de l’affichage du bandeau de consentement par rapport à l’utilisation des cookies.
La transparence : les entreprises doivent pouvoir fournir aux individus des informations claires et non ambiguës sur la manière dont leurs données seront traitées via un registre.
Le droit des personnes physiques d’accéder à leurs données, à l’oubli, à la limitation du traitement (cas spécifiques) et à la portabilité.
La notion de responsabilité (« accountability ») : elle vise à rendre les entreprises matures pour ne plus avoir à passer par un contrôle préalable, en gardant cependant des preuves de leur respect du règlement.
Des sanctions potentiellement très lourdes sont également prévues en cas de non-respect.

Au niveau opérationnel, le RGPD s’appuie sur un délégué à la protection des données (DPO – Data Protection Officer) pour assurer la gouvernance des données et contrôler la conformité de l’entreprise. Les procédures déployées concernent la cartographie des traitements pour établir un registre de traitement des données personnelles, une analyse des risques, un plan d’action prioritisé, son implémentation dans des procédures internes et une documentation permettant de prouver la conformité. La mise en place impose des mesures de sécurité des données sur plusieurs lignes de défenses : des principes de sécurité intrinsèque “by design”, la gestion des flux entre acteurs du traitement, en particulier, les sous-traitants “by contract” et en dernier ressort en cas de fuite de données des obligations de notification d’une autorité nationale (DPA – Data Protection Authority) dans un délai de 72h.

Bilan en 2021

Après une phase initiale d’inquiétude, le RGPD a abouti à une véritable conscientisation et a engendré une dynamique de prise en main de la problématique de la protection des données. Ainsi, le nombre de DPO a fortement augmenté avec plus de 500.000 organisations publiques ou privées en disposant rien qu’en Europe. En 2021, 47% des sociétés estiment avoir atteint un niveau de conformité supérieur à 70% [3]. Au niveau des infractions constatées, plus de 800 amendes ont été infligées principalement à des multinationales Big Tech pour un montant de plus d’un milliard d’euros.

Le RGPD a surtout fourni un cadre global et harmonisé qui facilite le traitement des données de la vie privée des citoyens et instaure la confiance. La protection de bout en bout a eu un effet catalyseur bien au-delà de l’EU puisqu’on estime que 144 pays sont à présent dotés d’une législation respectueuse de la vie privée, souvent en alignement avec le RGPD.

Concernant le Maroc, la loi 09-08 antérieure au RGPD (2009) assurait déjà la protection des personnes physiques à l’égard du traitement des données à caractère personnel en s’appuyant sur la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP). Cette loi s’appuie aussi sur les notions de manifestation du consentement de la personne concernée et la détermination claire de la finalité. Elle a été formulée en harmonie avec le cadre européen précédent le RGPD et forme une base solide en cas de besoin de son respect. Dans le cas d’une sous-traitance de traitement tel que l’off-shoring t.q. Business Processing ou call centers, des clauses alignées avec le RGPD font partie du contrat avec le responsable du traitement situé en Europe avec des contraintes spécifiques, par exemple, une autorisation est nécessaire pour étendre le traitement à d’autres sous-traitants qui sont alors, eux aussi, impactés [4].

En matière de cybersécurité, le RGPD a favorisé l’application des bonnes pratiques permettant d’être mieux protégé contre les cyber-attaques. Ceci a cependant un coût et les petites entreprises ont un retard certain par rapport aux grosses organisations. Les entreprises ont aussi été mieux armées pour affronter les impacts de la pandémie notamment pour réorganiser les flux vers le télétravail ainsi que la mise en place d’applications de santé et de traçabilité.

Notons aussi la disparition du bouclier de protection des données (Privacy Shield), négocié en 2016 entre l’UE et les USA. Ce dispositif de délégation n’offrait pas de garanties suffisantes et a été annulé en juillet 2020. Depuis, les entreprises américaines ont largement investi dans le RGPD. Au niveau marocain, on peut faire le parallèle avec la liste des pays reconnus comme ayant un dispositif législatif solide en matière de protection des données personnelles : essentiellement les pays de l’UE étendue et le Canada mais pas les USA. Le Brexit a aussi généré une variante particulière de RGPD: l’UK-GDPR.

