Offshoring: les entreprises marocaines face à un nouveau règlement sur la protection des données dans l’UE

Certaines entreprises marocaines opérant dans la sous-traitance de données à caractère personnel risquent gros, juridiquement et financièrement, après l’adoption du Règlement Général sur la Protection des Données (RGPD) par l’Union Européenne (UE).

Les entreprises marocaines opérant dans l’offshoring de la gestion des données personnelles comme les centres d’appels, les entreprises et les banques traitant avec l’UE, risquent d’être confrontées à un impact négatif avec le nouveau RGPD. En effet, les entreprises locales qui traitent des fichiers clients, fournisseurs, contrôles d’accès, gestion de sites Web et du service après-vente ou technique à distance doivent de se conformer à un nouveau règlement afin de pouvoir poursuivre leurs activités.

La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a d’ailleurs publié un document officiel sur son site, dans lequel elle explique certains points du RGPD. Les entreprises marocaines devront disposer de preuves matérielles attestant de leur éligibilité à gérer certaines données personnelles en provenance des pays de l’UE. Concrètement, cela veut dire, par exemple, que dans le cas où une personne résidant en France fait l’objet d’un sondage par une entreprise établie sur le sol français, mais qui sous-traite ses informations à une entreprise marocaine, cette dernière se doit de disposer de l’accord de la personne concernée par le sondage.

Comment le RGPD touche-t-il les entreprises marocaines ?

Appliqué à partir du 25 mai 2018 au sein de 28 États de l’UE, le RGPD concerne les entreprises marocaines à travers son champ d’application territorial qui peut couvrir, contrairement aux transpositions nationales de la directive 95/46/CE, des entreprises marocaines lorsqu’elles opèrent des traitements de données à caractère personnel visant des individus qui se trouvent dans le territoire de l’Union.

Selon le CNDP, les entreprises marocaines doivent ainsi garder une traçabilité de toutes les actions qu’elles opèrent avec les données personnelles en provenance des États de l’UE. En effet, ces dernières pourront faire l’objet d’un contrôle à tout moment pour voir si l’application des mesures du RGPD est respectée ou non, sous peine d’être sanctionnées, notamment par une cessation de leurs activités ainsi que par des amendes qui peuvent aller jusqu’à 20 millions d’euros (plus de 223 millions de dirhams) ou 4 % du chiffre d’affaires mondial de l’entreprise contrevenante.

Qu’est-ce qui est personnel selon le RGPD ?

Concernant la définition du mot personnel au niveau des données traitées, le RGPD reprend ce qui est stipulé par la loi au sein de l’UE tout aussi bien que dans les pays sous-traitants. Ainsi, les données personnelles font référence à l’ensemble des informations relatives à une personne physique et qui peuvent permettre de l’identifier directement ou indirectement à travers son nom, prénom, adresses IP, données mobiles, e-mails, CIN, permis de conduire…

Le RGPD au service des citoyens

Le RGPD aura pour objectif, dès son entrée en vigueur le 25 mai 2018, d’offrir une certaine garantie aux citoyens vis-à-vis du traitement de leurs données personnelles par des entreprises établies sur le sol de l’UE tout aussi bien que des sous-traitants dans des pays tiers.

Ainsi, aucune donnée ne pourra être collectée sans le consentement préalable de la personne concernée. Les citoyens auront le droit de savoir la finalité derrière la collecte de leurs informations, mais aussi le droit d’y accéder à tout moment afin de les rectifier. Par ailleurs, les personnes concernées par un traitement de données personnelles pourront s’opposer à ce dernier dans le cas où elles le souhaitent, et demander la suppression de certaines informations qui pourraient leur porter préjudice.

Et au Maroc?

Le Maroc est l’un des pays sous-traitants de données à caractère personnelles en provenance de l’UE qui disposent d’une loi assez claire et proche de ce qui est appliqué au sein du territoire de l’Union. En effet, le législateur a mis en place la loi 08-09 promulguée par le Dahir n° 1-09- 15 du 22 Safar 1430 (18 février 2009). Cette loi stipule que les données personnelles présentes au sein des bases de données des entités privées ou publiques sont protégées et que tout dépassement est passible d’amendes allant de 10.000 à 500.000 dirhams, ainsi que des peines d’emprisonnement allant de 3 mois à 1 an ferme.

Une rubrique concernant le RGPD a d’ailleurs été ajoutée par le CNDP afin d’offrir plus de détails aux différentes entités marocaines concernées par ce nouveau règlement.