Question n°1 : Que pensez-vous de la protection de la vie privée sur internet d’une manière générale ?
Réponse : Permettez-moi de prime abord de dire que la protection de la vie privée des internautes est aujourd’hui reconnue par toutes les instances internationales. En effet, l’assemblé générale des Nations-Unies à adopté début 2014 une résolution instaurant désormais ‘’le droit à la vie privée à l’ère du numérique’’.
cette résolution à pour objectif de faire en sorte que les droits de l’homme, y compris le droit à la vie privée, protégés hors ligne le soient également en ligne.
Précisant que la protection de la vie privée des internautes englobe la protection du secret de leurs correspondances électroniques ( via e-mails, SMS, MMS….) d’une part, et la protection de leurs données personnelles de l’autre.
Concernant le volet protection des données personnelles des internautes, Il est normal que le cybervendeur est amené dans ses relations avec les cyberconsommateurs à collecter, parfois au su parfois à l’insu de ces derniers, des données à caractère personnel.
Il a été alors nécessaire de protéger les internautes contre l’utilisation abusive de leurs données personnelles essentiellement par les sites web marchands.
C’est pour la raison que voilà que le Maroc, à l’instar de pratiquement l’ensemble des pays du globe, à promulgué la loi n° 09- 08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et du décret n° 2- 09- 165 du 21 Mai 2009 pris pour l’application de la loi n° 09- 08 et de la décision du Premier ministre n° 3.33.11 du 28 Mars 2011 approuvant le règlement intérieur de la commission nationale de contrôle de la protection des données à caractère personnel ( CNDP ).
Ce cadre juridique permet de protéger les personnes physiques, surtout celles utilisant les réseaux numériques, contre la collecte, le traitement et l’exploitation non autorisées de leurs données personnelles et créer, par conséquent, un climat de confiance nécessaire pour le développement du commerce électronique.
Précisons qu’à l’instar de toutes les lois protégeant les données personnelles des personnes physiques sur le plan international, la loi 09-08 ne contient aucune interdiction de principe de collecte et de traitement des données personnelles ; celui-ci doit simplement intervenir de manière licite, en respectant en particulier un certain nombre de principes contenus dans ladite loi.
Question n°2 : Quel est l’objectif de cette protéction ?
Réponse : Le premier objectif du cadre juridique précité est bien évidemment la protéction de la vie privée des personnes physiques en matière de leurs données personnelles circulant sur internet.
La protection des données personnelles circulant sur internet est devenue aujourd’hui un droit fondamental, de l’homme dans cette ère numérique dans lequel nous vivons.
Ce cadre juridique a pour objet d’encadrer en particulier le traitement automatisé de données à caractère personnel en instaurant un régime de protection des personnes physiques dont les données sont traitées de cette manière.
Précisons sur ce chef que cette protection se pose aux différents stades par lesquels passent ces données (collecte, traitement, conservation…).
Le deuxième objectif derrière l’adoption de lois protégeant les données personnelles sur internet est la promotion du commerce électronique.
Les internautes doivent en effet, avoir le sentiment que les responsables des sites web marchands par exemple, protègent leurs données personnelles tant au niveau de leur collecte qu’au niveau de leur stockage dans des bases de données électroniques.
Question n°3 : Est-ce que vous ne pensez pas que la réalisation de l’un des deux objectifs ne peut se faire qu’au détriment de l’autre?
Réponse : Effectivement, c’est d’ailleurs la raison pour laquelle le législateur au Maroc et ailleurs essaye de trouver un certain équilibre entre les deux pour ne pas atteindre un objectif au dépend de l’autre.
Cela s’explique par le fait que la protection de la vie privée des internautes est tout aussi importante, vu qu’il est devenu aujourd’hui un droit fondamental de l’homme, que la promotion du commerce électronique qui est une activité grande consommatrice de données personnelles et qu’aucun pays ne peut ignorer.
Question n°4 : y’a-t-il une définition juridique du concept de "données à caractere personnel" ?
Réponse : En réponse à votre question, il faut rappeler qu’à l’origine, toutes les lois ont utilisé le concept de "données nominatives" pour désigner les données qui font l’objet de la protection juridique. Ces dernières comprenaient essentiellement le nom, l’âge, le sexe, l’adresse postale et la profession.
Or, à l’ère numérique le principe des données nominatives à été étendu à d’autres identifiants électroniques telles que le numéro de carte de crédit, le numéro de téléphone, l’adresse e-mail, l’adresse IP, le code PIN, le DNS, la photo numérique, le mot de passe, le loging, les empreintes digitales ou autres identifiants biométriques.
C’est d’ailleurs pour quoi les nouvelles lois en la matière utilisent le concept de "données à caractère personnel" au lieu de "données nominatives" qui devient, eu égard aux développements technologiques récents, restrictif.
