Ce à  quoi les banques devront se plier en matière de protection des données personnelles

Une directive «d’application» a été envoyée par la CNDP au secteur bancaire. Droits d’information, d’accès et de rectification : les piliers du système de protection. Tout transfert de données à  l’étranger doit être préalablement notifié.

Une année après la signature d’un accord de coopération entre Bank Al-Maghrib et la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), cette dernière vient de publier une directive comprenant un modèle de demande d’autorisation auquel les établissements de crédit devront se plier. La directive concerne plusieurs opérations dont notamment la mise à disposition, les retraits, versements et transferts de fonds, les paiements de chèques et les opérations de change, la gestion des réclamations et la recharge des cartes prépayées.

Dans ce document, la CNDP indique que «les responsables du traitement doivent veiller au respect des deux principales prérogatives dont disposent les clients des établissements bancaires et financiers en vertu de la loi». Il s’agit principalement du droit d’accès et de rectification garantis par les articles 7 et 8 de la loi 09.08, ainsi que du droit d’information, énoncé dans l’article 5 de la même loi. Ce droit d’information consiste notamment à informer le client sur l’identité du responsable du traitement, sur la finalité et des destinataires de celui-ci, le caractère obligatoire ou facultatif des questions posées pour la collecte de données ou encore sur les services habilités à recevoir les demandes de rectification et d’opposition pour les personnes concernées. Toujours selon la directive de la CNDP, les transferts de données à l’étranger doit être préalablement notifiés à la CNDP.

Le rapport d’activité de la direction juridique de Bank Al-Maghrib pour l’année 2013 indique par ailleurs que plusieurs opérations nécessitent une demande d’autorisation distincte. Il s’agit de l’interconnexion et recoupement avec d’autres fichiers, mais aussi du traitement des informations dites «sensibles». La banque centrale précise qu’«il s’agit principalement de l’origine raciale ou ethnique, l’opinion philosophique, politique, syndicale ou religieuse, ou la santé des personnes, y compris leurs données génétiques». La jurisprudence communautaire, qui s’appliquera en droit marocain après l’incorporation de la convention européenne 108 et du protocole additionnel de Strasbourg, ajoute aussi «les infractions, condamnations et mesures de sûreté, ainsi que tous les éléments d’appréciation sur les difficultés sociales des personnes».

Ce système des autorisations distinctes sera également applicable, en vertu de l’accord signé par BAM et la CNDP, aux organes que le régulateur compte mettre en place : la centrale des incidents de paiement de la lettre de change normalisée, la centrale des comptes bancaires ainsi que la centrale des chèques réguliers.
Avec l’application de cette directive, le secteur bancaire et financier se place aux avant-postes dans l’application des normes 09.08, contrairement aux opérateurs du e-commerce par exemple. Cela se justifie toutefois par le fait que les banques et organismes de crédit traitent des informations sur la situation personnelle et financière de leurs clients.