Moins de trois mois. C’est le temps qu’il reste aux opérateurs marocains pour se mettre en conformité avec le règlement européen sur la protection des données personnelles (RGPD) dont l’entrée en vigueur est prévue pour le 25 mai prochain.

En quoi le Maroc est-il concerné ? Le nouveau règlement (n°2016/679) a un caractère extraterritorial, c’est-à-dire qu’il s’applique, bien sûr à l’Union européenne (UE), mais aussi à tout opérateur, peu importe où il se trouve, « dès lors qu’il traite des données (de citoyens européens)« , explique le texte de loi.

Une nouvelle application qui concerne – et inquiète – donc particulièrement les sous-traitants et notamment les entreprises marocaines opérant dans le secteur de l’offshoring (centres d’appels, prospection commerciale, télécoms…), dont l’Europe est le marché principal.

Quels sont les principaux changements pour le secteur ?

La directive européenne 95/46 limitait les obligations du sous-traitant à l’engagement de traiter les données uniquement sur instruction du responsable du traitement. Avec le nouveau règlement, l’opérateur marocain devra disposer d’un contrat ou d’un autre acte juridique au titre du droit de l’Union ou des Etats membres qui le lie à l’égard du responsable du traitement.

Ce même contrat définira également les caractéristiques du traitement ainsi que les obligations de chaque partie contractante. De plus, l’opérateur marocain ne pourra recruter un autre sous-traitant que si le responsable de traitement l’y autorise par écrit.

D’autre part, le sous-traitant devra tenir un registre des traitements. Cette obligation ne s’applique pas aux entités comptant moins de 250 employés si le traitement mis en œuvre ne comporte aucun risque pour les droits et libertés des personnes.

Il devra alors notifier au responsable de traitement les violations des données personnelles, et ce dans les meilleurs délais après en avoir pris connaissance. Enfin, il devra désigner un délégué à la protection des données.

Lire aussi : Protection des données personnelles: Encore trop de manquements

« La loi locale 09-08 consiste à demander des autorisations et faire des déclarations suite auxquelles le traiteur de données reçoit un récépissé. Avec le RGPD, les opérateurs concernés seront dans un processus permanent de mise en conformité et plus seulement dans une action ‘one shot’. Une vraie veille réglementaire va s’installer. On est sur une mise en conformité continue et non plus déclarative comme avant« , commente Mounime Zaghloul, directeur général du cabinet Consilium – qui accompagne des entreprises de différents secteurs dans cette mise à niveau depuis 2010- et membre du conseil d’administration de la Fédération marocaine des technologies de l’information, des télécommunications et de l’offshoring (APEBI).

Difficile mise à niveau pour les opérateurs marocains

Pour l’instant, seuls les secteurs des banques, des assurances et des grandes multinationales ont réellement entamé le travail de mise à niveau, explique Mounime Zaghloul. « Ils ont l’habitude de la mise en conformité. Dans le cas de la banque, par exemple, c’est la direction de conformité, qui gère à la base d’autres problématiques comme le blanchiment d’argent ou la protection des consommateurs, qui est déléguée à la protection des données« .

Pour les PME et TPE, la prise de conscience n’est pas la même. Déjà peu sensibilisées à la mise en conformité avec la loi 09-08 locale, rares sont celles qui ont entamé le processus de mise à niveau avec le RGPD, d’après Mounime Zaghloul: « Le blocage vient avant tout de la volonté des patrons, mais maintenant qu’il y a sanction, ils seront obligés de se conformer. Il y a aussi des problématiques financières, car mettre en place ces nouvelles dispositions peut être couteux« .

C’est pourquoi l’APEBI et la Commission nationale de contrôle de la protection des données à caractère personnelles (CNDP) discutent actuellement avec Maroc PME, qui finance déjà des projets comme ceux liés à la qualité. Leurs négociations portent notamment sur le financement d’une partie de cette mise à niveau via des subventions. « Il y a également une autre piste que l’on est en train d’explorer: exiger cette conformité lors des appels d’offres », ajoute Mounime Zaghloul.

