Protection des données – Maurice à l’avant-garde
Share
Le big data, c’est l’avenir. L’analyse des données massives circulant sur la Toile et les réseaux sociaux par le biais d’algorithmes permet aux entreprises de mieux comprendre leurs clients. C’est ce qu’on appelle le profilage. Mais l’exploitation de ces données représente une intrusion et une violation de la vie privée. D’où la décision de l’Union européenne (UE) de légiférer en adoptant le Règlement général sur la protection des données (RGPD), lequel aura force de loi le 25 mai. Avec ce règlement, les entreprises européennes et mondiales, qui collectent et traitent les données à caractère personnel des résidents de l’UE, devront se repenser.
En bon élève, Maurice n’a pas tardé à se mettre au diapason. Ainsi, le pays a adopté la Data Protection Act (DPA) de 2017. Cette loi vient non seulement remplacer celle de 2004, mais encore, elle s’aligne sur les principes fondateurs du RGPD. Donc, indirectement, les entreprises mauriciennes devront se conformer à la réglementation européenne.
Cette spécification, de nature simpliste à première vue, recèle plus de nuances, d’avantages et de goodwill pour notre image à l’international. D’abord, l’entrée en vigueur de la DPA de 2017 implique que la conservation des données personnelles (date de naissance, numéro de téléphone et données biométriques) auront une date d’expiration. Sauf dans des cas précis où ces données sont conservées à des fins scientifiques et historiques. C’est le Data Protection Commissioner qui aura la responsabilité de trancher sur la question.
«Avec cette nouvelle loi, on ramène sur le dos des entreprises le fardeau de maintenir l’intégrité, la précision et la confidentialité autour des données recueillies», observe Ish Sookun, Linux System Administrator et Data Protection Executive du département LSL Digital de La Sentinelle. À titre d’exemple, les entreprises seront dans l’obligation d’informer les clients avant de procéder au stockage de leurs données, de leur fournir un droit de rectification des informations collectées et d’objecter au profilage automatique. De même, ces clients pourront demander qu’on efface les données recueillies sur eux. Ce qui mettra fin au profilage automatique utilisé par les gestionnaires de campagnes publicitaires en ligne comme Google Ads, qui ont utilisé les données personnelles pour créer des publicités ciblées dans le but de générer plus de revenus. Et Ish Sookun de poursuivre qu’avec le RGPD, il sera plus facile de combattre l’évasion fiscale, de même que l’évasion des amendes sur la violation des données personnelles en utilisant le profilage.
Il faut savoir que l’Europe est le principal partenaire commercial du pays, représentant 70 % des exportations mauriciennes. De plus, environ 50 % des arrivées touristiques proviennent du Vieux continent. Le global business et l’externalisation sont autant d’industries qui dépendent en grande partie de l’UE. Ish Sookun est d’avis que notre situation actuelle s’agissant des lois locales et internationales place Maurice en pole position comme destination de choix pour structurer les investissements en Afrique. Ce qui est d’un attrait certain pour les entreprises européennes existantes ou cherchant à faire du business internationalement.
«Le DPA de 2017 fait que les entreprises européennes seront plus enthousiastes à choisir Maurice pour leurs activités», soutient Ish Sookun. Avant d’ajouter que le fait que Maurice s’est conformé au RGPD est une opportunité en or pour nos entreprises. Car, valeur du jour, des pays développés à l’instar de l’Inde ne disposent pas d’une loi sur la protection des données. Il est bon de noter que Maurice est le premier État africain et le deuxième pays se situant en dehors de l’UE à disposer d’une loi conforme au RGPD.
Rassurer les investisseurs Rassurer les investisseurs
De son côté, la Data Protection Commissioner, Drudeisha Madhub, insiste que notre loi sur la protection des données est solide. Outre de préserver la liberté de l’individu, elle vient simplifier le cadre réglementaire d’une économie numérique tout en encourageant le transfert sécurisé des données entre juridictions. En s’alignant sur les exigences européennes, Maurice projette l’image d’une juridique sûre et se positionne pour attirer les investisseurs étrangers.
Environ 70 % d’entreprises devront se conformer au RGPD
«La sécurité juridique et pratique pour les opérateurs économiques et des pouvoirs publics sera renforcée. En outre, les organisations certifiées seront reconnues comme fournissant une protection adéquate de la vie privée, offrant ainsi une sécurité juridique pour les transferts transfrontaliers de données», insiste Drudeisha Madhub.
Elle énumère plusieurs avantages dont Maurice jouit désormais grâce à la DPA, notamment, une meilleure confiance parmi les consommateurs, une meilleure gestion des données et un alignement efficace avec l’évolution de la technologie qui comprend, entre autres, la virtualisation, le Cloud et l’Internet des objets.
