OUTSOURCIABLOG-Par Youssef Chraibi-



PROTECTION DES DONNÉES : INTERVIEW DE YOUSSEF CHRAIBI - ECONOMIE ET ENTREPRISES

Le 05/10/2017 

 

Les entreprises marocaines sont appelées à accélérer leur mise en conformité avec les nouvelles normes européennes en matière de protection des données personnelles et privées ? De quoi s'agit-il concrètement ? 

Youssef Chraibi : C'est un réglement qui s'applique à l'ensemble des pays européens et qui sera mis en place à partir de 2018. Contrairement aux directives précédentes qui consistaient à faire uniquement des déclarations auprès d'organismes comme la Commission nationale de l'information et des libertés (CNIL), ce nouveau réglement s'étend à l'ensemble des entreprises même celles qui ne sont pas basées dans l'Union Européenne. Ces opérateurs peuvent donc être directement sanctionnés en cas de non respect de la nouvelle reglementation. Autre nouveauté, cette directive s'applique également aux entreprises sous-traitantes, car jusqu'à aujourd'hui, ce sont les donneurs d'ordres qui étaient concernés par cette sanction. À titre d'exemple, nous devions faire des déclarations en FraNce auprès de la CNIL, mais cela se limitait au stade de déclaration. Dorénavant, la procédure deviendra plus contraignante danns le sens où nous serons obligés d'apporter des preuves (dispositifs, techniques, organisation) qui permettront de prouver le respect scrupuleux de ces nouvelles règles. D'un autre côté, ceci représente une opportunité pour nous car, dans le passé, même si nous étions en régle par rapport à ce que nous demandait la CNDP -  et étant donné que la loi marocaine n'est pas reconnue par l'Union Européenne - nous étions exclus d'un grand nombre de consultations auprès des entreprises européennes et ce, quel que soit notre degré de conformité au Maroc. 

 

Samir Benhssain : Monsieur Chraibi a presque tout résumé. Aujourd'hui, le règlement général sur la protection des données (RGPD) a apporté, en plus de ce qui a été déjà préétabli comme règlement sur le respect des données personnelles, quatre principales clés. En premier, la protection des données dès la conception, en développant un site web ou un logiciel pour la gestion des données publiques. Généralement, quand on effectue un achat en ligne, et là j'en viens au deuxième point, le consentement de l'utilisateur doit être express. Le troisième volet concerne la minimisation du temps de la rétention de ces données personnelles. L'entreprise doit en fait être claire et explicite sur la durée et sur la finalité d'utilisation de ces données. C'est en effet un gage de garantie pour la personne que ses données seront protégées et non stockées ad vitam aeternam. En dernier lieu, c'est la personne chargée de la collecte de l'information qui doit déclarer qu'elle dispose d'une certaine stratégie pour collecter l'information, l'organiser, la gérer dans un cadre clair et structuré.

 

Justement, un sous-traitant opérant au Maroc doit présenter des garanties suffisantes, en rapport avec les mesures techniques et organisationnelles qui visent à assurer la conformité des traitements aux exigences du règlement. Quelles sont ces garanties ? 

YC : Jusqu'à présent, les garanties que nous présentions étaient celles exigées par les donneurs d'ordre. Ceux-ci détaillent de façon très claire les obligations en termes d'organisation et de process, par exemple des systèmes d'information qui permettent de crypter des données bancaires. En fait, il y a autant d'exemples que de donneurs d'ordres et de types de missions. S'agissant de la CNDP, ses équipes nous ont fait parvenir un manuel très clair de ce qui doit être mis en place. Nous nous sommes regroupés au niveau de la fédération pour traiter des spécificités de notre profession, comme la question liée à la vidéosurveillance interdite par la CNDP, mais qui, dans notre secteur, est primoridiale pour prévenir contre les fraudes. 

Par ailleurs, la problématique que nous rencontrons aujourd'hui, au-delà de la réglementation mise en place par la CNDP, se situe au niveau de notre relation avec le donneur d'ordre. En effet, nous manipulons des données bancaires qui représentent des enjeux majeurs du point de vue économique. Quand il y a fraude, le préjudice pour le client et le donneur d'ordres est important. Il nous arrive de constater des cas de fraude pour lesquels nous entamons des poursuites judiciaires. La justice met donc plusieurs mois pour rendre un verdict et entre-temps, le salarié nous poursuit sur des questions sociales de licenciement abusif ou autre. Souvent ce dernier gagne son procès au terme de plusieurs mois de procédure. Il faut savoir qu'au niveau de la justice marocaine, la connaissance des impacts et enjeux économiques de ces questions reste faible. Chose qui remet en cause notre crédibilité vis-à-vis des donneurs d'ordres. Nous pouvons continuer à légiférer à souhait et essayer de nous conformer aux réglements, qu'ils soient nationaux ou européens, mais tant que la justice nationale ne suit pas, nous n'avancerons pas. 

 

SB : Je confirme ce que vient de dire M. Chraibi. Certes la loi 09-08 a étoffé le cadre juridique de la protection des données, mais les pratiques ne suivent pas. Ceci a donc inévitablement un impact sur les entreprises marocaines. Ajoutons à cela le fait que ces entreprises avec le RGPD, s'exposent à d'énormes sanctions. Il faut le dire. On parle de 20 millions d'euros ou 4% du chiffre d'affaire mondial. Il faut donc qu'on se rende compte que les entreprises marocaines s'exposent énomément. Mais est-ce qu'elles en sont conscientes ? C'est la grande question. Car, aujourd'hui, on ne sent pas qu'il y a une vraie sensibilisation sur ce côté-là. En plus du rôle de la CNDP, ce sont les entreprises elles-mêmes qui doivent se renseigner sur les risques qu'elles encourent surtout si elles opèrent dans le territoire européen.

