menu
Médias24 - Journal économique marocain en ligne
S'abonner Se connecter
search

Données personnelles : les contrôles seront renforcés et les sanctions systématisées (Seghrouchni)

ENTRETIEN. Un durcissement de ton, et surtout des actes. La CNDP connaît un tournant perceptible dans sa jeune vie institutionnelle. Le régulateur ne se contente plus d'éduquer. Il contrôle, instruit et va passer aux sanctions. Le tout en communiquant systématiquement sur ses démarches.

Données personnelles : les contrôles seront renforcés et les sanctions systématisées (Seghrouchni)

Le 19 juin 2023 à 18h00

Modifié 19 juin 2023 à 18h44

ENTRETIEN. Un durcissement de ton, et surtout des actes. La CNDP connaît un tournant perceptible dans sa jeune vie institutionnelle. Le régulateur ne se contente plus d'éduquer. Il contrôle, instruit et va passer aux sanctions. Le tout en communiquant systématiquement sur ses démarches.

En cours, d'importants dossiers (ex. : TLS Contact) viennent appuyer le constat de ce virage de la CNDP, qui constituera désormais une constante. Voire la règle selon Omar Seghrouchni, président de l'instance.

Les risques sont majeurs. Ils impliquent aussi bien les opérateurs privés que publics. Inutile de dérouler l'arsenal coercitif déjà prévu par la loi, avec des peines parfois privatives de liberté (voir tableau en bas de l'article). Sachant qu'avec la refonte attendue de la loi 09-08 et à l'aune des récents engagements internationaux du Maroc, on s'achemine  vers davantage de sévérité, précisément au niveau des sanctions pécuniaires.

Nous avons enclenché les procédures à caractère disciplinaire concernant TLS Contact Maroc, VFS GCC Morocco et BLSMOR Services

Médias24 : Il y a quelques mois, la CNDP faisait une sortie remarquée à propos de TLS contact, soupçonnée de transférer illégalement les données de citoyens au profit d'autorités étrangères. Où en est ce dossier ?

Omar Seghrouchni, président de la CNDP : Nous étudions les conformités des trois sociétés TLS Contact Maroc, VFS GCC Morocco et BLSMOR Services. Les dossiers sont toujours en cours d’instruction. Nous les avons reçus plusieurs fois. Et puis dernièrement, comme le prévoit la loi, nous avons enclenché les procédures à caractère disciplinaire afin que la Commission puisse prononcer, le cas échéant, les sanctions qui s’imposent.

- Jusqu'où pourrait aller ce dossier ? Quels sont les scénarios possibles ?

- La Commission peut décider de l’arrêt des traitements, de la saisie du matériel ou de la transmission du dossier au ministère public qui étudiera la pertinence de la suite à donner. La loi prévoit le non-lieu, l’amende et/ou l’emprisonnement.

L’instruction ira jusqu’aux limites où la loi l’autorise et le lui impose. Opérer un traitement de données à caractère personnel sans le notifier est, d’ores et déjà, selon l’article 52 de la loi 09-08, une infraction.

- Vous avez fait une communication similaire au sujet de la fuite présumée de données d'étudiants sur la plateforme Tawjihi.ma. Vous avez notamment parlé d'infraction à la loi puisque, au-delà de la fuite, le traitement des données par cette plateforme n'avait pas été préalablement notifié à votre institution. Où en est cette affaire ?

- Nous avons plus que communiqué puisque nous avons, pour ce dossier également, reçu les différents acteurs concernés. Plusieurs auditions ont eu lieu. Et là aussi, nous avons engagé les procédures disciplinaires. La Commission ne va pas tarder à annoncer sa décision.

- Avez-vous élucidé les soupçons de fuite ?

- Nous avons pu identifier que, pour la fuite évoquée, l’origine n’est pas le ministère de l’Education nationale, du préscolaire et des sports. Mais souvent, les responsables de traitement pensent que s’ils ne sont pas à l’origine des fuites, ils ne sont pas concernés par la loi et les sanctions. Et pourtant, nous ne cessons de répéter que l’absence de notification est, à elle seule, une infraction.