Si l’on prend en considération le poids de l’UE dans notre produit intérieur brut, on peut estimer que 70 % des entreprises mauriciennes devront indirectement se conformer au RGPD. Par exemple, elles seront tenues de nommer un Data Protection Officer. Toutefois, selon les observations d’ADS Consulting, qui tient une Breakfast session sur le sujet ce vendredi, tout le monde n’a pas réagi de la même façon et à la même vitesse. On pourrait même classer les organisations en trois catégories. Tout d’abord, les avant-gardistes, c’est-à-dire celles qui ont déjà pris le devant par la mise en œuvre des dispositions nécessaires et qui travaillent depuis un moment avec les experts de conformité comme ADS Consulting.
«Nous avons des clients qui, avec notre aide, se sont préparés et n’ont pas attendu la date butoir de l’entrée en vigueur du RGPD» soutient un porteparole d’ADS Consulting. Il y a ensuite ces entreprises qui ont récemment entendu parler du RGPD et s’attellent à mettre en place les structures pour être conformes dans les temps. Mais dans la pratique, le projet est toutefois complexe avec des audits, l’écriture des procédures, la mise en œuvre des procédures au niveau du traitement des données à caractère personnel, le testing et la formation des officiers responsables, entre autres étapes. Pour ces entreprises, cela prendra quelques mois avant qu’elles ne soient vraiment conformes aux exigences légales.
Et finalement, il y a les entreprises qui s’y prennent à la dernière minute. Celles-là digèrent encore les informations récoltées à travers des articles ou conférences, et qui paniquent, ne sachant pas par où commencer pour assurer leur mise en conformité. C’est maintenant qu’elles se renseignent et évaluent les coûts et l’ampleur du travail à accomplir.
Autant de facteurs qui démontrent que même en étant avant-gardiste, Maurice a encore du chemin à parcourir pour s’affirmer comme une destination de choix pour les business européens.
Repenser le marketing numérique
Les nouvelles technologies ont donné naissance au marketing numérique. Nombre d’entreprises proposent à leur clientèle de s’abonner à leurs newsletters pour rester à la pointe de l’actualité s’agissant de leurs développements ou offres promotionnelles. Des sociétés comme BlueFish ou Train2Gain Group ont choisi de se spécialiser dans ce domaine. Leurs activités sont directement impactées par le Règlement général sur la protection des données.
Au niveau de BlueFish, l’on a pris les devants. Depuis plusieurs mois, l’entreprise revoit son modèle opérationnel, explique son CEO, Ishrat Boodoo. Et de préciser que le fait que l’entreprise est située en dehors de l’Union européenne (UE) implique que les changements prendront réellement effet à partir du 23 juin. Il y voit cependant un aspect très positif : être conforme au RGPD sera particulièrement bénéfique au global business.
Le professeur Harrish Bheemul, CEO du groupe Train2Gain, abonde dans le même sens. Il explique qu’au vu de ses relations commerciales avec l’Union européenne, Maurice devra impérativement se conformer aux normes européennes. Dans ce contexte, Train2Gain se voit dans l’obligation d’offrir des formations additionnelles à ses employés. De même, elle doit adopter des mesures plus poussées pour convaincre sa clientèle qu’elle est conforme au RGPD. Il avance qu’une méconnaissance du sujet peut pousser certains clients à ne pas solliciter ses services à l’avenir, ce qui implique une perte de nouveaux investissements et une baisse du chiffre d’affaires.
Le temps d’adaptation est un autre facteur qu’il faut prendre en considération. Comme le souligne Ishrat Boodoo, «les entreprises mauriciennes qui traitent avec l’UE auront besoin d’un peu de temps pour s’accoutumer à cette nouvelle loi, car la conformité prend du temps. Une chose est cependant sûre : il faut être au courant des lois et celles-ci doivent être respectées», soutient Ishrat Boodoo.
L’élément clé à prendre en considération sera une montée de la confiance dans la juridiction mauricienne avec les nouveaux investissements en provenance du continent européen, ajoute le professeur Harrish Bheemul. Nous pouvons ainsi nous attendre à une standardisation des opérations commerciales qui nécessitent le traitement des données confidentielles des clients. «Personnellement, je m’attends à ce que le RGPD nous amène dans la bonne direction économique. Les problématiques de coûts d’application et de perte de clientèle sont encore floues», soutient Harrish Bheemul.
Les limites du RGPD
Les institutions gouvernementales et les watchdogs comme la Financial Intelligence Unit ou la Financial Services Commission auront-elles à se plier à la Data Protection Act (DPA) et au RGPD ? La Data Protection Commissioner, Drudeisha Madhub, explique que le principe général est que le consentement de la personne concernée (employé / individu) est nécessaire avant de partager des informations personnelles. L’article 23 de la DPA stipule que la personne concernée doit en être informée au moment de la collecte des données personnelles. Les objectifs du traitement des données doivent être bien définis et compréhensibles pour un utilisateur moyen sans connaissances juridiques ou techniques. En vertu de l’article 3 (4) (a) de la DPA, la loi ne s’applique pas à l’échange d’informations entre les ministères, les ministères et les organismes du secteur public «where such exchange is required on a need-to-know basis», précise Drudeisha Madhub. Et Ish Sookun, Linux System Administrator et Data Protection Executive à LSL Digital, de renchérir que tout besoin d’informations ayant trait à la sécurité nationale, au blanchiment d’argent et aux activités criminelles dépasse le cadre de la DPA et du RGPD.
