Cyberattaque contre la CNSS. Responsabilité, recours des victimes... L'éclairage de Me Khadija Zoulali
Face à la fuite massive d'informations personnelles, la question de l'imputabilité à la Caisse nationale de sécurité sociale est cruciale. Sans pointer du doigt l'institution, Me Khadija Zoulali rappelle que la loi n'exonère pas l'entité en charge du traitement des données en cas de manquement dans leur sécurisation, et ce, même s'agissant d'un acte de piratage.
La cyberattaque d'une ampleur inédite ayant ciblé la Caisse nationale de sécurité sociale (CNSS) a mis en lumière la vulnérabilité des données personnelles au Maroc.
Derrière la condamnation de cet acte cybercriminel, une préoccupation majeure agite les citoyens : la CNSS, à qui nous confions nos informations les plus sensibles, a-t-elle une part de responsabilité dans cette exposition de nos vies privées ?
Pour les milliers de Marocains dont les données ont été compromises, les recours possibles sont une interrogation légitime. Me Khadija Zoulali, avocate au barreau de Casablanca, apporte son expertise pour décrypter les enjeux juridiques de cette affaire.
Médias24 : Des milliers de données personnelles contenues dans les bases de données de la CNSS ont été diffusées. En dehors du piratage en lui-même, que dit la loi marocaine en matière de responsabilité dans la protection des données personnelles ?
Me Khadija Zoulali : La loi 09-08 prévoit que toute entité qui traite des données à caractère personnel est tenue d’en assurer la sécurité. L’article 23 de cette loi prévoit notamment que des mesures techniques et organisationnelles appropriées doivent être mises en place pour prévenir toute atteinte aux données : accès non autorisé, perte, altération ou diffusion illicite. Cela concerne également les cas où une partie du traitement est externalisée à un sous-traitant.
En parallèle, la loi 05-20 relative à la cybersécurité complète ce dispositif pour les entités publiques en leur imposant l’adoption d’une politique de sécurité des systèmes d’information, la désignation d’un responsable dédié, la classification des actifs numériques et la déclaration des incidents à la DGSSI (Direction générale de la sécurité des systèmes d'information).
— Ces données sensibles jouissent-elles d'une protection juridique particulière ?
— Oui, les données sensibles font l’objet d’un régime juridique spécifique et plus rigoureux. La loi 09-08 les définit comme les données à caractère personnel qui révèlent notamment l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou encore les données relatives à la santé, y compris les données génétiques.
Leur traitement est soumis à une autorisation préalable de la CNDP, sauf exceptions prévues par la loi (consentement exprès, obligation légale, défense d’un droit en justice, etc.). Le traitement de certaines données personnelles, bien qu’elles ne soient pas sensibles, est soumis à l’autorisation préalable de la CNDP, notamment si le traitement de données porte sur les infractions, les condamnations ou les mesures de sûreté, ou encore sur le numéro de la carte nationale d’identité.
Lorsqu’elles sont traitées, l’article 24 impose des mesures de sécurité spécifiques, telles qu’un contrôle strict des accès, une traçabilité des opérations et une sécurisation des supports et des transmissions.
La loi 05-20 renforce encore ce cadre, en exigeant notamment que ces données soient hébergées sur le territoire national et soumises à une homologation de sécurité avant toute mise en exploitation.
– Quelles sont les responsabilités en jeu et quel est le degré de responsabilité de la CNSS ?
— En fonction des traitements concernés, la CNSS peut intervenir en tant que responsable de traitement, mais aussi en sous-traitant, tout en étant, de manière générale, soumise aux obligations prévues par la loi 05-20 en tant qu’entité publique.
À ce titre, elle est tenue de mettre en œuvre les dispositifs requis pour assurer la sécurité des données qu’elle détient et traite. Cela étant, l’éventuelle mise en cause de sa responsabilité ne peut être envisagée qu’au regard de sa conformité aux obligations prévues par la loi et notamment à celle imposant la mise en place de mesures techniques et organisationnelles jugées "appropriées" par la CNDP.
La loi ne prévoit pas d’exonération de responsabilité en cas de cyberattaque
La responsabilité de la CNSS dépendra donc étroitement de la qualité des mesures mises en place par elle pour prévenir le risque d’intrusion.
— La loi astreint-elle cette institution à une obligation de sécuriser ces données ?
– Les lois précitées instaurent, en effet, une obligation de sécurité.
— Assume-t-elle la responsabilité même en cas d'attaque cybernétique ?
— La loi ne prévoit pas d’exonération de responsabilité en cas de cyberattaque. L’évaluation de la responsabilité de la CNSS repose donc sur le niveau de diligence qu’elle a effectivement mis en œuvre avant l’incident.
– A-t-on le droit de télécharger ou de garder les données en question ?
— Nous n’avons pas le droit de télécharger ou de conserver les données en question. La conservation, la diffusion ou le téléchargement de données personnelles issues d’une fuite constitue une infraction pénale.
Même sans intention malveillante, le simple fait de détenir ces données sans droit est pénalement répréhensible. En effet, la loi 09-08 sanctionne expressément toute personne qui collecterait ou utiliserait ces données sans y être autorisée.