Bref, le concept de données à caractère personnel recouvre aujourd’hui les données nominatives , mais également les données personnelles électroniques. Le tout est concerné par la réglementation relative à la protection des données dés le moment ou elles concernent une personne physique identifiée ou identifiable.
Question n°5 : La question la plus souvent évoquée en matière de la protection des données à caractère personnel sur internet concerne sans nul doute le statut juridique de l’adresse IP ?
Réponse : L’adresse IP est une donnée fondamentale de l’identification sur internet. Dans ces conditions, la question de son statut juridique revêt une importance majeure.
Il s’agit en fait de savoir si l’adresse IP peut ou non être considéré comme une donnée à caractère personnel, car si oui elle doit être soumise aux dispositions de la loi 09-08. Dans ce cas, sa collecte, son traitement et sa conservation est soumise à l’autorisation préalable de la CNDP.
Pour certaines juridictions, l’adresse IP n’est constituée que d’une série de chiffres qui permet de se rapporter à un ordinateur et non à l’individu qui l’utilise. Pour d’autres, cette donnée informatique peut être suffisante dés lors que le fournisseur d’accès à internet ayant fourni l’accès à l’utilisateur de l’ordinateur ainsi identifié est en mesure de communiquer les coordonnées sous lesquelles il a souscrit son abonnement.
Autrement dit, si l’adresse IP ne constitue pas une donnée directement nominative de la personne se connectant à internet ou visitant un site web, elle l’est d’une manière indirecte.
Précisons enfin que le passage actuel de l’dresse IPv4 à l’adresse IPv6 permettra sans aucun doute d’identifier un ordinateur avec certitude, ce qui d’ailleurs n’est pas possible avec l’IP v4, et permettra donc avec plus de facilité d’identifier une personne physique.
Sur ce chef, nous plaidons pour une clarification législative de la qualification juridique de l’adresse IP attribuée à un internaute en l’incluant explicitement dans le champ des données personnelles.
Question n°6 : Est-ce que cette protection concerne uniquement les données des personnes physiques, ou est ce qu’elle englobe également celles des personnes morales ?
Réponse : Les données que la plupart des lois se chargent de protéger contre les risques de collecte et de traitement non autorisés, sont les données personnelles nominatives qui concernent plus particulièrement les personnes physiques.
Cela peut être compris à travers les titres de la plupart de ces lois qui indiquent clairement que la protection concerne uniquement les données des personnes physiques
Il existe toutefois quelques rares lois qui protègent aussi bien les personnes physiques que les personnes morales en matière de traitement des données personnelles.
Les législations sur les données personnelles protègent les personnes physiques concernées contre les abus potentiels auxquels les opérations de traitement effectuées sur leurs données peuvent donner lieu.
Question n°7 : De quel traitement s’agit-t-il ?
Réponse : La loi protège aussi bien les données traitées d’une manière automatisée (données traitées par un site web par exemple) que celles traitées d’une manière non automatisée (fichiers manuels) ?
Or, si on fait référence au préambule de la loi 09-08 qui stipule que "l’informatique doit être au service du citoyen" on comprend que le traitement visée par le législateur est le traitement automatisé surtout que la collecte , le traitement et la conservation des données personnelles recourent davantage aux technologies de l’information et de la communication.
Dans tout les cas, le législateur a choisi de rendre la loi applicable à tout type de traitement et ce, afin d’éviter les détournements qui auraient pour effet de vider de sa substance la protection instaurée à l’encontre des opérations automatisées.
Question n°8 : Quelle est la place de la CNDP dans le système de protection des données à caractère personnel au Maroc ?
Réponse : Afin d’affronter les méfaits de l’informatique sur la vie privé des particuliers, plusieurs législations ont crée des instances chargées de surveiller les opérations de collecte et de traitement des données personnelles en général et celles circulant sur internet en particulier.
La CNDP au Maroc à pour mission de protéger la vie privée des personnes physiques surtout dans le monde numérique et ce, en veillant à l’application de la loi dans ce domaine.
Précisons sur chef que les personnes concernée victimes d’utilisations non conforme à la loi de leurs données personnelles peuvent saisir la CNDP en cas de difficulté de l’exercice de leurs droits.
Question n°9 : Quels sont les droits dont peuvent bénéficier les cyberconsommateurs marocains en cette matière ?
Réponse : En matière des droits dont peuvent bénéficier les internautes, il faut distinguer entre les droits qui peuvent être exercés avant le traitement des données personnelles (droit au consentement et droit d’opposition) et ceux qui le sont durant toute la période de conservation (droit d’accès et droit de rectification).
Précisons dans ce sens que beaucoup de pays, dans le cadre de la modernisation de leurs législation sur la protection des données personnelles, sont sur le point d’instaurer un droit à l’oubli numérique et un droit à la portabilité des données personnelles.