Il faut que chacun assume ses responsabilités au regard de la loi. La confiance numérique, nécessaire pour le déploiement du digital, est l’affaire de tous.

Différentes instructions sont en cours concernant des institutions privées et des institutions publiques 

- D'autres instructions en cours ?

- Bien sûr, nous en avons plusieurs. Des institutions privées et des institutions publiques sont concernées.

- Un changement de ton était perceptible dans vos communiqués sur TLS et celui de Tawjihi.ma. Un ton plus affirmé, plus ferme. La CNDP lance-t-elle un message ?

- Cela fait plusieurs mois que la CNDP prévient qu’elle va passer de la phase dite pédagogique à une phase d’application stricto sensu de la loi. Nous traiterons en priorité les responsables qui opèrent sans notification, et ceux qui sont sujets à des fuites. C’est comme si notre campagne de contrôle s’adressait, en premier lieu, aux conducteurs sans permis et à ceux qui provoquent des accidents.

- Les attributions de la CNDP vous permettent-elles, en l'état, de réaliser pleinement vos objectifs sur le plan coercitif ? Avez-vous suffisamment de marge de manœuvre ?

- Oui, bien sûr. Il suffit de lire les articles du chapitre VII relatif aux sanctions (voir encadré). Les gens semblent ne pas y croire, mais c’est une méconnaissance de la loi que nul n’est censé ignorer.

- Le secteur public est-il également concerné par le risque de sanctions ?

- Le secteur public est tout aussi responsable devant la loi que le secteur privé. Il doit même être plus regardant.

- La protection des données personnelles implique également l'intervention de la justice. Chaque année, nous avons le bilan des poursuites, mais pas de précisions quant à leur issue...

- C’est un processus que nous sommes en train d’affiner. Pour éviter que les dossiers se noient dans les interprétations, depuis une journée de travail co-organisée le 10 novembre 2022, à l’Institut supérieur de la magistrature, par le Conseil supérieur du pouvoir judiciaire, la présidence du ministère public, l’Institution du Médiateur et la CNDP, nous distinguons entre la notification ou non des traitements et l’appréciation des modalités de traitement.

Cela contribuera à faciliter l’appréciation des situations et à renforcer leur lisibilité.

Les sanctions doivent être dissuasives

- La refonte programmée de la loi sur la protection des données personnelles devait se pencher, entre autres, sur l’aspect dissuasif. Où en est ce projet ? Que prévoit-on sur le volet "sanctions" ?

- Le projet avance. Nous espérons qu’il entrera dans le circuit d’adoption en 2023. Nous y verrons plus clair après l’été.

Nous devons moderniser le dispositif en passant du contrôle a priori au contrôle a posteriori. Pour ce faire, il faut que les sanctions soient dissuasives.

Notre pays a ratifié des conventions internationales. Les sanctions devront être en cohérence avec les dispositions appliquées par nos partenaires économiques et stratégiques.

Sanctions pécuniaires : probablement entre 2% et 4% comme en Europe

- Peut-on s’attendre à un modèle de sanction semblable à celui prévu en droit de la concurrence ? Je pense notamment aux sanctions pécuniaires qui, dans le cas de pratiques anticoncurrentielles, peuvent atteindre jusqu’à 10% du chiffre d’affaires ?

-Non, pas 10%. Probablement comme en Europe, entre 2% et 4%.

- Au-delà de la loi marocaine, il y a aussi le Règlement général sur la protection des données personnelles (RGPD), texte qui s'applique en Europe, mais aussi en dehors lorsque cela concerne des données de citoyens européens. En quoi les entreprises marocaines sont-elles concernées ?