Lourdes amendes en cas de non-conformité
Le RGPD affecte à la fois les entreprises à l’intérieur et à l’extérieur de l’UE. Par conséquent, toute entreprise mauricienne qui traite des données de résidents ou de citoyens de l’UE devra se conformer à cette loi. Le non-respect des obligations de conformité en matière de protection des données pourrait se révéler très coûteux sur le plan financier pour les entreprises, avance la Data Protection Commissioner, Drudeisha Madhub. Les organisations seront potentiellement passibles d’amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel total mondial (selon le montant le plus élevé) pour les infractions graves. Et jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires annuel total mondial (le plus élevé des deux) pour les infractions très graves. «Pour les entreprises mauriciennes ayant une présence physique (établissement) dans l’UE, le RGPD sera directement appliqué contre elles par les autorités des États membres de l’UE. Cependant, pour les entreprises sans une présence physique dans l’UE, le RGPD aborde ce problème en exigeant des entreprises sans établissement dans l’UE de désigner un représentant situé dans l’UE», fait-elle ressortir.
Shayne Brasse (Compliance Consultant, ADS Consulting) - «Un impact positif sur les échanges commerciaux avec l’Europe»
,{index:3,type:Image,name:Image,value:{url:https://www.business-magazine.mu/wp-content/uploads/2020/11/shayne-brasse-compliance-consultant-ads-consulting_20190123093121.jpg,caption:Shayne Brasse (Compliance Consultant, ADS Consulting)}},{index:4,type:Textarea,name:Text++Les entreprises doivent voir la mise en place des procédures, systèmes et outils pour se conformer à la Data Protection Act comme un investissement pour assurer leur pérennité, insiste le Compliance Consultant d’ADS Consulting.
BUSINESS MAGAZINE. En s’intéressant aux entreprises qui traitent beaucoup de données à caractère personnel comme celles opérant dans le secteur du BPO ou les banques, y a-t-il des raisons d’appréhender ces nouvelles législations ?
Suivant la devise d’ADS Consulting «comply now before you are obliged to», nous dirons que : «Appréhensions non, préparations oui !» Les exemples pris ci-dessus sont pertinents puisque nous parlons là de deux secteurs (BPO et financier) qui collectent et traitent énormément de données à caractère personnel appartenant à une clientèle mauricienne et/ou à des résidents européens. Ceux opérant dans ces secteurs d’activités seront donc sujets aux deux lois: la Data Protection Act 2017 pour Maurice et le RGPD. Ils auront donc une obligation légale de mettre en place des mécanismes de sécurité adéquats pour s’assurer que les données à caractère personnel sont sécurisées. Cela inclut des procédures, des systèmes et des outils souvent complexes d’un point de vue opérationnel certes, mais ce sera un investissement à court terme qui assurera la pérennité de l’entreprise sur le long terme. Il faut donc s’y préparer et vite !
BUSINESS MAGAZINE. Peuton s’attendre à des retombées positives d’un point de vue commercial résultant du fait que Maurice est en conformité avec le RGPD ?
Il faut voir les enjeux sous des angles différents. D’une part, les échanges commerciaux existants avec l’Europe bénéficieront positivement du fait que Maurice est en conformité avec la nouvelle réglementation. Cela démontre notre adaptabilité en matière légale et notre modernisme juridique qui ne fera que renforcer la confiance de la clientèle européenne dans l’immédiat, et du monde entier par la suite, en nous comme partenaire commercial. D’autre part, les entreprises européennes auront dorénavant une obligation légale de s’assurer que les compagnies avec lesquelles elles font du business, adoptent des mesures adéquates sur la protection des données à caractère personnel. Donc, avec la nouvelle Data Protection Act 2017, Maurice se positionne en tant que juridiction sûre et conforme pour faire du business en Europe et ailleurs dans le monde.
BUSINESS MAGAZINE. Qu’en est-il des coûts financiers qu’il faut encourir pour être en conformité avec le RGPD et la Data Protection Act ?
Le vécu d’ADS Consulting en matière de la mise en place de tels projets nous permet de confirmer qu’il n’y a pas de coûts standards. Ce qu’il faut comprendre, c’est que tout dépend de l’activité et de la taille d’une entreprise et du type de données qu’elle collecte et traite. Cela dépend aussi si une entreprise possède l’expertise, les outils adéquats, la technologie voulue en interne ou s’il faudra recourir à l’aide en externe. L’investissement financier d’une entreprise de taille moyenne engagée dans le secteur du global business, par exemple, ne sera pas comparable à l’investissement d’une grande banque ayant plusieurs branches à Maurice et dans d’autres pays.
