Le RGPD est perçu par certains opérateurs comme une contrainte, vu le montant des sanctions prévues en cas d'infraction (jusqu'à 4% du chiffre d'affaires mondial de l'entreprise ou 20 millions d'euros). Pourtant, ce règlement qui entre en vigueur ce 25 mai 2018 se veut selon les professionnels un gage de confiance. Aniss Lahoucine, secrétaire général de la Commission nationale de contrôle des données à caractère personnel revient sur l'accompagnement qui sera assuré aux entreprises nationales. EcoActu : Le nouveau règlement européen sur la protection des données personnelles (RGPD) sera mis en application le 25 mai prochain. Pouvez-vous nous briffer sur les enjeux de ce nouveau dispositif ? Aniss Lahoucine : Le Règlement Général Européen sur la Protection des Données (RGPD) est le nouveau cadre juridique qui régit la protection des données personnelles en Europe. Il est entré en vigueur le 26 mai 2016 et sera mis en application à partir du 25 mai 2018. Le RGPD abroge et remplace la Directive 95/46/CE du Parlement européen et du Conseil de l'Europe, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce nouveau cadre juridique vise à renforcer les droits des personnes à la protection de leur vie privée (en instaurant de nouveaux droits par rapport à l'ancienne directive : droit à l'oubli, droit à la portabilité et le droit à la limitation du traitement), à responsabiliser davantage les organismes qui traitent des données à caractère personnel et à renforcer le rôle des autorités nationales de contrôle de la protection des données personnelles. Le nouveau règlement a également unifié et alourdi les sanctions en cas d'infractions, qui peuvent atteindre désormais 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'organisme sanctionné. En Europe, les entreprises considèrent le RGPD comme une menace voire un moyen de pression juridique en cas de conflit avec le salarié. Quel sera l'impact de ce dispositif sur les entreprises marocaines établies en Europe et/ou sur celles qui échangent des données avec l'Union européenne ? Le RGPD est venu notamment pour renforcer la protection des données personnelles des individus contre toute utilisation abusive ou illicite de ces dernières. L'entrée en vigueur du RGPD est donc une très belle nouvelle pour les individus, les salariés en l'occurrence, dont les données collectées pour des besoins de la gestion des ressources humaines doivent être traitées conformément à cette réglementation. Le RGPD ne doit pas être perçu ainsi comme une contrainte ou un moyen de pression pour l'entreprise mais une opportunité de rassurer ses collaborateurs, pour améliorer son mode de gouvernance de la data, et pour renforcer la transparence vis-à-vis de ses parties prenantes. Par ailleurs, il convient de rappeler que le RGPD s'applique à toute entité (entreprise, établissement public, association, etc.) établie sur le territoire de l'Union Européenne. Si l'entité n'est pas établie dans l'Union Européenne, le RGPD aura tout de même vocation à s'appliquer lorsque les personnes concernées par les traitements (personnes dont les données sont traitées) se trouvent au sein de l'Union européenne et que ces traitements ont pour objectifs le suivi de leur comportement ou l'offre de biens et de services. Aussi, le nouveau règlement a-t-il été étendu aux sous-traitants, telles les entreprises marocaines opérant dans le secteur de l'Offshoring, une large partie des obligations réservées auparavant aux responsables de traitement installés sur le territoire européen. Pour ces entreprises, telles que les établissements hôteliers et les sites de e-commerce, il introduit de nouvelles obligations, à commencer par la mise en œuvre des mesures techniques et organisationnelles garantissant le respect des nouveaux droits des personnes visées. Ces entreprises doivent être en mesure de démontrer que les traitements mis en œuvre sont conformes au nouveau règlement européen, pour rassurer leurs clients en Europe et se mettre aux mêmes niveaux de protection de la vie privée offerts par leurs concurrents européens ou dans d'autres régions du monde. Comme toute nouvelle obligation légale ou réglementaire, le RGPD peut être perçu par certains comme une contrainte, vu le montant des sanctions prévues en cas d'infraction (jusqu'à 4% du chiffre d'affaires mondial de