Le RGPD (GDPR) est-il applicable au Maroc ?

RGPD au Maroc

Caractéristiques principales de la loi du RGPD, et son éventuel impact sur les entreprises marocaines.

L’article suivant vous indique les étapes générales à suivre en vue de mettre en conformité votre site avec cette nouvelle loi :  Comment devenir conforme au RGPD ?

Veuillez noter que ces articles sont partagés à titre d’information, et qu’ils ne sauraient remplacer le besoin de consulter des spécialistes juridiques. Nous vous recommandons de vous faire accompagner par  des professionnels.

Qu’est ce que le RGPD ? 

Vous avez sans doute du entendre parler de la nouvelle loi du Règlement Général sur la Protection des Données (ou GDPR en anglais), qui a été approuvée en 2016 par la commission européenne pour une mise en application à partir du 25 mai 2018.

Cette nouvelle loi vient donc remplacer la précédente, Directive 95/46/EC, qui a été la loi de base pour la protection des données en Europe depuis 1995.

La RGPD est une loi instaurée dans le but de renforcer considérablement la protection des données confidentielles des internautes européens, et de réguler, en outre, la manière dont les individus et les entreprises peuvent collecter, stocker, utiliser et éliminer les données personnelles.

Les sociétés marocaines sont-elles concernées par le RGPD ?

Le RGPD affecte toutes (1) les organisations établies en Europe, mais également (2) toutes les organisations qui sont amenées à traiter les données personnelles des citoyens Européens. Il s’agit donc d’un concept nouveau d’extraterritorialité, puisque la loi peut également concerner les entreprises basées en dehors de l’UE.

Concrètement, si votre entreprise traite, collecte, ou utilise des données personnelles appartenant à des citoyens Européens, alors elle sera concernée.

En règle générale, 10% du trafic d’un site marocain sera constitué de MRE (marocains résidents à l’étranger), dont la plupart sont basés en Europe.

A moins que votre site ne collecte absolument aucune données, et n’utilise aucun service tiers de publicité ou d’analyse d’audience, votre entreprise marocaine est concernée par cette loi.

Peuvent être considérées comme données personnelles toute information relative à un individu identifié ou identifiable, ou toute information qui pourrait être utilisée, seule ou conjointement avec d’autres données, afin d’identifier un individu. Cette définition est vaste, puisqu’elle inclut toutes données communément considérées comme personnelles (nom et prénom, numéro de sécurité sociale, adresse physique, adresses email), mais également les adresses IP, données comportementales, géographiques, biométriques, financières, etc…

Vous pouvez donc probablement considérer que les éventuelles données en votre possession sont concernées par cette loi.

Par ailleurs, il est préférable de ne pas collecter de données sensibles, comme les informations relatives à la santé, à l’ethnicité ou aux orientations religieuses ou politiques des internautes, car ces dernières requièrent des procédures encore plus complexes de protection.

Que risquent les entreprises non conformes au RGPD ? 

La non conformité au RGPD peut donner lieu à des sanctions financières considérables, allant jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires si supérieur.

Quelles sont les différences entre les rôles de « Controller » et « Processor » ? 

Le Controller est l’organisation qui détermine les motifs et les moyens du traitement des données personnelles, ainsi que les types de données qui seront collectées de chez des individus. Il est le principal responsable de la protection des données personnelles.

Le Processor est l’organisation qui traite les données pour le compte du Controller. Il s’agit notamment des plateformes technologiques de routage d’email, d’analyse d’audience ou de diffusion de publicité.

En résumé, quels sont les droits des citoyens Européens sous le RGPD ? 

Les droits individuels sont largement étendus avec le RGPD : 

  • Droit à l’oubli : Vous devrez supprimer les internautes et abonnés suite à leur demande.
  • Droit d’objecter : Vous devrez laisser le choix aux internautes d’activer ou désactiver la collecte de données relative à chacun de vos services.
  • Droit d’accès:  Les internautes peuvent à tout moment demander l’accès à leurs données personnelles.
  • Droit de rectifier:  Les internautes peuvent à tout moment demander la correction, modification ou suppression de leurs données personnelles.
  • Droit à la portabilité: Les internautes peuvent à tout moment demander l’exportation de leurs données personnelles en vue d’être transférées à un autre déléguée des données personnelles de leur choix.

