Les principaux textes applicables aux données personnelles au Maroc sont comme suit :
- La loi 09-08 relative à la protection des personnes physique à l’égard du traitement des données à caractère personnel;1
- Le décret n° 2-09-165 du 21 mai 2009 pris pour l’application de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel;2
- La décision du Premier ministre n° 3-33-11 du 28 mars 2011 approuvant le règlement intérieur de la Commission Nationale de contrôle de la protection des Données à caractère Personnel.3
En plus de ces textes, les décisions de la CNDP (Commission Nationale de contrôle de la protection des Données à Caractère Personnel) peuvent également constituer une source de règles applicables.
Les données à caractère personnel sont toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable.
Les données sensibles sont des données à caractère personnel qui relèvent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques.
La réglementation du traitement des données à caractère personnel du suivant la Loi 09-08 s’applique :
- au traitement des données à caractère personnel, automatisé en tout ou en partie ;
- au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels;
- au traitement des données à caractère personnel lorsqu’il est effectué́ par une personne physique ou morale dont le responsable est établi sur le territoire marocain ;
- au traitement des données à caractère personnel lorsque le responsable n’est pas établi sur le territoire marocain mais recourt, à des fins de traitement des données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire marocain, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur le territoire national ou sur celui d’un État dont la législation est reconnue équivalente à celle du Maroc en matière de protection des données à caractères personnel ;
En revanche, la réglementation du traitement des données à caractère personnel ne s’applique pas :
- au traitement de données à caractère personnel effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ;
- aux données à caractère personnel recueillies et traitées dans l’intérêt de la Défense Nationale et de la Sécurité Intérieure ou Extérieure de l’État ;
- aux données à caractère personnel recueillies en application d’une législation particulière.
Les droits de la personne concernée par le traitement des données personnelles sont :
Toute personne sollicitée directement, en vue d’une collecte de ses données personnelles, doit être préalablement informée de manière expresse, précise et non équivoque par le responsable du traitement ou son représentant, des éléments suivants :
a) l’identité du responsable du traitement et, le cas échéant, de son représentant ;
b) les finalités du traitement auquel les données sont destinées ;
c) toutes informations supplémentaires telles que :
- les destinataires ou les catégories de destinataires ;
- le fait de savoir si la réponse aux questions est obligatoire ou facultative, ainsi que les conséquences éventuelles d’un défaut de réponse ;
- l’existence d’un droit d’accès aux données à caractère personnel la concernant et de rectification de ces données.
d) les caractéristiques du récépissé de la déclaration auprès de la Commission Nationale ou de celles de l’autorisation délivrée par ladite commission.
La personne concernée a le droit d’obtenir du responsable du traitement, sans délais et gratuitement :
a) la confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données à caractère personnel sont communiquées ;
b) la communication, sous une forme intelligible, des données à caractère personnel faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données.
c) la connaissance de la logique qui sous-tend tout traitement automatisé des données à caractère personnel la concernant.
La personne concernée, justifiant de son identité, a le droit d’obtenir du responsable du traitement :
a) l’actualisation, la rectification, l’effacement ou le verrouillage des données à caractère personnel dont le traitement n’est pas conforme à la loi, notamment en raison du caractère incomplet et inexact de ces données. Le responsable du traitement est tenu de procéder aux rectifications nécessaires sans frais pour le demandeur et ce, dans un délai franc de dix jours.
b) la notification aux tiers auxquels les données à caractère personnel ont été communiquées de toute actualisation, toute rectification, tout effacement ou tout verrouillage effectué, si cela ne s’avère pas impossible.
La personne concernée a le droit de s’opposer, pour des motifs légitimes, à ce que des données la concernant fassent l’objet d’un traitement.
La personne concernée a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
Les données à caractère personnel traitées par le responsable de traitement doivent être :
- traitées loyalement et licitement ;
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités ;
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;
- exactes et, si nécessaires, mises à jour ;
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement.
Le traitement de données à caractère personnel doit faire l’objet :
- d’une autorisation préalable par la CNDP lorsque les traitements concernent :
a) des données sensibles ;
b) l’utilisation de données à caractère personnel à d’autres fins que celles pour lesquelles elles ont été collectées ;
c) des données génétiques, à l’exception de ceux mis en œuvre par des personnels de santé et qui répondent à des fins médicales, qu’il s’agisse de la médecine préventive, des diagnostics ou des soins ;
d) des données portant sur les infractions, condamnations ou mesures de sûreté, à l’exception de ceux mis en œuvre par les auxiliaires de justice ;
e) des données comportant le numéro de la carte d’identité nationale de la personne concernée ;
f) l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités d’intérêt public sont différentes ou l’interconnexion de fichiers relevant d’autres personnes morales et dont les finalités principales sont différentes.
- d’une déclaration préalable à la CNDP dans les autres cas. La CNDP délivre, dans un délai de 24 heures courant à compter de la date du dépôt de la déclaration, un récépissé dont les caractéristiques doivent figurer dans toutes les opérations de collecte ou de transmission des données.
Le responsable du traitement doit, entre autres obligations :
– mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ;
– choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et il doit veiller au respect de ces mesures;
– est tenu de respecter le secret professionnel même après avoir cessé d’exercer ses fonctions, dans les termes prévus par la loi pénale.
