Données personnelles : la CNDP promet de sévir après la phase de la pédagogie

Depuis son installation, la Commission nationale pour la protection des données personnelles (CNDP) occupe progressivement le terrain. Son président, Said Ihrai, explique sa démarche et fait le point sur les différents dossiers en cours de traitement.

L’enquête menée par la CNDP sur un échantillon réduit de sites internet avait mené à des conclusions alarmantes. Où en êtes-vous ?
L’opération de contrôle a été élargie à un nombre assez important de sites web et se poursuit toujours. Les résultats définitifs de cette campagne seront disponibles prochainement. Cela n’empêche pas de constater à ce stade que les premiers éléments qui émergent de cette opération confirment les tendances observées au tout début, à savoir qu’il y a encore du chemin à faire pour que les sites web respectent les dispositions de la loi 09-08 relative à la protection des données personnelles.
Concernant les premiers sites contrôlés, la CNDP a adressé aux exploitants une lettre pour les inviter à se conformer à la loi, ainsi qu’un document reprenant les lignes directrices en matière de conformité. Certains de ces exploitants de sites web se sont manifestés, d’autres pas encore. La CNDP ne manquera pas de refaire le contrôle pour une mise au point sur la situation et prendra des mesures plus contraignantes contre les sites qui n’auront pas honoré leurs engagements. Ces mesures peuvent aller jusqu’à la saisine des juridictions compétentes.

Une étude menée par des juristes spécialisés de la Chambre de commerce internationale a également relevé que certains organismes publics sont hors-la-loi. Y a-t-il eu des rappels à l’ordre ?
Depuis sa création, la CNDP n’a cessé de déployer ses efforts pour sensibiliser le secteur public aux dispositions de la loi sur la protection des données personnelles. Il convient en effet de rappeler que, hormis les traitements mis en œuvre dans l’intérêt de la défense nationale ou la sécurité intérieure et extérieure de l’Etat, tous les autres traitements mis en œuvre par l’administration publique sont soumis à la loi 09-08.
Il y a lieu de constater que plusieurs acteurs du secteur public se sont conformés, notamment Bank Al-Maghrib, l’ANRT, l’OMPIC… D’autres ont déclenché le processus, tels l’Education nationale, le ministère de l’industrie, la CNSS… Ceci dit, la CNDP poursuit ses efforts pour amener d’autres départements et organismes publics à se mettre en conformité avec les dispositions de la loi sur la protection des données personnelles.
D’autre part, il est à souligner que de plus en plus d’administrations publiques soumettent des demandes d’avis à la CNDP. C’est le cas du ministère de l’économie et des finances, le ministère de l’éducation nationale, la CNSS, l’UTRF, etc. Cela témoigne d’une prise de conscience parmi les décideurs du secteur public de l’intérêt qu’il y a à s’aligner sur les standards internationaux de la protection des données personnelles.

Dans certains pays, le contrat cloud est interdit pour les opérations bancaires et d’assurances, quels garde-fous comptez-vous mettre pour éviter les abus en la matière ?
Le cloud est un des thèmes nouveaux qu’impose le développement rapide des nouvelles technologies de l’information. Depuis quelques mois, la CNDP s’est penchée sur la question, puisqu’elle est concernée, dès qu’il s’agit de traitement de données personnelles hébergées dans le cloud. Elle a émis dans ce cadre des recommandations visant à assurer la qualité et la sécurité des données personnelles traitées par un service cloud, ainsi que les droits des personnes concernées. Cependant, ce nouveau service présente plusieurs aspects et intéresse divers acteurs. Dans le souci d’harmoniser les efforts des différents intervenants, la CNDP se concerte avec la Direction générale de la sécurité des systèmes d’information (DGSSI), relevant de la Défense nationale, le ministère de l’industrie et des représentants du secteur privé. Cette démarche concertée permettra de mieux appréhender la question du cloud et d’apporter une réponse globale pertinente.

La vente des bases de données clientèles par certains sites internet est aussi devenue courante. Que comptez-vous faire ?
Partant du constat que la culture de la protection des données personnelles est nouvelle au Maroc, la CNDP a surtout favorisé une approche pédagogique basée sur la sensibilisation. Ceci ne l’a pas empêchée de prendre contact avec plusieurs entreprises qui commercialisent des bases de données pour les amener à respecter les obligations légales en vigueur.
De même qu’elle a saisi, dans le cadre de l’instruction de plaintes, les entreprises qui louent ou achètent ces bases de données pour les utiliser dans leurs campagnes marketing. Ceci dit, la CNDP envisage de recourir prochainement à des mesures plus sévères prévues par la loi 09-08, notamment le contrôle, ou même le transfert de certains dossiers au parquet.

Il y a aussi l’envoi de SMS intempestifs…
Comme expliqué précédemment, l’application de la loi se fait progressivement et le résultat de cette démarche s’est révélé payant. Ainsi, à l’occasion de la mise en conformité des trois opérateurs télécoms, la CNDP a pu exiger des règles restrictives en matière de prospection. Comme par exemple la nécessité de recueillir le consentement libre, spécifique et éclairé des abonnés au moyen de formulaires rédigés en mode opt-in.
Enfin, il convient de souligner que l’application de la loi exige aussi la contribution des citoyens et leur prise de conscience. Ceux-ci doivent se plaindre auprès des entreprises qui ont recours à la prospection commerciale directe par SMS intempestifs et, le cas échéant, saisir la CNDP pour faire valoir leurs droits. D’ailleurs, à ce jour, 50% des plaintes portant sur la réception de SMS non désirés ont été satisfaites. L’autre moitié est en cours de traitement.