Quelques perspectives

De manière globale, la mise en œuvre du RGPD reste une tâche ardue qui demande de surmonter de nombreux obstacles en termes d’expertise, ressources, arbitrages au sein de l’organisation ou encore de résistance au changement. A cette fin, de plus en plus d’entreprises mettent en place une cellule dédiée indépendante des services métiers, voire externalisée, afin de disposer d’effets de spécialisation et de mutualisation.

Au niveau juridique, le RGPD en tant que tel ne devrait pas évoluer à court terme. De son côté, la loi marocaine déjà largement alignée avec les principes internationaux devrait évoluer afin d’accroître encore les synergies en la matière. Ceci est dans l’esprit de l’adhésion du Maroc, en 2019, à la convention 108 à l’égard du traitement automatisé des données à caractère personnel [5]. A plus long terme, il est aussi envisagé que les procédures se basent plus sur les principes de contrôle en aval (accountability) en évolution des procédures actuelles de déclaration ou d’autorisation qui fonctionnent en amont des traitements [6].

(*) : M. Christophe Ponsard, CETIC, Centre d’Excellence en Technologies de l’Information et de la Communication en Belgique. Mail : [email protected]

(**) : M. Mounir Touzani, INRAE, Institut national de recherche pour l’agriculture, l’alimentation et l’environnement, Toulouse France. Mail : [email protected]

Références:

[1] LTE Magazine Maroc, RGPD et impact sur nos prestataires (novembre 2017)

https://lte.ma/nouveau-reglement-general-sur-la-protection-des-donnees-de-lue-quel-impact-sur-nos-prestataires/

[2] Règlement 2016/679 du parlement européen et du conseil (27 avril 2016)

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR

[3] Baromètre RGPD 2021 : 3 ans après, quel bilan pour les entreprises ? (17/06/2021) https://www.efl.fr/actualite/barometre-rgpd-2021-3-ans-bilan-entreprises_fd06be4ae-ec56-4fa7-b937-73564a6e9c85

[4] Les sociétés marocaines sont-elles concernées par le RGPD ? (30 novembre 2020)

https://www.sia-partners.com/fr/actualites-et-publications/de-nos-experts/protection-des-donnees-personnelles-comment-se-mettre-en

[5] Bienvenue au Maroc, 55ème Etat partie à la Convention 108 (28 mai 2019)

https://www.coe.int/fr/web/data-protection/-/welcome-to-morocco-55th-state-party-to-convention-108-

[6] RGPD, loi 09-08 au Maroc: quelles sont les règles pour les entreprises en 2021 ? (12/01/21)

https://podcast.ausha.co/parlons-gdpr-securite-by-tnp/rgpd-loi-09-08-au-maroc-quelles-sont-les-regles-pour-les-entreprises-en-2021

Neuf années se sont écoulées depuis la première parution, en juillet 2015, du premier numéro de notre revue. A l’occasion de ce neuvième anniversaire, l’équipe de Lte magazine remercie tous ceux qui partagent avec nous cette belle aventure. Au-delà des mers et des continents, que vous soyez lecteurs ou contributeurs, nous vous remercions pour votre fidélité et pour vos retours toujours instructifs. Neuf années se sont écoulées donc, durant lesquelles on a vécu des réalisations importantes notamment dans le digital, les télécoms, l’intelligence artificielle (IA)…

Ou encore dans l’espace et ses divers enjeux, thème majeur et d’une grande actualité pour qui 2024 est une année charnière et à qui nous réservons le dossier de ce 55^ème numéro de Lte magazine.