Le droit à l’oubli numérique permet à toute personne de demander la suppression totale des données collectées la concernant, lorsque les données ne sont plus nécessaire au regard des finalités pour lesquelles elles ont été collectées, ou encore lorsque le délai de conservation autorisé à expiré.
Dés lors, tout responsable de traitement ayant collecté des données à caractère personnel devra les effacer, à la demande de la personne concernée, et en cesser toute diffusion.
Par exemple, un internaute qui devrait résilier son compte sur un réseau social (facebook, twitter, ….) devrait pouvoir obtenir de l’exploitant du réseau qu’il détruise toutes les données le concernant.
Concernant le droit à la portabilité des données personnelles, il offre aux personnes concernées de se voir restituer leurs données personnelles dans un format électronique permettant de les transférer à un autre fournisseur de service.
Comme pour la portabilité des numéros de téléphone, le principe de portabilité des données permet de facilité le transfert des données personnelles d’un prestataire à un autre, et de ne pas être tenu de rester indéfiniment chez le même prestataire.
L’ensemble de ces droits doivent être accessibles par le biais d’un onglet intitulé ‘’ Confidentialité’’ que les responsables des sites web marchands sont obligés de par la loi de faire figurer sur la page d’accueil de leurs sites renvoyant à la politique du site en la matière.
Question n°10 : A trop rendre nécessaire l’accord explicite et systématique des internautes concernant l’utilisation de leurs données personnelles, ne risque-t-on pas de brider la dynamique du e-commerce au Maroc ?
Réponse : Cette question s’est récemment posée concernant le droit, pour l’internaute, de donner son consentement avant d’être démarché par des messages publicitaires.
Précisons sur ce chef, que les internautes découvrent chaque jour des dizaines de courriers électroniques publicitaires venant de sociétés qu’ils ne connaissent pas. Egalement, de nombreux clients des opérateurs de téléphonie mobile sont victimes d’envois massifs de SMS ou MMS non sollicités.
Ce phénomène, également connu sous le nom de " Spam ", a atteint ces dernières années des proportions trop inquiétantes pour les utilisateurs d’internet.
Aujourd’hui, plusieurs sociétés et même des particuliers commettent ce crime tout en ignorant que cet acte est illicite et qu’il est sanctionné par des lois spécifiques.
En effet, la loi 09-08 sur la protection des données personnelles et la loi 31-08 sur la protection du consommateur, ont traité des messages électroniques non sollicités.
Les dispositions légales découlant de ces lois protègent les cyberconsommateurs en interdisant explicitement l’utilisation des coordonnées électroniques (adresses Mail et n° de téléphone) des personnes physiques à des fins de prospection commerciale sans avoir préalablement obtenu leur consentement.
Question n°11 : Mais comment les émetteurs de courriers électroniques non sollicités connaissent-ils les adresses électroniques des prospects ?
Réponse : Pour répondre à cette question, on doit distinguer entre la collecte licite des adresses électroniques et téléphoniques et la collecte illicite.
Il va sans dire que l’internaute lui-même lorsqu’il visite un site web pour acquérir un produit ou un service, ou lors de son inscription à une liste de diffusion ou à un forum de discussion ou lorsqu’il ouvre un compte auprès de l’un des réseaux sociaux donne de son propre gré son adresse électronique et/ou son numéro de téléphone.
Ces fichiers d’adresse électroniques sont utilisés dans la prospection directe, soit par la partie à laquelle on les a fournis, soit par d’autres partis auxquelles les dits fichiers ont été cédés.
En fait, il existe sur internet un véritable marché où s’achètent et se vendent des fichiers d’adresses de courrier électronique. Il est ainsi possible de se procurer sur internet des fichiers contenant des milliers d’adresses à télécharger pour des sommes relativement modiques.
En outre, certains fournisseurs de messagerie électronique gratuite prévoient que les bénéficiaires de ces services acceptent de recevoir des publicités en utilisant les adresses électroniques créées.
Cela veut dire qu’ils conditionnent la gratuité du service à l’envoi de messages publicitaires à la boite aux lettres électroniques en question.
Précisons sur ce chef que la constitution de ces fichiers est tout à fait licite, ce qui ne l’est pas, c’est l’utilisation qui en est faite.
Concernant la collecte illicite des adresses électroniques, C’est celle qui se réalise sans le consentement de leurs titulaires, et sans même que ces derniers n’aient connaissance dans la plupart des cas.
Il existe plusieurs méthodes de collecte des adresses de courriers électroniques à l’insu de leurs titulaires dont la plus importants est la collecte par le biais de logiciels spécifiques. Ces logiciels génèrent automatiquement des adresses électroniques et envoient du spam à toutes ces adresses, qu’elles existent ou non. Cette méthode de collecte est plus fréquente et moins couteuse que l’achat d’adresses électroniques.
