Depuis le 25 mai 2018, les internautes bénéficient d’un droit renforcé en matière de protection des données personnelles. L’entrée en vigueur du RGPD impose aux entreprises une plus grande transparence dans la collecte et le traitement des informations individuelles. Le consentement explicite de l’utilisateur devient incontournable. Ce dernier dispose également d’un droit à l’oubli, du droit de portabilité, etc. Par ailleurs, les autorités de l’Union européenne contraignent les entreprises à faire preuve de responsabilité. Elles leur exigent une autorégulation dans la gestion des informations personnelles. Pour éviter toute sanction, les sociétés s’activent pour se mettre à jour. Mais, quelques questions subsistent tout de même. Ce RGPD s’impose-t-il aux structures situées en dehors de l’Union européenne ? Un pays tel que le Maroc peut-il se sentir concerné par cette loi européenne ?

Sommaire

Le RGPD, une application extraterritoriale

La Cour de justice de l’Union européenne a dû rendre en 2014 un jugement dans l’affaire Google Spain pour confirmer l’extraterritorialité de la Directive 95/46/CE. Pour le RGPD, le législateur européen a inclus dans le texte plusieurs dispositifs assez explicites qui déterminent sans ambiguïté son champ d’application. Ainsi, l’article 3 alinéa 1 du RGPD stipule : « Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement, d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. » La mise en œuvre du RGPD prend également en compte le pays des personnes concernées par le traitement selon l’article 3 alinéas 2. Peu importe où se trouve l’entreprise, le RGPD s’applique dès que cette dernière collecte des données individuelles de citoyens européens.

Le Maroc au regard du champ d’application du RGPD

Le Maroc n’est pas un pays membre de l’Union européenne. Il dispose même d’une Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) et d’un texte qui régit le domaine, la loi 09-08. Et pourtant, le Maroc reste bien concerné par le RGPD. En vertu des critères d’établissement et de ciblage évoqués ci-dessus, le règlement général sur la protection des données s’impose à plusieurs entreprises marocaines. Compte tenu de son caractère extraterritorial, ce texte s’applique à toute société dès lors que cette dernière traite des données de citoyens européens.

Or, le Maroc compte plusieurs sous-traitants et des entités qui interviennent dans l’offshoring. En effet, plusieurs structures de centres d’appels, de prospection commerciale, de télécoms ont pour marché principal l’Europe. Dans le cadre de leurs activités, elles traitent quotidiennement des données de citoyens européens. Le RGPD s’applique impérativement à ces entreprises. Elles devraient donc être à jour depuis le 25 mai 2018, date d’entrée en vigueur du RGPD. Par contre, cette loi ne régit pas la protection des données individuelles des Marocains. Elle concerne uniquement les informations personnelles des citoyens de l’Union européenne, peu importe d’où vous les manipulez.

Les obligations des entreprises marocaines dans le cadre du RGPD

Le RGPD s’impose aux entreprises marocaines qui traitent des données personnelles de citoyens européens. Dans ce cadre, celles-ci doivent répondre à plusieurs critères pour mettre leur plateforme en conformité avec les exigences de ce texte. Pour bien appréhender les modifications à effectuer, vous devez saisir les nouveaux fondements en matière de protection des données personnelles des citoyens européens.

Les principes essentiels du RGPD

Ce dispositif repose en premier lieu sur le consentement de l’utilisateur. Il doit transmettre une acceptation explicite et vérifiable pour le traitement de ses informations personnelles. L’entreprise qui souhaite récupérer ces données doit faire preuve de transparence pour permettre à l’internaute de prendre une décision éclairée. Le RGPD renforce les droits des citoyens européens en matière de gestion de leurs informations individuelles. Ces derniers disposent désormais du droit d’accès. Sur une simple demande, ils peuvent consulter leurs données. Avec le droit de portabilité, ils ont la possibilité de récupérer en version exploitable leurs informations personnelles. Ils pourront s’en servir à toutes fins utiles. Les utilisateurs bénéficient également du droit à l’oubli. Cela leur permet d’introduire à tout moment une requête pour supprimer leurs données de la base d’une entreprise spécifique.

Par ailleurs, le RGPD responsabilise les sociétés qui traitent les informations personnelles des citoyens européens. Ce règlement leur impose un autocontrôle. Ces dernières doivent donc disposer d’un registre des traitements auquel l’autorité de régulation peut avoir accès sur demande. La loi leur fait obligation de prendre des mesures efficaces de sécurisation des données traitées. Désormais, leurs relations avec leur sous-traitant doivent être basées sur un contrat. Cela se traduit par une coresponsabilité des sous-traitants. En cas d’intrusion et d’accès illégal aux informations personnelles stockées, la loi exige que les entreprises contactent l’autorité de régulation dans un délai de 72 h. Elles doivent aussi envoyer des notifications aux utilisateurs victimes.

Les mises à jour à effectuer dans le cadre du RGPD

Pour traduire ces principes dans la réalité, chaque entreprise marocaine concernée doit actualiser ses mentions légales, sa politique de confidentialité et ses formulaires. Dans le cadre de la transparence prônée par le RGPD, le site de ladite société doit présenter un bandeau cookie à l’utilisateur qui se connecte pour la première fois. La structure prévoit sur cette page interactive un lien pour accéder aux mentions légales. Cela permet à l’internaute de se renseigner sur l’entreprise. Un autre lien doit être orienté vers la politique de confidentialité de la société. L’utilisateur pourra y découvrir :

  • les conditions et la durée de conservation des données recueillies ;
  • et les modalités d’exercice de ses différents droits.

Sur la base de ces informations, l’internaute pourra renoncer au profilage ou valider les cookies.

Au niveau des formulaires, l’entreprise doit permettre à l’utilisateur de profiter du droit au consentement. Cela se traduit un opt-in ou un double opt-in. La loi interdit informellement les cases précochées (opt-out). De plus, elle devra prévoir sur chaque formulaire un lien pour aider l’internaute à introduire une demande de suppression de ses données personnelles.

Après ces différentes mises à jour et le renforcement des dispositifs de sécurité, l’entreprise peut estimer que sa plateforme répond aux exigences du RGPD. Pour s’en assurer, elle peut recourir à Cookie secure pour un audit gratuit. Cette astuce peut la préserver d’une amende susceptible d’atteindre 4 % du chiffre d’affaires ou 20 millions d’euros.

RGPD, les principaux changements pour les sous-traitants marocains

Plusieurs sous-traitants marocains interviennent dans la manipulation d’informations individuelles de citoyens européens. Avec la directive européenne 95/46, ces sous-traitants se contentaient de gérer les données personnelles conformément aux instructions du responsable du traitement. Mais, le RGPD va au-delà de cette relation de maitre à clerc. Il prône une coresponsabilité du sous-traitant. Désormais, ce dernier doit intervenir dans le cadre d’un contrat ou d’un acte juridique conclu avec le responsable du traitement. Ce document devra également définir le cahier des charges de chaque partie et les caractéristiques du traitement. L’opérateur marocain ne pourra recourir à un autre sous-traitant qu’à condition que le responsable de traitement lui notifie un accord écrit. La nouvelle loi impose que le sous-traitant gère un registre des traitements. En cas d’accès illégal aux données personnelles, le règlement exige qu’il saisisse le responsable de traitement dans les meilleurs délais. Enfin, le sous-traitant devra affecter un délégué à la protection des informations.