Il y a encore du chemin à faire dans la protection des données personnelles! C’est ce que dévoile le rapport de contrôle élaboré par la CNDP attestant que la majorité écrasante des sites web marocains ne font guère preuve de transparence dans la collecte et le traitement des données personnelles. 

Les articles de la loi 09-08 relative à la "protection des personnes physiques à l'égard du traitement des données à caractère personnel", imposent des exigences à l’image des standards internationaux en la matière.

"Outre le volet économique qui a érigé cette loi dans le cadre de la stratégie Maroc Numeric, l’article 24 de la Constitution de 2011 relatif à la protection de la vie privée reflète la dimension politique qui représente un enjeu capital, consacrant ainsi une importance majeure à la protection des données personnelles", affirme Mounim Zaghloul, directeur général du cabinet de conseil Consilium, dans une déclaration à Médias24. 

"Cette démarche s’inscrit également dans le cadre d’un droit universel à l’ère du numérique, repris par plusieurs législations internationales au sein desquelles se place le Maroc et qui mettent la protection des données personnelles au cœur de leurs politiques réglementaires", ajoute-t-il.

Les principes fondamentaux de la loi marocaine gravitent principalement autour de :

-          Le droit à l’information des personnes concernées;

-          Le consentement de la personne concernée;

-          Le respect des droits d’accès, d’opposition et de rectification;

-          La collecte adéquate, pertinente et non excessive des données personnelles au regard des finalités;

-          Le traitement des données personnelles collectées de manière loyale et licite et dans la limite des missions du responsable du traitement;

-          Le respect de la finalité du traitement des données personnelles;

-          Le respect de la durée de conservation des données personnelles;

-          La confidentialité et la sécurité des données personnelles.

"Plusieurs acteurs n’ont pas pris au sérieux cette loi… à tort !", remarque l’expert. Il explique que le Maroc s’est engagé pour s’aligner et être en adéquation avec les exigences européennes en la matière, ce qui implique une mise en conformité de l’ensemble des acteurs, dans le secteur public et le secteur privé (grandes entreprises, PME et TPE).

"Par conséquent, il y a un effort à fournir en termes de rigueur par rapport à cette loi. Les secteurs habitués aux conformités législatives ont entrepris les démarches de conformité, comme les établissements bancaires et les assurances. D’un autre côté, nous trouvons des TPE et PME qui ne considèrent pas cette loi comme une priorité, ce qui les expose à des sanctions susceptibles de compromettre leurs activités, malgré le fait que la CNDP a développé sa doctrine en élaborant plusieurs délibérations à même de faciliter les démarches de mise en conformité".

En effet, le chapitre VII de la loi 09-08 prévoit des sanctions civiles et pénales qui sont applicables selon l’ampleur de l’infraction. Les personnes assujetties peuvent être exposées à une amende de 10.000 DH à 300.000 DH et/ou écoper de deux mois à deux ans de prison.  

De nombreuses violations de la loi

La première et récente campagne de contrôle des sites web 2014, dévoile un irrespect flagrant de ces principes. Celle-ci a porté sur un échantillon de 104 sites web, opérant dans des secteurs variés, publics et privés.

Le contrôle s’est basé sur une grille d’évaluation standard qui a considéré, entre autres, les droits des personnes concernées, la notification des traitements à la CNDP, le principe de proportionnalité, l’utilisation des cookies, etc.

Il en ressort que :

-99% des sites web ne recueillent pas de consentement auprès des internautes pour collecter et traiter leurs données personnelles et 80% des sites web n’affichent pas la demande de consentement. Le législateur punit le défaut de consentement d'un emprisonnement de trois mois à un an et/ou d'une amende de 20.000 à 200.000 DH, selon l’article 4 de la loi.

-95% des sites web privent l’intéressé de ses droits d’accès, de rectification et d’opposition. Dans son article 53, la loi punit le responsable de traitement d'une amende de 20.000 à 200.000 DH par infraction.

-Seulement 22% des sites web affichent une mention conforme aux exigences de la loi.

-28% des cas affichent une mention mais qui est incomplète.

-50% des sites contrôlés n’affichent pas de mention relative à la protection des données à caractère personnel.

-Dans 19% des cas, la présence de la demande est aléatoire, puisqu’elle ne figure pas sur la totalité des formulaires de collecte des données.

-28% des sites web communiquent partiellement les informations sur l’identité de son responsable, les finalités du traitement ou les destinataires des données collectées. Dans 71% des cas, ces informations sont totalement absentes.

-Seulement 7% des sites web ont accompli la formalité de notification du traitement à la Commission.

En ce qui concerne l’hébergement des sites à l’étranger, il est constaté qu’aucun des sites concernés n’a obtenu l’autorisation requise auprès de la CNDP.

De plus, des irrégularités ont largement été relevées comme la collecte excessive de certaines données et injustifiée par le traitement, les règles de la prospection directe et  l’utilisation des cookies.

Selon ces résultats, il est urgent de rendre effectif le cadre réglementaire lié à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, et de prendre les mesures nécessaires pour contrer l’insolence vis-à-vis de la loi 09-08, afin d’accompagner un développement sain du secteur numérique marocain et renforcer le droit des individus.