Maître Lina Fassi-Fihri, une avocate discrète à la tête d’un bureau international

Maître Lina Fassi-Fihri, avocate marocaine au barreau de Paris, se fait démarquer par ses différentes casquettes. Récemment nommée à la tête du bureau de Casablanca d’un cabinet d’avocats d’affaires internationales, elle est aussi déléguée à la protection des données (DPO). Ses domaines d’expertise sont multiples : droit social, droit des sociétés, droit commercial, ainsi que la réglementation liée à la protection des données personnelles. Sa première vocation ? Conserver les droits des salariés.

Entretien.

MAROC DIPLOMATIQUE : Me Fassi-Fihri, vous êtes avocate au Barreau de Paris. Récemment vous avez été nommée à la tête du cabinet d’avocats LPA-CGR à Casablanca, où vous êtes l’une des associés depuis 2012. Que représente pour vous cette nomination ? Est-ce que vous vous y attendiez ?

 Me Lina Fassi-Fihri : Il s’agit d’une Co-nomination, puisque nous sommes deux à gérer ce bureau. Evidemment, c’est une consécration de notre travail et du travail de toute une équipe qui fait la différence. En effet, LPA-CGR est un cabinet qui fait l’exception, car nous sommes pratiquement à la parité homme-femme.

Pour moi, c’est une joie et une chance à la fois. Et j’espère être un modèle pour les jeunes consoeurs qui arrivent, parce que c’est un métier difficile et les avocates abandonnent très souvent leur carrière, au bout d’une dizaine d’années. En revanche, il y a peu d’associés au féminin, encore moins de managing partner. Je pense que c’est tout simplement une façon de dire à ces femmes que c’est possible, sans pour autant abandonner sa vie personnelle.

MD : Vous avez entamé votre carrière il y a 13 ans déjà et vous intervenez sur les aspects de l’accompagnement juridique des entreprises et particulièrement en droit du travail. Pourquoi cette vocation ?

Me L.F.F : C’est un parcours qui s’est fait en plusieurs étapes, mais c’est vrai que le fil conducteur a toujours été pour moi le fait d’aider et d’assister. D’autant plus que je suis aussi intéressée par le fait de créer de la valeur. Ces deux volets m’ont fait apprécier le contact avec les managers qui veulent créer des emplois et c’est ce qui m’a ramenée au droit social, pour essayer non seulement de conserver les droits des salariés, mais aussi de sécuriser les emplois.

MD : Vous êtes aussi déléguée à la protection des données (DPO). Pourriez-vous nous expliquer vos missions dans cette fonction ?

 Me L.F.F : C’est une fonction issue du règlement général européen relatif à la protection des données personnelles (RGPD). En ce qui me concerne, c’est une nouvelle expertise que j’ai développée en 2008, parce que je me suis aperçue qu’en droit social, il y avait aussi des problématiques liées à la protection des données personnelles des salariés. C’est un sujet qui m’a intéressée personnellement et j’ai voulu l’appliquer dans mon domaine d’activité.

 Le rôle du DPO, entre autres, est de mettre en conformité l’entreprise à la réglementation de la protection des données personnelles. C’est une fonction qui n’existe pas encore au Maroc. Toutefois, il y a des entreprises marocaines qui font partie de groupes internationaux et qui requièrent un DPO. Ce dernier est le garant de l’application de la réglementation marocaine et européenne. Parmi les missions, le DPO est appelé à sensibiliser, former les managers, ainsi que toutes les personnes clés dans chaque département.

Par ailleurs, ce délégué devrait également remonter aux responsables les risques que l’entreprise risque d’encourir en cas d’infraction à la loi.

Quant au profil d’un DPO, il peut être quelqu’un nommé en interne, mais qui doit porter une casquette juridique pour pouvoir comprendre les textes de loi et aussi connaître l’activité de l’entreprise, ainsi qu’une connaissance de l’IT. Dans ce cadre, l’entreprise peut aussi solliciter quelqu’un en externe, pouvant être un expert, un avocat ou un consultant dans un cabinet.

