Lina Fassi-Fihri, associée/partenaire, LPA-CGR Avocats Cette juriste, basée à Casablanca et membre du Conseil d'administration de la Fédération des technologies de l'information, des télécommunications et de l'offshoring (APEBI), conseille des entreprises marocaines en matière de protection des données personnelles. Me Fassi-Fihri revient sur les défis et les opportunités de ce processus. Les Inspirations ECO : Comment les secteurs concernés par l'entrée en vigueur du RGPD, notamment l'offshoring au Maroc, se sont conformés à la nouvelle réglementation de l'UE en matière de données personnelles ? Lina Fassi-Fihri : Le Règlement général sur la protection des données (RGPD) s'appliquera sous certaines conditions à des entreprises de droit marocain, et l'un des secteurs sur lequel les conséquences seront les plus importantes est celui de l'offshoring. Je ne peux pas vous donner une vision globale du secteur, et il n'y a pas -à ma connaissance du moins- d'enquête qui ait été faite à ce sujet, mais selon mon expérience et les personnes exerçant dans ce secteur que j'ai pu conseiller ou interroger, il y a deux cas de figure. Il y a d'abord les acteurs locaux importants et/ou qui font partie d'un groupe international ayant entamé une mise en conformité depuis plusieurs mois déjà: les conséquences sur leur business les a rapidement conduits à agir. Ensuite, il y a les acteurs moins importants, qui attendent encore un peu de voir ce que vont faire les autres et qui ne sont pas toujours bien informés. Sur le plan financier, cette mise en conformité nécessite-t-elle un investissement en termes de RH et de moyens techniques ? L'investissement financier dépendra du niveau de maturité de la structure et des résultats du diagnostic effectué. La mise en conformité peut être réalisée en interne ou en externe par un conseil, dont la mission dépendra de l'implication et de la connaissance du sujet de l'équipe interne. Dans les deux cas, il faut désigner en interne une personne qui sera chargée de cette mise en conformité et qui disposera de relais auprès de tous les services (métiers et supports) concernés. Les moyens techniques ne seront pas nécessairement importants, financièrement parlant. La plupart des structures disposent déjà des moyens de sécurisation de leur système d'information; il faudra quelques ajustements, qui dépendront à nouveau du diagnostic et du champ d'application du RGPD pour chaque cas à traiter. Sur ce sujet, je pense qu'il ne faut pas réfléchir en termes de budget à allouer à ce qui apparaît pour beaucoup comme une charge et, de manière générale, comme une contrainte. Il faudra le voir comme un investissement à faire pour rester concurrentiel et comme une opportunité, si l'entité communique intelligemment et rapidement sur sa mise en conformité au RGPD. Avec le RGPD, faut-il revoir loi marocaine 09-08 sur la protection des données personnelles ? La loi n° 09-08 dispose déjà d'un dispositif avancé de protection des données personnelles. De nombreux principes issus du RGPD sont présents dans notre législation. En revanche, il y a également des différences importantes, relatives notamment au principe d'accountability prévu au RGPD et au sujet duquel nous pourrions réfléchir. Le RGPD a en effet supprimé pour la plupart des cas les obligations de déclaration et d'autorisation à l'autorité de contrôle, en privilégiant la responsabilisation du responsable de traitement qui doit pouvoir, à tout moment, prouver qu'il est conforme aux dispositions légales. À mon sens, c'est un système beaucoup plus protecteur pour les individus et efficace, finalement, pour tout le monde, incluant les responsables de traitement et les autorités de contrôle. D'un point de vue légal, il n'est pas nécessaire de faire évoluer la loi n° 09-08 suite à l'entrée en vigueur du RGPD, les entreprises de droit marocain qui y seront soumises appliqueront ce texte directement. Il subsiste une interrogation relative à l'application éventuelle des sanctions qui nécessitera éventuellement des amendements. Mais d'un point de vue pragmatique, je suis favorable à une révision de cette loi promulguée il y a près de 10 ans. Je pense que le RGPD va devenir une norme vers laquelle il faudra tendre, chose que nous devons faire rapi dement pour protéger nos acteurs économiques face à la concurrence. Pour information, la Tunisie est en cours d'adoption d'une loi très inspirée du RGPD. Elle a donc considéré qu'il n'y avait pas de spécificité tunisienne en la matière. Comment évaluez-vous le travail de sensibilisation de la CNDP sur le RGPD ? Je pense que la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) est très active depuis plusieurs mois pour sensibiliser les acteurs économiques au contenu du RGPD; j'ai assisté à plusieurs conférences, ateliers et tables rondes organisés par la CNDP à ce sujet. Je sais également que la CNDP a entamé des travaux en interne pour évaluer l'impact du RGPD et qu'elle interroge à ce titre les acteurs professionnels. De manière générale, la CNDP est dans la concertation, ce qui me semble toujours être une bonne chose. De manière plus pratique, un onglet dédié au RGPD est disponible sur son site Internet et une adresse email a été mise en place, afin de répondre aux interrogations concernant le RGPD.