Les citoyens Européens disposent d’un droit de consentement renforcé : 

  • Vous devez obtenir légalement le consentement pour le traitement des adresses email et des autres données personnelles de vos internautes, vos contacts et abonnés.
    • Le message doit être clair, spécifique,  et doit couvrir l’ensemble des raisons pour lesquelles vous souhaitez collecter et utiliser ces données ;
    • Les cases précochées automatiquement sont interdites ;
    • Les internautes doivent clairement accepter votre charte de confidentialité
    • La demande de consentement devra figurer lors de la navigation dans votre site, et dans l’ensemble des formulaires permettant la collecte de données.
  • Vous devez offrir la possibilité à vos internautes, contacts et abonnés de retirer leur consentement ou de modifier les préférences d’utilisation des données de manière simple et accessible.
    • Une explication permettant de désactiver les cookies, sur le navigateur ou via les technologies utilisées, doit être présente sur votre charte de confidentialité.
    • Si vous avez des abonnés, vous devez proposer un lien depuis lequel vos abonnés pourront modifier ou corriger les détails de leurs profil.
    • Vous devez désigner un(e) délégué(e) des données personnelles au sein de votre entreprise, qui pourra recevoir et traiter les demandes de modification ou de suppression de données personnelles de vos internautes dans un délai raisonnable, et indiquer ses informations de contacts dans votre charte de confidentialité.
    • Un lien de désinscription doit figurer dans l’ensemble de vos emails
  • Pour continuer d’utiliser des données personnelles qui ont été collectées avant le 25 mai 2018, vous devrez vous assurer que ces données ont été collectées conformément au RGPD. En cas de doute, il est vivement recommandé de faire parvenir une nouvelle demande de consentement qui soit conforme au RGPD, comme un email avec un lien d’acceptation suite à la lecture de votre nouvelle charte de confidentialité.
  • Il faut indiquer la durée de conservation des données – y compris de celle des cookies. Dans le cas de plusieurs périodes, préciser lesquelles.
  • Préciser la liste des fournisseurs et organisation tierces à qui vous serez amené à fournir des données personnelles, et indiquer les mesures employées pour vous assurer que ces derniers sont conformes au RGPD. Préciser si vous êtes amené à transférer des données collectées en dehors de l’Union européenne.
  • Vous devrez rédiger un paragraphe ou un document détaillant, pour l’ensemble des technologies traitées par votre site (Google analytics, Publicité facebook, Publicité adwords, etc.) :
    • Quels sont les cookies collectées ;
    • Le motif de leur collection ;
    • La durée de conservation des cookies ;
    • Une explication du mode de désactivation des cookies via le terminal ou le navigateur ;
    • Une explication du mode de désactivation via des services. A savoir que les fournisseurs de technologies principaux proposent tous un lien pour la désinscription des internautes.

La RGPD impose la mise en place de mesures renforcées de protection des données : 

  • Une politique de protection des données doit être mise en place au sein de l’entreprise :
    • Les collaborateurs devront être sensibilisés à la confidentialité et à la protection des données personnelles
    • Des procédures de sécurité devront être déployées afin d’assurer la sécurité des systèmes d’information dans lesquels sont collectées les données personnelles, et le cryptage des données sensibles
  • En cas de détection d’une brèche dans vos systèmes de sécurité, vous devrez en aviser les internautes concernées dans un délai raisonnable.
  • A moins d’avoir des moyens importants pour mettre en place des processus complexes, il est recommandé d’éviter la collection, voire de supprimer les données considérées « sensibles », a savoir notamment les informations relatives à la santé, aux origines ethniques, aux orientations religieuses et politiques, etc.

A présent, vous connaissez les composantes principales du RGPD et des droits des citoyens Européens en matière de protection de la vie privé. Pour plus d’informations, nous vous invitons à consulter ce site sur www.gdpr-info.eu

Si vous disposez d’un site, et que souhaitez le mettre en conformité, nous vous invitons à lire l’article  Comment devenir conforme au RGPD ?.