La loi 09-08 pour protégrer les données personnelles au Maroc

Les données personnelles ont désormais une loi qui les régule, et mieux, qui les protège.

Que réglemente au juste cette nouvelle loi ?

Tout d'abord, elle se veut globale et couvre tout type de données collectées :
- électronique (IP, GSM, etc.),
- traditionnelle (formulaires par exemple)
- biométrique (carte nationale, passeport, permis de conduire, etc.).

Le 1er article du nouveau texte définit d'ailleurs les données personnelles comme étant : «Toute information, quelle que soit sa nature et le support sur lequel elle est consignée... et qui concerne une personne physique». Ainsi, le nom, l'adresse, la profession, mais également l'orientation sexuelle, les opinions religieuses et politiques sont autant d'éléments couverts par cette loi qui ratisse large et qui emprunte beaucoup à la législation française.

La loi réglemente essentiellement 4 aspects de la gestion des données, et ce, pour la 1ère fois.

1er : le droit d'être informé de la collecte. Concrètement, il sera interdit à une entreprise, par exemple, ou à un fonctionnaire de l'Etat de recueillir des données sur vous sans votre consentement.


2nd : le droit de refuser de donner ces informations et de savoir l'usage qu'il en sera fait.

3eme : il sera désormais possible d'y avoir accès et de rectifier les informations qui s'avèrent fausses.

4eme : Le «droit à l'oubli» : en clair, les informations ne devront pas rester stockées indéfiniment dans une base de données. Une fois un délai d'usage prédéterminé écoulé, ces données devront être automatiquement effacées. Exemple : «Une personne qui a commis un crime et qui a été punie pour cette faute devrait bénéficier de ce droit à l'oubli».

Toutefois, certains domaines échappent à cette loi : la défense nationale, les données collectées dans le cadre de la lutte contre le terrorisme ou la criminalité et celles qui concernent la sécurité intérieure et extérieure de l'Etat en général.

Se doter d'un tel arsenal juridique s'est imposé au Maroc pour deux raisons principales :

- Les investisseurs étrangers dans le cadre de l'offshoring refusaient de traiter avec le Maroc s'il n'adoptait pas une législation qui protège les données des personnes.

- Les plaintes de consommateurs bombardés de messages publicitaires. Il fallait donc barrer la route aux entreprises qui se font de l'argent en collectant indûment les données personnelles.

Les observateurs attendent la mise en place de l'instance qui doit gérer cette protection (l'équivalent de la CNIL en France) pour juger.

Le dispositif de protection des données personnelles institué par la loi 08-09 de février 2009 sera bientôt complet.

La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), a été mis sur pied récemment. C’est à Saïd Ihray, juriste et expert en droit international, qu’échoit la présidence. A ses côtés il y a 6 autres membres : Souad Elkouhen, Omar Rhoùija, Brahim Bouabid, Abdelaziz Benzakour, Driss Belmahi et Omar Seghrouchni.

La nouvelle institution, organe de consultation du gouvernement et du Parlement lorsqu’il s’agit d’élaborer ou de concevoir des projets de textes de loi relatifs au traitement des données personnelles, n’entrera effectivement en fonction qu’après la publication de son règlement intérieur au Bulletin officiel.

Toute information est concernée, indépendamment de son support

Mais que va-t-elle changer pour les citoyens ? D’abord, elle sera un recours pour celui qui veut accéder, rectifier ou même supprimer des informations le concernant consignées chez une entreprise (exemple opérateur télécoms ou de service public). Selon la loi, il s’agit de toute information, de quelque nature qu’elle soit, et indépendamment de son support, y compris le son et l’image.

Saïd Ihray explique : «Nous recevrons des plaintes de toute personne qui s’estime lésée à un titre ou un autre et nous sommes dotés d’un pouvoir d’enquête et d’investigation». A cet égard, elle peut accéder à toutes les données faisant l’objet de traitement ainsi qu’aux locaux où elles sont traitées.

En d’autres termes, la commission est le gardien et le protecteur de toute personne qui s’estime lésée par un traitement de données le concernant. A la demande de la personne concernée, la CNDP peut ordonner le verrouillage, l’effacement ou la destruction de données personnelles inexactes ou incomplètes et même l’interdiction du traitement, le tout, sans frais.

En cas d’infraction, elle saisit le procureur du Roi pour engager des poursuites. Cette commission octroie les autorisations et veille également sur les transferts des données vers l’étranger. Cette mission est de taille surtout, explique Saïd Ihray, à l’orée de 2012 qui marque l’entrée en vigueur de l’Accord d’association Maroc-Union européenne.

Voici le site internet de l'instance : http://www.cndp-maroc.org/fr.html

La Commission nationale de contrôle de protection des données à caractère personnel (CNDP) a traité 104 plaintes en 2014 contre 43 en 2013 et 7 en 2012.

- La moitié d’entre elles portent sur les SMS publicitaires. La loi 09-08 interdit la prospection directe, y compris via email.

Les autres plaintes (50%) sont liées :
- aux caméras de surveillance,
- à l’utilisation de données biométriques (empreintes par exemple)
- informations collectées sur le web sans l’accord des utilisateurs.

La CNDP a par ailleurs produit 19 délibérations (jurisprudence) et lancé 110 contrôles