Qui est concerné par ce règlement ?

Tout organisme (entreprise, collectivités, associations etc.) quels que soient sa taille, son paysd’implantation et son activité, peut être concerné. En effet, le Rgpd s’applique à toute organisation,publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

• qu’elle est établie sur le territoire de l’Union européenne ;

• que son activité cible directement des résidents européens.

Le Rgpd concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. 

Qu’est-ce qu’une donnée personnelle ?

Une “donnée personnelle” est “toute information se rapportant à une personne physique identifiée
ou identifiable”. Une personne peut être identifiée :

•Directement (exemple : nom, prénom) ;
•Indirectement (exemple : par un identifiant (n°client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

Qu’est-ce qu’un traitement de données personnelles ?

Un “traitement de données personnelles” est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement). Ce traitement concerne aussi les fichiers papiers.

Un traitement de données doit avoir un objectif, une limitation de finalité et de conservation, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour.

À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.

Les grands principes 

•Le Privacy by Design et by default : Prise en compte de la protection de la vie privée dès la
conception d’un service ou d’un produit et au plus haut niveau possible par défaut.
•L’accountability : Logique de responsabilisation reposant sur l’autocontrôle des mesures prises pour garantir la conformité des traitements de données et la prouver.

Le Consentement : est une démarche active de l’utilisateur, explicite et de préférence écrite, qui
doit être libre, spécifique, et informée. 

•Transparence : Le principe-clé de transparence de la finalité des traitements est étroitement lié à celui de consentement dans la mesure où il le rend possible de manière explicite et éclairé.

Droits des personnes : L’un des buts de la réforme européenne est d’octroyer davantage decontrôle et de visibilité aux résidents européens grâce à un ensemble de droits dont certains sont nouveaux : droit à l’information, droit de rectification, droit d’effacement ou « droit à l’oubli », droit à la portabilité des données, droit d’opposition et d’autres encore.

•La sécurité : les données personnelles doivent faire l’objet de mesures de sécurité particulières, informatiques et physiques.

L’impact du Rgpd sur les sociétés comoriennes ?

Les Comores font partie de la trentaine de pays africains qui n’ont pas encore de loi sur la protection des données personnelles ni d’autorité qui veille à son application, contrairement à 20 autres nations qui ont déjà mis en place une législation, dont 8 ont également installé une autorité compétente en charge de ce dossier. Les effets sur le continent africain sont inévitables et l’Afrique ne pouvait échapper à une “adhésion” à cette nouvelle loi qui doit entrer en vigueur le 25 mai prochain vue que le Rgpd a un champ d’action extraterritorial comme indiqué précédemment.

Concrètement si vous êtes une société comorienne et que vous offrez des services ou des bien (gratuites ou payantes) à des personnes résiden tes en Ue, vous êtes concernées par la mise en conformité au Rgpd.

Les risques en cas de non-conformité ?

Les risques en cas de non-conformité peuvent être lourds en cas de violation de données : 10 à 20 millions d’euros ou 2 à 4% du chiffre d’affaire mondiale (si vous êtes un groupe).

Etant donné que le Rgpd interdit aux entreprises européennes d’envoyer des données personnelles en Afrique, ou ailleurs, tant que les organismes destinataires n’auront pas donné de garanties de protection et de sécurisation des données, la mise en conformité va devenir tout simplement un critère de sélection pour les sociétés européennes qui choisiront ainsi que des sociétés qui sont conformes au Rgpd.

Que faire pour les sociétés comoriennes ?
- Se former à cette nouvelle réglementation (dirigeants et collaborateurs) 
Faire un état des lieux, gérer le risque et mesurer le niveau de maturité de son système d’information.

Cartographier les différents traitements des données personnelles

- Prioriser la mise en conformité
- Faire une analyse d’impact sur la vie privée de
chaque traitement
- Organiser les procédures internes
- Documenter la conformité
- Se faire labéliser et certifier avec la norme ISO
27001.

Conclusion

Les entreprises comoriennes doivent prendre le Rgpd comme une opportunité et doivent donc mettre les moyens humains, techniques, juridiques et financiers pour aller vers cette conformité.

En effet cela permettra certainement de rassurer les clients européens actuels et d’enconquérir d’autres qui seront rassurés par la démarche et donnera une bonne image de marque de l’entreprise.

Sheo Technology et ses partenaires sont disposés à accompagner les entreprises comoriennes sur ce type de projet.