Données personnelles : les sites d’e-commerce font l’objet d’un contrôle plus strict

Les sites les plus visités ont été visés dans une première étape. Une liste de recommandations leur permettant de se mettre en conformité avec la loi a été publiée. La CNDP handicapée par le manque de moyens.

l’heure où Internet accélère les échanges et où l’information circule à grande vitesse, la protection des données personnelles devient un impératif. D’autant plus que les sites web sont de plus en plus utilisés pour effectuer des transactions. Or, plusieurs problèmes se posent toujours et les responsabilités ne sont pas encore claires. D’une part, la loi 08-09 comporte une ambiguïté relative à la responsabilité des dirigeants d’une société concernant le traitement des informations à caractère personnel. Comme le souligne Mehdi Kettani, avocat au barreau de Casablanca, «entre le chargé du traitement des informations et le représentant légal de la société, un flou persiste autour de la question de la responsabilité». D’autre part, la faiblesse des moyens et des capacités de contrôle dont dispose la Commission nationale de contrôle de la protection des données personnelles (CNDP) le handicape dans ses missions.

Pour Souad El Kouhen, membre de la CNDP, l’absence de l’audit préalable des opérateurs, qui est pourtant un maillon important du mécanisme, «est due à un déficit en ressources humaines», mais aussi et surtout au fait que «la CNDP est pour l’heure dans une logique de sensibilisation plutôt que de répression». Mais cette «sensibilisation» ne semble pas vraiment marcher pour l’instant. A titre d’exemple, les mentions légales obligatoires sur les sites marchands, pourtant dépositaires de données bancaires, ne sont pas toujours présentes, ce qui est une infraction pénalement sanctionnée. «La CNDP a entamé un programme de contrôle de sites web étalé dans le temps. La première étape a visé des sites web parmi les plus visités au Maroc et s’est limitée à quelques secteurs d’activité. L’opération est appelée à s’élargir à d’autres sites Internet et d’autres secteurs d’activité. Même si le premier bilan permet de donner une idée assez claire sur l’état des lieux en matière de protection des données personnelles sur le web au Maroc», explique Saïd Ihrai, président de la CNDP. Et d’ajouter : «Les sites qui ont fait l’objet de contrôle ont été invités à se conformer à la loi sur la base d’un document publié, et qui liste les recommandations de la commission en matière de conformité des sites web. Les sites concernés par cette opération seront de nouveau contrôlés en vue de s’assurer qu’ils ont pris en compte ces recommandations. Ceux qui ne l’auront pas fait seront soumis à des actions plus persuasives telles que prévues par la loi 09-08».

Des mesures dissuasives ciblées seront prises

Au-delà du simple respect des mentions légales, la monétisation des données se présente comme l’un des principaux dangers du secteur. «Les données personnelles attirent de plus en plus les convoitises d’une nouvelle race d’entreprises qui en font un business juteux, en les louant au premier venu», explique Amine Serhani, président de la Fédération nationale du e-commerce (FNEM). Ainsi, coordonnées de DRH, DSI ou RSSI, et les données de 200 000 personnes (adresses mails, tél, adresses postales, etc.) sont vendues pour 2000 DH ou moins. Résultat : les internautes et managers de sociétés sont assaillis par des dizaines d’appels, de SMS ou d’emails indésirables qui minent leur quiétude et scellent leur liberté. Ils sont harcelés chaque jour, sans répit. «Personne ne donnera son aval pour le partage et la vente de ses données personnelles sauf s’il en tire personnellement profit. Ce qui me paraît impensable quand il s’agit de numéros de GSM, d’adresses postales…», s’indigne le président de la FNEM. De son côté, le président de la CNDP indique que «la vente de bases de données personnelles préoccupe fortement la CNDP. Le contrôle a visé, entre autres aspects, la mise en conformité des sites web dans ce domaine. Le contrôle est donc un moyen parmi d’autres pour encadrer l’utilisation des bases de données personnelles. D’autres actions sont envisagées, elles vont de la sensibilisation à la prise par la CNDP de mesures dissuasives ciblées».

La CNDP a reçu près de 479 plaintes du 1er janvier à fin août 2016. Ces huit premiers mois seulement, les plaintes déposées auprès de la CNDP ont augmenté de plus de 20% par rapport à la totalité des plaintes déposées l’année précédente (qui étaient de 396 plaintes). «Un chiffre qui atteste d’une prise de conscience des droits des citoyens et des responsabilités de chacun, en termes de liberté et de vie privée», explique le président Ihraï. En effet, parmi les plaintes reçues, l’abus d’utilisation des données personnelles liées à l’enregistrement en vidéosurveillance est récurrent en dépit des efforts déployés par la commission pour protéger ces données. Du 1er janvier 2015 à fin août 2016, la CNDP a délivré 162 récépissés pour le lancement d’installation de caméras de vidéosurveillance dans différents espaces. Après l’obtention d’un récépissé, les responsables de traitement doivent respecter une réglementation vis-à-vis des citoyens. Ils sont tenus d’informer de la présence d’un système de vidéosurveillance dans les lieux de travail et les lieux privés communs, au moyen d’une affiche ou d’un pictogramme, placé à l’entrée des établissements surveillés.