Opinions - 01.06.2018

La GDPR et l’obligation de s’y conformer : à la fois un risque et une opportunité pour la Tunisie

La GDPR et l’obligation de s’y conformer : à la fois un risque et une opportunité pour la Tunisie

Tout d’abord, il est important de rappeler quelques chiffres sur les relations économiques UE-Tunisie. En effet, l’UE demeure la première destination des exportations tunisiennes à presque 75% en 2017. C’est également la première source des importations à hauteur de 54% en 2017. La part des exportations des non-résidents est traditionnellement supérieure à celle des résidents (60% contre 40% respectivement en 2017). D’ailleurs, pour l’année 2017, plus de 80% des échanges commerciaux des non-résidents ont été facturés en Euros et réalisés avec l’UE. Les exportations des résidents pour la même année ont été facturés pour 60% en Euro, ce qui montre le niveau de dépendance de la Tunisie au commerce extérieur avec l’UE. Des cas particuliers peuvent attirer l’attention dans le secteur des services, par exemple, celui des centres d’appels offshore à destination des pays de l’UE (France en premier) emploi plus de 20.000 personnes et génère plus de 250 millions d’Euros de chiffre d’affaire annuels.

En revanche, les échanges commerciaux ne sont pas le seul critère de dépendance. Si on part du principe que les trois quarts des tunisiens de l’étrangers sont en Europe, la dépendance s’étend à leurs transferts annuels en devises qui représentent 4 milliards de TND, soit 5% du PIB dont 70% en cash. On parle là de 20% de l’épargne nationale !

Sur le volet touristique, le quart des touristes que la Tunisie accueille sur son sol viennent de pays de l’UE, et génèrent donc une part significative des 2.400 MDT (2015) à 3.500 MDT (2010) de recettes.

Bien entendu, l’échange commercial, dans un sens comme dans un autre, est également accompagné par un échange de données transactionnelles, de documents d’identification des signataires et des parties prenantes. Au vu des obligations comptables et réglementaires, ces engagements croisés doivent être stockés sur des supports numériques aussi longtemps que la législation le recommande. La fourniture d’un service à distance suppose également qu’un opérateur physiquement présent sur le sol tunisien ait accès à des données d’un client qui n’en est pas forcément conscient.  Aussi, la mobilité des personnes génère des traces de leurs passages sur les systèmes douaniers, mais également celle des hôtels, des compagnies aériennes et autres agences de voyages.

Avec l’entrée en vigueur de la législation GDPR que l’on peut s’interroger sur les obligations des acteurs économiques tunisiens ? Il est bien évident, eu égard aux chiffres sus cités, que l’impact économique risque d’être considérable.

La GDPR est un règlement européen sur la protection des données personnelles promulgué au mois d’avril 2016, et entré en vigueur le 25 mai 2018, dont l’objectif est de protéger les données personnelles des citoyens européens, dans tous les pays du monde et quelque soit l’objet et l’acteur de traitement.

Chaque pays Européen est en charge de faire respecter ce règlement à travers une instance dédiée nationale, qui dispose d’une compétence mondiale pour la protection des données de ses citoyens.

La question n’est pas de se demander si la Tunisie doit être conforme à la GDPR mais quel est le risque de ne pas être conforme.

Bien sur certains dirons que « c’est du cinéma », « une usine à gaz », « que cela ne sera jamais mis en œuvre », mais qui est capable d’assumer un risque à 20 M€ ?

En effet le règlement européen prévoit une amende 4% du chiffre d’affaire mondial ou 20 M€ (l’amende la plus élevée des deux étant retenue) pour les infractions graves à la GDPR.
Ainsi pour une grande entreprise tunisienne ayant un CA de 500 M€ (1.5 Millard de TND) et une multitude de filiales, il suffit qu’une filiale (centre d’appel ou SSII au CA de 500 000 TND) soit en faute pour que groupe écope d’une amende de 20 M€.

La situation est encore plus grave lorsque l’entreprise Tunisienne est sous-traitante d’un opérateur téléphonique, d’une compagnie d’assurance ou d’un constructeur aéronautique européen, un simple contrat de sous-traitance de 300 000€ peut générer une amende pour le client de 1.2 Milliard d’Euros.

Pensez-vous qu’après une crise pareille, la Tunisie garde un seul de ses clients européens?

Même avec des coûts de sous-traitance inférieurs de 80%(1)  le risque demeure trop important pour les donneurs d’ordres.

La Tunisie après avoir été «black listée» dans la finance alors que l’un de ses voisins a réussi à créer une « place financière africaine » prend le risque de faire disparaitre 300 000 emplois.

