La HACA a participé, les mercredi 27 et jeudi 28 juin 2018 à Meknès, à un séminaire international sur la mise en conformité au Règlement Général sur la Protection des Données [2] (RGPD ), qui est est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.
Ce séminaire, auquel ont participé des représentants de plusieurs institutions, du Maroc, de France, de Tunisie et des Emirats Arabes Unis, a été organisé par le Groupe ESIC France et Best Solution Consulting, un vaste réseau de consultants internes et externes, tous spécialisés dans leurs domaines de compétences respectifs.
Le déploiement du RGPD dans l’espace européen s’est fait en deux temps : il y a d’abord eu, le 14 avril 2016, l’adoption définitive du texte par le Parlement, suivi quelques jours plus tard, le 27, de sa promulgation au Journal officiel [3]. Cependant, son application ne s’est pas déroulée au même moment : il a été décidé de la décaler de deux ans, au 25 mai 2018. C’est dire qu’il date de moins de deux mois.
La Haute Autorité était représentée à cette formation par MM. Redouane Draiss, Directeur du Département Administratif, et Karim Bendaoud, Responsable Communication & Traduction, qui ont suivi les formations prodiguées, pour la partie technique, par le Pr Jamal Saâd Consultant Cyber Sécurité, de l’Université de Valenciennes et du Hainaut-Cambrésis, et Me Frédéric Forster, avocat, vice-président du Réseau Lexing, pour la partie juridique. Lexing est le 1er réseau international d’avocats dédié au droit du numérique et des technologies avancées créé et présidé par Me Alain Bensoussan, coauteur de l’ouvrage « Règlement européen sur la protection des données » (Editions Bruylant, 2018).
Pour le Maroc, l’intérêt est notamment de savoir quels sont les enjeux de la RGPD et quels sont ses impacts sur le commerce avec l’Europe, mais aussi dans le cas précis des centres d’appel, qui peuvent cumuler des sommes énormes de données personnelles.
Selon les deux experts, l’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995. Une réforme de la législation européenne apparaissait nécessaire au regard de sa relative vétusté, accentuée par l’explosion du numérique et l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques.
Il s’agissait aussi, pour l’Union Européenne, d’harmoniser le panorama juridique en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres, que ce soit en France, en Allemagne, en Italie ou en Espagne ainsi que dans une vingtaine d’autres pays de l’Union.
Une donnée personnelle [4] (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.
Certaines données sont sensibles [5], car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou à des préjugés (opinion politique, sensibilité religieuse, engagement syndical, appartenance ethnique, situation médicale, etc.). Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la Cnil et dont l’intérêt public est avéré.
Du point de vue de l’internaute, le RGPD met en place ou conforte [6] un certain nombre de protections. Il faut par exemple que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’ils s’assurent que les enfants en-dessous d’un certain âge [7] aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.
Pour MM. Saad et Forster, des géants comme Google, Facebook, Amazon ou encore Uber doivent tenir compte des modalités du RGPD s’ils veulent continuer sans risque à fournir des biens et des services à la population européenne. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entrent pas en ligne de compte. Même une petite startup qui se lance dans de l’e-santé doit aussi être à cheval sur ces principes et les respecter systématiquement.
Liens
[1] https://www.haca.ma/fr/javascript%3A%3B
[2] http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679
[3] http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
[4] https://www.cnil.fr/cnil-direct/question/492
[5] https://www.cnil.fr/cnil-direct/question/495
[6] https://www.cnil.fr/fr/plus-de-droits-pour-vos-donnees
[7] https://www.numerama.com/politique/328050-moins-de-15-ans-les-deputes-veulent-que-vos-parents-valident-votre-inscription-sur-snapchat.html