MD : Le RGPD, entré en vigueur depuis 2018, s’applique en dehors de l’UE dans certains cas aux entreprises marocaines. Dans quelles situations celles-ci peuvent-elles être concernées ?

Me L.F.F : Effectivement, la particularité de ce règlement européen est que le législateur a souhaité que la protection englobe toute la chaîne. Le RGPD s’applique en dehors de l’UE dans deux cas de figure : lorsque les entreprises offrent des biens ou des services à des résidents européens ou lorsqu’elles sont des sous-traitantes d’entreprises situées en UE soumises au RGPD.

Les entreprises marocaines opérant dans le secteur de l’offshoring (centres d’appels, développement de logiciels, traitement de paie…), sont donc particulièrement concernées par cette nouvelle réglementation et ont l’obligation de se mettre en conformité. De la même façon, les entreprises marocaines exerçant dans le secteur bancaire, du tourisme ou des télécoms sont visées par cette réglementation dès lors qu’elles proposent des biens ou des services à des résidents européens.

MD : En matière de protection des données personnelles, quelles sont les sanctions que risquent d’encourir les entreprises marocaines non conformes à la réglementation ?

 Me L.F.F : D’abord, il y a un risque contractuel parce que, généralement, leur donneur d’ordre ou leur société mère peut les obliger à se conformer au RGPD. Mais en cas de violation de cette obligation, l’entreprise risque de subir des sanctions. Ce règlement européen prévoit des sanctions pécuniaires très importantes, à savoir, des pourcentages du chiffre d’affaires qui peuvent arriver jusqu’à des millions d’euros, le risque de perte des clients, etc.

MD : D’un point de vue juridique, estce que la réglementation marocaine est contraignante dans le domaine de protection des données personnelles ?

 Me L.F.F : Oui, en effet, il faut savoir que la loi n° 09-08 relative à la protection des données à caractère personnel existe depuis 10 ans déjà, chose qui n’est pas courante en Afrique. En revanche, son application reste limitée. Ce texte de loi reprend pas mal de choses du RGPD, qui est assez contraignant et qui accorde beaucoup de droits en contrepartie. Notons que la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a un pouvoir contraignant aussi.

MD : En tant que DPO, pourriez-vous nous expliquer ce que c’est « la reconnaissance faciale » ?

 Me L.F.F : C’est une technique qui permet, à partir des traits du visage, d’authentifier une personne, c’est-à-dire de vérifier qu’une personne est bien celle qu’elle prétend être (dans le cadre d’un contrôle d’accès) ou de l’identifier, en d’autres termes, de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données.

MD : Récemment, nous avons assisté au lancement d’un débat international au sujet de la reconnaissance faciale. Certes, c’est une innovation pleine de promesses, mais qui pose également de sérieux problèmes d’éthiques, notamment en ce qui concerne la surveillance et le respect de la vie privée. A votre avis, faut-il autoriser, interdire ou encadrer l’utilisation de cette technologie ?

Me L.F.F : Encadrer, évidemment, parce que c’est très difficile d’interdire l’utilisation de cette technologie. Il est important de déterminer la fin derrière l’utilisation de cette technologie, si c’est destiné à authentifier ou identifier l’individu. Ce n’est pas une technologie infaillible non plus. Quant au Maroc, je trouve que la CNDP a eu la bonne réaction, en demandant un débat avec tous les acteurs concernés avant de sortir une délibération adaptée.

MD : Qu’en est-il justement chez nous ? Y a-t-il une réglementation en vigueur ?

Me L.F.F : Au niveau de la loi 09-08, il y a des dispositions relatives aux données biométriques qui ne peuvent pas être traitées sauf autorisation préalable de la CNDP. Cette autorité de contrôle joue son rôle justement dans l’encadrement du traitement des données personnelles. Toutefois, nous sommes en train d’attendre la délibération de cette commission.