Dans une récente interview accordée à Médias24, Omar Seghrouchni, président de la Commission nationale de protection des données à caractère personnel (CNDP), a indiqué que l’institution acte son passage "de la phase pédagogique à la phase d’application stricto sensu de la loi". Entendez : l’application des sanctions.

Celles-ci sont prévues par la loi 09-08, relative à la protection des données à caractère personnel, précisément dans ses articles 51 et suivants. Les sanctions varient, selon les cas, de peines pécuniaires à des peines d’emprisonnement. Les amendes peuvent aller jusqu’à 200.000 DH, voire le double, lorsqu’elles sont commises par des personnes morales.

Comme exemples, citons les images des caméras de vidéo-surveillance, les adresses mail, les numéros de téléphone, les numéro de CIN, les données bancaires, les adresses personnelles, et plus généralement toutes données recueillies pour un usage donné (commercial, gestion de ressources humaines, envoi de mails professionnels...), et qui sont détournées de cet usage.

Des amendes sans emprisonnement

Ces sanctions concernent le traitement préjudiciable à la sécurité ou à l’ordre public ou contraire aux bonnes mœurs ou aux mœurs publiques. Selon l’article 51 de ladite loi, la commission peut, dans ces cas, et sans délais, retirer, selon le cas, le récépissé de la déclaration ou l’autorisation.

Le fait de créer un fichier de données personnelles sans autorisation, ou encore le fait de poursuivre l’activité de traitement de données personnelles malgré le retrait de l’autorisation ou du récépissé d’autorisation, sont punis d’une amende de 10.000 à 100.000 DH.

L’article 53 de la loi 09-08 est quant à lui consacré au refus du responsable du traitement des droits d’accès, de rectification ou d’opposition par la personne concernée. Dans ce cas, il sera sanctionné d’une amende allant de 20.000 à 200.000 DH par infraction.

A noter que selon la CNDP, "toute opération de traitement des données personnelles ne peut avoir lieu que si la personne concernée a exprimé son consentement d’une façon claire, incontestable, libre et avertie". Cela dit, "le consentement des personnes concernées n’est pas exigé dans les cas suivants :

• Le traitement est nécessaire au respect d’une obligation légale à laquelle est soumis(e) le responsable du traitement ou la personne concernée ;
• Le traitement entre dans le cadre de l’exécution d’un contrat auquel la personne concernée est partie ;
• La personne concernée est dans l’incapacité physique ou juridique de donner son consentement et le traitement envisagé permet la sauvegarde d’intérêts vitaux la concernant ;
• Le traitement permet l’exécution d’un service d’intérêt public ou relevant de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel il a communiqué les données ;
• Le traitement permet la réalisation d’un intérêt légitime poursuivi par le responsable du traitement, à condition de ne pas méconnaitre l’intérêt et les droits des personnes concernées.

Un minimum de trois mois d’emprisonnement et/ou 20.000 DH d’amende

Comme le précise la CNDP dans de précédentes publications, "les responsables de traitements doivent s’assurer que les données personnelles sont collectées et traitées d’une façon loyale, légitime et transparente". Ainsi, lorsque ce traitement est réalisé de "manière malhonnête et illégale", la loi prévoit une sanction plus sévère ; à savoir l’emprisonnement allant de trois mois à un an et/ou une amende de 20.000 à 200.000 DH. Dans ce cas, la collecte des données à caractère personnel est réalisée par un moyen frauduleux, déloyal ou illicite, mettant en œuvre un traitement à des fins autres que celles déclarées ou autorisées.

Or, le responsable du traitement a l'obligation de se tenir à la finalité précise et légitime communiquée aux personnes concernées lors de la collecte de leurs données personnelles et à la CNDP, lors de la notification du traitement. Tout changement de finalité doit être soumis à l'autorisation de la CNDP, au préalable.

Le texte prévoit également des sanctions en matière de "conservation illégale de données à caractère personnel pendant une durée illégale". C’est l’article 55 de la loi 09-08 qui prévoit une peine d’emprisonnement allant de trois mois à un an et/ou une amende allant de 20.000 à 200.000 DH.

A noter que quiconque traite des données à caractère personnel conservées au-delà de la durée légale, à des fins autres qu’historiques, statistiques ou scientifiques, peut également être sanctionné de la même peine.

Traitement des données sensibles sans accord : jusqu’à 300.000 DH d’amende

L’article 56 prévoit une amende similaire et/ou une peine d’emprisonnement allant de trois mois à un an contre quiconque qui traite des données à caractère personnel sans le consentement de la personne concernée. Sachant que le traitement des données sensibles à caractère personnel, sans le consentement exprès de la personne concernée, est quant à lui puni d’un emprisonnement de trois mois à un an et/ou d’une amende de 50.000 à 300.000 DH. Comme exemple de données sensibles, signalons celles relatives à la santé d'une personne.

La même peine est prévue contre celui qui procède au traitement des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

De plus, la loi 09-08 vise à assurer la sécurité des données traitées. Ainsi, le traitement réalisé sans mesures protégeant la sécurité de ces données est puni d’un emprisonnement de trois mois à un an et/ou d’une amende de 20.000 à 200.000 DH.

La même peine est prévue en cas de traitement de données à caractère personnel présentant un intérêt subjectif pour une personne malgré son exposition légitime, ou si la finalité du traitement est de réaliser un travail d’extrapolation, notamment commerciale. Mais aussi en cas de transfert illégal de données à caractère personnel vers un pays étranger.

Idem lorsque les faits reprochés visent à faciliter l’utilisation abusive ou frauduleuse des données traitées ou leur livraison à des personnes non qualifiées. Dans ce cas, le tribunal pourra, en outre, prononcer la saisie du matériel ayant servi à commettre l’infraction ainsi que l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction.

Travaux de la commission : non aux entraves et aux refus

Concernant l’entrave aux travaux de la Commission nationale de contrôle de la protection des données personnelles, l’article 62 prévoit une peine d’emprisonnement de trois à six mois et/ou une amende allant de 10.000 et 50.000 DH.

Au-delà de l’entrave, le refus d’exécuter les décisions de la commission peut également faire l’objet de sanctions qui, selon l’article 63 de ladite loi, sont l’emprisonnement de trois mois à un an et/ou une amende allant de 10.000 à 100.000 DH.

A noter que lorsque ces violations sont commises par une personne morale, les amendes sont portées au double, sans préjudice des peines qui peuvent être appliquées à ses dirigeants. Idem en cas de récidive.