Benchmark des Plateformes de Gestion de la…
Les sociétés marocaines sont-elles concernées par le RGPD ?
Le Règlement Général sur la Protection des Données pour RGPD et en anglais General Data Protection Regulation pour GDPR est un nouveau règlement européen entré en vigueur en mai 2016. Il concerne la réglementation des données à caractère personnel (ou données personnelles parfois dans la suite de l’ouvrage) dans l’Union européenne.
Tous les organismes privés et publics, en Europe, sont désormais soumis à un ensemble d’obligations, qui pour certains, préexistaient sous l’égide de la Directive 95/46/CE et la loi dite « Informatique et Libertés ».
Cette réglementation impacte tous les processus d’entreprise dans la mesure où la donnée personnelle est un actif important. Si le RGPD vise à mieux encadrer la protection des données à caractère personnel de toutes les personnes concernées (clients, prospects, employés, prestataires, etc.), les enjeux sont particulièrement impactant sur la gestion client.
En effet, lors du parcours client, la collecte de données à caractère personnel est un atout : elle permet de mieux connaître la personne concernée et de lui adresser le produit ou service le plus adapté à ses besoins. En parallèle, la valeur que le client accorde à ses données personnelles progresse au fur et à mesure que le caractère sensible des données s’accentue, que leur périmètre s’élargit et que les bénéfices tirés de leur utilisation passent aux mains de l’entreprise. Les entreprises font donc face à un nouveau défi : concevoir des produits et des services de manière transparente, tout en maîtrisant le caractère confidentiel des données. Pour le client, cela se traduit par un prix adapté aux données qu’il a bien voulu donner, une information claire et transparente des usages de ses données par l’entreprise ainsi que la possibilité de les contrôler à tout moment.
Le risque de non-conformité est d’autant plus fort que les consommateurs sont de plus en plus attentifs à la protection renforcée de leur vie privée, au risque que l’entreprise perde des parts de marché et s’expose à un risque d’image fort. A celui-ci viennent s’ajouter un risque financier ainsi qu’un risque judiciaire (sanction pénale et réparations civiles).
L’entrée en application de ce nouveau règlement introduit un nouveau paradigme. Si avant mai 2018, la non-conformité constituait un risque maîtrisé, ce n’est désormais plus le cas. En effet, ne pas respecter le RGPD peut coûter jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires en Europe (amende administrative), le chiffre le plus élevé des deux étant retenu.
Sans évoquer la perte de capital, chaque entreprise doit revoir son organisation, les règles régissant ses systèmes d’information et ses processus, peu importe la localisation de son siège social à partir du moment où des données personnelles de résidents européens sont concernées.
Chaque organisme doit pouvoir encadrer la gestion des données personnelles de leur collecte à leur suppression et piloter leur utilisation, et ceci à travers:
La réglementation impose un nouveau cadre d’entreprise lié à la protection des données personnelles. Cette gouvernance s’appuie sur un réseau d’acteurs dont les rôles et responsabilités sont clairement définis et communiqués à l’ensemble des collaborateurs des organismes. Celle-ci est particulièrement importante dans le cadre de la gestion des réponses à apporter aux demandes d’exercice de droits. Elle est achevée par une réponse précise et pertinente aux questions suivantes:
Chaque organisme doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité de son système d’information adapté au niveau des risques auxquels il s’expose.
La sécurité des systèmes d’information est réalisée par :
Chaque organisme traite quotidiennement des données personnelles afin de répondre aux besoins de leurs clients et de développer leur place sur le marché. Il est toutefois nécessaire d’anticiper et encadrer les risques qui peuvent résulter de ces activités en gardant et en maîtrisant le contrôle des données personnelles.
En raison de ses engagements économiques, et en vue d’obtenir le statut d’adéquation aux normes de l’Union européenne, le Maroc a dû adopter une législation protectrice des données à caractère personnel similaire à celle qui existe en Europe. En effet, les banques et les sous-traitants marocains, opérant surtout dans le secteur de l’Offshoring (Call centers, BPO, ITO...) et le secteur du commerce électronique, sont concernés par le respect de certaines obligations du RGPD et sont dans l’obligation de se conformer intégralement à la législation européenne.
Afin d’être en adéquation avec les législations internationales en la matière, le législateur marocain a mis en place un régime juridique protecteur des données personnelles au cours de ces dernières années.
La loi n° 09-08 est celle qui contient les principes fondamentaux et les moyens de mise en œuvre de la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Elle est applicable sur toute information concernant une personne physique identifiée ou identifiable par référence à un numéro d’identification ou des éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. La loi définit aussi les traitements assurant la protection adéquate des citoyens.
Il est essentiel de souligner la manifestation du consentement de la personne concernée et la détermination claire de la finalité du traitement en adéquation et pertinence avec les données collectées loyalement. Le mécanisme de traitement s’articule autour de l’établissement des droits des personnes concernées, en premier lieu, à travers un consentement. Ensuite, par le droit à l’information lors de la collecte des données, le droit à l’accès ou rectification des informations, et le droit d’opposition à la prospection directe. D’autre part, les responsables du traitement sont dans l’obligation de recueillir le consentement, faire une déclaration préalable auprès de la Commission Nationale de contrôle de la protection des Données Personnelles (CNDP) et recourir parfois à une autorisation préalable délivrée par la Commission Nationale lors du traitement des données sensibles. Finalement, les responsables sont appelés à s’aligner avec les obligations de confidentialité, de sécurité des traitements et de secret professionnel.
Il est à noter que la loi marocaine 09-08 présente une convergence avec la réglementation européenne dans la mesure où elle repose largement sur la Directive européenne 95/46/CE sur la protection des données personnelles sur laquelle s’assoit le RGPD. Toutefois, il a été constaté que contrairement à la loi 09-08, le champ d’application territorial du RGPD est élargi à certaines conditions, aux traitements effectués par les responsables ou sous-traitants non établis dans le territoire européen. Ajoutons à cela que la réglementation européenne prend en considération également les données biométriques et celles concernant la vie sexuelle. Dans la réglementation marocaine, on note l’absence de conditions applicables au consentement des mineurs en ce qui concerne les services de la société de l’information… Et la liste est loin d’être exhaustive.
Des études sont alors proposées et initiées par la CNDP, en partenariat avec l’Union européenne, afin de renforcer le rapprochement législatif et réglementaire entre les deux partenaires économiques tout en s'adaptant au contexte marocain.
Sia Partners a réalisé un document détaillé afin de vous accompagner dans la prévention, la gestion et la minimisation de l’ensemble des risques découlant d’une non-conformité à cette nouvelle réglementation.
Hakim Erraji
Managing Partner Morocco
+212 6 61 33 20 51
hakim.erraji@sia-partners.com
Chaimae Chelkha
Consultant
+212 6 49 20 25 73
chaimae.chelkha@sia-partners.com
Soufiane El Kadi
Consultant
soufiane.elkadi@sia-partners.com