Des secteurs clefs sont sur exposées à la GDPR : la banque, l’assurance, les télécoms, le tourisme, le numérique et les centre d’appel…

Certains secteurs sont exposés à travers leur sous-traitance avec l’Europe, d’autres parce qu’ils traitent des données de citoyens européens, et en premier lieu les 900 000 binationaux.
Bien sûr retorqueront certains mais les autorités de contrôleeuropéennes ont d’autres priorités !
Hélas, NON pour 3 raisons,:

  • La première c’est que la gestion hors d’Europe des données personnelles est un enjeu stratégiquedans le cadre du règlement qui a donné lieu a des mois de discussions avec les GAFA et même à la nomination d’un ambassadeur au Danemark pour négocier avec les géants du net(2). L’Europe a même créé une procédure spécifique pour cette sous-traitance le BCR(3) (Binding Corporate Rules). Si Google et Facebook n’y échappent pas il y a peu de chances que les entreprises Tunisiennes soient épargnées.
  • La seconde, c’est qu’à l’occasion du passage à la GDPR, les donneurs d’ordres ont l’obligation de revoir leurs politiques de sous-traitances et qu’ils ne pourront laisser du temps aux sociétés tunisiennes, d’autres pays étant conformes comme la Roumanie ou le Maroc...
    Les concurrents démarchent déjà les entreprises françaises pour faire valoir leurs conformités (appuyés dans certains cas par leurs gouvernements), avec une arme imparable, « si vous ne dénoncez pas le contrat avec cette société non conforme, vous prenez le risque d’une dénonciation qui vous serait fatale ».
    Le mot est lâché la dénonciation par un concurrent est le premier risque pour les entreprises tunisiennes dans cette compétition mondiale.
  • La troisième est que n’importe quel client, fournisseur ou collaborateur pourraà l’occasion d’un conflit, personnel, collectif, commercial ou salarial (une grève par exemple) dénoncer une atteinte à la conformité.
    Ainsi des passagers binationaux, mécontents d’un retard d’avion, des salariés en conflit avec leur employeur pourront dénoncer une non-conformité, pire dans certains cas, ils pourront la créer !

Par ailleurs, la GDPR s’accompagne de la possibilité de déposer une plainte collective, ainsi des avocats pourraient proposer des actions collectives contre des assurances, des operateurs télécom, des compagnies aériennes, la CNIL(4) ne pourra alors qu’emboiter le pas de la procédure civile et sanctionner à son tour. C’est le principe de la double peine, bien connue des entreprises ; un contrôle social entraine souvent un contrôle fiscal et vice versa.

Aujourd’hui qui peut prendre ce risque pour son entreprise, son client et son pays ?

Qui peut aujourd’hui garantir que les données sont sécurisées, que les fichiers ne contiennent pas de commentaires interdits, que les archives papiers et les agendas personnels sont conformes GDPR(5) … ?
Si les concepts de la GDPR semblent ardus de prime abord, le règlement n’est pas plus compliqué que la mise en œuvre de la conformité BALE ou de la mise en œuvre d’un certification ISO (9001, 27001,).

Comment contourner l’ensemble de ces risques?

Une équipe de consultants certifiés à la GDPR mettra en œuvre la conformité en 3 semaines pour une entreprise de taille moyenne (moins de 200 personnes, sans filiales et traitements particuliers) et en moins de 3 mois pour des entreprises plus importantes.

La majorité des consultants sont outillés avec des logiciels dédiés permettant de réaliser la phase d’audit en moins d’une semaine.

La contrainte est la disponibilité de consultants certifiés et de DPO(6)

Au regard de la date fatidique du 25 mai, il apparait que ceux qui n’ont pas encore commencé la procédure de conformité prennent un risque énorme, en cas de contrôle une entreprise pourra prouver sa bonne fois en présentant son diagnostic et le déploiement encours de la conformité, hélas pour les autres ils risquent de servir d’exemple et d’être condamnés à de lourdes amendes.

Comment transformer la contrainte de la GDPR en une véritable Opportunité?

En dépit de son aspect contraignant, le RGDP (le nouveau Règlement européen sur la protection des données) offre aux entreprises un avantage concurrentiel et stratégique considérable.
Toute la question est de savoir comment convertir une lourde contrainte à un levier de force ?
De prime abord, le RGDP s’annonce comme un fardeau réglementaire insaisissable et par consé-quence difficilement transposable dans toutes les chaines de la production notamment lorsque l’on se penche sur le Privacy by design et tout le « tralala » qui s’en suit…certains chefs d’entreprises vont jusqu’à même croire qu’il est inopportun de repenser leurs activités en fonction de ce Règlement et préfèrent continuer à « vivre comme si rien n’était », loin de l’ouverture de grands chantiers pour lesquels ils n’ont pas forcément prévu le temps et les ressources nécessaires, ni l’envie d’ailleurs !

