RGPD à Maurice : le guide pour une entreprise qui sert l'Europe

· 4 min de lecture · SOVALYX Technologies

PARTAGER

Une entreprise mauricienne peut être pleinement soumise au RGPD sans avoir le moindre bureau en Europe : il suffit qu'elle offre des biens ou des services à des personnes situées dans l'UE, ou qu'elle suive leur comportement. C'est l'effet extraterritorial de l'article 3 — et il se cumule avec le Data Protection Act mauricien, sans jamais s'y substituer.

Article 3 : les deux déclencheurs qui traversent les frontières

Le RGPD s'applique à une entreprise établie hors de l'Union dans deux cas définis par son article 3. Premier déclencheur : l'offre de biens ou de services à des personnes situées dans l'UE, même gratuite. Ce qui compte, c'est le ciblage : un site en français avec des prix en euros, une livraison proposée vers l'Europe, une clientèle démarchée à Paris ou à Bruxelles. Second déclencheur : le suivi du comportement de personnes situées dans l'UE — cookies de profilage, analyse comportementale des visiteurs européens de votre site, publicité ciblée.

À l'inverse, un touriste européen qui achète spontanément chez un commerçant purement local ne déclenche pas, à lui seul, l'application du texte : c'est l'intention de cibler qui compte. Troisième voie d'entrée, indirecte mais fréquente à Maurice : la sous-traitance. Si vous traitez des données pour le compte d'un client européen — BPO, hébergement, développement, support — l'article 28 vous impose des obligations contractuelles précises, que vos clients répercutent systématiquement.

RGPD + Data Protection Act 2017 : cumul, pas substitution

Le Data Protection Act 2017 s'applique de toute façon à vos traitements réalisés à Maurice. Bonne nouvelle : les deux textes partagent la même philosophie — base légale, finalité déterminée, droits des personnes, sécurité, encadrement des transferts. Une conformité DPA menée sérieusement couvre donc une grande partie du chemin.

Le RGPD ajoute néanmoins ses exigences propres : la désignation d'un représentant dans l'Union, la notification des violations à l'autorité de contrôle compétente sous 72 heures, et le régime des transferts de son chapitre V, qui s'ajoute à celui du DPA. Sur le volet hébergement, nous avons détaillé cette articulation dans DPA mauricien + RGPD : où héberger les données de vos clients.

Le représentant dans l'UE : l'obligation la plus oubliée

L'article 27 impose aux entreprises hors UE soumises au règlement de désigner par écrit un représentant établi dans un État membre où se trouvent les personnes concernées. Ce représentant sert de point de contact aux autorités de contrôle et aux personnes qui exercent leurs droits ; il doit être mentionné dans vos informations de confidentialité.

Des exemptions existent — traitements occasionnels, pas de données sensibles à grande échelle, risque limité pour les personnes — mais elles se démontrent, elles ne se présument pas. En pratique, des services spécialisés proposent cette représentation pour un coût modeste ; son absence, elle, se voit immédiatement lors d'une due diligence et fragilise toute votre posture de conformité.

Transferts UE → Maurice : sur quelle base ?

Maurice ne bénéficie pas d'une décision d'adéquation de la Commission européenne. Le flux de données personnelles d'un client européen vers vos systèmes mauriciens est donc un transfert au sens du chapitre V, qui repose en pratique sur les clauses contractuelles types (SCC), complétées par des mesures techniques réelles : chiffrement, contrôle des accès, journalisation. Le choix de l'hébergement pèse directement sur cette démonstration — nous y consacrons un guide : où stocker les données de vos clients européens ?

Et si vous êtes sous-traitant, l'article 28 exige un contrat de traitement précis avec chacun de vos clients : instructions documentées, sécurité, encadrement de la sous-traitance ultérieure, assistance. Notre checklist du sous-traitant RGPD transforme ces obligations en points de contrôle.

Premières mesures : la checklist

Cet article présente les principes généraux du RGPD et ne constitue pas un conseil juridique : faites valider votre analyse par un conseil spécialisé avant de trancher les cas limites.

Comment SOVALYX peut vous aider

Pour une entreprise mauricienne soumise au RGPD, SOVALYX commence par cartographier vos flux : où vivent les données de vos clients européens, qui y accède, sur quelle base. Un cloud privé hébergé à Maurice, avec journaux d'accès complets et chaîne de sous-traitance courte, rend ensuite vos transferts et votre sécurité démontrables en quelques pages. La supervision 24/7 sous SLA et un PRA automatisé et testé apportent les garanties de l'article 32 que vos clients et leurs auditeurs demandent.

Parler conformité avec un ingénieur

🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.

Relu et optimisé par IA.