Depuis 2009, le Maroc s'est doté d'un arsenal juridique en matière de protection des données personnelles comparable à celui des pays européens (cf. le règlement général sur la protection des données (RGPD) du 27 avril 2016).
La Loi n° 09-08 (promulgué par le Dahir n°1-09-15 du 18 février 2009 – 22 Safar 1430) a mis en place un dispositif qui permet une protection optimale des données personnelles.
1.- Définitions
a.- Données et personnes concernées
Les données à caractère personnel sont définies comme : « toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou indentifiable par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou social » (Article 1er).
Sauf trois cas dérogatoires limitatifs, qui sortent du champ d’application de la loi, celle-ci s’applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels.
b.- Traitement et responsable du traitement
Le traitement est défini dans la loi comme étant : « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. » (Article 1er al.2).
Par cette large définition, le législateur a voulu englober toutes les possibilités de traitement qui pourraient être appliquées à des données à caractère personnel pour offrir la protection la plus adéquate aux citoyens.
Quant au responsable du traitement, il a été défini comme étant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres détermine les finalités et les moyens du traitement de données à caractère personnel » (Article 1er).
2.- Conditions et modalités de collecte des données à caractère personnel
a.- Le consentement de la personne concernée
Le consentement est une manifestation de volonté libre, spécifique et informée, par laquelle la personne concernée accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement.
Conformément à l’article 4 de la Loi, le traitement des données à caractère personnel ne peut être effectué que si la personne concernée a donné son consentement à l’opération ou à l’ensemble des opérations envisagées.
Ainsi par exemple, lors d’une opération d’achat en ligne, le consommateur doit accepter expressément que ses données personnelles soient traitées par le vendeur pour les besoins de la transaction. Si le vendeur envisage un traitement de ces données autre que celui lié à l’opération en question, il doit requérir aussi le consentement de la personne concernée. Il arrive ainsi qu’il soit demandé à l’acheteur de cocher une case supplémentaire indiquant qu’il accepte que ses données personnelles soient transmises à des partenaires commerciaux du vendeur pour que celui-ci puisse promouvoir ses produits et services. À défaut de consentement, le transfert des données personnelles de la personne concernée par le vendeur à un tiers serait considéré comme illicite.
b.- Finalité du traitement et principe de proportionnalité
Le traitement des données personnelles doit avoir une finalité clairement définie. Elles ne peuvent être collectées que pour une finalité déterminée et ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité.
Le principe de proportionnalité implique que les données personnelles collectées soient en adéquation avec la finalité du traitement. Ainsi, les données doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ultérieurement » ( Article 3, al. 1).
c.- Loyauté et licéité dans le traitement
Il s’agit d’un principe fondamental obligatoire à toute opération de traitement portant sur les données personnelles. Il faut ainsi s’assurer que les données soient collectées loyalement, c’est-à-dire que les personnes concernées soient bien informées et veiller à ce que leurs droits soient respectés. Il faut aussi que les données soient protégées contre toute atteinte extérieure en mettant en place les moyens humains et techniques de protection.
Les données doivent être traitées loyalement et licitement, et toujours de manière compatible avec les finalités pour lesquelles elles ont été collectées.
d.- Limitation de la durée du traitement
Les données doivent être conservées pour une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées.
3.- Droits des utilisateurs
Lors de la collecte des données des utilisateurs, les personnes doivent être informées notamment de l’identité du responsable du traitement, des finalités du traitement, des destinataires des données, de l’existence d’un droit d’accès, de rectification et de suppression. Les personnes concernées ont également le droit de s’opposer au traitement de leur données personnelles pour des motifs légitimes. Ces informations doivent être mentionnées sur tout support destiné à recueillir les données personnelles des utilisateurs. Les droits et obligations ci-après sont à respecter :
- - le consentement obligatoire : le droit de la personne concernée de donner ou de refuser son consentement permet aux individus de garder le contrôle de leur vie privée et des données qui leur sont personnelles ;
-le - le droit à l’information lors de la collecte des données : tout utilisateur a le droit d’être informé de façon précise, expresse et non équivoque de l’utilisation ou du stockage des données le concernant. Ce droit à l’information porte également sur le responsable de traitement qui effectue la collecte des informations et les destinataires envisagés ;
- - le droit d’accès : ce droit est reconnu par l’article 7 de la loi. Il permet à toute personne d’accéder aux informations la concernant pour s’assurer de leur exactitude ;
- - le droit de rectification : complétant le droit d’accès, il permet à toute personne concernée d’exiger la rectification des informations la concernant, notamment lorsqu’elles sont inexactes ou incomplètes. Ce droit s’exerce au travers une demande adressée au responsable du traitement qui est tenu d’y répondre ;
- - le droit de suppression : il permet à toute personne concernée d’exiger la suppression des informations la concernant ;
- - le droit d’opposition : il permet aux utilisateurs de s’opposer à ce que leurs données soient collectées et utilisées.
4.- Obligations du responsable du traitement
Le responsable du traitement doit respecter les obligations prévues par la Loi et mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données collectées. Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et la nature des données à protéger.
La protection des données ne s’arrête donc pas aux seuls droits des personnes mais elle oblige également le collecteur à mettre en place un système d’information et de sécurité performants afin d’éviter les failles en matière de protection des données personnelles.
5.- Sanctions
La loi fixe les sanctions civiles et pénales applicables qui peuvent aller, en cas de récidive jusqu’à quatre (4) années d’emprisonnement et une amende de 300.000 Dirhams. Lorsque l’auteur de l’une de ces infractions est une personne morale et sans préjudice des peines qui peuvent être appliquées à ses dirigeants, les peines d’amende peuvent être doublées (article 64).
Est considérée comme infraction à la loi :
- - tout traitement portant atteinte à l’ordre public, à la sureté, à la morale et aux bonnes mœurs ;
- - la mise en œuvre d’un traitement sans l’autorisation ou la déclaration exigées ;
- - le refus du droit d’accès, de rectification ou d’opposition ;
- - toute incompatibilité avec la finalité déclarée ;
- - le non-respect de la durée de conservation des données ;
- - le non-respect des mesures de sécurité des traitements ;
- - le non-respect du consentement de la personne concernée, notamment lorsqu’il s’agit de prospection directe à des fins commerciales, avec aggravation des sanctions lorsqu’il s’agit de données sensibles ;
- - tout transfert de données personnelles vers un pays n’étant pas reconnu comme assurant une protection adéquate ;
- - toute entrave à l’exercice des missions de contrôle de la CNDP ;
- - tout refus d’application des décisions de la CNDP.
Pour conclure, la protection des données à caractère personnel étant un droit fondamental, la loi oblige les responsables de traitement à veiller à la sécurité des données collectées et à être réceptifs à l'exercice des droits par les personnes concernées de leurs droits en matière de protection des données personnelles.