255, bd Mohamed V, Casablanca, Maroc
+212 5 22 31 64 74

RGPD : quel impact pour les entreprises au Maroc ?

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, nommé communément le « RGPD », sera en application dès le 25 mai 2018.

Il est ici question de voir de quelle manière cette loi européenne concerne le Maroc.

En vertu de l’article 3.2 du RGPD, le règlement s’applique « au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

  1. a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
  2. b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ».

D’emblée, à la lecture de cette disposition, on voit quels sont les opérateurs au Maroc qui sont concernés : les centres d’appel, les prestataires de services des postes consulaires, les banques, les assureurs, les promoteurs immobiliers, commerçants en ligne, …etc.

En conséquence, il paraît important de connaître les obligations qui en découlent pour les dits opérateurs et quelles sont les responsabilités éventuelles ?

L’objectif du RGPD est la protection des libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel (article 1.2 du RGPD).

Quelques obligations qui découlent du RGPD

Dans le cadre de la présente note, nous nous limitons à présenter quelques-unes des obligations qui s’imposent aux opérateurs au Maroc qui sont visés par le RGPD selon qu’ils responsables du traitement ou sous-traitants.

Entre autres obligations, le traitement des données doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées et garantisse la protection des droits de la personne concernée (article 28 du RGPD).

Dans le cas d’une sous-traitance, c’est-à-dire le traitement des données à caractère personnel pour le compte d’un responsable du traitement[1],  un contrat régi par le droit européen ou par un droit d’un des Etats membres, doit être conclu entre les parties.

 

 

Ce contrat contient nécessairement des obligations précises à charge du sous-traitant et, notamment, sans être exhaustif :

  • ne traiter les données à caractère personnel que sur instruction documentée du responsable du traitement ;
  • s’assurer que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • ne pas recruter un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement ;
  • mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits ;
  • désigner dans certains cas, un délégué à la protection des données (article 37 du RGPD).

 

Il est fortement conseillé de soigner la rédaction d’un tel contrat et de formaliser au mieux (pour se préserver les meilleures preuves en cas de difficultés) les aspects relevant de la documentation des instructions, de la confidentialité, … A cet égard, l’on peut s’approprier des clauses contractuelles types.

Pour être en capacité de démontrer l’existence des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées au regard du RGPD, l’opérateur au Maroc sera bien avisé d’appliquer un « code de conduite » dûment approuvé.

Ici aussi, comme pour la rédaction du contrat de sous-traitant, l’élaboration du code de conduite et la procédure d’approbation doivent faire l’objet d’un accompagnement rigoureux.

Pour ce qui concerne le responsable du traitement (le sous-traitant sera considéré comme tel s’il détermine lui-même les finalités et les moyens du traitement – article 28.10 du RGPD), des obligations nouvelles lui sont imposées, comme :

  • la tenue d’un registre des activités de traitement (article 30 du RGPD) ;
  • notifier à l’autorité de contrôle toute violation de données à caractère personnel (article 33 du RGPD) ;
  • communiquer à la personne concernée toute violation de données à caractère personnel (article 34 du RGPD) ;
  • dans certains cas, réaliser préalablement une analyse d’impact relative à la protection des données (article 35 du RGPD) ;
  • désigner dans certains cas, un délégué à la protection des données (article 37 du RGPD),
  • …etc.

Le RGDP consacre un chapitre à la question des transferts de données à caractère personnel vers des pays tiers.

Cette thématique n’est pas abordée dans cette note mais retenons à ce stade le principe selon lequel un transfert, vers un pays comme le Maroc, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si certaines conditions sont respectées par le responsable du traitement et le sous-traitant, de manière telle que le niveau de protection des personnes physiques garanti par le RGPD ne soit pas compromis.

A cet égard, un tel transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers en question assure un niveau de protection adéquat (décision d’équivalence).

A ce jour et dans l’état de nos connaissances, le Maroc n’a pas fait l’objet d’une décision d’équivalence.

Sans développer ici cette problématique dans les détails, soulignons qu’en l’absence d’une telle décision au bénéfice du Maroc, dans l’état actuel des choses, le responsable du traitement ou le sous-traitant ne peut y transférer des données à caractère que si des garanties appropriées sont réunies et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives (Voy. : article 46 du RGPD).

 

Que risquent les opérateurs marocains en cas de violation des dispositions du RGPD ?

Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi (article 82 du RGPD).

Elle peut introduire une action judiciaire devant les juridictions de l’État membre de l’Union européenne dans lequel elle a sa résidence habituelle (article 79.2 du RGPD).

Cela signifie qu’une entreprise installée au Maroc peut être citée devant un Tribunal en Europe.

Soulignons que la personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom (article 80.1 du RGPD).

De plus, les autorités de contrôle peuvent imposer des amendes administratives pour des violations du RGPD (article 83 du RGPD).

Complémentairement aux amendes administratives éventuelles, chaque autorité de contrôle dispose de tous les pouvoirs d’enquête et elle peut notamment imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement (article 58.2.f) du RGPD).

Dans un tel cas et dans le cadre d’une relation de sous-traitance, il en découlerait certainement en outre, des conséquences contractuelles et commerciales.

Pour se faire une idée des risques au regard des seules amendes administratives, indépendamment des dommages et intérêts à la victime et des conditions contractuelles, il convient de noter que celles-ci peuvent s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (article 83.4 du RGPD).

 

Nous concluons cette note en signalant que les sujets abordés (et ceux qui ne le sont pas) méritent certainement des développements plus précis dans certains cas.

Nous espérons que ces quelques éléments exposés ci-dessus sensibiliseront les opérateurs concernés.

———–

[1] Le « responsable de traitement » est défini comme toute personne physique ou morale, autorité publique, service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre (Voy. : article 4, 8° du RGPD).

Leave a comment