Connectez-vous S'inscrire
PRESSAFRIK.COM , L'info dans toute sa diversité (Liberté - Professionnalisme - Crédibilité)


PRESSAFRIK.COM , L'info dans toute sa diversité (Liberté - Professionnalisme - Crédibilité)



Alerte – Mort programmée de beaucoup d’entreprises en juin 2018 :Le RGPD en "serial killer"

La disparition des entreprises travaillant sur les données personnelles des européens est programmée pour bientôt. Une nouvelle loi européenne très contraignante va entrer en vigueur à partir du 25 mai 2018. Le Règlement Général sur la Protection des Données (RGPD) exige les entreprises européennes de ne plus collaborer ou travailler avec des entités sénégalaises ou des pays en développement tant qu’elles n’apportent pas la preuve par un audit ou une certification que ces données seront traitées dans les mêmes conditions qu’en Europe. Et l’audit ou la certification devra se faire selon les termes du règlement.



Les enjeux économiques des données personnelles se confirment encore de plus en plus. Sous la forte pression de grandes firmes internationales de l’hexagone, l’Union européenne a sorti un règlement très contraignant qui pourrait envoyer au chômage des milliers de personnels d’entreprises évoluant dans le domaine des technologies de l’Information et de la communication (TIC) au Sénégal et en Afrique de manière générale. En effet, à partir du mois de juin, beaucoup de banques et d’entreprises vont devoir fermer ou payer des millions pour se conformer à cette nouvelle loi.
 
 Le Règlement Général sur la Protection des Données (RGPD), applicable à partir du 25 mai 2018, vient modifier en profondeur les pratiques des entreprises en matière de protection des données personnelles. Parmi l’un des principes les plus importants à la base du RGPD, il y a le principe d’accountability.
 
Actuellement, beaucoup d’organismes européens s’activent pour se mettre en conformité avec les nouvelles obligations imposées par le RGPD. Mais cela représente un travail colossal tant la portée de ces nouvelles obligations est large. Entre révision de la politique de confidentialité, tenue d’un registre de traitement et refonte des procédures de traitements, la tâche s’annonce dure d’autant plus que l’échéance des premiers contrôles approche à grands pas. 
 



 

Impact colossal et dangereux pour les entreprises africaines

Comment l'UE va enrichir les cabinets d'audit et de certification
PressAfrik a cherché à en savoir plus. Il s’est ainsi, entretenu avec l’ancien président de la Commission de Protection des Données personnelles (CDP) et conseil juridique de l’Agence de l’Informatique de l’Etat (ADIE), Dr. Mouhamadou Lo. 
Auteur du livre "La protection des données à caractère personnel en Afrique" , il confirme que le RGPD interdit aux entreprises évoluant dans l’espace de l’UE d’échanger des données personnelles avec d’autres entités ne répondant pas à certaines garanties prédéfinies. En d’autres termes, pour le moment seul les cabinets européens seront habilités, avec leurs ordres de prix et exigences, à réaliser ces audits.
 
 «C’est une menace qui est là et dont les gens n’ont pas encore pris conscience. C’est un nouveau règlement qui va entrer en vigueur sous peu en Europe et qui va impacter la gestion,  la collecte et tous les traitements des données personnelles», a alerté l’expert en droit sur les TIC.
Cette nouvelle disposition aura un impact direct sur les sociétés africaines en général et sénégalaises en particulier travaillant avec celles établies dans l’espace de l’Union européenne. Car, indique l’ancien Président de la CDP, la loi européenne interdit très clairement que l’entreprise européenne envoie des données en Afrique ou dans un autre pays sans que cette entreprise soit en mesure de prouver, par des audits ou des certifications que «les données reçues seront sécurisées conformément à leurs exigences».
 


 
 

Banques et centres d'appel, les premières entreprises impactées

Mouhamadou Lo est très clair : «les premières entreprises qui seront impactées par ce règlement ce sont les centres d’appel, les banques et autres structures privées comme publiques travaillant sur des données personnelles qui impliquent des Européens». Si rien n’est fait, ces entreprises risquent tout bonnement la fermeture dans un avenir proche car les sanctions prévues contre les récalcitrants au RGPD sont très importantes.

«Ce Règlement dit en son article 83 que Toute entreprise européenne non conforme à la réglementation sera soumise à une amende égale la plus élevée à deux montants : 20 millions d’Euros ou 4% de son chiffre d’affaires annuel», a indiqué l’expert.
 
Le pire a-t-il souligné, ces certifications seront nécessairement délivrées par des entreprises européennes spécialisées. Or, les ordres de prix et exigences des cabinets européens sont très souvent  hors de portées des PME sénégalaises et Africaines.
 
Le Conseiller juridique de ADIE a confié à PressAfrik deux solutions qui s’offrent aux patronats et Etats africains : se conformer, s’adapter pour permettre à leurs entreprises de faire du business avec l’Europe ou que l’UA, la CEDEAO ou une autre entité communautaire mette en place une législation avec des exigences propres à notre contexte, à nos réalités et que les partenaires européens seront aussi obligés de respecter. Il est d’avis aussi qu’un combat devra être mené au niveau africain, que le Sénégal gagnerait à le diriger,  au vu du nombre d’entreprises menacées.

