Tribune

Nouveau règlement européen pour la protection des données personnelles: Les entreprises du Maroc sont concernées aussi

Par Prudence CADIOLina FASSI-FIHRI | Edition N°:5148 Le 15/11/2017 | Partager
lina_fassi-fihri_et_prudence_cadio_048.jpg

Le Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données  sera directement applicable (RGPD) par chaque Etat membre de l’Union européenne à partir du 25 mai 2018, dans six mois donc.
Il durcit significativement les obligations incombant au responsable de traitement et au sous-traitant, notamment en matière de sécurité des données et droits des personnes concernées.
S’il est certain que le Règlement 2016/679 vise en premier lieu les sociétés établies sur le territoire de l’Union, son champ territorial est étendu et peut concerner directement les entreprises établies et exerçant leur activité au Maroc.

 Deux cas d’application au Maroc

Les sociétés établies au Maroc seront soumises au RGPD dans deux situations: une application directe compte tenu de la nature du traitement et du lieu d’établissement des personnes concernées ainsi que par le jeu des contraintes imposées aux responsables de traitement européens qu’ils répercuteront sur leurs sous-traitants hors UE, au Maroc.

- Première situation: l’application directe
L’article 3.2 du RGPD vise les traitements de données à caractère personnel d’individus se trouvant dans l’UE, mis en œuvre par un responsable de traitement ou un sous-traitant non établi dans l’Union «lorsque les activités de traitement sont liées: a) à l’offre de biens ou de services à ces personnes concernées dans l’Union (…) ou b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union (…)».
Ce critère, basé sur la nature du traitement en cause et la qualité des personnes concernées, cible en particulier  le e-commerce et les services à distance d’une part, et d’autre part, le profilage.

- Deuxième situation: les sous-traitants
Outre l’application directe du Règlement, les sociétés établies au Maroc qui agissent en qualité de sous-traitants de responsables de traitement soumis de droit au RGPD, seront également susceptibles, par système de ricochet, d’avoir à respecter les prescriptions du Règlement.
En pratique, le responsable de traitement devra contraindre contractuellement ses propres sous-traitants au respect de cette nouvelle règlementation.

Une vision extensive:
les données des MRE et des résidents étrangers au Maroc

Compte tenu du champ élargi de la règlementation européenne, la question de l’application du RGPD sera susceptible de se poser dans plusieurs hypothèses. Deux cas pratiques de traitements mis en œuvre dans le cadre de groupes de sociétés seront développés ci-après.

Cas 1: Traitements de données de citoyens marocains mis en œuvre par une filiale européenne pour le compte d’une société mère marocaine
Une société marocaine, qui propose aux citoyens marocains vivant dans l’UE des services de locations saisonnières situées au Maroc, confie à sa filiale localisée en France la collecte des données des futurs locataires et leur traitement pour son compte afin d’exécuter le service au Maroc.
Bien que le service soit réalisé au Maroc, la filiale française mandatée, agissant en qualité de sous-traitant est, quant à elle, située au sein de l’UE. Par application de l’article 3.1 du Règlement, ce traitement devra se conformer aux prescriptions du Règlement.

Cas 2: Traitement des salariés, citoyens de l’UE, détachés ou expatriés
C’est un cas plus délicat. Un salarié, citoyen de l’UE, travaillant au sein de la société mère exerçant une activité en Allemagne est mutée dans une filiale de ce groupe située au Maroc. Dans ce contexte, la société marocaine sera amenée à collecter et à traiter les données à caractère personnel de ce salarié pour des finalités liées à la gestion des ressources humaines. La filiale marocaine doit-elle, dès lors, se conformer au RGPD? La réponse est subordonnée aux circonstances dans lesquelles ce salarié exercera ses nouvelles fonctions au Maroc: en qualité d’expatrié en ayant au préalable rompu tout lien de subordination avec la société mère en Europe ou bien, en qualité de détaché?
Par ailleurs, quid de la filiale marocaine qui est susceptible de recevoir les données de ces salariés, et de les traiter, notamment afin de leur donner accès aux locaux ou configurer un espace de travail dans son système d’information? Sa qualité dépendra du contexte dans lequel elle opère les traitements considérés, laquelle devra s’apprécier au regard des faits.

Comment se mettre en règle?

Les entreprises marocaines, responsables de traitement ou sous-traitantes, soumises de droit au Règlement, devront mandater un représentant, personne physique ou morale, établi au sein de l’Union.
Le représentant constituera l’interlocuteur privilégié des autorités et pourra, à ce titre, être consulté, notifié, averti, en complément ou à la place du responsable ou du sous-traitant. C’est lui qui aura la charge de tenir un registre de toutes les catégories d'activités de traitement de données à caractère personnel mises en œuvre sous leur responsabilité lorsque la tenue de ce registre est prescrite par le Règlement.

Les sanctions

Le Règlement augmente significativement le montant des sanctions en cas de non-conformité, à savoir 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial ou 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, selon les cas.
Certains éléments de procédure restent encore à déterminer tels que la forme de la notification des sanctions auprès de ce représentant ou encore la responsabilité éventuelle du représentant en cas de retard ou défaut de paiement. Il est certain que les infractions ne pourront pas être appliquées directement au Maroc et que ce volet impliquera la coopération de l’autorité de régulation marocaine.

De qui et de quoi parle-t-on?

Données personnelles: «toute information se rapportant à une personne physique identifiée ou identifiable».
Personne concernée: «une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale».
Responsable de traitement: «la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (…)».
Sous-traitant: «la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement».

 

Retrouvez dans la même rubrique

  • SUIVEZ-NOUS:

  • Assabah
  • Atlantic Radio
  • Eco-Medias
  • Ecoprint
  • Esjc