Le Règlement Général sur la protection des données personnelles (RGDP), entre en vigueur le 25 mai 2018. Il procède à une réforme importante et ambitieuse de la protection des données à caractère personnel dans les pays membres de l’Union Européenne (UE) avec des impacts certains sur les des pays tiers telles que les entreprises africaines.

La protection des données à caractère personnel constitue un enjeu économique et stratégique d’importance à l’ère de l’économie numérique marquée par un décloisonnement des relations commerciales. La vitalité de ces dernières repose notamment, sur la collecte et le traitement des données et en particulier de celles à caractère personnel dont le transfert participe de la proposition de valeurs de ces agents économiques qui peuvent toucher le marché européen à partir de n’importe quelle région du monde.

A ce propos, si le RGDP n’apporte pas de modifications majeures aux règles applicables au transfert vers des pays tiers des données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert, il convient toutefois de noter des ajustements aux règles applicables aux entreprises des pays tiers (dont les entreprises des pays africains).

Il convient par ailleurs de préciser que très peu de pays africains disposent de cadres réglementaires et institutionnels dédiés à la protection des données à caractère personnel et qu’au surplus, lorsque lesdits cadres existent, ils n’apportent pas toutes les garanties appropriées quant à la protection des données à caractère personnel. Aussi, les entreprises africaines doivent elles-mêmes mettre en œuvre les différentes mesures pour se conformer au RGDP.

RGDP : êtes-vous concernés ?

Il convient tout d’abord de préciser que le RGDP est d’application territoriale illimitée. Aussi, toutes les entreprises même situées hors de l’UE, sont concernées par les règles que le règlement énonce si elles ont une activité au sein de l’UE ou orientée vers l’UE à condition :

  • de procéder pour leur propre compte à des traitements de données de personnes situées sur le territoire européen. Il s’agit en l’occurrence d’entreprises qui mettent en œuvre des traitements de données à caractère personnel :
    • dans le cadre d’offres de biens ou de services à destination de personnes résidant dans l’UE (par exemple entreprises d’e-commerce, Fintech…)
    • ou à des fins de profilages.
  • ou d’offrir leurs services à des entreprises ou à des organismes publics européens. C’est notamment, le cas des sous-traitants qui procèdent au traitement de données à caractère personnel relatives à des clients, à des utilisateurs, à des usagers, à des employés ou encore à des fournisseurs :
    • les prestataires de maintenance et d’hébergement,
    • les intégrateurs de logiciels,
    • les sociétés de sécurité informatique,
    • les SSII,
    • les agences de marketing ou de communication qui traitent des données pour le compte de leurs clients
    • les prestataires de services de « hotline » informatique,
    • ou encore les centres d’appel ou centres de contacts clients.

Cette obligation concerne également les transferts ultérieurs (portant sur les données initialement transférées de l’Europe vers le pays ou l’organisation internationale tiers) réalisés du pays tiers ou de l’organisation tiers vers d’autres pays ou organisations tiers.

Quels risques encourez-vous en cas de non-conformité au RGDP ?

La non-conformité aux dispositions du RGDP emporte des conséquences d’ordre pécuniaire, juridique et commercial pour les entreprises africaines :

  • sur le plan pécuniaire, le RGDP durcit les sanctions encourues en cas de violation ou d’absence de conformité en prévoyant des pénalités pécuniaires pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus important étant retenu; 
  • sur le plan juridique, le RGDP prévoit un partage de responsabilité entre les entreprises responsables du traitement et leurs sous-traitants en cas de manquement aux obligations en la matière. Ceux-ci encourent de lourdes sanctions administratives et même pénales; 
  • sur le plan commercial, faute de garantie appropriée quant au niveau de protection conforme (niveau de protection lié à la sécurité et à la confidentialité des données personnelles notamment) :
    • les contrats en cours entre les sous-traitants africains et les entreprises ou organismes publics européens pourraient en toute légalité être résiliés; 
    • et l’accès au marché européen compromis pour les entreprises africaines en l’absence de justifications et de garanties de conformité au RGDP.

Comment vous conformer au RGDP ?

Les entreprises africaines doivent au plus vite intégrer les normes européennes de la protection des données personnelles. A ce propos, les dites entreprises doivent adopter des bonnes pratiques sur la base des préconisations du règlement.

Par ailleurs, il conviendrait préalablement pour ces entreprises de réaliser un audit de leurs propres pratiques (identification et évaluation). Cela leur permettrait de procéder à des ajustements impliquant notamment l’élaboration d’une documentation et des procédures additionnelles.

En agissant de la sorte, les entreprises africaines pourraient:   

  • préserver leurs relations commerciales,
  • maintenir un avantage concurrentiel et
  • se prémunir des risques précités.

Enfin, il conviendrait de recourir pour cela à l’aide notamment, de professionnels du droit pour vous accompagner dans ce travail de conformité tant sur le plan contractuel que sur le plan du conseil et de la formation.