Me Lina Fassi Fihri est avocate au cabinet LPA-CGR (Casablanca), spécialisée en droit des sociétés, droit social et en protection des données personnelles.
Le Maroc dispose depuis 2009 d’une loi qui encadre le traitement des données personnelles, la loi n° 09-08 et d’une autorité de contrôle, la CNDP. Depuis le mois de mai 2018, est entré en vigueur le règlement général européen relatif à la protection des données personnelles (RGPD) qui s’applique en dehors de l’UE dans certains cas et par conséquent à certaines entreprises marocaines.
Qu’est-ce que le RGPD ?
Le sigle RGPD signifie Règlement Général pour la Protection des Données personnelles. Il désigne le texte de référence européen en matière de protection des données personnelles.
C’est une réglementation visant à harmoniser les différentes législations européennes relatives à la protection des données personnelles et qui renforce les droits des personnes physiques concernées et la responsabilité des entreprises qui traitent ces données.
Pour rappel, les données personnelles ce sont toutes les informations qui permettent d’identifier une personne physique, aussi bien son nom mais ça peut être son adresse email, un matricule, son compte bancaire, son numéro de carte nationale, ses données de géolocalisation (…). L’objectif de la protection des données n’est pas l’interdiction de leur utilisation mais d’imposer le respect de quelques règles qui protègent les individus, c’est-à-dire les informer, demander leur consentement et sécuriser ces opérations pour que leurs données ne soient pas utilisées à mauvais escient ou détériorées.
Qui est concerné au Maroc ?
Sont concernées, non seulement toutes les sociétés marocaines qui proposent leurs biens ou services sur Internet à des personnes établies dans l’UE, mais encore celles qui délivrent des prestations, en qualité de sous-traitant, à des sociétés qui offrent elles-mêmes leurs biens ou services à des personnes au sein de l’UE. Ainsi, à titre d’exemple, l’éditeur d’un site de e-commerce offrant ses biens au public de l’UE doit se conformer au RGPD mais également les prestataires informatiques qui permettent au site Internet de fonctionner tels que les prestataires d’hébergement situés au Maroc.
Toutes les entreprises marocaines qui offrent leurs services en Europe sont donc concernées, tout comme les prestataires établis au Maroc qui agissent sur instruction de ces entités marocaines en qualité de sous-traitant.
Cependant, le RGPD ne s’applique pas si le service ou le bien est seulement consultable via Internet sans être proposé effectivement dans l’Union. En pratique, cela suppose donc que, dans le cadre de services payants ou de ventes, le paiement puisse s’effectuer en Euro, que le site Internet soit consultable dans la langue du pays de l’Union visé et que les livraisons soient effectuées dans le pays européen concerné.
Autre exemple, les entreprises du digital marocaines qui développent et gèrent du profilage de personnes établies au sein de l’Union Européenne pour leur propre compte ou pour le compte d’autres sociétés (aux fins, par exemple, de pratiquer de la publicité ciblée) qu’elles soient responsables de traitement ou sous-traitant, sont soumises de droit au RGPD si les traitements qu’elles mettent en œuvre visent le comportement de personnes concernées au sein de l’UE.
Outre l’application directe du Règlement, les sociétés établies au Maroc qui agissent en qualité de sous-traitants de responsables de traitement soumis de droit au RGPD, seront également susceptibles, par système de ricochet, d’avoir à respecter les prescriptions du Règlement.
En effet, il est imposé au responsable de traitement de prendre toutes les mesures appropriées pour s’assurer que le traitement qu’il met en œuvre est conforme au RGPD (article 24). En pratique, il devra contraindre contractuellement ses propres sous-traitants au respect de cette règlementation, notamment en matière de sécurité.
Aussi, toute entreprise établie au Maroc qui met en œuvre des traitements pour le compte d’entreprises soumises au Règlement, se verra appliquer les mêmes contraintes réglementaires. Les entreprises agissant dans les activités de call center et, plus largement, celles qui externalisent certaines activités de responsables de traitements européens (système de fiche de paye, édition de compte bancaire, maintenance informatique, hébergement de données etc.) doivent ainsi respecter les exigences du RGPD.
Depuis quand le RGPD s’applique-t-il ?
Le RGPD est entré en vigueur le 25 mai 2018. Comme il s’agit d’un règlement européen, et non pas d’une directive, le texte est entré en application simultanément dans tous pays concernés.
Depuis le 25 mai 2018, tout traitement en infraction avec le RGPD peut donc déboucher sur des sanctions. Des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial peuvent être prononcées. Contrairement à ce que l’on pourrait penser ce ne sont cependant pas les multinationales qui sont les plus exposées car elles sont bien outillées et ont entrepris les démarches pour se mettre en conformité mais bien les PME et TPE qui sont souvent peu informées sur ce sujet.
Comment se mettre en conformité ?
La première étape consiste à réaliser un audit afin de savoir si son entreprise est en conformité et si elle est soumise uniquement à la loi marocaine ou aux deux réglementations (la loi n° 09-08 marocaine et le RGPD). En fonction des résultats de l’audit, l’entreprise devra mettre en œuvre un plan de conformité et le suivre sur la durée, c’est à dire établir des procédures pour que son fonctionnement et les projets à venir soient conformes dès leur implémentation. Il est également nécessaire de sensibiliser les salariés et de nommer dans son organisation une personne dédiée à ce sujet.
Qui peut faire cela ? Qu’est-ce qu’un délégué à la protection des données personnelles (DPO) ou Data Protection Officer ?
Idéalement, il faudrait nommer une personne qui connaisse à la fois le droit (pour connaître les obligations issues des lois), le métier – l’activité de l’entreprise, et enfin, qui ait de bonnes notions techniques en IT. Cela donne une nouvelle fonction, celle de Data protection Officer (DPO).
Après avoir mené l’audit, le DPO met en place le plan de conformité avec des personnes relais dans chaque direction métier et support. Il suit ensuite régulièrement ce plan et fait des contrôles pour vérifier que les process sont toujours appliqués.
Ce DPO peut être un salarié de l’organisation ou une personne externe, c’est à dire un prestataire qui réalise toutes les phases de la mission ou uniquement les deux première (audit/ mise en œuvre) en étroite collaboration avec l’entreprise.
A propos de Lina Fassi Fihri
Avocate au Barreau de Paris depuis 2006, Me Lina Fassi Fihri est associée depuis 2012 au bureau de Casablanca du cabinet d’avocats LPA-CGR.
Me Lina Fassi Fihri est spécialisée en droit des sociétés, droit social et en protection des données personnelles. Elle accompagne les entreprises dans le transfert de salariés et dans l’assistance expatriation.
Elle a obtenu un diplôme universitaire pour devenir délégué à la protection des données en novembre 2018. Grâce à cette certification, Me Lina Fassi Fihri est désormais en mesure de conseiller les entreprises sur leurs nouvelles obligations et de les accompagner dans la mise en œuvre de dispositifs de traitement des données conformes aux cadres légaux tant marocain qu’européen.