 

Comment l'entreprise doit-elle se prémunir contre les sanctions mises en place par le RGPD ? 

YC : La meilleure protection pour les entreprises se fait au niveau des IT. Très souvent, nous suggérons à nos clients qu'au lieu de nous dire que telle ou telle information est confidentielle, qu'ils évitent tout simplement de nous donner accès à cette information en amont. Car il s'avère qu'il y a des informations dont nous n'avons pas besoin pour assurer nos missions. Nous y avons accès en raison du fait que leur système d'information n'arrive pas à faire le tri entre des informations utiles et marginales. Par conséquent, le chantier au niveau des IT est colossal. 

 

SB : La donnée sensible ne se limite pas à celle d'une carte bancaire. Aujour'hui, l'ID de connexion à un site web est considéré comme étant une donnée personnelle. Et si on parle de données dites sensibles, comme l'ethnie, la religion... ces dernières représentent un autre niveau de protection. L'impact ne se limite pas simplement à l'aspect financier, il touche aussi l'aspect organisationnel. Toute entreprise qui opére par exemple dans le e-commerce devrait obtenir une certification de ses sites web, inclure les balises de contrôle et de décryptage, de sorte qu'en interne, on puisse avoir accès à l'information, selon la hiérarchie. D'un autre coté, il ne faut pas oublier l'impact sur l'image de l'entreprise qui peut-être affectée en terme de crédibilité vis-à vis des clients, par le respect ou non du RGPD. 

 

Quels sont les dispositifs à mettre en place par les entreprises pour protéger les données personnelles ? Y a-t-il des systèmes d'exploitation prédéfinis, quel degré d'investisement ? 

YC : C'est rarement une démarche volontaire de la part des entreprises, car elles sont souvent forcées par les donneurs d'ordres à se confronter, surtout dans le secteur de l'offshoring. L'intérêt dans ce sens, c'est de travailler sur un système de certification qui englobe le dispositif humain, technique et organisationnel des process, et qui serait de facto la meilleure garantie pour un donneur d'ordres. C'est ce que nous avons fait de notre propre initiative. Nous avons réussi à obtenir des certifications qui démontrent notre compatibilité aux exigences les plus importantes de nos clients. Et ce afin de disposer de forts arguments commerciaux et donc de conquérir des marchés que la loi marocaine, malgré la bonne volonté du législateur et la CNDP, n'a pas su nous aider à conquérir. Nous travaillions donc avec nos propres moyens pour être reconnus au niveau de l'entreprise, pas au inveau du pays. Cette reconnaissance de la loi passera par un effort de lobbying exercé au niveau de Bruxelles. Or cela traîne depuis plusieurs année et nous fait perdre beaucoup d'opportunités sur le marché européen. 

SB : Il faut dire aussi que cette latence de mise en place concerne principalement les PME notamment les télécoms, qui ont été contraints de se conformer aux normes sur le respect des données personnelles, Maroc Telecom l'a fait en 2003. En termes de mise en place des dispositifs de protection de données, il faut savoir qu'il y a deux types d'approches. D'abord, les entreprises qui ont dès le départ conçu un système d'information qui segmente et indexe les données basées sur des clés de répartitions claires, où les informations sont bien stockées et sécurisées. D'un autre côté, on retrouve des entreprises qui stockent sauvagement de la Data. C'est en effet ce segment qui va avoir le plus de mal à se conformer. En tout cas, les entreprises marocaines doivent toutes s'orienter vers la mise en place de systèmes d'exploitation efficaces. Car de toutes les manières, le fait d'être conforme à ce type de réglementation fait que l'entreprise maîtrise l'information qu'elle détient : elle va pouvoir exploiter efficacement le capital knowledge dont elle dispose, ce qui lui permettra d'être réactive, plus efficace commercialement et sur le plan relationnel vis-àvis de ses clients potentiels, Il existe des solutions accessibles et simples pour les entreprises qui souhaitent s'inscrire dans cette démarche.

 

LES DÉBATTEURS : 

Youssef CHRAIBI est à la tpete d'Outsourcia, entreprise en croissance continue spécialisée dan sl'offshoring, qu'il a créé lui-même. Ce jeune patron a très tôt misé sur les nouvelles technologies de l'information, alors même qu'il n'avait pas terminé son cursus à HEC Paris. Aujourd'hui, son entreprise est présente en Europe mais également en Afrique.

 

Samir BENHSSAIN est un self-made-man diplômé en gestion à l'ENCG de Settat, pui à l'ESC Lille en Audit interne. Il a démarré sa vie d'entrepreneur avec 2 expériences dans l'agroalimentaire et l'industrie de l'emballage. Ensuie, il a choisi de se spécialiser dans le service autpur de la PME en créant BG Partners, société de conseil en organisation industrielle et intégration des solution de gestion. Elle distribue aujourd'hui l'ERP Wavesoft, le seul ERP standard capable de répondre spécifiquement  aux besoins de la PME marocaine avec des moyens de PME.

 

 

SOURCES : Economie et entreprises - 3 octobre 2017 - par Sanae Raqui

 

 

Tags blog: 
Photo Youssef Chraibi
Youssef Chraibi
Président Fondateur du groupe Outsourcia

A propos de Youssef

Icône Archives du Blog

BLOGARCHIVES

 Décembre 2012

 Février 2010