Dans quel cadre le Maroc a-t-il adopté la loi sur la protection des données personnelles ?

Le Maroc a lancé la stratégie Maroc Numérique qui s’inscrit dans le plan Emergence. Or dans cette stratégie, il y a un volet sur la confiance numérique pour pouvoir attirer les investisseurs. Par exemple, concernant les zones offshore, pour qu’un certain nombre d’opérateurs européens puissent s’installer au Maroc, ils devaient « déplacer » des données de citoyens européens. Or les lois européennes exigent que le pays destinataire de ces données dispose de lois du même niveau en termes de protection des données personnelles.

Ces lois s’inscrivent dans ce qu’on appelle la protection de la vie privée : « privacy » dans les pays anglo-saxons, « informatique et libertés » en France, et chez nous au Maroc on parle de la protection des données à caractère personnel. Au Maroc, il s’agit de l’article 24 de la Constitution, de la loi 09-08 ; mais aussi de la déclaration des droits de l’homme et des directives européennes. Nous sommes donc dans le cadre d’un droit international de la protection des données d’une personne, c'est-à-dire son nom, prénom, un certain nombre d’éléments l’identifiant directement ou indirectement, son numéro de carte d’identité nationale ou un numéro d’immatriculation… Mais il y a également des données qualifiées par la loi de sensibles, telles que l’état de santé, les opinions politiques, religieuses, syndicales… La loi 09-08 a donc bousculé un certain nombre d’opérateurs.

Quelles sont les obligations du collecteur de toutes ces données ?

Tout responsable de traitement, organisme public ou privé, à partir du moment où il collecte un certain nombre de données personnelles sur ses salariés, clients, fournisseurs… doit les protéger et ne doit pas en faire n’importe quel usage.

Il arrive pourtant à tout un chacun d’être dérangé sur son mobile avec des propositions de téléchargement de chansons… sans avoir donné son autorisation. Comment réagir dans ce cas ?

Il y a effectivement l’aspect de la prospection commerciale sauvage telle que les SMS, les spam… Les opérateurs disent que ce n’est pas eux, mais en tout état de cause, vous pouvez exercer votre droit d’opposition en les saisissant par écrit, et ils sont sensés obéir à votre droit d’opposition.

Si je reçois un SMS intempestif sur mon mobile, est ce que je dois saisir mon opérateur ?

C’est une problématique que nous allons essayer d’adresser avec les opérateurs. Dans le cas où le SMS est anonyme, pour télécharger de la musique du numéro 409 par exemple, lorsque j’envoie le SMS suivant « En vertu de la loi 09-08, j’exerce mon droit d’opposition à votre égard pour ne plus m’envoyer ce genre de message, autrement, un recours légal sera exercé contre vous », c’est un serveur automatique qui me répond « la syntaxe du SMS est erronée, vous pouvez télécharger des tonalités en toute simplicité… ». Dans ce cas il faudrait vous adresser à votre opérateur téléphonique afin qu’il décline l’identité du numéro de l’entreprise qui vous a envoyé le SMS et à ce moment là vous pourrez adresser votre plainte. Vous trouverez un modèle de plainte téléchargeable sur le site de la Commission nationale de contrôle de la protection des données à caractère personnel (cndp.ma), et il est même possible de renseigner le formulaire de plainte en ligne.

Pour en revenir aux bonnes pratiques, un opérateur a l’obligation légale de sécuriser les données personnelles qu’il collecte. Comment cela se traduit-il dans la pratique ?

Il existe plusieurs dimensions : tout d’abord il faut que l’organisme qui collecte vos données vous informe de vos droits et de vos recours, c'est-à-dire le droit d’information, le droit d’opposition et le droit de rectification, à travers un certain nombre de mentions légales qui doivent figurer sur le site web, le formulaire, le règlement des jeux concours… La finalité de la collecte doit être également clairement notifiée et la proportionnalité est également importante. Si une entreprise collecte trop de données par rapport à la finalité de sa collecte, c’est un abus qui sera régulé par la loi.

