S’il est certain que le RGPD vise en premier lieu les sociétés établies sur le territoire de l’Union européenne (UE), qu’elles agissent en qualité de responsable de traitement ou de sous-traitant, son champ territorial est étendu et peut concerner des entreprises établies et exerçant leur activité en dehors de l’UE. Pour rappel, le responsable de traitement est l’entité qui détermine les moyens et finalités du traitement mis en œuvre alors que le sous-traitant, au sens du règlement, est l’entité qui traite les données à caractère personnel pour le compte du responsable de traitement.
La France est le premier partenaire économique du Maroc et cela se traduit par de multiples formes d’interaction : société mère française ayant une filiale au Maroc, prestataires français mis à disposition de sociétés marocaines, sociétés marocaines sous-traitantes d’activité de sociétés françaises… Au surplus, les Marocains résidents en France et disposant d’une double nationalité sont également visés par des offres de services qui les concernent directement, proposées notamment par des promoteurs immobiliers ou des banques marocaines.
Il faut toutefois se garder d’adopter une interprétation trop extensive du texte qui consisterait à considérer que, dès qu’un citoyen ou un résident européen est concerné par un traitement de données, le RGPD s’applique et rappeler que sa mise en œuvre s’apprécie au regard d’un traitement considéré.
Quels sont les critères d’applicabilité ?
Les sociétés établies au Maroc sont soumises au RGPD dans deux cas :
- une application directe compte tenu de la nature du traitement et du lieu d’établissement des personnes concernées ;
- une application par le jeu des contraintes imposées aux responsables de traitement européens qu’ils répercuteront sur leurs sous-traitants hors UE, au Maroc.
L’application directe du RGPD
Outre le critère d’établissement au sein de l’UE de l’entité qui traite les données, le Règlement pose un deuxième critère alternatif d’application, susceptible d’intéresser un grand nombre de sociétés de droit marocain.
L’article 3.2 du RGPD vise en effet les traitements de données à caractère personnel d’individus se trouvant dans l’UE, mis en œuvre par un responsable de traitement ou un sous-traitant non établi dans l’Union « lorsque les activités de traitement sont liées : a) À l’offre de biens ou de services à ces personnes concernées dans l’Union […] ou ; b) Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union […] ».
Il faut ainsi noter que cette application directe concerne autant les responsables de traitement que les sous-traitants. Ce critère, basé sur la nature du traitement en cause et la qualité des personnes concernées, cible donc, d’une part, les offres de biens ou services et, d’autre part, le suivi de comportement, c’est-à-dire le profilage.
L’offre de biens ou de services. Seront donc concernées, non seulement toutes les sociétés marocaines qui proposent leurs biens ou services sur Internet à des personnes établies dans l’UE, mais encore celles qui délivrent des prestations, en qualité de sous-traitant, à des sociétés qui offrent elles-mêmes leurs biens ou services à des personnes au sein de l’UE. Ainsi, à titre d’exemple, l’éditeur d’un site de e-commerce offrant ses biens au public de l’UE devra se conformer au RGPD, mais également les prestataires informatiques qui permettent au site Internet de fonctionner tels que les prestataires d’hébergement situés au Maroc. Dans cet exemple, le prestataire d’hébergement agit, en effet, en qualité de sous-traitant d’une entité qui propose des biens à destination des personnes, situées dans l’UE.
Cependant, le RGPD ne s’appliquera pas si le service ou le bien est seulement consultable via Internet sans être proposé effectivement dans l’Union. En pratique, cela suppose donc que, dans le cadre de services payants ou de ventes, le paiement puisse s’effectuer en euro, que le site Internet soit consultable dans la langue du pays de l’Union visé et que les livraisons soient effectuées dans le pays européen concerné.
Le profilage des personnes établies au sein de l’UE. Il s’agira notamment des outils de traçage tels que les cookies. Les entreprises du digital marocaines qui développent et gèrent de telles techniques à leur compte ou pour le compte d’autres sociétés (aux fins, par exemple, de pratiquer de la publicité ciblée) qu’elles soient responsables de traitement ou sous-traitant, seront donc soumises de droit au RGPD si les traitements qu’elles mettent en œuvre visent le comportement de personnes concernées au sein de l’UE.
Une application par ricochet
Les sociétés établies au Maroc qui agissent en qualité de sous-traitants de responsables de traitement soumis de droit au RGPD, seront également susceptibles, par système de ricochet, d’avoir à respecter les prescriptions du Règlement. En effet, il est imposé au responsable de traitement de prendre toutes les mesures appropriées pour s’assurer que le traitement qu’il met en œuvre est conforme au RGPD (article 24).
Aussi, toute entreprise établie au Maroc qui aura à mettre en œuvre des traitements pour le compte d’entreprises soumises au Règlement, se verra appliquer les mêmes contraintes réglementaires. Les entreprises agissant dans les activités de call center et, plus largement, celles qui externalisent certaines activités de responsables de traitements européens (système de fiche de paye, édition de compte bancaire, maintenance informatique, hébergement de données etc.) doivent ainsi se préparer à respecter les exigences du RGPD.
Du côté des sociétés françaises donneurs d’ordre et en pratique, elles devront contraindre contractuellement leurs sous-traitants marocains au respect de cette réglementation, notamment en matière de sécurité. Au-delà d’un simple contrat incluant une clause RGPD ou d’un avenant à un contrat préexistant, les sociétés basées en France responsables de traitement devront s’assurer concrètement que ces obligations sont respectées au moyen d’audits réguliers.
