Connexion
Les entreprises marocaines amenées à traiter des données personnelles relatives aux ressortissants européens, notamment celles opérant dans le secteur de l’offshoring, doivent se conformer au Règlement général sur la protection des données (RGPD). Il s’agit d’un règlement européen (n°2016/679 du Parlement européen et du Conseil du 27 avril 2016) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Ces dispositions seront appliquées directement dans les 28 États membres à partir du 25 mai 2018. Mais pas seulement. Le Maroc aussi se trouve concerné. En effet, une des principales caractéristiques du RGPD est son champ d’application territoriale qui peut couvrir, désormais, des entreprises marocaines lorsqu’elles opèrent des traitements de données à caractère personnel visant des individus qui se trouvent sur le territoire de l'Union. C’est ce qui a amené la CNDP à rendre public, dans ce sens, un communiqué attirant l’attention des entreprises marocaines concernées.
Mais quelles sont les entreprises concernées par cette nouvelle législation européenne ? Répondant à cette question, le secrétaire général de la CNDP, Houssine Annis, affirme que la CNDP n’a pas une idée sur le nombre exact, mais ajoute toutefois que beaucoup d’entreprises seront concernées. Car le champ d’application du RGPD fait que de nombreuses entreprises sont concernées au Maroc. Comment ? Parce que dans l’ancien régime, pour être concernées par la législation sur la protection des données, ces entreprises devaient être établies sur le sol européen. «Aujourd’hui, le champ d’application s’est étendu. Si une entreprise opère n’importe quel traitement qui vise un citoyen européen, elle est concernée par les dispositions du règlement RGPD. Ce qui lui confère un champ d’application très large qui peut toucher le secteur du tourisme (les hôtels, les agences de voyages…) les compagnies aériennes, l’offshoring et toute entité qui traite des données de ressortissants européens», explique le secrétaire général de la CNDP.
De même, auparavant, l’obligation de respecter la législation européenne en la matière incombait uniquement aux donneurs d’ordres européens et aux sous-traitants. Désormais, les obligations instituées vont aussi concerner le sous-traitant. Les opérateurs qui ne s’y conforment pas risquent des peines très lourdes. C’est pourquoi la CNDP, dans son communiqué, recommande «aux entreprises concernées, qui ne l’ont pas encore fait, d’initier un projet de conformité au RGPD afin d’éviter les sanctions très lourdes prévues par le nouveau règlement et qui peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial».
Et ce même s’il y a un effort à faire pour se conformer à cette législation.
N’ayant pas le choix, les sous-traitants et les entreprises marocains qui visent le marché européen doivent saisir cette opportunité comme un avantage concurrentiel. Car les opérateurs européens vont bien réfléchir avant de choisir les partenaires marocains avec qui travailler ou chez qui sous-traiter. Bien évidemment, ils vont privilégier les opérateurs marocains qui ont fait l’effort de se conformer à cette réglementation. «Ainsi, au lieu de percevoir cette réglementation comme une contrainte, ils doivent se préparer pour en faire un avantage concurrentiel pour avoir plus de projets et de marchés auprès des donneurs d’ordres européens», analyse Houssine Annis.
À ce niveau, la CNDP a joué le rôle qui est le sien. «Nous avons suivi cette réglementation européenne avant qu’elle ne soit adoptée et nous avons fait le suivi après son adoption. Nous avons consacré, sur notre site internet, toute une rubrique aux nouveautés de cette réglementation, depuis mai, date de l’entrée en vigueur de cette loi en Europe. Nous avons aussi informé les fédérations professionnelles les plus concernées par ces nouvelles dispositions. L’Association marocaine de la relation client (AMRC, fédération qui regroupe, les principaux outsourcers spécialisés dans la gestion de la relation client à distance au Maroc), la Fédération des technologies de l’information, des télécommunications et de l’offshoring (APEBI). Nous avons également informé le département ministériel de tutelle», explique le même responsable. Il est à signaler que dans ce cadre, le ministère de l’Industrie, de l’investissement, du commerce et de l’économie numérique va convoquer prochainement l’AMRC et l’APEBI ainsi que la CGEM pour discuter des mesures à prendre et des modalités d’accompagnement.
Car il faut le souligner, cette nouvelle réglementation occasionnera un coût supplémentaire pour les entreprises qui doivent s’y conformer. Ce sont des dispositions qui changent les paradigmes de la protection des données personnelles en Europe. Ainsi, on ne va plus se contenter d’avoir des autorisations des autorités de protection des données personnelles. C’est à l’entreprise de prouver qu’elle respecte les principes des données personnelles. Elle doit ainsi disposer, à titre d’exemple, de ce qui est appelé dans le jargon professionnel le data mapping (une sorte de cartographie des traitements et des données), procéder à l’analyse de l'impact sur la vie privée des traitements mis en œuvre, préparer et mettre à jour la cartographie des traitements et des données, désigner un délégué à la protection des données… Bien sûr, tout cela a un coût. Mais le bon côté de la chose, c’est que cela va permettre l’émergence d’entreprises spécialisées en la matière et l'ouverture de nouvelles opportunités d’affaires, notamment pour les cabinets d’avocats et de conseils juridiques.
