Les banques marocaines tenues de se mettre en conformité avec la réglementation européenne.

Le process mobilise de nombreuses ressources. Explications.

Par A.E 

Le Règlement général sur la protection des données (RGPD) est une nouvelle réglementation européenne entrée en vigueur en mai 2018, qui modifie en profondeur les règles sur la protection des données personnelles sur le Vieux continent.

Bien que d’essence européenne, cette loi n’est pas sans conséquence sur les banques opérant au Maroc. En effet, le RGPD se base sur 2 critères d’application. Il s’agit, d’une part, du «critère d’établissement» qui concerne toute entité traitant de données personnelles et établie sur le territoire de l’Union européenne et, d’autre part, du «critère de ciblage», qui concerne toute entité hors de l’UE, traitant les données de personnes se trouvant sur le territoire de l’UE.

Critère d’établissement

«Les banques marocaines peuvent être soumises à double titre au règlement de la RGPD», souligne Frédéric Philibert, associé Directeur général du bureau de Casablanca du cabinet Ailancy, cabinet de conseil en management spécialisé dans l’industrie financière*. «D’abord, parce que certaines d’entre elles, notamment Attijariwafa bank, la Banque Centrale Populaire et BMCE Bank of Africa disposent de filiales basées au sein de l’Union (critère d’établissement)», explique-t-il. Ces structures-là, selon notre interlocuteur, sont déjà en conformité avec le RGPD, et ce depuis le 25 mai 2018.

Par ailleurs, certaines structures européennes, filiales ou non des banques marocaines, sous-traitent une partie des traitements (Business Process Outsourcing) à des entités basées au Maroc. «A date, nous ne pouvons pas dire si ces structures sont RGPD compliant», précise F. Philibert.

Critère de ciblage

Si le critère d’établissement ne concerne que les grandes banques, le critère de ciblage, lui, implique toutes les banques basées au Maroc. Et pour cause, «toutes les banques marocaines, sans exception, disposent dans leurs fonds de commerce des clients MRE, résidant au sein de l’Union», rappelle notre expert. Le nombre de MRE basés en Europe et qui sont clients d’établissements bancaires marocains est difficile à estimer.

Mais gardons en tête, pour avoir un ordre de grandeur, que la BCP, à elle seule, revendique un million de clients «Marocains du monde», dont une part importante réside en Europe.

En outre, certaines banques marocaines disposent de filiales implémentées dans de nombreux pays d’Afrique. «Au même titre que le Maroc, ces filiales disposent d’une diaspora importante dans l’Union européenne. Pour toutes ces structures hors UE, seules certaines d’entre elles commencent tout juste à initier des études pour se mettre en conformité», nous apprend F. Philibert.

Pas une sinécure

Cette mise en conformité avec le RGPD n’est pas anodine pour les banques et peut impliquer de lourds changements sur le plan organisationnel. «Il s’agit d’une philosophie nouvelle où la donnée personnelle prend une place de choix au sein de l’organisation et des systèmes d’information. En fonction de la flexibilité et de l’intégration des outils informatiques (Core Banking System et des autres systèmes opérants), ainsi que l’agilité de l’organisation, la mise en conformité avec le RGPD peut être fastidieuse. Et cela a un effet multiplicateur pour les groupes bancaires installés sur plusieurs pays», résume notre interlocuteur.

Ce dernier nous explique que différents chantiers sont à mener, tels que «la mise en œuvre opérationnelle du RGPD, les évolutions informatiques pour accompagner cette mise en œuvre opérationnelle, la mise en place d’une nouvelle gouvernance de la donnée, et éventuellement, l’accompagnement de sous-traitants, etc.».

De tels chantiers occuperont les banques pendant encore plusieurs mois. D’après F. Philibert, «selon nos différents retours d’expérience, la durée et l’ampleur d’un tel projet dépend de nombreux critères et peut s’étaler sur une période de 6 à 24 mois». ◆

(*) Ailancy dispose actuellement d’une équipe de 130 collaborateurs, dont 20 basés à Casablanca. Le bureau de Casablanca, disposant du statut CFC, accompagne à l’échelle de l’Afrique des acteurs multi secteurs. Le cabinet a récemment accompagné de nombreux acteurs pour leur mise en conformité avec la RGPD en France, à des envergures différentes, dont notamment Crédit Agricole SA, Rothschild, Natixis, BforBank, BPCE, etc.