22 Janvier 2014 À 13:30
Aucune loi liée au Cloud Computing n’existe actuellement au Maroc. Un semblant de vide juridique, comblé en grande partie, par la loi 09-08. Cette loi relative à la protection des données à caractère personnel a été promulguée le 18 février 2009 et est entrée en vigueur fin 2012. Ce texte réglemente effectivement le Cloud puisqu’il précise les conditions de transfert des données marocaines à l’international, permettant ainsi une meilleure sécurisation de ces données. Ceci permettra aux plus réticents, surtout ceux craignant pour la sécurité de leurs données, d’adopter le Cloud avec plus de sérénité, estiments des spécialistes. «Effectivement, il n’y a pas de législation propre au Cloud. Mais il faut savoir que la loi 09-08 qui réglemente notamment la sous-traitance des process et données des entreprises, est un grand pas en avant dans notre domaine. Pour envoyer des données à l’international, il faut dorénavant une autorisation de la Commission nationale pour le contrôle de la protection des données à caractère personnel (CNDP). Nous nous alignons ainsi sur les standards internationaux et cela permet également aux plus méfiants d’être davantage rassurés pour ce qui est de la sécurité», nous déclare Mohamed Bennis, président de l’Association des utilisateurs des systèmes d’informations au Maroc (Ausim).
L’objectif de la loi, c’est aussi protéger le citoyen contre des pratiques, pour certaines déjà existantes comme le télémarketing et qui risquent de se développer en même temps que l’usage de ces TI. Il s’agit également d’augmenter le niveau de confiance des partenaires internationaux, en particulier européens, afin de faciliter l’afflux d’investissements étrangers et le transfert de services sur le territoire marocain. Cette loi accompagne et structure également l’ensemble des volets du plan Maroc Numeric 2013.
«Son application va progressivement faire évoluer la relation qu’entretient le citoyen avec les technologies de l’information. Dès lors, il s’agit pour les organismes marocains de se mettre en ordre de marche pour accompagner, voire anticiper ce mouvement», précise l’Ausim. La promulgation de cette loi, entre-autres, a permis au Maroc d’obtenir une reconnaissance internationale puisqu’à travers elle, le Maroc est devenu le premier pays africain, arabe et musulman à être accrédité auprès de la Conférence Internationale des Autorités de Contrôle des Données Personnelles. Une consécration pour le Royaume qui ambitionne de se positionner au niveau régional en tant que propulseur de nouvelles technologies notamment le Cloud Computing.
Par ailleurs, pour convaincre et inciter les entreprises et les opérateurs à se conformer à cette loi, le législateur a prévu un large éventail de sanctions. Pas moins de 15 articles y sont consacrés. Ceci devrait renforcer la confiance numérique, qui ferait défaut lors de l’implémentation de projets Cloud. Ainsi, dans un premier temps, la CNDP peut elle-même interdire la mise en œuvre ou le maintien d’un traitement, sa modification ou la suppression des données manipulées. Les sanctions peuvent aller jusqu’à une amende de 300.000 DH et une peine de 2 ans d’emprisonnement. Ces condamnations peuvent être doublées en cas de récidive. Peuvent enfin s’ajouter des dommages et intérêts en cas de plainte des personnes concernées. Ceci sans parler de l’impact image causé par la sanction pénale ou encore la poursuite civile. «Si aujourd’hui le niveau de maturité du citoyen en matière de protection des données à caractère personnel est assez disparate en fonction du profil de clientèle de chaque entreprise, l’expérience internationale montre que les attentes croissent exponentiellement à mesure que les organismes se mettent en conformité», déclare l’Ausim.
De ce fait, d’ores et déjà, l’exemplarité en la matière s’impose à un certain nombre d’acteurs, pour qui l’enjeu d’image, vis-à-vis de l’extérieur comme de l’intérieur, est double. Il s’agit à la fois d’éviter toute atteinte critique à la réputation en cas de non-conformité, mais également de transformer, avant la concurrence, la conformité en un véritable levier de gestion de l’image. Parmi les autres enjeux possibles, citons également les enjeux stratégiques, particulièrement prégnants pour les organismes dont la manipulation de données à caractère personnel est le cœur de métier comme pour le télémarketing, les centres d’appel, la tierce maintenance applicative ou encore la sous-traitance métier.
De même, la conformité à la loi constituerait une condition indispensable pour toute entreprise souhaitant accéder aux données d’une entreprise européenne, que ce soit dans le cadre d’un accord commercial ou d’une sous-traitance.