L’autorité nationale chargée de protéger la vie privée (CNDP) tire la sonnette d’alarme. Le nouveau règlement européen sur la protection des données personnelles aura un impact sur les opérateurs marocains. Que prévoit cette règlementation aux effets extraterritoriaux ? Cette question a été au cœur de la réunion, les 4 et 5 septembre à Tunis, des 18 Etats membres de l’Association francophone des autorités de protection des données personnelles : Suisse, Canada, France, Maroc, Sénégal, Burkina Faso... Le règlement n°2016/679 change les normes pour les entreprises et leurs sous-traitants hors UE. Son application est prévue pour le 25 mai 2018.

■ Des effets juridiques au-delà du sol européen

Le nouveau règlement s’applique au-delà des frontières européennes. Il pourra couvrir des pays non membres de l’UE et donc les entreprises qui traitent des données personnelles (patronyme, coordonnées, groupe sanguin, numéro de compte bancaire...). Dans quels cas les entreprises –y compris marocaines- sont concernées par ces obligations ? Premièrement, lorsque les biens et services proposés ciblent des personnes résidentes sur le sol européen, que l’offre qui leur est destinée soit payante ou gratuite. Deuxièmement, lorsque les données permettent « de suivre le comportement des personnes » concernées par le traitement. Ce sont des renseignements liés à la vie privée au sein de l’UE. C’est ce lien physique au sol qui justifie, selon l’UE, l’application de son règlement hors de son territoire.

■ Les nouvelles obligations des sous-traitants

Un sous-traitant opérant au Maroc doit « présenter des garanties suffisantes en rapport avec les mesures techniques et organisationnelles visant à assurer la conformité des traitements aux exigences du règlement », explique la Commission nationale de contrôle et de protection des données à caractère personnel (CNDP). Aussi, le recrutement d’un second sous-traitant ne sera possible que si l’opérateur marocain « y est expressément autorisé par écrit » par son donneur d’ordre. Il va de soi qu’un contrat commercial doit justifier la relation entre la société européenne et marocaine. L’acte spécifie le droit applicable (européen ou celui d’un Etat membre) et la juridiction compétente (étrangère ou nationale). Avec également une clause « données personnelles » où les parties fixent la nature du traitement et leurs obligations. La tenue d’un registre s’impose dans certaines conditions. Une protection défaillante des données engage la responsabilité contractuelle du sous-traitant : amendes, dommages et intérêts...

■ De nouveaux droits pour les citoyens

Un client averti en vaut deux ! « Outre les droits traditionnels (information, accès aux données personnelles, rectification, opposition, restriction du profilage automatisé...), le règlement de l’UE a introduit de nouveaux droits pour les personnes », précise la CNDP. Il y a d’abord le renforcement des conditions applicables au consentement notamment celui des enfants (Articles 7 et 8). Figure ensuite le droit à l’oubli. La Cour de justice de l’Union européenne a introduit « l’effacement » numérique dans sa décision du 13 mai 2014. Les moteurs de recherche, comme Google, y sont astreints. Cette jurisprudence « particulièrement extensive » du droit européen a été ainsi reprise par le règlement de 2016 [1], et qui a intégré les droits à la limitation du traitement à certains usages (médicaux notamment) et à la portabilité des données personnelles d’une entité à une autre. La portabilité permet à une personne de récupérer ses données sous une forme facilement réutilisable, et les transférer le cas échéant à un tiers. Ce nouveau droit redonne aux personnes la maîtrise de leurs données (cf. L’Economiste n° 4993 du 31 mars 2017).

■ Une sanction qui peut atteindre 223 millions de DH

« Les anciennes sanctions de la directive 95/46 changeaient d’un Etat européen à un autre. L’amende était plafonnée en cas de récidive à 300.000 euros chez notre premier partenaire commercial, la France », note Mounim Zaghloul, DG du cabinet de conseil Consilium. Le nouveau règlement « a unifié et alourdi » les sanctions pécuniaires qui peuvent aller jusqu’à 20 millions d’euros (un peu plus de 223 millions de DH) ou 4% du chiffre d’affaires mondial de l’entreprise contrevenante. Ce dispositif répressif peut être décidé en complément ou à la place d’autres sanctions. On peut citer à titre d’exemple la suspension de flux de données vers un pays tiers comme le Maroc. L’autorité de contrôle peut décider aussi d’effacer des données ou encore d’en limiter le traitement. Les sous-traitants des pays du sud sont ainsi exposés à ces sanctions. Cette éventualité est envisageable dans le cas d’un traitement transfrontalier. Pas de double peine : une autorité pourra échanger avec sa consœur européenne en vue de l’adoption d’une sanction commune.

Faiçal Faquihi

(Source : L’Economiste, 8 septembre 2017)