LTE Magazine Magazine LTE
Par Mohammed Taher Sbihi, lauréat de l’Université Mohamed V et du cycle supérieur de gestion de l’ISCAE
Préambule
La recrudescence des flux et des échanges de données personnelles sur le territoire marocain a dicté la nécessité d’assurer la protection des droits de l’homme et des libertés fondamentales, et en particulier du droit à la vie privée.
Ce droit fondamental et ce souci de préservation de l’intimité de la vie privé trouvent leur fondement dans la Constitution marocaine qui énonce solennellement dans son article 24 que « toute personne a droit à la protection de sa vie privée », et que « … le droit à l’information ne peut être limité que par la loi, dans le but d’assurer la protection de tout ce qui concerne la défense nationale, la sûreté intérieure et extérieure de l’Etat, ainsi que la vie privée des personnes, de prévenir l’atteinte aux droits et libertés énoncés dans la présente Constitution … » (article 27 de ladite Constitution).
Ce souci de protection s’est fait sentir notamment à l’occasion de l’évolution remarquable des NTIC et du danger que commençait à susciter l’usage malveillant de ces nouvelles technologies.
Dans ce sillage, la protection des données personnelles s’est positionnée comme une priorité et une toile de fond dans le cadre des efforts de développement de l’outil informatique au Maroc et de l’usage qui en est fait.
Dans ce contexte, la loi n° 09-08 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel, promulguée par le dahir n°1-09-15 du 18 février 2009, a introduit, pour la première fois, dans l’arsenal juridique marocain, un dispositif légal qui traduit clairement la préoccupation des pouvoirs publics au Maroc à se mettre en conformité avec les stipulations constitutionnelles sus-indiquées, tout en se mettant au diapason des standards internationaux en la matière.
Il s’agit notamment, parmi les règles normatives en la matière, du règlement général européen sur la protection des données n° 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, désigné par RGPD en Français et GDPR en Anglais.
Ce règlement est le nouveau cadre juridique qui régit la protection des données personnelles en Europe. Il remplace et abroge la Directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, en la matière.
Le dispositif légal marocain précité est complété et explicité par un texte réglementaire, en l’occurrence le décret 2-09-165 du 21 mai 2009, pris pour l’application de la loi n° 09-08.
A rappeler que l’institution de cette loi s’inscrit dans le cadre d’un corpus législatif apparenté, marqué notamment par l’institution de la loi n° 31-08 édictant les mesures de protection du consommateur et la loi n° 53-05 relative à l’échange électronique des données juridiques.
Après rappel des principaux éléments du cadre général d’insertion de la loi n°09-08 précitée, il est proposé, dans ce qui suit, d’en donner une brève synthèse.
Economie de la loi n°09-08
Ce cadre légal, comportant quelques 67 articles, a d’emblée interdit, dans son premier article, pour l’informatique, de porter atteinte à l’identité, aux droits et aux libertés collectives ou individuelles de l’Homme, ni de constituer un moyen de divulguer des secrets de la vie privée des citoyens.
Terminologie et champs d’application
Dans son lexique terminologique, la loi 09-08 susvisée définit en particulier, parmi 11 concepts clés cités, les données à caractère personnel comme « toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou indentifiable par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou social ».
Sauf trois cas dérogatoires limitatifs, qui sortent du champ d’application de la loi, celle-ci s’applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels.
La loi stipule que les données à caractère personnel doivent être :
-1/ traitées loyalement et licitement ;
-2/ collectées pour des finalités explicites et légitimes,
adéquates, pertinentes
exactes et, si nécessaires, mises à jour ;
-
3/ conservées sous une forme permettant l’identification des personnes concernées.
La loi dispose, par ailleurs, que le
traitement des données à caractère personnel ne peut être effectué que si la personne concernée a donné son consentement
et que les données à caractère personnel, objet du traitement, ne peuvent en principe être communiquées systématiquement à un tiers.
La loi stipule, en outre, que toute personne sollicitée directement, en vue d’une collecte de ses données personnelles, doit être en principe préalablement informée de manière expresse par le responsable du traitement.
Il est reconnu à la personne concernée quatre droits qu’il peut exercer dans le cadre de loi 09-08, à l’occasion du traitement de ses données personnelles, à savoir : le droit d’accès aux données, le droit de rectification de celles-ci, le droit d’opposition et le droit d’interdiction de la prospection directe.
Commission Nationale des Données Personnelles » (CNDP)
Une « Commission Nationale des Données Personnelles » (CNDP), prévue par la loi n°09-08 et instituée auprès du Chef de Gouvernement, est chargée notamment de mettre en œuvre les dispositions de cette loi et de veiller à son respect, ainsi que des textes pris pour son application. Les décisions de la CNDP, qui est dotée d’un règlement intérieur, sont soumises à homologation du gouvernement.
Cette Commission, qui est composée de sept membres nommés par le Chef de l’Etat et qui fait office d’organe consultatif pour le gouvernement et le parlement et de force de proposition en matière de projets de lois et de règlements, en relation avec le domaine de protection des données personnelles, exerce d’innombrables attributions qui sont en rapport avec sa mission. A cet effet, elle est investie de tous les pouvoirs d’injonction et d’investigation. Elle se fait assister par des comités permanents ou ad hoc.
De manière plus concrète, la CNDP est chargée de vérifier que les traitements des données personnelles sont licites, légaux et qu’ils ne portent pas atteinte à la vie privée, aux libertés et aux droits fondamentaux de l’Homme.
A cet effet, les personnalités qui composent la commission font preuve d’impartialité, de probité morale et de compétence distinctive dans les domaines juridique, judiciaire et informatique.
Dans le cadre de l’exercice de ses attributions, ladite Commission fixe la liste des catégories de traitement de données à caractère personnel qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et aux libertés des personnes concernées, et pour lesquelles la déclaration doit préciser uniquement certains éléments prévus dans le texte de loi.
Elle fixe aussi la liste des traitements non automatisés des données à caractère personnel qui peuvent faire l’objet d’une déclaration simplifiée.
En ce qui concerne les obligations de confidentialité et de sécurité des traitements et de secret professionnel, le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé.
La CNDP est également compétente pour :
– recevoir les plaintes de toute personne concernée estimant être lésée par la publication d’un traitement de données à caractère personnel, de les instruire et de leur donner suite, en ordonnant la publication de rectificatifs ou/et la saisine du parquet aux fins de poursuites ;
-
Expertiser, à la demande des autorités publiques notamment des autorités judiciaires, les éléments soumis à leur appréciation lors des contentieux nés de l’application de la loi ou des textes pris pour son application ;
-
Assister le gouvernement dans la préparation et la définition de la position marocaine lors des négociations internationales, dans le domaine de la protection des données à caractère personnel ;
-
Coopérer avec les organismes similaires de contrôle du traitement des données à caractère personnel dans les Etats étrangers.
S’agissant du transfert de données vers un pays étranger, le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat étranger que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes, à l’égard du traitement dont ces données personnelles peuvent faire l’objet. Sinon, le consentement de la personne concernée par ces données est légalement requis.
Registre national de la protection des données à caractère personnel
La loi institue un registre national de la protection des données à caractère personnel, dont la tenue est dévolue à la CNDP, qui en assure la mise à disposition du public.
Les modalités d’inscription des données au registre national et celles de sa tenue à jour sont fixées par le gouvernement, après avis de la Commission nationale.
Les traitements de données à caractère personnel relatives aux infractions, condamnations et aux mesures de sûreté ne peuvent être mis en œuvre que par :
-
les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
-
les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;