Les nouveaux défis de la protection des données à caractère personnel pour les entreprises africaines

L'ensemble des entreprises et organismes publics européens se préparent donc en conséquence, dès à présent, pour être en conformité à l’horizon du mois de mai 2018, et limiter ainsi les risques de sanction. L'autorité française compétente, la CNIL, a en effet annoncé qu'elle opérerait ses contrôles à l’aune du GDPR dès cette date.

Pour les entreprises africaines ayant une activité dans l’Union européenne, ou orientée vers l’Union européenne, la prise en compte de ces nouvelles normes est un enjeu tout aussi important : qu’elles procèdent pour leur propre compte à des traitements de données de personnes situées sur le territoire européen, ou qu‘elles offrent leurs services à des entreprises ou des organismes publics européens.

Quels risques pour les entreprises africaines ?

L’absence de conformité aux règles posées par le GDPR les exposerait en effet à un double risque, commercial et juridique.

Commercial d’une part, dans la mesure où, faute de garantie suffisante d’un niveau de protection conforme, notamment quant à la sécurité et la confidentialité des données personnelles, les entreprises ou organismes publics européens seraient fondées à demander la rupture du contrat en cours. De plus, dans le cadre d'un appel d'offres ou d'une mise en concurrence, l'absence de justifications et de garanties de conformité au GDPR conduirait nécessairement à la perte de chance d’accéder au marché ou au projet en question.

Juridique d’autre part, car la nouvelle réglementation européenne prévoit un partage de responsabilité entre les entreprises dites responsables de traitement et leurs sous-traitants ; les deux encourent, en cas de manquement au règlement, de lourdes sanctions administratives, voire pénales. Il est donc essentiel pour les sous-traitants africains d'entreprises ou d'organismes publics européens de limiter les risques d’engagement de leur responsabilité à cet égard, de même que pour toute entreprise africaine, responsable de traitement, qui traiterait pour son propre compte des données concernant des personnes situées dans l’Union européenne.

Enfin, il est utile de rappeler que le GDPR interdit, sauf exceptions limitées, tout transfert de données hors de l’Union européenne, si un niveau de protection adéquat à celui existant au sein de l’Union n’est pas assuré : les entreprises africaines qui entendent continuer à recevoir des données en provenance de partenaires européens devront donc donner les gages d’un tel niveau de protection.

Quelles sont les entreprises africaines concernées ?

Les entreprises concernées en qualité de sous-traitants sont toutes celles qui, dans le cadre des services qu'elles offrent à une entreprise ou un organisme public européen, procèdent au traitement de données à caractère personnel relatives à des employés, des clients, des utilisateurs ou des fournisseurs, ou à tout autre personne physique résidant au sein de l'Union européenne.

Cela concerne notamment les prestataires de services informatiques et de conseil, tels que les audits, les plans de secours informatiques et utilisateurs, ou encore les prestataires de services de "hotline" informatique, les centres d'appel ou centres de contacts clients. Il peut s'agir aussi d'opérations d'outsourcing ou de sous-traitance d'une partie de l'activité d'entreprises ou d‘organismes publics européens.

En tant que responsables de traitement, sont visées les entreprises qui déterminent elles-mêmes les finalités et les moyens de leurs propres traitements de données personnelles, si ces traitements concernent des personnes situées dans l’Union européenne, dans le but de leur proposer des produits ou des services, ou à des fins de profilage.

Cette hypothèse vise en particulier les entreprises de e-commerce proposant à la vente des produits à destination de clients situés dans l’Union européenne, dans la mesure où elles établissent et gèrent des fichiers clients pour cette activité.

Les notions de traitement et de donnée à caractère personnel sont volontairement entendues de manière très large, pour recouvrir en pratique tous types de données (toute donnée permettant l'identification directe ou indirecte d'une personne physique y compris par recoupement d'informations) et toute forme d’utilisation de celles-ci (consultation, accès, saisie, modification, suppression, enregistrement, conservation, transfert, etc.). De même, tous les secteurs d’activité, commerciale ou non, sont concernés.

Comment s’y prendre?

Il convient, dans un premier temps, d‘identifier et d‘évaluer ses propres pratiques en matière d'utilisation et de protection des données à caractère personnel – et ce dans le but, dans un second temps, de décrire les pratiques à ajuster, les mesures complémentaires à adopter, la documentation et les procédures additionnelles à élaborer.

Les Etats eux-mêmes sont aussi concernés : en adoptant des législations suffisamment protectrices au regard du règlement, ils rendent possibles les transferts de données en provenance de l’Union européenne. Le Maroc, par exemple, dont la loi 08-09 pose un régime quasi-équivalent au droit européen actuel, se positionne en amont pour anticiper sur l’application des nouvelles règles, et obtenir au plus tôt une décision de la Commission européenne reconnaissant officiellement son adéquation au GDPR.

A leurs niveaux respectifs, les entreprises africaines doivent donc dès aujourd'hui intégrer les normes européennes de la protection des données personnelles, à tout le moins au titre de bonnes pratiques, afin de préserver leurs relations commerciales avec leurs partenaires et de se prémunir contre tout risque de sanction. Le processus de conformité déclenché par les entreprises européennes doit de ce point de vue être accompagné et suivi par les entreprises africaines qui entendent poursuivre ou initier des relations commerciales avec l'Union européenne, et ce quel que soit le secteur d’activité.