Depuis les années 1950, l'Espace est au cœur de nombreux enjeux : scientifiques, militaires, commerciaux… Et la conquête spatiale, sur fond de Guerre froide, a longtemps fait l’objet d’une forte concurrence entre les États-Unis d’Amérique (USA) et l’Union des Républiques Socialistes Soviétiques (URSS). Aujourd’hui, les activités spatiales qui connaissent une croissance exponentielle sont incontournables dans la prise de décision dans divers domaines tels que le politique, l’économique et le juridique. Le nombre d’acteurs, publics et privés, ne cessant de croitre, multiplie les enjeux parfois complexes allant jusqu’à entraver l’utilisation pacifique de l’espace extra-atmosphérique.

Ainsi, de nouveaux lanceurs devraient effectuer leur premier vol, ou l’ont déjà fait et les constellations de satellites et d’autres tendances et technologies promettent de redéfinir la manière dont l’espace sera exploré et exploité. Par conséquent, l’augmentation des débris spatiaux qui font augmenter les risques de collision et les dangers de la pollution générée par le trafic spatial devenu très saturé remettent en cause la viabilité des activités spatiales.

En effet, le nombre de lancement de satellites par les Etats a augmenté ces dernières années et il est passé de 210 en 2013 à plus de 2500 en 2023. Ce qui implique, d’une part, la saturation du trafic spatial et, d’autre part, la multitude des déchets spatiaux. Actuellement, les experts comptent plusieurs centaines de millions de débris d’une taille de moins d’un (01) cm. Mais ces satellites ont aussi permis de multiplier l’utilisation des données spatiales (images de satellites) pour la prise de décision et la résolution de nombreux problèmes socio-économique au profit de toutes les populations du Monde.

Afin de mettre de l’ordre dans ces activités spatiales, garantir une utilisation sure et durable de l’espace extra-atmosphérique, plusieurs institutions spécialisées et compétentes dépendant des Nations Unies, ont vu le jour afin de réguler et légiférer en matière d’activité spatiale. C’est ainsi que, pour garantir une utilisation sûre et durable de l’espace extra-atmosphérique, le Bureau des Affaires Spatiales affilié aux Nations Unies (BASNU/UNOOSA), le Space World Fundation (SWF), le Committee on Space Research (COSPAR), œuvrent pour assurer la sécurité et la viabilité des activités spatiales. Toutes ces institutions émettent des lignes directrices sous l’égide de l’ONU, afin de sensibiliser les états à respecter les mécanismes de gouvernance de l’espace dont les fondements sont basés sur les principes et les résolutions des Nations Unies.

Les activités spatiales sont essentielles pour la société moderne puisqu’elles contribuent à plusieurs secteurs, tels que, la communication, le transport, l’agriculture, la gestion de l’eau, la science des climats, le secteur bancaire… et le succès du Développement Durable au profit de tous les Etats, en particulier les pays en développement, en dépend et exige une coopération Internationale solide et fructueuse.

Selon des études menées par les organisations internationales reconnues dans le domaine de l’économie spatiale, les activités spatiales contribuent à la création d’emplois et peuvent générer des revenus considérables dans différents secteurs industriels, grâce aux investissements publics qu’a connu le secteur spatial depuis les années 2000. Huit (08) Billions USD ont été investi en 2022, dont 47% revient aux Etats Unies d’Amérique (USA) et 4,71 milliards USD d’investissement à l’Afrique.

Rappelons au passage la collaboration de l’Union Internationale des télécommunications (UIT) avec les instances de l’ONU en ce qui concerne l’espace (article 50 de la constitution) et dans le domaine des fréquences (Article 44 de la constitution de l’UIT).

Pour traiter ce dossier de l’Espace, auquel une rubrique sera dédiée à partir de ce numéro, nous vous proposons deux entretiens et trois articles. Le premier entretien avec Dr. Riffi Temsamani M. S. spécialiste du Droit et de la Politique de l’Espace et l’autre avec l’astronaute de la NASA M. Daniel Tani. Les trois articles traiteront de :

La Gouvernance dans l’Espace par Dr. Riffi Temsamani M. S.
La convergence Espace et Internet par Dr. Riad Hartani
L’exploit de la Chine qui vient de planter un drapeau sur la Face Cachée de la Lune par Ahmed Khaouja.