- Nous refusons l’interprétation d’une extraterritorialité du RGPD. Il faut comprendre que les citoyens sont au centre de la protection des données à caractère personnel. Il s’agit de leurs données. La loi ou la règlementation qui s’applique est celle du territoire où sont collectées les données.

Si votre site web cible les données de citoyens hongrois, situés sur le territoire hongrois, vous devez respecter la loi hongroise (en plus de la loi marocaine, puisque vous pourriez collecter des données de citoyens marocains également). Il en est de même quand vous conduisez une voiture en Hongrie. C’est le Code de la route hongrois qu’il faut respecter.

Si vous êtes sous-traitant d’une entreprise espagnole, assujettie au RGPD, vous trouverez dans le contrat commercial qui vous lie ce qu’on appelle des clauses contractuelles types qui vous commanderont de respecter le RGPD. Vous y êtes ainsi assujettis du fait du contrat commercial signé de façon bilatérale, et non parce qu’il y a une quelconque extraterritorialité. Il faut faire très attention à l’interprétation de l’article 3 du RGPD.

- Quels sont les risques juridiques pour les opérateurs marocains ? Une idée sur les actes prohibés et les sanctions encourues en vertu du RGPD...

- Si vous allez collecter les données en Europe, vous encourez les mêmes risques que les entreprises en Europe. C’est comme quand vous ne respectez pas un stop en Hongrie, vous aurez la même infraction qu’un Hongrois.

Si vous êtes sous-traitant d’une entreprise européenne, les pénalités seront définies dans votre contrat commercial de sous-traitance.

- L'offshoring ou les télécoms font partie des secteurs qui viennent directement à l'esprit à l'évocation du RGPD... Quels sont les autres secteurs concernés ?

- Tous les secteurs, dès lors qu’il y a manipulation de données à caractère personnel. Le tourisme, l’enseignement, la santé, la logistique…

Vous avez un projet immobilier en vue ? Yakeey & Médias24 vous aident à le concrétiser!

Si vous voulez que l'information se rapproche de vous

Suivez la chaîne Médias24 sur WhatsApp
© Médias24. Toute reproduction interdite, sous quelque forme que ce soit, sauf autorisation écrite de la Société des Nouveaux Médias. Ce contenu est protégé par la loi et notamment loi 88-13 relative à la presse et l’édition ainsi que les lois 66.19 et 2-00 relatives aux droits d’auteur et droits voisins.

Le 19 juin 2023 à 18h00

Modifié 19 juin 2023 à 18h44

A lire aussi


Voici comment les énergies renouvelables peuvent renforcer le positionnement du Maroc dans l’industrie des batteries électriques

Au cours des dernières années, un travail considérable a été réalisé par le Maroc dans la production d'énergies renouvelables. Comment celles-ci peuvent-elles impacter l'industrie de la batterie à hautes performances ? La réponse de Mohamed Ouhmed, de la Direction des énergies renouvelables et de l’efficacité énergétique au ministère de la Transition énergétique.

Batterie électrique : au Maroc, des indices de lithium et de nickel en cours d’étude

A l’occasion de la deuxième édition du Forum international de la chimie 2024, qui s’est tenu ces mercredi 15 et jeudi 16 mai à Rabat sur l’industrie des batteries à hautes performances, Othman Sediki, Mining Exploration Director à l’Office national des hydrocarbures et des mines, a fait le point sur les minerais disponibles au Maroc et utiles dans la fabrication de la batterie à hautes performances.

Communication financière

TAQA Morocco: AVIS DE CONVOCATION DES ACTIONNAIRES À L’ASSEMBLÉE GÉNÉRALE ORDINAIRE ANNUELLE

Médias24 est un journal économique marocain en ligne qui fournit des informations orientées business, marchés, data et analyses économiques. Retrouvez en direct et en temps réel, en photos et en vidéos, toute l’actualité économique, politique, sociale, et culturelle au Maroc avec Médias24

Notre journal s’engage à vous livrer une information précise, originale et sans parti-pris vis à vis des opérateurs.