Quelques cas en pratique
Compte tenu du champ élargi de la réglementation européenne, la question de l’application du RGPD sera susceptible de se poser dans de grands nombres d’hypothèses. La solution dépendra de la qualification juridique retenue pour les différents intervenants laquelle nécessite une analyse juridique rigoureuse.
À titre d’illustration, on peut évoquer deux cas de traitements mis en œuvre dans le cadre de groupes de sociétés.
Les traitements de données des Marocains résidents en UE mis en œuvre par une filiale européenne
Le premier cas porte sur les traitements de données de citoyens marocains mis en œuvre par une filiale européenne pour le compte d’une société mère marocaine. Une société marocaine qui propose aux citoyens marocains vivant en UE, des services de locations saisonnières situées au Maroc, confie à sa filiale localisée en France la collecte des données des futurs locataires et leur traitement pour son compte afin d’exécuter le service au Maroc. Dans cette hypothèse, bien que le service soit réalisé au Maroc, la filiale française mandatée, agissant en qualité de sous-traitant est, quant à elle, située au sein de l’UE. Par application de l’article 3.1 du RGPD, tous les traitements mis en œuvre par un responsable de traitement ou un sous-traitant dont l’activité est exercée sur le territoire de l’UE, quand bien même lesdits traitements aient lieu hors de l’UE, sont soumis au Règlement. Dès lors, ce traitement devra se conformer aux prescriptions du Règlement.
Le cas des banques marocaines disposant de filiales en Europe et proposant des services notamment aux Marocains résidents en UE mérite également une attention particulière. En effet, une banque marocaine peut confier à sa filiale européenne la mission de commercialiser ses services bancaires, par tout moyen, tel que le démarchage, l’intermédiation en opération de banque, la publicité, etc. La banque mère exécute alors, au Maroc, ses services bancaires commercialisés en France par sa filiale. Dans ce cadre, la filiale collecte des données à caractère personnel des Marocains résidents à l’étranger (MRE) aux fins de les transmettre à la banque mère pour que ces derniers puissent souscrire les services bancaires exécutés au Maroc. Dans ce cas, il faudra analyser l’applicabilité du RGPD à l’aune de la localisation du service exécuté et la portée de la notion de « service offert au public de l’UE ». En l’espèce, il conviendra d’approfondir la réflexion sur la séparation de deux services qui, en droit bancaire, sont distincts : d’une part, celui de la commercialisation exécutée par la filiale en France et, d’autre part, celui de la conclusion et de l’exécution du service bancaire par la mère au Maroc.
Il conviendra également d’analyser l’application du RGPD au regard de la qualité en vertu de laquelle chacune des entités met en œuvre le traitement de données personnelles et de la qualification de la relation qu’elles entretiennent entre elles, afin de déterminer qui est responsable de traitement, ou si elles sont coresponsables ou si l’une d’elles est sous-traitante de l’autre et en fonction de la qualification, aménager ces relations.
La question des salariés, citoyens de l’UE, détachés ou expatriés
Plus délicat est le second exemple retenu : la question des salariés, citoyens de l’UE, détachés ou expatriés. Un salarié, citoyen de l’UE, travaillant au sein de la société mère exerçant une activité en France se voit confier un nouveau poste dans une filiale de ce groupe située au Maroc. Dans ce contexte, la société marocaine est amenée à collecter et à traiter les données à caractère personnel de ce salarié, à tout le moins pour des finalités liées à la gestion des ressources humaines de l’entreprise au Maroc. La filiale marocaine doit-elle se conformer au RGPD ? La réponse est subordonnée aux circonstances dans lesquelles ce salarié exerce ses nouvelles fonctions au Maroc. Au cas d’espèce, le traitement des données de ce salarié à des fins RH est sans rapport avec le traitement de données personnelles dans le cadre d’une offre de biens ou services à distance visée par l’article 3.2 du texte. Il n’entre donc pas dans le champ de l’article précité. L’établissement originel en France dudit salarié est donc, en l’espèce, sans incidence sur l’application du RGPD.
Si le salarié exerce au Maroc, en ayant au préalable rompu tout lien de subordination avec la société mère en Europe et qu’on assume que cette dernière n’agit pas en qualité de sous-traitant de sa filiale marocaine, la société marocaine devient le seul responsable de traitement des données de son salarié dans l’exercice des fonctions de celui-ci au Maroc. Aussi, le traitement considéré est-il mis en œuvre par une société marocaine, pour une finalité intéressant son activité au Maroc, opéré sur le territoire marocain. Celui-ci ne devrait donc pas être soumis au RGPD.
Au contraire, si le salarié demeure dans un lien de subordination avec la société mère française dans le cadre de ses fonctions au Maroc, la société mère, en qualité d’employeur devrait rester le responsable de traitement des données de son salarié puisqu’elle devrait être la seule entité à même de déterminer les finalités et les moyens de traitement concernant son employé et en demeurer responsable. En présence d’un responsable de traitement situé en UE, ce traitement devra se conformer au RGDP et notamment aux dispositions en matière de transferts de données hors UE si ces données sont communiquées à la filiale marocaine. Mais quid de la filiale marocaine qui est susceptible de recevoir les données de ce salarié, et de les traiter, notamment afin de lui donner accès aux locaux ou de lui configurer un espace de travail dans son système d’information ? Sa qualité, qui dépendra du contexte dans lequel elle opère les traitements considérés, devra s’apprécier au regard des faits : la filiale traite-t-elle ces données sur instruction et pour le compte de la société mère, détermine-t-elle seule les finalités et les moyens des traitements, agit-elle de concert avec la société mère ? La filiale pourra ainsi recevoir, selon les cas, la qualité de sous-traitant, coresponsable de traitement avec la société mère ou responsable de traitement.