Dans la tribune libre, nous vous proposons un article Ata-Ilah Khaouja « Espace Pédagogique ».

Dans la tribune TIC/IA on vous propose tout d’abord un article : « Combler la fracture numérique: exploiter les données grâce au cloud » de NATALIJA GELVANOVSKA-GARCIA (Senior ICT Policy Specialist, World Bank), de CARLO MARIA ROSSOTTO (Principal Investment Officer, IFC) et de VAIVA MAČIULĖ (Digital Development Specialist), article qui synthétise le rapport sur le sujet dont le lien est disponible à la fin de l’article. Aussi dans cette même rubrique on vous ensuite propose aussi la synthèse de l’intervention de Dr. Imane Khaouja au Sommet des dirigeants Télécoms et TIC 2024, organisé par SAMENA le 13 mai à Dubai (EAU). Au passage nous félicitons le PDG de SAMENA M. Bocar pour la bonne organisation de ce grand évènement « The SAMENA Council LEADERS’ SUMMIT 2024, Dubai ». Enfin et toujours dans la rubrique TIC/IA on trouvera dans cette même rubrique TIC/IA la synthèse des deux Sommets mondiaux tenus à Genève. Le premier il s’agit du SMSI 2024 ayant lieu du 27 au 31 mai 2024 et le deuxième de l'UIT sur l'intelligence artificielle qui a eu lieu du 30 au 31 mai 2024. Lte magazine a participé activement à ces deux grands évènements. Ces deux évènements ont lieu en parallèle avec le GITEX Marrakech 24 qui a été aussi une grande réussite pour cette année.

Et bien évidemment d’autres informations enrichissantes du domaine de l’Espace sont abordées dans les rubriques (évènements, médiathèque…).

Ahmed Khaouja expert de l’UIT).

Bilan et implications du RGPD pour les prestataires marocains en 2021

Le RGPD en bref

La transparence : les entreprises doivent pouvoir fournir aux individus des informations claires et non ambiguës sur la manière dont leurs données seront traitées via un registre.

Le droit des personnes physiques d’accéder à leurs données, à l’oubli, à la limitation du traitement (cas spécifiques) et à la portabilité.

La notion de responsabilité (« accountability ») : elle vise à rendre les entreprises matures pour ne plus avoir à passer par un contrôle préalable, en gardant cependant des preuves de leur respect du règlement.

Des sanctions potentiellement très lourdes sont également prévues en cas de non-respect.

Bilan en 2021

Quelques perspectives

(*) : M. Christophe Ponsard, CETIC, Centre d’Excellence en Technologies de l’Information et de la Communication en Belgique. Mail : [email protected]

(**) : M. Mounir Touzani, INRAE, Institut national de recherche pour l’agriculture, l’alimentation et l’environnement, Toulouse France. Mail : [email protected]

Références:

[1] LTE Magazine Maroc, RGPD et impact sur nos prestataires (novembre 2017)

[2] Règlement 2016/679 du parlement européen et du conseil (27 avril 2016)

[3] Baromètre RGPD 2021 : 3 ans après, quel bilan pour les entreprises ? (17/06/2021) https://www.efl.fr/actualite/barometre-rgpd-2021-3-ans-bilan-entreprises_fd06be4ae-ec56-4fa7-b937-73564a6e9c85

[4] Les sociétés marocaines sont-elles concernées par le RGPD ? (30 novembre 2020)

[5] Bienvenue au Maroc, 55ème Etat partie à la Convention 108 (28 mai 2019)

[6] RGPD, loi 09-08 au Maroc: quelles sont les règles pour les entreprises en 2021 ? (12/01/21)