1. Protéger les données à caractère personnel
Veille juridique : (Mise à jour Juin. 2013)
Le conseil de gouvernement a adopté en date du 06 juin 2013, un projet de loi portant
approbation de la convention européenne n° 108 relative à la protection des personnes à
l’égard du traitement automatisé des données à caractère personnel.
La convention vise à garantir le respect des droits et des libertés fondamentales,
notamment le droit à la vie privée, à l’égard du traitement automatisé des données à
caractère personnel la concernant.
Veille juridique : (Mise à jour déc. 2012)
La mise en application de la loi 09-08, promulguée par le dahir n° 1-09-15 du 22 safar
1430 ( 18 février 2009 ), est devenue obligatoire pour l’ensemble des personnes morales
marocaines à partir du 15 novembre 2012.
Ainsi, toutes les entreprises et organismes sont appelées à respecter la loi relative à la
protection des personnes physiques à l’égard du traitement des données à caractère
personnel.
Le dernier texte intervenu en la matière est :
Le décret n° 2-09-165 du 25 joumada I 1430 ( 21 mai 2009 ) pris pour l’application de la
loi n° 09-08 relative à la protection des personnes physiques à l’égard des traitements
des données à caractère personnel.
Les deux textes incombent au responsable du traitement des données à caractère
personnel d'assurer le respect des dispositions de la loi 09-08 et ce, sous le contrôle de la
Commission nationale marocaine pour le contrôle de la protection des données à
caractère personnel, dit CNDP.
Une commission nationale pour protéger les données à caractère personnel
Elle sera le régulateur et l’autorité en matière d’échange et d’utilisation de données
personnelles.
La commission comptera 7 membres dont un président nommé par le Roi.
Dans deux ans, elle devra être opérationnelle.
Le dispositif permettant l’application de la loi 08-09 sur la protection des personnes
physiques à l’égard du traitement des données à caractère personnel se met
progressivement en place. A cet égard, le décret relatif à la constitution de la
Commission nationale de contrôle de la protection des données à caractère personnel
(CNDP) a été publié dans le Bulletin officiel du 18 juin 2009. Ce texte prévoit la
composition de cette commission, la manière dont elle doit être nommée et son mode de
fonctionnement.
Elle comprendra sept mem-bres dont le président directement nommé par le Roi. Pour
le reste, deux membres sont proposés par le président de la Chambre des représentants
et autant par le président de la Chambre des conseillers et le Premier ministre.
Le décret prévoit que ces membres doivent être choisis, en fonction de leur compétence
et de leur probité et qu’en cas de vacances, le président de la commission pourvoit au
remplacement pour le reste du mandat. Cette commission a des pouvoirs d’investigation
2. et d’enquête, sur la base de procès-verbaux, pour tout constat d’abus ou d’écart de
toutes sortes sur la base de ce que stipule la loi. Son budget de fonctionnement sera
ponctionné sur les ressources de la Primature.
Reste maintenant à savoir quand sera-t-elle constituée et le moment précis de son entrée
en fonction. Des sources proches du dossier affirment que cela devrait intervenir d’ici à
septembre ou novembre prochain.
Selon Me Abdelali Quessar, avocat au barreau de Casablanca, le timing a son
importance dans la mesure où la loi 09-08 donne à la CNDP un délai de deux années
après son installation pour qu’elle se mette à niveau pour fonctionner selon les
dispositions de la loi. Concrètement, le gros du travail portera sur la rédaction du
règlement intérieur et le recrutement du personnel.
Quoi qu’il en soit, la loi prévoit qu’il faut attendre que l’installation de la commission
soit publiée dans le Bulletin officiel avant le déclenchement du compte à rebours.
De lourdes sanctions prévues
Cette commission ne manquera certainement pas de travail compte tenu de l’utilisation
de plus en plus intensive des technologies de l’information dans les échanges et
l’augmentation des abus dont peuvent être victimes les consommateurs.
La nouvelle loi interdit la prospection directe et l’utilisation des coordonnées d’une
personne qui n’a pas exprimé un consentement préalable. Et même si le client a accepté
cette prospection directe (et que la collecte s’est faite en sa présence), l’émetteur a deux
obligations : s’identifier explicitement à travers une identité commerciale ou le nom de
la société et non pas seulement sous un numéro de services à valeur ajoutée et donner la
possibilité à chaque destinataire d’un message se désinscrire de la liste de la base de
données qui a été utilisée pour l’adresser. Et cela doit automatiquement faire cesser des
émissions futures. A charge pour le consommateur à l’origine de cette demande de payer
le montant du message contenant la demande.
La loi prévoit de lourdes peines contre les contrevenants comme un emprisonnement de
trois mois à un an de prison et / ou des amendes dont les montants sont compris entre 20
000 DH et 200000 DH. En fait, le texte prévoit toutes les règles et les cas de figure, y
compris quand les données passent les frontières.
Cependant, les relances et les promotions des opérateurs ne sont pas concernées par la
loi. En effet, un peu partout dans le monde, les sms envoyés par les opérateurs à leur
clientèle ne sont pas considérés comme des spams et relèvent plutôt d’une relation
contractuelle qui est, d’ailleurs, mentionnée dans les contrats, qu’ils soient prépayés ou
post payés. Si les télécoms sont, certes, les plus gros utilisateurs de ces informations, il
n’en est pas moins que la portée d’une telle législation va bien au-delà pour toucher la
sphère des libertés et droits individuels de disposer des informations personnelles et d’en
contrôler l’usage. Les experts de la Commission nationale de l’informatique et des
libertés (CNIL) française en ont donné quelques exemples, lors d’un séminaire organisé
le mardi 7 juillet par le ministère de l’industrie du commerce et des nouvelles
technologies. Des bracelets pour patients dans certains hôpitaux, des implants
numériques pour clients de lieux VIP..., la liste d’occasions où l’individu doit délivrer à
une institution, privée ou publique, des informations le concernant sont innombrables.
La CNIL, en France, veille à ce que chaque Français soit informé de ses droits en la
matière, de son droit à l’information sur ce l’usage qui sera fait de ces données, de sa
liberté de restreindre l’accès à ces informations...Elle veille également au respect des
règles par les opérateurs. Au Maroc, c’est la Commission nationale de contrôle de la
protection des données à caractère personnel (CNDP) qui devra jouer ce rôle. Elle sera
la voie de recours de toute personne qui juge avoir subi un préjudice à la suite de
diffusion d’informations personnelles la concernant.