l'entreprise ou 20 millions d'euros). Cette perception est fausse, les lois sur la protection des données personnelles, comme la loi 09-08 au Maroc ou le RGPD en Europe, donne l'opportunité de renforcer la confiance de ses clients, ses collaborateurs, ses fournisseurs et tout autre partie prenante, en étant transparent sur ce qu'on fait de leurs données, sujet pris de plus en plus au sérieux par les personnes dans les quatre coins du monde. Le RGPD en particulier permet en plus de cette confiance accrue, un meilleur mode de gestion du patrimoine informationnel de l'organisme et une meilleure maîtrise des risques liés à l'exploitation de ce patrimoine. Elle permettra également pour l'entreprise marocaine de rassurer ses partenaires européens et préserver ses avantages concurrentiels. Comment les entreprises nationales doivent-elles s'aligner avec les dispositions du RGPD, au cas où elles traiteraient des données en provenance de l'UE, sachant qu'elles ne sont pas encore sensibilisées aux prérequis de la protection des données personnelles ? Consciente des risques encourus par les organismes marocains concernés par ce règlement en cas de violation de ses dispositions et de l'impact éventuel sur la compétitivité de certains secteurs d'activité (offshoring, industrie hôtelière, commerce et services, banques), la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP) a procédé à l'analyse de cette nouvelle loi afin d'identifier les différentes actions d'accompagnement qui peuvent être menées au profit des acteurs marocains concernés. Cette analyse a permis de créer et d'alimenter, en mai 2017, une rubrique dédiée au RGPD sur le site Internet de la CNDP (www.cndp.ma) afin de permettre aux entreprises concernées de s'initier au nouveau règlement, en mettant une place une adresse email dédiée pour répondre aux questions des opérateurs marocains sur ce sujet ([email protected]). D'autres actions d'accompagnement, en collaboration avec les départements ministériels et fédérations professionnelles concernés ont été élaborées, notamment la tenue de plusieurs ateliers de sensibilisation autour du RGPD et l'organisation de formation en la présence d'experts des autorités et institutions européennes en la matière. La CNDP a en effet organisé et animé au total une dizaine d'évènements, depuis septembre 2017, autour du RGPD avec au profit de nombre de groupements. Justement quels sont les groupements qui ont déjà profité de ces évènements autour du RGPD ? Il s'agit de L'Association Marocaine de la Relation Clients (AMRC) ; La Fédération du Commerce et Service de la CGEM ; Le Groupement Professionnel des Banques du Maroc ; La Fédération des Nouvelles Technologies (APEBI) ; Le Cercle Marocain des Directions Juridique (CMDJ) ; La Chambre de commerce Belgo-Luxembourgeoise au Maroc ; L'Amicale Hassania des Magistrats ; et les participants à un atelier dédié au RGPD en marge du salon Preventica Maroc 2018. Aussi, en plus des évènements, la CNDP a-t-elle organisé, en partenariat avec l'Union européenne, une formation au profit des fédérations concernées sur le processus de conformité au Règlement, animée par des experts européens des autorités de la France, la Belgique et la Croatie. Le RGPD a également fait l'objet d'un panel dédié lors de la Conférence Internationale sur la Protection des Données en Afrique, organisée par la CNDP en février dernier, en la présence d'experts de renom de la Commission européenne, du Conseil de l'Europe et des autorités de protection de données du même continent. Pour conclure, les entreprises marocaines sont-elles prêtes pour le RGPD qui, rappelons-le, entre en vigueur ce vendredi 25 mai 2018 ? A l'heure actuelle, aucune étude ou enquête n'ont été réalisées au Maroc pour mesurer le degré de conformité et de préparation des entreprises au RGPD. Toutefois, les rencontres avec ces entreprises montrent clairement que la thématique est prise au sérieux au niveau national et que plusieurs secteurs, notamment ceux de l'offshoring et des nouvelles technologies, sont en avance dans leurs préparatifs pour ce 25 mai. Par ailleurs, la CNDP recommande aux entreprises concernées, qui ne l'ont pas encore fait, d'initier un projet de conformité au RGPD afin d'éviter les sanctions commerciales et financières très lourdes, prévues par le nouveau règlement.
