Nouveau règlement général sur la protection des données de l’UE : quel impact sur les prestataires Marocains
novembre 1, 2017
Régulation
Nouveau règlement général sur la protection des données de l’UE : quel impact sur les prestataires Marocains ?
Le nouveau Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) a été signé en 2016. Il s’agit du nouveau texte de référence européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union Européenne. Il apporte des changements importants par rapport à la précédente « directive sur la protection des données personnelles » qui datait de 1995, une époque où les téléphones mobiles et l’Internet commençaient à peine à se développer.
Cet article présente un aperçu de ce nouveau règlement avant de détailler comment il impacte potentiellement les sociétés marocaines qui échangent et traitent des données à caractère personnel (DCP) avec l’Europe. Ces données sont à présent définies comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Ainsi, une personne physique est réputée « identifiable » si elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel que le nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou tout élément propre à son identité.
Aperçu du Règlement Général sur la Protection des Données
Contrairement à la précédente directive, il s’agit d’une loi qui s’applique directement dans tous les états membres, en permettant cependant certaines adaptations nationales. Le règlement concerne toute entreprise amenée à collecter et manipuler les données de ses clients : depuis les multinationales jusqu’aux PME et TPE, y compris les artisans gérant un fichier client. Il apporte des changements importants pour une meilleure protection. Il sera cependant plus contraignant pour les entreprises qui devront fournir des informations précises sur leurs pratiques de collecte et de conservation des données personnelles. Il est basé sur quatre principes induisant de nouvelles obligations telles que :
-
Le consentement qui devient explicite et positif, c’est-à-dire qu’il est contrôlé par le citoyen qui peut le retirer à tout moment. L’entreprise doit pouvoir fournir la preuve du consentement. Ceci impacte, par exemple, la gestion de l’affichage du bandeau de consentement par rapport à l’utilisation des cookies. Il est important de préciser que si le consentement n’est pas obtenu ou est retiré, le citoyen ne peut pas être désavantagé dans sa relation avec l’entreprise par rapport à un citoyen lambda.
-
La transparence: outre l’aspect consentement, les entreprises doivent aussi pouvoir fournir aux individus des informations claires et non ambiguës sur la manière dont leurs données seront traitées via un registre.
-
Le droit des personnes physiques pour accéder à leurs données, à l’oubli, à la limitation du traitement (cas spécifiques) et à la portabilité. L’entreprise doit définir comment et en combien de temps (délai raisonnable) le citoyen peut demander à être « oublié » par l’entreprise. Par ailleurs, il peut demander à consulter ses données.
-
La responsabilité (« accountability ») impose des contraintes sur la sécurité des données : les documenter, les renforcer, utiliser des principes de sécurité intrinsèque « by design » et encadrer aussi les sous-traitants dans ce domaine. Pour les entreprises manipulant des données personnelles sensibles ou ayant dans leur activité principale un processus qui surveille de manière régulière et systématique des données à caractère personnel, un délégué à la protection des données (DPO – Data Protection Officer) doit être désigné pour piloter la gouvernance des données et contrôler la conformité de l’entreprise avec le RGPD. En cas de fuite de données, les entreprises ont l’obligation de signaler le problème à l’autorité nationale (DPA – Data Protection Authority) dans un délai de 72h à moins qu’elles puissent démontrer l’absence de risque (par exemple si les données étaient chiffrées). Elles devront bien sûr mettre en œuvre les actions pour remédier à la brèche, en les documentant et également prévenir les personnes potentiellement impactées.
En cas d’infraction, le règlement est assorti de sanctions très importantes qui seront applicables à partir de mai 2018. Elles peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise. Cette date n’est pas un couperet et les contrôles seront de nature progressive (avertissement, réprimande, etc.) avant d’en arriver aux amendes. Les recommandations préconisées consistent à mettre en place rapidement une cartographie des données à caractère personnel et des processus de traitement de ces données, tout en s’assurant de l’efficacité des mesures de protection. Notons que la mise en œuvre de ce règlement comporte non seulement des éléments techniques mais aussi juridiques.
