RGPD & DPA : la protection des données personnelles à Maurice

À Maurice, la loi sur la protection des données de 2017 (Data Protection Act - DPA 2017) a remplacé la loi sur la protection des données de 2004 (Data Protection Act 2004), modernisant sensiblement le cadre de protection des données personnelles. Le DPA 2017 s'aligne étroitement sur le RGPD, positionnant l'Île Maurice en conformité avec les normes mondiales en matière de confidentialité et offrant une protection renforcée des données personnelles. Si vous fournissez des biens ou des services à des résidents de l'UE, faites en sorte de vous conformer aux deux législations.

Les points communs entre le DPA 2017 et le RGPD

Le DPA 2017 et le RGPD partagent de nombreux principes et exigences fondamentaux pour la protection des données personnelles. Tous deux mettent l'accent sur des pratiques de traitement des données responsables et sécurisées. Les principaux points communs sont:

• Principes fondamentaux: Légalité, équité, transparence, limitation des finalités, minimisation des données, exactitude et limitation de la conservation.  
• Droits des personnes concernées: Accès, rectification, effacement, limitation du traitement et opposition.  
• Responsabilité: Obligation pour les organisations de démontrer leur conformité .  
• Obligations clés comme:  
  • Consentement : Libre, spécifique, éclairé et univoque.
  • Mesures de sécurité : Mesures techniques et organisationnelles appropriées.
  • Analyse d'impact relative à la protection des données (AIPD) : Pour les traitements à haut risque.
  • Accord responsable du traitement-sous-traitant : Contrat écrit définissant les responsabilités. Choix de sous-traitants offrant des garanties appropriées.
  • Registre des activités de traitement : Tenue d'un registre détaillé**.**
  • Notification des violations de données : Notification aux autorités et, le cas échéant, aux personnes concernées.

Les différences entre le DPA 2017 et le RGPD

Le DPA 2017 impose des obligations spécifiques telles que l'enregistrement des responsables de traitement et des sous-traitants auprès de l'autorité de contrôle, ce qui n'est pas requis par le RGPD. De plus, le DPA 2017 exige la notification de toutes les violations de données à l'autorité de contrôle, tandis que le RGPD se concentre sur les violations présentant un risque élevé pour les droits et libertés des individus.

Le DPA 2017 se distingue également par son caractère pénal, prévoyant des sanctions pouvant aller jusqu'à l'emprisonnement. En revanche, le RGPD est principalement de nature civile et prévoit des amendes administratives considérables. D'autres différences notables concernent la portée géographique, les 
autorités de contrôle, les conditions de licéité du traitement et certaines procédures spécifiques.

Les transferts transfrontaliers de données

Le transfert de données personnelles d'un pays à un autre, est un enjeu majeur dans le paysage de la protection des données. Le DPA 2017 de Maurice et le RGPD de l'Union européenne ont tous deux des dispositions spécifiques pour réguler ces transferts.

L'article 36 du DPA 2017 énonce les différents critères pour les transferts à l'étranger, tels que la preuve de garanties appropriées fournies au Commissaire, le consentement, entre autres. Il est important de noter que Maurice a signé la Convention 108+ du Conseil de l'Europe, étant le premier pays africain à le faire. La signature de la Convention 108+ devrait faciliter les transferts de données, notamment vers les pays membres du Conseil de l'Europe. Cela positionne également Maurice comme un pays où la protection des données est élevée, renforçant ainsi la confiance des partenaires internationaux.

Le DPA 2017 offre un cadre solide pour la protection des données personnelles, assurant un niveau de protection élevé pour les individus. Les entreprises internationales souhaitant transférer des données personnelles vers Maurice doivent recourir à des garanties alternatives, telles que les Clauses Contractuelles Types (Standard Contractual Clauses) ou les Règles d'Entreprise Contraignantes (Binding Corporate Rules), afin de respecter les exigences du RGPD en matière de transferts transfrontaliers de données. Cependant, des efforts sont en cours pour obtenir une décision d'adéquation, ce qui simplifierait les transferts de données et alignerait davantage Maurice avec les normes de protection des données de l'UE. 

C’est quoi une analyse d'impact sur la protection des données (AIPD) ?

L'analyse d'impact sur la protection des données (AIPD) est un outil indispensable pour toute organisation traitant des données personnelles. Elle permet d'identifier, d'évaluer et de maîtriser les risques liés à la protection de ces données. Étant obligatoire sous le RGPD et le DPA 2017, en particulier pour les traitements à haut risque, l'AIPD guide les organisations dans la mise en place de mesures de sécurité adaptées. 

À Maurice, le Bureau de protection des données personnelles a publié un guide sur les opérations de traitement à haut risque. Ce guide aide les organisations à déterminer si leurs activités de traitement présentent un risque élevé pour les droits et libertés des individus. Si le traitement est jugé à haut risque, les responsables de traitement à Maurice doivent remplir un formulaire d'AIPD et le soumettre au Data Protection Office pour consultation.

En se conformant au DPA 2017 et au RGPD, les entreprises mauriciennes ne se contentent pas de respecter la loi, elles renforcent également leur image de marque, fidélisent leurs clients et limitent les risques de réputation.

Vous souhaitez faire le point sur votre conformité avec ces lois ?

Contactez notre partenaire BDO IT Consulting qui propose une gamme de services adaptés aux besoins spécifiques de chaque organisation.