Ousmane Demba KANE & Ibrahima Lissa FAYE
 


Jeudi 1 Février 2018 - 09:40




1.Posté par Mohamed le 21/05/2018 13:56
Bonjour la certification n'est pas obligatoire pour montrer sa conformité au RGPD. Les sociétés africaines peuvent entamer la démarche de mise en conformité avec la cartographie des traitements, la tenue des registres et l'analyse d'impact.
Si l'analyse montre des risques en terme de sécurité, il faut juste voir pour héberger les données dans un datacenter conforme au RGPD.
Cordialement

2.Posté par kheuch le 29/05/2018 14:02
C'est vrai que cette loi vient de l'Europe et impose un peu les pays africains à se conformer aux pratiques . Vu les faits , les grandes entreprises bancaires ou autres pourront eux même garantir le transfert en matière de sécurité . Ce pendant , je ne sais pas si j'ai bien compris car d’après ce que j'ai lu , on n'est pas obligé en tant que sous traitant d'être certifié mais seulement garantir la sécurité des données personnelles . D'un autre côté l'entreprise européenne qui décide de traiter avec un pays hors d'l'UE doit garantir le transfert . Si je me trompe sur ce point , vous pouvez me le faire savoir .
En outre , c'est vrai qu'une certification pourrait être bénéfique pour une entreprise qui voudrait travailler avec des données européennes .
Question l'Audit , je ne sais pas si c'est une entreprise européenne qui doit s'en occuper obligatoirement .

3.Posté par Mohamed le 29/05/2018 22:07
Bonsoir Keuch
Voici quelques éléments de réponse.
Alors permettez moi de vous corriger car je considère que ce règlement est une très bonne chose et nos pays africains devraient s'en inspirer pour mettre en place leur propre règlement afin de protéger les données de chaque citoyen africain.
Maintenant concernant le rgpd, il a pour but de protéger les données personnelles des entreprises et citoyens européens face surtout à l'utilisation intensive de ces données par les GAFAM ( Google, Apple, Facebook, Amazone et Microsoft) et donc cette si une société africaine doit traiter ce type de données, elle doit s'assurer d'être conforme à ces exigences, si ce n'est pas le cas les sociétés européennes ne pourront pas faire car cette dernière risque une très grosse amende en cas de fuite de données ( 10 millions d'euros dans un 1er temps).
Donc le mieux serait de se lancer dans la démarche de mise en conformité.

Pour la certification notamment l'ISO 27001, il y en Afrique des organismes capables de certifier les entreprises. Cette norme se rapproche à 90% des exigences du RGPD, donc cela donnera une image très positive à l'entreprise qui l'obtiendra.

Pour info, si des sociétés africaines ont besoin de compétences, ma structure est capable de vous aider sur la mise en conformité au RGPD et la certification

N'hésitez pas à aller sur mon blog: www.sheo-tech.fr et me rajouter sur LinkedIn pour échanger: https://www.linkedin.com/in/chaf007/

Cordialement

4.Posté par kheuch le 29/05/2018 23:57
Bonjour Mohamed ,je croies qu'on s'est mal compris ou peut être que mon expression n'a pas été assez claire .Mais quand je dis que l'Europe impose aux autres territoires d'être conforme à la RGPD, cela ne veut pas dire que c'est une mauvaise chose pour les africains . Une imposition n'est pas dans tous les cas mal placée .
LA RGPD , bien sûr sécurise les citoyens et permet aussi aux entreprises d'assainir leurs données et leurs bases de données . Ce qui est bénéfique bien sûr pour eux surtout dans la relation client pour ceux qui pratiquent de vente par exemple et aussi pour avoir une certaine confiance venant de leurs partenaires ( clients,sociétés,.......) .
Mais je voulais attirer l'attention surtout sur les dispositifs prévus par la CNIL dans le cas d'une sous traitance en pays hors UE . Dans ce cas , la permission de faire une opération de ce type passe par différents moyens . La certification n'est pas obligatoire si on se tient à la CNIL . Sachant qu'elle est recommandée comme dans tout domaine . Par contre l'audit est nécessaire .
Je vous invite à regarder surlesite de la CNIL :

https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-derogations-pour-des-situations-particulieres

https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-ce-qui-change-avec-le-reglement-general-sur-la-protection-des-donnees

Cordialement

5.Posté par Mohamed le 30/05/2018 00:05
Bonsoir pour info se mettre en conformité au RGPD comprend évidemment l'audit et cartographie des données mais ce n'est pas suffisant pour prouver qu'on est conforme, il faut suite à l'audit démontrer qu'on a fait une analyse de risque des différents traitements, ensuite il faut mettre en place la sécurité nécessaire pour minimiser le risque de perte de données.

Bonne soirée

6.Posté par kheuch le 30/05/2018 00:18
Re Bonsoir ,
Bien sûr, faire un audit implique bien sûr étudier la sécurité des données et la cartographie . L'analyse de risque des différents traitements pour moi fait partie de l'audit . Ensuite il faut régler les failles bien sûrs pour avoir une bonne conformité .
Je pense qu'on dit la même chose mais de façon différente .

Nouveau commentaire :
Facebook Twitter