Analyse

Des outils pour consolider la conformité de l’entreprise

Par Faiçal FAQUIHI | Edition N°:5232 Le 19/03/2018 | Partager
Règles internes, clauses types, code de conduite et certifications
Un business face à l’obligation d’une protection adéquate
Une aubaine pour les conseils en compliance
cndp_transfert_donnes.jpg
Entre 2011 et 2016, ce sont 388 transferts de données personnelles qui ont été autorisés à partir du Maroc. Ils s’effectuent principalement vers l’Europe (79,3%) suivie de l’Amérique du Nord avec un peu plus de 13%, surtout aux USA. Ces transferts transfrontaliers sont effectués sur autorisation préalable de l’autorité de contrôle (CNDP)

Le transfert de données d’un pays à un autre obéit à une procédure stricte. Un opérateur doit obtenir le feu vert du régulateur de son pays avant toute opération. De 2011 à 2016, la Commission nationale pour le contrôle de la protection des données à caractère personnel (CNDP) a autorisé 388 transferts vers l’Europe en majorité (voir illustration). Le pays destinataire doit donc assurer «une protection suffisante et conforme à la loi 09-08 relative à la protection des données». Toute une procédure qui est importée de... l’Union européenne. 

Sauf que le droit des 28 Etats-membres change de règles à partir de ce 25 mai 2018. Celles-ci seront applicables aussi bien sur le sol de l’UE qu’aux entreprises qui manipulent les données de ses citoyens (voir page 3). D’où l’intérêt économique de se mettre en adéquation avec la norme européenne. C’est un exemple type de «convergence réglementaire». En matière de données personnelles, il est question de «procédure d’adéquation». Elle induit que le transfert transfrontalier est possible vers le pays destinataire. Car son Etat dispose d’une législation qui assure une protection conforme aux standards exigés par Bruxelles. 

La présidente de la Commission nationale de l’informatique et des Libertés (Cnil), Isabelle Falque-Pierrotin, est rassurante vis-à-vis du nouveau Règlement européen. «Nous avons accompagné les opérateurs durant la période précédant son entrée en vigueur et continuerons à le faire. Ce n’est pas le couperet et la guillotine pour les acteurs qui ne seront pas prêts», confiait, fin février à Casablanca, la présidente de la Cnil (cf. L’Economiste n°5217 du 26 février 2018).
Une société qui sous-traite les données d’un client basé à l’UE a d’autres moyens pour consolider ses standards en matière de protection de données personnelles. Il y a par exemple les règles internes de l’entreprise ou Binding Corporate Rules (BCR). Notons aussi l’existence des clauses contractuelles types approuvées par la Commission européenne. Sans oublier les codes de conduite et mécanisme de certification qui font le bonheur des conseils  en compliance. «Le Règlement européen a engendré un gros marché en Amérique du Nord, particulièrement aux USA. Les avocats notamment en font leur miel. Il faut espérer que le même effet se produit au Maroc», déclare le secrétaire général de la CNDP, Lahousseine Anis.

 

  • SUIVEZ-NOUS:

  • Assabah
  • Atlantic Radio
  • Eco-Medias
  • Ecoprint
  • Esjc