Lina Fassi Fihri, avocate spécialisée en protection des données personnelles*.
La conformité au Règlement général sur la protection des données personnelles est encore loin d’être une préoccupation pour les entreprises marocaines.
Pour Maître Lina Fassi Fihri, les opérateurs marocains sont insuffisamment sensibilisés aux enjeux de cette norme.
Rares sont les TPE qui sont conformes au dispositif légal national (la loi n°09-08) et encore plus rares sont celles qui se sont conformées au RGPD.
Propos recueillis par M. Diao
Finances News Hebdo : Depuis le 25 mai 2018, tout organisme, indépendamment de son pays d’installation, qui opère un traitement entrant dans le champ d’application du nouveau règlement européen, est tenu de respecter les dispositions. Quel bilan global tirez-vous du degré de conformité des entités marocaines concernées par le dispositif
européen ?
Lina Fassi Fihri : Il n’existe pas encore de statistiques ou d'études à ce sujet mais on peut constater, qu’un an après, seules quelques grandes entreprises spécialement concernées du fait de leur activité ou des filiales de multinationales se sont mobilisées.
Globalement, les entreprises marocaines n'ont pas encore pris les mesures nécessaires, les opérateurs sont un peu en attente, des sanctions ou de ce que vont faire leurs concurrents.
F.N.H. : Selon vous, quels sont les secteurs marocains qui ont eu moins de difficultés pour se conformer à ce dispositif européen et pourquoi ?
L. F. F. : Comme je le disais, les grandes structures qui ont les moyens et sur lesquelles leurs clients européens ont tout de suite répercuté cette obligation. Ainsi que les filiales de multinationales, qui ont été intégrées et ont bénéficié d'une mise en conformité de leur Groupe.
Sur le même thème > Données personnelles : les banques à l’épreuve du RGPD
F.N.H. : Qu'en est-il des PME et TPE nationales généralement moins structurées ? Et selon vous, celles-ci ont-elles été suffisamment sensibilisées par rapport aux enjeux du RGPD ?
L. F. F. : Rares sont les TPE qui sont conformes au dispositif légal national (la loi n° 09-08) et encore plus rares sont celles qui se sont conformées au RGPD. Je dirais que les dirigeants de ces entreprises ne sont pas suffisamment sensibilisés. Ils pensent souvent que leurs entreprises ne sont pas concernées, justement parce qu'elles sont petites ou parce qu'ils ne connaissent pas bien le champ d'application de ce texte. Ils pensent aussi qu'ils ne seront pas les premières cibles des autorités de contrôle et qu'ils ont donc encore le temps.
F.N.H. : Selon vous, existe-t-il aujourd'hui une réelle convergence entre la législation européenne et le dispositif marocain relatif à la protection des données personnelles ?
L. F. F. : Il n'y a pas de réelle convergence entre l'actuel dispositif marocain, qui a dix ans, et le RGPD. Certes, des grands principes qui existent dans le RGPD sont également détaillés dans la loi n° 09-08, tels que la légalité du traitement, la qualité des données, le consentement préalable ou la sécurité des traitements et les principaux droits des personnes sont également défendus dans notre loi. Mais le changement de paradigme majeur que constitue l'accountability, c'est-à-dire le principe de responsabilité du responsable de traitement de pouvoir justifier de sa conformité à tout moment et qui est central dans le RGPD, n'est pas présent dans notre dispositif.
La loi n° 09-08 est encore un système déclaratif ou soumis à une autorisation de l'autorité de contrôle. La conformité est donc contrôlée à un instant T et non tout au long de l'activité de l'entreprise.
F.N.H. : Enfin, quelle est votre appréciation de la situation de la protection des données personnelles au Maroc ?
L. F. F. : Mon appréciation, c'est une méconnaissance du sujet, aussi bien par les utilisateurs (citoyens et consommateurs) alors que nous sommes un pays très connecté, parmi les plus connectés d'Afrique, que par les managers d'entreprises.
Ces derniers ne voient pas le risque majeur de perdre des parts de marché au profit de pays plus avancés à ce sujet et, surtout, ils ne perçoivent pas encore l'opportunité de se conformer et de communiquer à ce sujet. Leurs consommateurs seront plus fidèles à leurs nouveaux produits et/ou services et leurs prospects, notamment s'ils sont européens, seront sensibles à cela, ils se démarqueront par rapport à leur concurrence.◆
* Avocate au Barreau de Paris depuis 2006, elle a travaillé à Paris au sein d’un cabinet spécialisé dans la restructuration d’entreprise. Après un passage dans le secteur public au Maroc, elle est associée depuis 2012 au bureau de Casablanca du cabinet d’avocats LPA CGR, nouveau nom de Lefèvre Pelletier & associés. Elle est spécialisée en droit des sociétés, droit social et en protection des données personnelles. Elle a obtenu un diplôme universitaire pour devenir délégué à la protection des données en novembre 2018