La protection des données personnelles : une réalité pour les entreprises.

La protection des personnes physiques à l’égard du traitement des données personnelles. Actualités et mise en œuvre de la Loi n° 09-08. Le délai de mise en conformité des entreprises avec la Loi n° 09-08 a expiré le 15 novembre 2012. Dès lors, de lourdes sanctions sont prévues allant jusqu’à 300 000 dhs d’amende et 2 ans d’emprisonnement par infraction constatée. Le Maroc, dans sa marche forcée vers la modernisation de son arsenal juridique, a été l’un des premiers pays arabes et africains à adopter une législation complète et restrictive relative à la protection des personnes physiques à l’égard du traitement de leurs données personnelles.

En effet, lancé dans un vaste programme de développement des technologies de l’information, du numérique et le désir de voir prospérer des activités de offshoring, le Royaume s’est vu presser notamment par la Communauté Européenne de mettre en place une réglementation propre à protéger le transfert des données vers ou en provenance des Pays de l’Union. La loi n° 09-08 a ainsi été promulguée par Dahir dès le 18 février 2009. Un décret d’application est venu, contrairement à d’autres domaines législatifs, très rapidement, le 21 mai 2009, définir les conditions d’application de ce texte.

La CNDP, Commission Nationale pour le Traitement des Données Personnelles, a quant à elle, été opérationnelle en Novembre 2010.

Il faut préciser que la Loi n° 09-08 a mis en place des contraintes importantes pour border un principe qui a été consacré depuis par la Constitution de 2011 dans son article 24 : « toute personne physique a le droit à la protection de sa vie privée ».

Pour mémoire, les contraintes dont il s’agit concernent notamment :

– des obligations de déclaration et d’autorisation préalables au traitement, enregistrées pour les premières et délivrées pour les secondes, par la CNDP;

– des obligations d’information de la personne visée en sollicitant son consentement sur chacune des opérations la concernant;

– des obligations de confidentialité et de sécurité des traitements et de secret professionnel ; un droit d’accès, de rectification et d’opposition donné à la personne physique objet du traitement etc…

Conscient de la nouveauté et de la lourdeur de ces dispositions, le Législateur a entendu donner aux personnes morales et physiques visées par ce texte, un délai de mise en conformité à ces obligations de deux années, lequel délai a expiré le 15 novembre 2012. Il faut rappeler par ailleurs que des sanctions d’une rare sévérité ont été prévues par cette Loi n° 09-08 puisqu’elle énonce des amendes pouvant aller jusqu’à 300 000 Dhs par infraction.

Pire encore, la violation de l’une des obligations mise à sa charge par ce texte peut conduire la personne physique ou morale en charge du traitement tout droit en prison avec des peines privatives de liberté allant de trois mois à deux ans par infraction !

Or, nous constatons à ce jour que cette force de dissuasion et/ou de persuasion massive n’a pas atteint son objectif.

Des indicateurs font état en effet de seulement 1230 demandes d’autorisation et 1063 déclarations. Le rapport de la CNDP daté du 19 septembre 2014 publie les résultats de sa première campagne de contrôle qu’elle a choisi d’opérer dans le domaine particulièrement sensible et concerné des sites web. Nous pouvons ainsi constater que les obligations prévues par la Loi n° 09-08 sont suivies pour certaines par 1 % ou 7 % seulement des sites concernés et de nombreuses irrégularités ont pu être relevées.

Nul doute que dans un proche avenir, la CNDP va étendre ces campagnes de vérification à d’autres secteurs d’activité, multiplier les contrôles et appliquer un jour les sanctions mises à sa disposition par la loi.

Pour l’instant, ses représentants optent pour une démarche pédagogique qui entre dans leur première prérogative : « la sensibilisation et l’information » mais qu’en sera-t-il si le phénomène de violation de ce texte perdure dans le temps ?

D’autant plus que la CNDP a fait un travail important tendant à simplifier et à alléger les démarches administratives des personnes physiques et morales. Elle a en outre rendu plusieurs Délibérations (type decret d’application de la Loi) dont la dernière date du 11 avril 2014 et s’applique au domaine des Ressources Humaines.

Tout employeur, personne physique ou morale, devra désormais s’y conformer non seulement vis-à-vis de ses salariés mais aussi envers les simples stagiaires ou candidats à l’embauche. Une précédente Délibération du 31 mai 2013 avait d’ores et déjà réglé la délicate question de la vidéosurveillance dans les lieux de travail.

Le non respect par les personnes morales et physiques des dispositions de la Loi n° 09-08 engage la crédibilité du Maroc dans ses relations avec ses pays voisins et freine le développement commercial de certaines sociétés marocaines de même que l’élan des entreprises européennes dans leur démarche d’externalisation des processus métier vers notre pays.

La protection des données personnelles et son corollaire, le « droit à l’oubli » c’est à dire le droit à la destruction définitive des données enregistrées par soi même ou par autrui deviennent un enjeu central dans un temps où internet assure la « virtualisation » du monde et la captation de nos intimités.

Nawal Ghaouti, Avocat près la Cour Suprême et Présidente de la Commission Juridique, Fiscale et Sociale de la CFCIM.

 

Articles à la une