Protection des données personnelles : le Maroc tenu de mieux crédibiliser son système

La hausse d’activité de la CNDP et l’adhésion aux normes internationales ne suffisent pas à élever le Maroc parmi les «pays de confiance». En cause, le retard pris par le service public et le manque de coercition de la part de la CNDP. La Défense nationale entre en jeu pour verrouiller le cloud.

Enjeu majeur de la transition numérique de notre société, la protection des données personnelles des personnes physiques a connu une évolution sensible depuis la mise en place, le 18 février 2009, de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP). 2016 a d’ailleurs été une année charnière puisque, d’une part, les plaintes enregistrées sont en nette augmentation (le nombre a progressé de 20%, à 1 000 plaintes). D’autre part, ce fut l’année de l’adhésion totale du Maroc à la Convention 108, premier instrument international contraignant en la matière.

Seulement, malgré le travail de la commission et l’adhésion aux normes mondiales, un mauvais signal a été envoyé par la Commission nationale de l’informatique et des libertés (CNIL), l’équivalent français de la CNDP. L’institution française a infligé, fin 2016, une sanction administrative de 30 000 euros à l’encontre du site «BrandAlley.fr». La société éponyme propriétaire de ce site de ventes en ligne est épinglée pour plusieurs indélicatesses à l’égard de la loi française de protection des données personnelles, et parmi les chefs d’accusation, le fait qu’elle ait transféré vers le Maroc les données personnelles de ses clients via l’un de ses sous-traitants. «Or, en principe, de telles opérations ne sont possibles que si le pays de destination offre un niveau de protection comparable à celui en vigueur en Europe, ce qui n’était pas le cas ici», conclut sèchement la décision de la CNIL.

Le rapport 2016 des autorités françaises chargées de la protection des données personnelles apporte une solution claire en rappelant que «l’arsenal juridique n’est qu’un premier pas à l’effectivité du système», et que les réels indicateurs demeurent «d’une part, l’application des règles par les opérateurs, et, d’autre part, le pouvoir coercitif des instances nationales». Or, ce sont bien là les deux points faibles du système marocain, puisque même les organes de l’Etat sont encore hors la loi. Il convient en effet de rappeler que, hormis les traitements mis en œuvre dans l’intérêt de la défense nationale ou la sécurité intérieure et extérieure de l’Etat, tous les autres traitements mis en œuvre par l’administration publique sont soumis à la loi 09-08. «Il y a lieu de constater que plusieurs acteurs du secteur public s’y sont conformés, notamment Bank Al-Maghrib, l’ANRT, l’OMPIC… D’autres ont déclenché le processus, tels l’Education nationale, le ministère de l’industrie, la CNSS… Ceci dit, la CNDP poursuit ses efforts pour amener d’autres départements et organismes publics à se mettre en conformité avec les dispositions de la loi sur la protection des données personnelles», indique Saïd Ihrai, président de la CNDP. Ce dernier précise par ailleurs que «de plus en plus d’administrations publiques soumettent des demandes d’avis à la CNDP. C’est le cas du ministère de l’économie et des finances, du ministère de l’éducation nationale, de la CNSS, etc. Cela témoigne d’une prise de conscience, parmi les décideurs du secteur public, de l’intérêt qu’il y a à s’aligner sur les standards internationaux de la protection des données personnelles».

La commission est toujours dans une logique de sensibilisation

En ce qui concerne ses prérogatives, la CNDP est dotée de pouvoirs d’investigation et d’enquête lui permettant de contrôler et de vérifier que les traitements des données personnelles sont effectués conformément aux dispositions de la loi 09-08 et de ses textes d’application. A ce titre, ses agents peuvent accéder directement à tous les éléments intervenant dans les processus de traitement (les données, les équipements, les locaux, les supports d’information). Ces contrôles peuvent donner lieu à des sanctions administratives, pécuniaires ou pénales.

Néanmoins, et faute de moyens réels, la commission se dit toujours dans une logique de «sensibilisation plutôt que de sanction». Sauf que le cas de BrandAlley risque de se répéter, et les investissements dans l’offshoring peuvent sérieusement en pâtir si les acteurs marocains ne font pas preuve d’un respect minutieux des règles de protection.

A ce sujet, la CNDP dit avoir «émis dans ce cadre des recommandations visant à assurer la qualité et la sécurité des données personnelles traitées par un service cloud, ainsi que les droits des personnes concernées. Dans le souci d’harmoniser les efforts des différents intervenants, la CNDP se concerte avec la Direction générale de la sécurité des systèmes d’information (DGSSI), relevant de la Défense nationale, le ministère de l’industrie et des représentants du secteur privé. Cette démarche concertée permettra de mieux appréhender la question du cloud et d’apporter une réponse globale pertinente». Serait-ce suffisant pour rassurer les investisseurs ?

La Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données du Conseil de l’Europe, auquel le Maroc a pleinement adhéré, a pour objet de protéger les personnes contre l’usage abusif du traitement automatisé des données à caractère personnel, et qui réglemente les flux transfrontaliers des données. Outre des garanties prévues en ce qui concerne le traitement automatisé des données à caractère personnel, elle proscrit le traitement des données «sensibles» relatives à l’origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle, aux condamnations pénales, etc., en l’absence de garanties offertes par le droit interne. La convention garantit également le droit des personnes concernées de connaître les informations stockées à leur sujet et d’exiger le cas échéant des rectifications. Seule restriction à ce droit : lorsque les intérêts majeurs de l’Etat (sécurité publique, défense, etc.) sont en jeu. La convention impose également des restrictions aux flux transfrontaliers de données dans les Etats où il n’existe aucune protection équivalente.