Un processus interne qui demande des moyens

Pour les aider à démarrer le processus de mise à niveau, des cabinets de conseil proposent un accompagnement ciblé. Selon Lina Fassi Fihri, avocate associée du cabinet Ipa Casablanca qui propose des accompagnements de mise en conformité RGPD, le processus peut se faire en externe, via l’externalisation de la procédure auprès de cabinets de consultants ou d’avocats, mais également en interne.

« Le délégué à la protection des données pourra être, par exemple, la personne qui faisait déjà le lien avec la CNDP pour effectuer les déclarations et autorisations, ou l’avocat de la société. Chez l’un de mes clients, par exemple, c’est le directeur juridique et compliance – qui sera certainement requalifié de DPO également. Cette fonction consiste à s’assurer que son employeur respecte la législation lorsqu’il utilise les données à des fins commerciales, mais aussi à des fins internes. Donc, si les process ont été mis en place en amont par une équipe interne ou par un conseil externe, il sera uniquement le relais et le garant de la documentation utile pour s’en justifier« , explique l’avocate.

Pour bien préparer ce processus de mise à niveau, l’opérateur doit constituer une équipe projet. « Nous aidons les opérateurs à sélectionner cette équipe. Elle est composée de personnes de chaque secteur représentant la boîte, ainsi que des salariés venant des métiers de l’informatique, du juridique ou encore des ressources humaines, raconte Mounime Zaghloul. Ensemble, on dresse toutes les activités à mener pour être conforme au texte: par exemple, s’assurer des mentions légales qui figurent dans les documents de collecte, que l’entreprise indique à chaque sous-traitant contractualisé les mentions légales et précise que ce dernier s’engage également à respecter le RGPD…« .

Une double sanction

En cas de non-conformité, les sanctions applicables jusqu’alors variaient d’un Etat membre de l’UE à l’autre. Le nouveau règlement unifie et alourdit surtout ces sanctions. Elles peuvent désormais atteindre les 20 millions d’euros – soit environ 226 millions de dirhams – ou 4 % du chiffre d’affaires mondial du responsable de traitement.

Mais pour Mounime Zaghloul, les opérateurs marocains de l’offshoring qui ne seront pas en conformité d’ici fin mai seront également confrontés à une sanction bien plus importante sur le court terme: celle du marché.

« Il y a bien sûr la sanction de l’autorité de contrôle, mais elle ne peut pas être répressive du premier coup. Cette dernière est donc surtout dans une démarche d’accompagnement pour l’instant, explique Mounime Zaghloul. En revanche, le marché lui est impitoyable. Il ne prendra plus uniquement en considération le faible coût des marchés, mais aussi la conscience numérique des opérateurs« .

Lire aussi : L’Afrique est-elle à la traîne dans la protection des données personnelles ?

En effet, ce critère de conformité va devenir, selon lui, un critère économique important, dans un contexte actuel de « culture de la confiance« . « Le Maroc sera en compétition avec d’autres concurrents francophones assez avancés sur le sujet comme l’Ile Maurice, la Tunisie ou encore  le Sénégal. Ils nous concurrencent déjà au niveau de l’offshoring et pourraient se positionner là-dessus pour nous dépasser. Il faut donc se conformer pour garder notre attractivité« , poursuit Mounime Zaghloul.

Mais pour Lina Fassi Fihri, la question de l’application des sanctions reste encore floue. « Le RGPD prévoit des sanctions lourdes, mais nous n’avons pas encore de recul sur leur mise en œuvre: comment se fera la notification par les Autorités de contrôle européennes, quel sera le rôle du représentant nommé en UE dans certains cas et quel sera le poids de la CNDP qui aura nécessairement voix au chapitre dans tout ce processus?« , s’interroge-t-elle.

Faut-il adapter la loi marocaine au RGPD ?

Actuellement, la CNDP s’interroge pour savoir si la loi 09-08 doit être réadaptée. « La Commission fait déjà un grand travail de sensibilisation auprès des opérateurs, cette institution est d’ailleurs en train d’analyser et de comparer la loi n° 09-08 avec le texte européen pour vérifier dans quelle mesure il faudra éventuellement apporter des modifications« , explique Lina Fassi Fihri.

« Pour information, la Tunisie a déjà dans le pipe une nouvelle loi sur la protection des données personnelles qui est très en avance sur la mise en conformité avec le RGPD« , ajoute-t-elle.