Une réglementation à l’état de l’art

Cadre légal

La protection des données personnelles est régie au Maroc par les textes suivants :
• la loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel du 18 février 2009 (BO n° 5714 du 05/03/2009) ;
• le Décret n°2-09-165 pris pour l’application de la loi n °09 – Textes Décret n°2-09-165 pris pour l’application de la loi n°09-08 du 21 mai 2009 (BO n° 5744 du 18/06/2009) ;
• la Décision du Premier ministre
n °3-33-11 approuvant le règlement
intérieur de la CNDP du 28 mars 2011 (BO n° 5932 du 07/04/2011).

Finalités

Cette réglementation a pour objectifs de protéger la vie privée, les droits et libertés fondamentaux des personnes, protéger les individus contre une utilisation abusive de leurs données personnelles et de leurs données sensibles, renforcer la confiance dans l’économie numérique et enfin se conformer à la réglementation européenne en la matière, tel que l’exige le statut avancé du Maroc avec l’UE. Il s’agit notamment de la directive européenne n°95/46/CE et de la convention n°108 du Conseil de l’Europe.

Champs d’application

La réglementation marocaine des données personnelles régit les traitements des données à caractère personnel totalement ou partiellement automatisés, ainsi que les traitements non automatisés de ces données contenues ou appelées à figurer dans des fichiers tenus manuellement.
Territorialité
En matière de territorialité, la réglementation couvre aussi bien les entités établies sur le territoire marocain que les responsables de traitement non établis au Maroc mais ayant recourt à des moyens automatisés ou non, mais situés sur le territoire marocain.

Exclusion

Dans son application, la loi exclut les traitements de données personnelles effectués par une personne physique pour son usage strictement personnel, les données collectées et exploitées pour les besoins de la défense nationale et la sécurité intérieure et extérieure de l’État, le recueil et l’enregistrement de données à caractère personnel effectués dans le cadre d’une législation particulière. Elle exclut également les données personnelles recueillies et traitées, dans le cadre de la prévention et la lutte contre la criminalité.

Droits de la personne concernée

La loi a garanti aux personnes dont les données personnelles font l’objet d’une collecte, d’un traitement et d’une conservation un ensemble de droits. Il s’agit de l’information lors de la prise des données, du consentement, de l’accès aux informations, de la rectification, de l’opposition et de la protection contre les messages publicitaires abusifs et intempestifs.

Obligations du responsable du traitement

Les entités utilisatrices des données personnelles sont, par ailleurs, soumises à un ensemble d’obligations dont la finalité du traitement est le fil conducteur. Ainsi, les responsables du traitement sont tenus de traiter les données d’une façon loyale, légitime et transparente, de s’en tenir aux finalités du traitement, de veiller au principe de proportionnalité et de garantir la qualité des données. Dans leurs relations avec les personnes concernées, ils doivent leur faciliter le plein exercice de leurs droits, accomplir les formalités préalables auprès de la CNDP et assurer la sécurité et la confidentialité des données. Ces mesures de sécurité concernent tant la dotation du responsable de traitement en infrastructures appropriées que la mise en place d’une organisation idoine de nature à protéger les données contre la destruction, la perte, l’altération, la diffusion ou l’accès non autorisé et toute autre forme de traitement illicite. Les responsables du traitement doivent également s’assurer du respect de la loi par les personnes physiques ou morales agissant pour leurs comptes en instaurant des mécanismes de protection pertinents (contrats, clauses de confidentialité et de conflit d’intérêts, mesures de sécurité, respect des termes de référence, etc.).
Dans le cas du stockage et du traitement des données sensibles, ce dispositif doit être renforcé par la protection des entrées des installations, la protection des supports d’exploitation et d’archivage, la garantie de l’intégrité des données et la sécurisation des règles d’identification et d’habilitation des utilisateurs et des destinataires.

Commission nationale de contrôle de la protection des données personnelles (CNDP)

La CNDP est une autorité de contrôle et de régulation, créée en application de l’article 34 de la loi 09/08. Elle est chargée de vérifier que les traitements des données personnelles au Maroc sont licites, légaux et qu’ils ne portent pas atteinte à la vie, aux libertés et droits fondamentaux de l’Homme.
Elle assure également un rôle de sensibilisation, de conseil, de proposition et de veille juridique et technologique. Elle se compose de 7 personnalités qualifiées :
• Un président nommé directement par Dahir.
• Six membres nommés également par Dahir sur proposition du Premier ministre, du président de la Chambre des représentants et du président de la chambre des Conseillers.
Grâce à une réglementation à l’état de l’art des meilleures pratiques internationales, le Maroc a été le premier pays arabe, africain et musulman à être accrédité auprès de la conférence internationale des autorités de contrôle des données personnelles.