Question n°12 : Qu’en est –il des obligations des responsables de traitement des données personnelles ?
Réponse : la loi 09-08 soumet les responsables de collecte et de traitement des données à caractère personnel, tel qu’un gestionnaire d’un site web, à un certain nombre d’obligations dont les plus importantes sont la collecte loyale et licite de ces données , le respect des formalités préalables au traitement ( déclaration au prés du CNDP ou demande de son autorisation pour les données à caractère personnel susceptibles de présenter des risques particuliers en matière de vie privée), le respect des finalités pour lesquelles les données ont été collectées et la conservation des données dans des conditions à même d’assurer leurs sécurité et leurs confidentialité.
Question n°13 : Est-ce que les sites web marocains qui collecte et traitent des données à caractère personnelles respectent l’ensemble de ces obligations ?
Réponse : précisons d’abord que les internautes doivent avoir le sentiment que les responsables des sites web protègent leurs données personnelles tant au niveau de leur collecte et traitement qu’au niveau de leur stockage dans des bases de données électroniques.
Bien évidemment, la loi 09-08 s’applique également aux sites web, car toute collecte et tout traitement de données à caractère personnel suppose le respect des dispositions de cette loi.
En effet, tout formulaire en ligne proposant au visiteur d’un site web de donner ses coordonnées constitue une collecte de données personnelles. Par conséquent, l’internaute doit être informé de l’identité du responsable de traitement, de la finalité des traitements, du caractère facultatif ou obligatoire des réponses et surtout des droits dont il bénéficie.
Il est à signaler dans ce cadre que la loi impose aux responsables des sites web de mettre en place une "politique de vie privée" indiquant l’ensemble des droits dont dispose le visiteur du site et l’ensemble des obligation à respecter par le site
Question n°14 : Qui dit sites web, dit possibilité de profilage des internautes visitant ces sites ?
Réponse : Il va sans dire que le profilage des internautes se réalise le plus souvent par une technique informatique qui s’appelle "cookies" .Il s’agit de petit fichiers informatiques glissés par les sites web sur les disques dur des internautes les visitant .
La conception large de la notion de "données à caractère personnel" épousée par le législateur au Maroc nous permet de dire que toute donnée permettant d’identifier une personne sans nécessairement connaitre son identité (identifiants se trouvant dans les cookies, les données servant à constituer des profils ….) est une donnée à caractère personnel.
En effet, même si ces données ne permettent pas en elles-mêmes l’identification d’une personne physique, force est de constater que la tendance est à affirmer que ces données sont personnelles et sont donc soumises aux dispositions de la loi 09-08, dés lors qu’elles permettent de reconstituer la personnalité d’un individu.
Par conséquent, les sites web doivent donner à l’internaute une information spécifique, claire, accessible et permanente sur l’implantation des cookies, sur leurs finalités et sur leurs modes d’action, ainsi que sur les différents moyens pour les éliminer et éventuellement sur les conséquences de leur élimination.
Question n°15 : La CNDP vient de lancer une série d’opérations en vue de renforcer la protection de la vie privée des internautes au Maroc. Que pensez-vous de cette action ?
Réponse : En commémoration de la journée internationale de la protection des données personnelles, célébrée le 28 janvier de chaque année, La CNDP à mis en œuvre, comme prévue dans la loi 09-08, des opérations de contrôle des sites web qui utilisent des données personnelles pour alimenter leurs contenus.
La première opération de contrôle concerne les sites offrant en ligne des deals d’achat, des annonces d’achat et de vente. L’objectif étant de vérifier si les exploitants desdits sites traitent les données personnelles dans le respect de la loi surtout en matière d’information des internautes et de notification des traitements à la CNDP.
Question n°16 : le monde interconnecté dans lequel nous vivons fait certes naitre de nouveaux défis en matière de protection de la vie privée des citoyens ?
Réponse : Depuis quelques années, le développement de technologies, liées ou non au commerce électronique, comme la géolocalisation, la vidéosurveillance, la biométrie, les réseaux sociaux, les moteurs de recherche…. S’accompagnent d’un traçage de plus en plus important et précis des personnes.
Il ne s’agit pas de diaboliser ces technologies qui restent tout de même nécessaires, mais de s’assurer qu’elles se développent dans le respect des libertés individuelles et de la vie privée.
Question n°17 : Un dernier mot professeur Fouad Benseghir?
Réponse : En dépit du vif intérêt que la question de la vie privée surtout sur internet rencontre dans le public, les gens ne connaissent guère leurs droits en la matière.
La CNDP est invité à mener des actions d’information et de sensibilisation dans l’objectif de faire prendre conscience à tout un chacun qu’il est titulaire d’un droit fondamental à la protection de ses données et de sa vie privée hors ligne mais surtout en ligne.
Docteur Fouad BENSEGHIR
Expert en Droit Electronique
