RGPD à Maurice : le guide pour une entreprise qui sert l'Europe

Une entreprise mauricienne peut être pleinement soumise au RGPD sans avoir le moindre bureau en Europe : il suffit qu'elle offre des biens ou des services à des personnes situées dans l'UE, ou qu'elle suive leur comportement. C'est l'effet extraterritorial de l'article 3 — et il se cumule avec le Data Protection Act mauricien, sans jamais s'y substituer.
Article 3 : les deux déclencheurs qui traversent les frontières
Le RGPD s'applique à une entreprise établie hors de l'Union dans deux cas définis par son article 3. Premier déclencheur : l'offre de biens ou de services à des personnes situées dans l'UE, même gratuite. Ce qui compte, c'est le ciblage : un site en français avec des prix en euros, une livraison proposée vers l'Europe, une clientèle démarchée à Paris ou à Bruxelles. Second déclencheur : le suivi du comportement de personnes situées dans l'UE — cookies de profilage, analyse comportementale des visiteurs européens de votre site, publicité ciblée.
À l'inverse, un touriste européen qui achète spontanément chez un commerçant purement local ne déclenche pas, à lui seul, l'application du texte : c'est l'intention de cibler qui compte. Troisième voie d'entrée, indirecte mais fréquente à Maurice : la sous-traitance. Si vous traitez des données pour le compte d'un client européen — BPO, hébergement, développement, support — l'article 28 vous impose des obligations contractuelles précises, que vos clients répercutent systématiquement.
RGPD + Data Protection Act 2017 : cumul, pas substitution
Le Data Protection Act 2017 s'applique de toute façon à vos traitements réalisés à Maurice. Bonne nouvelle : les deux textes partagent la même philosophie — base légale, finalité déterminée, droits des personnes, sécurité, encadrement des transferts. Une conformité DPA menée sérieusement couvre donc une grande partie du chemin.
Le RGPD ajoute néanmoins ses exigences propres : la désignation d'un représentant dans l'Union, la notification des violations à l'autorité de contrôle compétente sous 72 heures, et le régime des transferts de son chapitre V, qui s'ajoute à celui du DPA. Sur le volet hébergement, nous avons détaillé cette articulation dans DPA mauricien + RGPD : où héberger les données de vos clients.
Le représentant dans l'UE : l'obligation la plus oubliée
L'article 27 impose aux entreprises hors UE soumises au règlement de désigner par écrit un représentant établi dans un État membre où se trouvent les personnes concernées. Ce représentant sert de point de contact aux autorités de contrôle et aux personnes qui exercent leurs droits ; il doit être mentionné dans vos informations de confidentialité.
Des exemptions existent — traitements occasionnels, pas de données sensibles à grande échelle, risque limité pour les personnes — mais elles se démontrent, elles ne se présument pas. En pratique, des services spécialisés proposent cette représentation pour un coût modeste ; son absence, elle, se voit immédiatement lors d'une due diligence et fragilise toute votre posture de conformité.
Transferts UE → Maurice : sur quelle base ?
Maurice ne bénéficie pas d'une décision d'adéquation de la Commission européenne. Le flux de données personnelles d'un client européen vers vos systèmes mauriciens est donc un transfert au sens du chapitre V, qui repose en pratique sur les clauses contractuelles types (SCC), complétées par des mesures techniques réelles : chiffrement, contrôle des accès, journalisation. Le choix de l'hébergement pèse directement sur cette démonstration — nous y consacrons un guide : où stocker les données de vos clients européens ?
Et si vous êtes sous-traitant, l'article 28 exige un contrat de traitement précis avec chacun de vos clients : instructions documentées, sécurité, encadrement de la sous-traitance ultérieure, assistance. Notre checklist du sous-traitant RGPD transforme ces obligations en points de contrôle.
Premières mesures : la checklist
Cet article présente les principes généraux du RGPD et ne constitue pas un conseil juridique : faites valider votre analyse par un conseil spécialisé avant de trancher les cas limites.
- Cartographiez vos traitements : quelles données de personnes situées dans l'UE, pour quelle finalité, sur quelle base légale, vers quels pays.
- Vérifiez le déclencheur de l'article 3 pour chaque activité : ciblage, suivi de comportement ou sous-traitance pour un client européen.
- Tenez un registre des traitements — et, si vous êtes sous-traitant, le registre des catégories d'activités menées pour vos clients.
- Désignez un représentant dans l'UE, sauf exemption démontrée de l'article 27.
- Encadrez vos transferts : clauses contractuelles types signées, mesures techniques documentées, hébergement dont la chaîne d'accès s'explique en une page.
- Préparez la procédure de violation : détection, qualification, notification sous 72 heures — testée, pas seulement écrite.
- Alignez le tout avec votre conformité DPA pour ne faire le travail qu'une fois — et pour un état des lieux, demandez un diagnostic.
Comment SOVALYX peut vous aider
Pour une entreprise mauricienne soumise au RGPD, SOVALYX commence par cartographier vos flux : où vivent les données de vos clients européens, qui y accède, sur quelle base. Un cloud privé hébergé à Maurice, avec journaux d'accès complets et chaîne de sous-traitance courte, rend ensuite vos transferts et votre sécurité démontrables en quelques pages. La supervision 24/7 sous SLA et un PRA automatisé et testé apportent les garanties de l'article 32 que vos clients et leurs auditeurs demandent.
Parler conformité avec un ingénieur🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.
Relu et optimisé par IA.