Face à ces risques et menaces et à l’instar de ce qui se passe dans les pays avancés dans le domaine de la sécurité des systèmes d’information, le Comité Stratégique de la Sécurité des Systèmes d’Information (CSSSI) institué par le décret n° 2-11-508 du 21 septembre 2011 a adopté en date du 05 décembre 2012 la stratégie nationale de la cybersécurité.
Afin de rendre opérationnelles les orientations et directives inscrites dans la stratégie susmentionnée, le Comité Stratégique a approuvé́ lors de la même réunion le plan d’actions 2013 de la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI).
Une des principales actions prise consiste à élaborer et mettre en œuvre une Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI). La DNSSI s’applique à tous les systèmes d’information des administrations, des organismes publics et des infrastructures d’importance vitale.
La DNSSI s’appuie sur les principes directeurs suivants, issus de la Stratégie Nationale de la cyber sécurité :
Principe 1 – Structure organisationnelle : Mettre en place une structure organisationnelle dédiée à la SSI au niveau de chaque entité pour inclure les volets préventifs et réactifs nécessaires à la cyber sécurité;
Principe 2 – Cartographie des systèmes d’information : Tenir et mettre à jour une cartographie précise des systèmes d’information des entités ;
Principe 3 – Budget de la sécurité des systèmes d’information : Quantifier et planifier le budget consacré à la sécurité des systèmes d’information de chaque entité, tant dans les volets investissements que moyens humains, et son rapport au budget global des systèmes d’information;
Principe 4 – Contrôle des administrateurs : Contrôler et tracer les opérations de gestion et d’administration des systèmes d’information des entités;
Principe 5 – Protection de l’information : Protéger les informations en suivant un ensemble de règles de sécurité précisées dans ce document;
Principe 6 – Formation et sensibilisation : Former et sensibiliser le personnel, notamment les administrateurs systèmes et réseaux et les utilisateurs des systèmes d’information, de leurs droits et devoirs ;
Principe 7 – Hébergement national des données sensibles : Héberger sur le territoire national les informations des entités, qui sont sensibles au regard de leur confidentialité, de leur intégrité ou de leur disponibilité.
Les entités publiques doivent implémenter les règles de sécurité de la DNSSI, permettant de contribuer à la réalisation des principes directeurs, selon un classement de sensibilité.
Ces classes sont définies comme suit :
Classe A : Systèmes d’information sur lesquels une atteinte à la confidentialité, à l’intégrité ou à la disponibilité peut entraîner un impact catastrophique sur la capacité de l’entité à remplir les missions vitales pour la nation dont elle est chargée, sur ses biens essentiels, ou sur les individus ;
Classe B : Systèmes d’information sur lesquels une atteinte à la confidentialité, à l’intégrité ou à la disponibilité peut entraîner un impact Important sur la capacité de l’entité à remplir ses missions assignées vis à vis des services de l’État fournis par cette entité, sur ses biens sensibles, ou sur les individus.
Classe C : Systèmes d’information sur lesquels une atteinte à la confidentialité, à l’intégrité ou à la disponibilité peut entraîner un impact limité sur les services offerts par l’entité, sur ses biens sensibles, ou sur les individus.
La CNDP est instituée auprès du Chef du Gouvernement. La CNDP se compose de 7 membres :
– 1 président nommé par Sa Majesté le Roi ;
– 6 membres nommés également par Sa Majesté le Roi, sur proposition :
- du Chef du Gouvernement ;
- du Président de la Chambre des représentants ;
- du Président de la Chambre des conseillers.
La CNDP est chargée de mettre en œuvre et de veiller au respect des dispositions de la Loi 09- 08 et des textes pris pour son application.
A – Donner son avis :
- au gouvernement ou au parlement sur les projets ou proposition de lois ou projets de règlements relatifs au traitement de données à caractère personnel dont elle est saisie ;
- à l’autorité compétente sur les projets de règlement créant des fichiers relatifs aux données à caractère personnel recueillies et traitées à des fins de prévention et de répression des crimes et délits, l’avis demandé, dans le cas d’espèce, vaut déclaration ;
- à l’autorité compétente sur les projets et propositions de lois portant création et traitement des données relatives aux enquêtes et données statistiques recueillies et traitées par des autorités publiques ;
- au gouvernement sur les modalités de la déclaration de traitement des données ;
- au gouvernement sur les modalités d’inscription au registre national de la protection des données à caractère personnel ;
- au gouvernement sur les règles de procédure et de protection des données des traitements de fichiers sécurité qui doivent faire l’objet d’un enregistrement.
B – Recevoir :
- notification de l’identité du représentant installé au Maroc qui se substitue au responsable du traitement résidant à l’étranger ;
- les déclarations de traitement des données ;
- l’identité du responsable du traitement des registres tenus pour être ouverts au public.
1Promulguée par le Dahir n° 1-09-15 du 18 février 2009 et publiée au Bulletin Officiel n° 5714 du 05/03/2009.
2 Publié au Bulletin Officiel n° 5744 du 18/06/2009.
3 Publiée au Bulletin Officiel n° 5932 du 07/04/2011.
Bruno Polizzi