Impact sur les entreprises marocaines qui échangent des données avec l’Europe
Dans un premier temps, rappelons que le RGPD ne s’applique qu’aux données à caractère personnel telles que définies plus haut. Les entreprises manipulant des données d’une autre nature ne sont donc pas concernées. Par contre, il s’agit de données de tout individu situé dans l’UE. Sa nationalité ou sa résidence habituelle n’est pas pertinente : ainsi il peut s’agir des données d’un Chilien qui est établit dans l’UE via un contrat de travail.
Si une entreprise marocaine (généralement hors UE) vise des clients européens, par exemple, pour offrir des biens et services à des clients européens, même gratuitement, cela pourrait être soumis au RGPD. L’idée est de respecter les règles imposées par l’UE pour pouvoir échanger avec le marché européen. A titre d’exemple, nous pouvons citer des centres d’assistance (help desks), des centres d’appels (call center) et des centres d’off-shoring (télécom, informatique notamment).
En pratique, cinq modalités sont prévues :
-
Les décisions d’adéquation de la Commission Européenne sur un niveau de protection approprié d’un pays tiers. Ceci concerne en particulier le cadre de commerce transatlantique avec la mise en place d’un « privacy shield » pour lequel les grandes entreprises américaines se sont auto-certifiées. Finalement, ceci n’implique aucune demande de consentement préalable des internautes européens… Ce type d’accord semble donc en sursis. D’autres pays sont concernés tels que la Suisse ou Israël. Le Maroc ne faisait pas l’objet d’un tel accord.
-
Les règles internes contraignantes d’entreprises (BCR – la Binding Corporate Rules) représentent à présent un ensemble de 14 règles qui assurent une conformité au GDPR au sein d’un groupe entier. Ceci concerne plutôt les entreprises multinationales.
-
La preuve de la fourniture de « garanties appropriées» en matière de protection des données, notamment la signature de clauses contractuelles type, qui sont logiquement alignées avec le RGPD. C’est une solution adaptée pour les plus petites structures.
-
Une décision judiciaire / administrative fondée sur un accord international, qui vise a priori plus le traitement des données entre pays.
-
Une dérogation accordée pour des situations particulières avec des clauses très restrictives.
Notons également que le RGPD impose aux opérateurs hors UE de nommer un « représentant RGPD » localisé dans l’UE. Celui-ci devient le responsable en cas de sanction. Si l’entreprise n’a pas de pied-à-terre en UE, il s’agira plutôt du DPO qui sous-traitera le traitement. Son travail consistera alors à s’assurer que le prestataire étranger respectera bien le RGPD via des clauses contractuelles. Il est fort à parier qu’en cas de non-respect, les clauses s’aligneront avec le niveau de progressivité et de sévérité mentionné précédemment. Rappelons aussi que le Maroc dispose d’une loi assez claire et proche de ce qui est appliqué au sein du territoire de l’Union : la loi 08-09 promulguée par le Dahir n° 1-09- 15 du 22 Safar 1430 (18 février 2009). Cette loi stipule que les données personnelles présentes au sein des bases de données des entités privées ou publiques sont protégées. En cas d’infraction est également assortie d’amendes allant de 10.000 à 500.000 dirhams voir des peines d’emprisonnement.
En conclusion, bien que les entreprises marocaines soient déjà sensibilisées aux précautions requises par le traitement des données à caractère personnel, il est cependant important qu’elles étudient attentivement le RGPD et prévoient de s’aligner avec ces contraintes dans le cas où elles traiteraient des données en provenance de l’UE ! Ce règlement est aussi une réelle opportunité pour améliorer les processus internes et apporter une plus grande confiance non seulement aux citoyens mais aussi aux entreprises partenaires à l’international.
Références
De très nombreux articles sont accessibles en ligne, nous en pointons ici quelques-uns en français de nature introductive et formative, en particulier par rapport à la thématique des échanges de données :
Par M. Christophe Ponsard (CETIC, Belgique) et Dr. Mounir Touzani (Académie de Toulouse, France)