Même sans intention malveillante, le simple fait de détenir ces données sans droit est pénalement répréhensible
De manière simple, est passible d’une peine d’emprisonnement allant de trois mois à un an et/ou d’une amende de 20.000 à 200.000 DH toute personne qui collecte des données personnelles de manière frauduleuse ou illicite, les utilise à des fins autres que celles initialement prévues ou autorisées, ou les soumet à un traitement incompatible avec leur finalité déclarée.
De plus, l’article 56 de la loi 09-08 prévoit les mêmes peines pour toute personne qui procède à un traitement de données personnelles sans le consentement de la personne concernée, sauf si la loi l’autorise expressément.
S’agissant des données sensibles, l’article 57 de la même loi est encore plus strict : il prévoit une peine pouvant aller jusqu’à deux ans d’emprisonnement et 300.000 DH d’amende, si ces données sont traitées sans le consentement exprès des personnes concernées.
– Les personnes victimes de ces fuites disposent-elles d’un quelconque recours ?
– Toute personne estimant que ses données personnelles ont été exposées ou utilisées de manière illicite peut saisir la CNDP, qui est l’autorité compétente pour recevoir les plaintes en matière de protection des données à caractère personnel.
La CNDP examine ces réclamations dans le cadre de ses prérogatives et peut, le cas échéant, prendre les mesures prévues par la loi. Ce recours est ouvert à toute personne concernée qui s’estime lésée par un traitement de données effectué en violation des règles en vigueur.
Sur le plan civil, l’obtention de dommages et intérêts suppose la réunion de trois éléments : une faute, un préjudice et un lien de causalité entre les deux.
Une action judiciaire contre les auteurs d’actes de cyberharcèlement ou d’exploitation illégale de données personnelles peut ainsi être envisagée tant sur le plan civil, dès lors que ces conditions sont réunies, que sur le plan pénal.
S’agissant de la CNSS, il appartiendra aux autorités compétentes de se prononcer, sur la base des éléments de fait et de droit qui leur seront soumis, sur l’éventuelle existence d’un manquement.
À découvrir
Lire aussi
à lire aussi
Article : Perdre la vue et même la vie, les médecins alertent sur les dangers de la médecine esthétique non encadrée
Injections pratiquées sans supervision médicale, lasers utilisés dans des structures non autorisées, produits injectables de contrebande… Face à la banalisation des actes de médecine esthétique au Maroc, les spécialistes tirent la sonnette d’alarme. Car l’absence d’encadrement médical expose les patients à des complications graves. Parfois irréversibles.
Article : Le football, nouvelle conquête des géants de l’IA : ce que révèle l’accord Gemini-FRMF
Le 12 mai, la FRMF annonce Google Gemini comme sponsor officiel IA des Lions de l’Atlas pour la fenêtre du Mondial 2026. Un contrat pilote, dont le montant reste confidentiel, révélateur d'une stratégie plus large où Google cherche à utiliser la puissance émotionnelle du football pour installer les usages grand public de l’IA générative, avant une éventuelle extension à la performance sportive, au scouting et à l’analyse tactique.
Article : Abdelmalek Alaoui : le Maroc, puissance régionale et puissants défis en perspective
Invité de l'émission le 12/13 de Médias24, l'économiste et président de l’Institut marocain d’intelligence stratégique Abdelmalek Alaoui revient sur les thèses de son dernier ouvrage, "Maroc, le défi de la puissance". L'ouvrage propose une réflexion sur la manière dont un État parvient à transformer ses contraintes géographiques et politiques en leviers d'influence.
Article : OPCI : la croissance se confirme, l’ouverture au grand public reste le prochain cap
Avec plus de 133 MMDH d’actif net sous gestion, les OPCI ont changé d’échelle au Maroc. Mais malgré la progression rapide des encours, le marché reste dominé par les véhicules réservés aux investisseurs qualifiés. Pour Noreddine Tahiri, dirigeant d’Aegis Partners, l’enjeu porte désormais sur la capacité du secteur à élargir sa base d’investisseurs, à poursuivre sa normalisation et à mieux faire comprendre la logique de long terme de ce placement.
Article : CAN U17. Le Maroc s’impose sur le fil face à l’Éthiopie (2-1)
Bousculés par d’étonnants Éthiopiens, les Lionceaux de l’Atlas ont tout de même trouvé les ressources pour renverser le score et se replacer dans la course aux quarts de finale de la CAN U17, ce samedi 16 mai au Complexe Mohammed VI à Salé. Il leur reste encore un match dans le groupe A, contre l’Égypte, mardi 19 mai (20 h)
Article : Dans les coulisses de la CAN U17, les scouts livrent leurs secrets
La Coupe d’Afrique des nations U17 attire de nombreux recruteurs. Particulièrement scrutés, les Lionceaux de l’Atlas affrontent l’Éthiopie lors de la 2e journée du groupe A, ce samedi 16 mai (20 h) au Complexe Mohammed VI à Salé. Mais quelle est la grille de lecture de ces observateurs avisés et comment fonctionnent-ils ? Le point avec Michael Lebaillif, référent de la ligue régionale Rabat-Salé-Kénitra au sein de la Direction technique nationale.