Combien de temps l’entreprise doit-elle et peut-elle conserver les données qu’elle a collectées ?

La loi prévoit une durée de conservation, ce que nous appelons le droit à l’oubli, c'est-à-dire qu’il faut préciser, pour chaque donnée, sa durée de conservation. Au-delà de cette durée, l’entreprise ne doit plus être en possession de ces données. Tout cela doit être bien sûr mentionné dans la déclaration que fait l’entreprise au CNDP et pour la durée, elle s’aligne généralement sur les autres textes de loi pour la conservation, avec une petite marge.

-   Dans l’exemple d’une tombola, si le jeu dure quelques mois, il va falloir conserver les données en termes de mois et non d’années.

-   Dans le cas dans des registres de certaines administrations ou entreprises qui vous demandent de remplir des données personnelles mais aussi des données sensibles comme votre numéro de carte d’identité nationale, la durée de conservation doit être très limitée dans le temps. Le registre devrait être détruit au bout de quelques semaines puisqu’il sert à sécuriser les biens et les personnes et assurer l’activité normale du responsable de traitement et donc un vol ou autre est rapidement constatable. L’astuce est d’utiliser de petits registres et non les grands qui durent 2 ou 3 ans !

Quels sont les reflexes que doit avoir le citoyen pour se prémunir contre l’usage frauduleux de ses données personnelles ?

Lorsqu’on lui tend un formulaire pour remplir des données, le citoyen doit tout d’abord vérifier que figure la mention légale qui stipule que le formulaire a été déclaré à la CNDP, avec le numéro d’autorisation attribué par la CNDP, ainsi que la finalité de la collecte des données. Si le traitement n’a pas été déclaré, tout le processus est illégal et donc le citoyen n’a pas de garantie de son droit à l’information ni de la sécurisation des ses données personnelles.

Quelles sont les pénalités qu’encourent les entreprises en cas de non respect de la loi 09-08 ?

Il y a des pénalités jusqu’à 300.000 DH et des peines d’emprisonnement si un organisme n’a pas respecté les exigences de la loi.

Mais il faut savoir que cette loi est particulière parce que les opérateurs n’ont rien changé à leur activité, alors même qu’ils doivent se conformer à cette loi et que le dernier délai était fixé au mois de novembre 2012.

Les juges marocains ont-ils été formés pour pouvoir évaluer de tels préjudices ?

Le plan Maroc numérique prévoyait tout un volet de formation des juges pour les préparer à l’ère numérique. Par exemple, dans la cas d’un vol de clé USB, le préjudice va être évalué sur la base de la clé vide alors même que votre préjudice réel porte sur le contenu. Or il faut comprendre que la donnée a en elle-même une valeur et doit être protégée. Sur ce volet, il existe plusieurs initiatives mais il n’y a pas de réel programme, elles auraient dû être mutualisées pour gagner en efficacité.

A défaut de communication du CNDP, quelles ont été les premières entreprises à se mettre en conformité avec la loi 09-08, en vous basant sur les clients du cabinet Consilium?

Les opérateurs téléphoniques, les compagnies d’assurances, les banques, les mutuelles… Les entreprises qui détiennent des données de santé sont sensibles à cette loi car justement ces données sont considérées comme sensibles par la loi et peuvent porter préjudice à la personne. Par exemple si le client d’une banque se fait refuser un crédit parce que la banque a eu accès à ses données de santé, il aura perdu le droit de bénéficier d’un droit donc cela peut être très pénalisant, c’est pour cela que nous sommes très regardants sur les données de santé. Les compagnies d’assurances et les mutuelles sont donc les premières à aller dans le sens de la conformité.

Mais il y a aujourd’hui d’autres activités qui ont déjà commencé le processus de conformité. C’est le cas notamment des entreprises qui, pour pouvoir être certifiées, doivent attester qu’elles remplissent toutes les exigences légales qui régissent leur activité.

Cliquez ICI pour télécharger la loi 09-08 relative à la protection des données à caractère personnel.

Lien hypertexte pour télécharger le PDF : cliquez ICI.