Néanmoins, se voiler la face ne fait pas nécessairement disparaitre la contrainte et encore moins ses conséquences qui peuvent être douloureuses aussi bien pour les entreprises réfractaires que pour leurs sous-traitants qui feront preuve de la même légèreté d’esprit vis-à-vis du RGDP, et les sanctions prises récemment par la CNIL sont là pour faire un rappel à l’ordre à ces entreprises un peu trop insouciantes, nous citons à titre d’exemple la mise en demeure adressée à la DIRECTE ENERGIE par la CNIL en date du 05/03/2018 pour absence de consentement à la collecte des données de consommation issues d’un compteur communicant LINKY et des données de consommation quotidiennes, en lui accordant un délai de 3 mois pour se mettre en conformité.

Les messages envoyés par la CNIL n’ont pas été perçus par tous du même angle de vue, certaines entreprises ont cultivé depuis plusieurs mois voire depuis l’adoption du fameux Règlement par L’UE au mois d’avril 2016, un intérêt pour son contenu et elles se sont penchées sur une réflexion en amont pour intégrer les normes du RGDP au sein de leurs entreprises.

Une lecture qui déconstruit « le marketing de la peur » que nos entreprises ont à tort ou à raison subi et qui démontre que contrairement à l’idée répandue le RGDP n’est pas un fardeau mais plutôt une opportunité pour innover et se démarquer de ses concurrents.

Outre des avantages de l’innovation et de la concurrence que le fameux Règlement nous offre, il cumule un troisième avantage qui est celui de l’optimisation du parcours client et de la stratégie marketing, puisque dans le cadre de la cartographie des données, une entreprise sera amenée àaméliorer au fil de l’eau la priorisation des profils qu’elle souhaite collecter et de recréer un lien d’interaction avec ses clients pour qui elle aura gagné en confiance puisqu’elle leur démontre que leur consentement est requis pour le traitement de leurs données à caractère personnel ; rien de mieux pour maintenir et fidéliser ses clients !

La transformation numérique impose aux entreprises d’être centrées sur le client « Customer centric », cette organisation ne peut se mettre en place sans une remise en plat des processus et des données clients.

La mise en conformité GDPR va permettre de réaliser une cartographie des données et des processus clients, permettant à l’entreprise de s’aligner sur ces nouvelles exigences opérationnelles « customercentric ».

La mise en place d’une procédure de conformité impose de former tout le personnel, sur les bonnes pratiques, pourquoi arrêter la formation GDPR et ne pas former tous els collaborateurs à la compliance et à la démarche client.

La GDPR est donc une formidable opportunité client, qui nécessité de renforcer et de prouver sa transparence.
Qui parmi nous aujourd’hui accepterai de voir ses numéros de cartes bancaires piratés ou ses achats personnels livrés sans notre consentement à tout le monde ?
La GDPR impose d’avoir une politique de risque et de sécurité, c’est donc l’occasion de se prémunir contre les risques numériques (piratage, rançonning, …), mais aussi de revoir son contrat d’assurance et de s’assurer des bonnes garanties.

Le fondement de la GDPR est la transparence, offrir de la transparence a ses clients, ses fournisseurs et ses collaborateurs est un moyen de renforcer la confiance et de donner de la valeur à toutes relations. La confiance est à la base du commerce mais aussi du salariat, grâce à la GDPR vous pourrez franchir un cap, renforcer vos liens et votre crédibilité.
Alors pourquoi s’en priver ?

M. Christian Jean
(expert du GDPRLAB, Consultant Stratégie Digitale,
Dr. Achraf AYADI Expert Banque Finance,
Mme Sondés JEAN LABIDI, experte GDPRLAB, juriste / DPO)
www.gdprlab.com

(1) En moyenne dans les services les couts tunisiens sont inférieurs de 20 à 40% des couts français
(2) http://www.lemonde.fr/big-browser/article/2017/02/07/le-danemark-va-envoyer-un-ambassadeur-numerique-au-pays-de-google-et-facebook_5076124_4832693.html
(3) https://www.cnil.fr/fr/les-bcr-regles-internes-dentreprise
(4) CNIL pour la France
(5) La RGDP inclus toutes les données personnelles quelque soit le support et la date de saisie : agenda papier, dossiers archivés…
(6) Data PrivacyOfficer obligatoire pour de nombreuses entreprises, et nécessitant de nombreuses expertises rares

 

Vous aimez cet article ? partagez-le avec vos amis ! Partager Abonnez-vous
commenter cet article
0 Commentaires
X

Fly-out sidebar

This is an optional, fully widgetized sidebar. Show your latest posts, comments, etc. As is the rest of the menu, the sidebar too is fully color customizable.