top of page

La protection des données personnelles au Maroc

Auteur: Brahim OUHDI, Avocat au Barreau de Paris

Article publié également sur le site Village de la justice


Depuis 2009, le Maroc s'est doté d'un arsenal juridique en matière de protection des données personnelles comparable à celui des pays européens (et notamment, au règlement général sur la protection des données (RGPD) du 27 avril 2016) avec la Loi n° 09-08 promulguée par le dahir n° 1-09-15 du 18 février 2009 – 22 Safar 1430 -, relative à̀ la protection des personnes physiques à l’égard du traitement des données à caractère personnel).

La loi n° 09-08 est un dispositif qui permet une protection optimale des données personnelles.

1.- Définitions


a.- Données et personnes concernées


Les données à caractère personnel sont définies comme : « toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou indentifiable par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou social » (Article 1er).

Sauf trois cas dérogatoires limitatifs, qui sortent du champ d’application de la loi, celle-ci s’applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels.


b.- Traitement et responsable du traitement


Le traitement est défini dans la loi n° 09-08 comme étant : « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. » (Article 1er al.2).

Par cette large définition, le législateur a voulu englober toutes les possibilités de traitement qui pourraient être appliquées à des données à caractère personnel pour offrir la protection la plus adéquate aux citoyens.

Quant au responsable du traitement, il a été défini comme étant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres détermine les finalités et les moyens du traitement de données à caractère personnel. » (Article 1er de la Loi n° 09-08)

2.- Conditions et modalités de collecte des données à caractère personnel


a.- Le consentement de la personne concernée


Le consentement est une manifestation de volonté libre, spécifique et informée, par laquelle la personne concernée accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement.

Conformément à l’article 4 de la Loi, le traitement des données à caractère personnel ne peut être effectué que si la personne concernée a parallèlement donné son consentement à l’opération ou à l’ensemble des opérations envisagées.

Ainsi par exemple, lors d’une opération d’achat en ligne, le consommateur doit accepter expressément que ses données personnelles soient traitées par le vendeur pour les besoins de la transaction. Si le vendeur envisage un traitement de ces données autre que celui lié à l’opération en question, il doit requérir à nouveau le consentement de la personne concernée. Il arrive ainsi qu’il soit demandé à l’acheteur de cocher une case supplémentaire indiquant qu’il accepte que ses données personnelles soient transmises à des partenaires commerciaux du vendeur pour que ceux-ci puissent promouvoir leurs produits et services. À défaut de consentement, le transfert des données personnelles de la personne concernée par le vendeur à un tiers serait considéré comme illicite.


b.- Finalité du traitement et principe de proportionnalité


Le traitement des données personnelles doit avoir une finalité clairement définie. Elles ne peuvent être collectées que pour une finalité déterminée et ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité.

Le principe de proportionnalité implique que les données personnelles collectées soient en adéquation avec la finalité du traitement. Ainsi, les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ultérieurement » ( Article 3, al. 1).


c.- Loyauté et licéité dans le traitement


Il s’agit d’un principe fondamental obligatoire à toute opération de traitement portant sur les données personnelles. Il faut ainsi s’assurer que les données soient collectées loyalement, c’est-à-dire que les personnes concernées soient bien informées et veiller à ce que leurs droits soient respectés. Il faut aussi que les données soient protégées contre toute atteinte extérieure en mettant en place les moyens humains et techniques adéquats de protection.

Les données doivent être traitées loyalement et licitement, et toujours de manière compatible avec les finalités pour lesquelles elles ont été collectées.


d.- Limitation de la durée


Les données doivent être conservées pour une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées.

3.- Droits des utilisateurs


Lors de la collecte des données des utilisateurs, les personnes doivent être informées notamment de l’identité du responsable du traitement, des finalités du traitement, des destinataires des données, de l’existence d’un droit d’accès, de rectification et de suppression. Les personnes concernées ont également le droit de s’opposer au traitement de leur données personnelles pour des motifs légitimes. Ces informations doivent être mentionnées sur tout support destiné à recueillir les données personnelles des utilisateurs, à savoir :

  • le consentement : est obligatoire, le droit de la personne concernée de donner ou de refuser son consentement permet aux individus de garder le contrôle de leur vie privée et des données qui leur sont personnelles ;

  • le droit à l’information lors de la collecte des données : tout utilisateur a le droit d’être informé de façon précise, expresse et non équivoque de l’utilisation ou du stockage des données le concernant. Ce droit à l’information porte également sur le responsable de traitement qui effectue la collecte des informations et les destinataires envisagés ;

  • le droit d’accès : ce droit est reconnu par l’article 7 de la loi. Il permet à toute personne d’accéder aux informations la concernant pour s’assurer de leur exactitude ;

  • le droit de rectification : complétant le droit d’accès, il permet à toute personne concernée d’exiger la rectification des informations la concernant, notamment lorsqu’elles sont inexactes ou incomplètes. Ce droit s’exerce au travers d’une requête adressée au responsable du traitement qui est tenu d’y répondre ;

  • le droit de suppression : il permet à toute personne concernée d’exiger la suppression des informations la concernant ;

  • le droit d’opposition : il permet aux utilisateurs de s’opposer à ce que leurs données soient utilisées par un organisme pour un objectif précis.


4.- Obligations du responsable du traitement


Le responsable du traitement doit respecter les obligations prévues par la Loi et mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données collectées. Ces mesures doivent assurer, au regard de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et la nature des données à protéger. La protection des données ne s’arrête donc pas aux seuls droits des personnes mais elle oblige également l’entreprise à mener un audit de sécurité de son système d’information afin d’en détecter les failles en matière de protection des données.

5.- Sanctions


La loi fixe les sanctions civiles et pénales applicables qui peuvent aller, en cas de récidive jusqu’à quatre (4) années d’emprisonnement et une amende de 300.000 Dhs.

Lorsque l’auteur de l’une de ces infractions est une personne morale, « et sans préjudice des peines qui peuvent être appliquées à ses dirigeants, les peines d’amende sont portées au double » (article 64).

Est considérée comme infraction à la loi :

  • tout traitement portant atteinte à l’ordre public, à la sureté, à la morale et aux bonnes mœurs ;

  • la mise en œuvre d’un traitement sans l’autorisation ou la déclaration exigées ;

  • le refus du droit d’accès, de rectification ou d’opposition ;

  • toute incompatibilité avec la finalité déclarée ;

  • le non-respect de la durée de conservation des données ;

  • le non-respect des mesures de sécurité des traitements ;

  • le non-respect du consentement de la personne concernée, notamment lorsqu’il s’agit de prospection directe à des fins commerciales, avec aggravation des sanctions lorsqu’il s’agit de données sensibles ;

  • tout transfert de données personnelles vers un pays n’étant pas reconnu comme assurant une protection adéquate ;

  • toute entrave à l’exercice des missions de contrôle de la CNDP (La Commission Nationale de contrôle de la protection des Données à Caractère Personnel) ;

  • tout refus d’application des décisions de la CNDP.

Pour conclure, la protection des données à caractère personnel étant un droit fondamental, la loi oblige les responsables de traitement à veiller à la sécurité des données collectées et à être réceptifs à l'exercice des droits par les personnes concernées de leurs droits en matière de protection des données personnelles.


Posts similaires

Voir tout
bottom of page