Face à la cyberattaque ayant visé le système d’information de la CNSS, de nombreuses entreprises marocaines se retrouvent dans une situation inédite : bien qu’elles ne soient pas les cibles directes de l’attaque, les données à caractère personnel de leurs salariés ont été exposées et diffusées sur le Dark Web. Dans ce contexte, il est primordial de rappeler que les entreprises restent, au sens de la loi 09.08, des "responsables de traitement" et doivent réagir de manière proactive pour éviter toute mise en cause.
En premier lieu, conformément à la loi 09.08 sur la protection des données à caractère personnel, une entreprise demeure responsable du traitement des données à caractère personnel de ses salariés, même lorsque celles-ci sont confiées à un tiers tel que la CNSS. Cette responsabilité conjointe impose une vigilance particulière, et notamment une réaction rapide en cas de violation de données.
En second lieu, en cas de publication illicite et déloyale des données à caractère personnel des salariés, les entreprises doivent, à mon avis :
- Informer la CNDP par écrit, même si la loi ne l’impose pas expressément : il s’agit d’une bonne pratique de transparence et de responsabilité sociale.
- Avertir le centre maCERT (DGSN) afin de contribuer à la veille cybernétique nationale et au traitement technique des incidents.
- Informer les salariés concernés par une note interne claire et rassurante et les sensibiliser aux risques (phishing, usurpation d'identité).
- Déposer une plainte contre les auteurs des cyberattaques pour atteinte à la vie privée et pour traitement illicite et déloyal des données à caractère personnel en violation de la loi 09.08.
En troisième lieu, à titre de comparaison, l’expérience française en la matière. En France, la CNIL exige une notification dans un délai de 72h, une communication aux personnes concernées et la mise en œuvre de mesures correctrices. Les entreprises comme France Travail (ex Pôle emploi), Le Slip Français ou Boulanger ont :
- immédiatement notifié la CNIL ;
- déposé plainte auprès des autorités judiciaires ;
- renforcé leurs dispositifs de cybersécurité ;
- communiqué avec transparence auprès des personnes concernées.
Cette démarche proactive a permis de restaurer la confiance et de limiter les conséquences juridiques et réputationnelles.
Les entreprises marocaines dont les salariés sont affectés par une fuite de données, même via un tiers comme la CNSS, ont l’obligation morale, éthique et juridique d’agir. Elles doivent être les garantes de la confiance numérique et adopter une démarche fondée sur la transparence, la communication, la prévention et la coopération avec les autorités. S’inspirer des bonnes pratiques européennes en la matière n’est pas une option, mais une nécessité stratégique.
Vous avez un projet immobilier en vue ? Yakeey & Médias24 vous aident à le concrétiser!
