Home / Publications / Flash info Maroc | Etat des lieux de la protection...

Flash info Maroc | Etat des lieux de la protection des données à caractère personnel au Maroc : loi n°09-08

22/03/2012

Adoptée en décembre 2008 par le Parlement marocain, le Dahir n° 1-09-15 publié au Bulletin Officiel du 5 mars 2009, portant promulgation de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel reprend en substance dans son article 1er, les principes tels qu’énoncés dans la Loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Le décret d’application(1) relatif à la protection des personnes physiques à l’égard des traitements des données à caractère personnel est venu essentiellement définir les missions de la Commission Nationale de contrôle de la protection des données à caractère personnel (CNDP) équivalent de la CNIL française. Il précise également les modalités d’exercice des droits des personnes concernées par le traitement de leurs données personnelles.

La publication de l’identité des membres de la CNDP au Bulletin Officiel a fait courir le délai de deux ans durant lequel les entreprises doivent se mettre en conformité. Ainsi, toute personne physique ou morale établie au Maroc a jusqu’au 15 novembre 2012 afin de se mettre en conformité avec la loi(2).

La loi n° 09-08 relative à la protection des données personnelles des personnes physiques a pour volonté notamment d’assurer la confidentialité des données, d’en renforcer la protection, (plus particulièrement s’agissant des données dites « sensibles ») mais également d’interdire que toute décision de justice puisse se fonder sur une appréciation du comportement d’une personne.

Il convient alors de s’intéresser à l’application d’une telle loi et notamment à la question du transfert des données entre les pays de l’Union Européenne et la Maroc dans un contexte de développement des activités de Business Process Outsourcing, c'est-à-dire d’externalisation des processus métier des entreprises, le plus souvent européennes.

1. Présentation de la loi n° 09-08

1.1 Définition des données à caractère personnel

La loi n° 09-08 définit les données à caractère personnel(3) comme « toute information, de quelque nature qu'elle soit et indépendamment de son support, y compris le son et l'image, concernant une personne physique identifiée ou identifiable ». Ainsi, toute information relative à un employé, un client (étranger ou non), un sous-traitant (étranger ou non) etc. pourrait être susceptible d’entrer dans ce champ.

En outre, la loi vise également à renforcer la protection des données sensibles(4) ; il s’agit de données qui portent sur l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale de la personne concernée ou relatives à sa santé y compris ses données génétiques.

Le « traitement des données personnelles » est quant à lui défini comme étant : « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ».

On observe la similarité de la sémantique employée par le législateur marocain et celle du législateur européen(5) qui définit pour sa part le « traitement automatisé » comme des « opérations effectuées en totalité ou en partie à l'aide de procédés automatisés: enregistrement des données, application à ces données d'opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion ».

De manière générale, les principes fondateurs de la loi présentent de nombreuses similitudes avec son équivalent européen.

1.2 Obligations du responsable du traitement des données

En principe, le responsable du traitement doit se conformer à des obligations envers les personnes dont les données sont traitées. En outre, il est soumis à des procédures d’autorisation et de déclaration auprès de la CNDP.

  • Les procédures de déclaration et d’autorisation préalables

La loi n° 09-08 soumet à déclaration tout traitement portant sur des données de personnes identifiées ou identifiables et établit un régime spécifique pour les données considérées comme sensibles.

- La déclaration préalable(6)

Le responsable du traitement, (ou son représentant), est tenu, d'adresser à la CNDP, une déclaration remplissant certaines conditions préalablement à la mise en œuvre de tout traitement entièrement ou partiellement automatisé ou d'un ensemble de tels traitements visant la même finalité ou des finalités liées ;

- Obtenir une autorisation(7)

Le régime de l'autorisation concerne le traitement des données sensibles et vise à renforcer la protection requise considérant la nature de ces données. Le responsable du traitement devra se conformer aux obligations envers les personnes dont les données sont collectées.

  • Obligations envers les personnes concernées par le traitement de données

Des obligations envers les personnes dans les données sont traitées pèsent sur le responsable du traitement.

- Obligation de solliciter le consentement de la personne concernée par le traitement de données(8)

Le responsable du traitement doit mettre en mesure la personne concernée par le traitement d’exprimer son consentement. Toutefois, le responsable du traitement est dispensé de cette obligation au titre des exceptions prévues à l’article 4 a) à e) de la loi n° 09-08. Parmi ces exceptions, on notera celles qui jouent lorsque le traitement est nécessaire : à l’exécution d’une « obligation contractuelle »(9) ; ou à « la réalisation d’un intérêt légitime du responsable du traitement sous réserve de ne pas méconnaître les droits et libertés fondamentaux de la personne concernée » (10). Seule une interprétation de la CNDP permettra de préciser les contours exacts de telles exceptions.

- Obligation d’informer les personnes dont les données sont collectées

Selon l’article 5 de la loi n° 09-08, le responsable du traitement doit informer :

« 1. Toute personne sollicitée directement, en vue d'une collecte de ses données personnelles, doit être préalablement informée de manière expresse, précise et non équivoque par le responsable du traitement ou son représentant, sauf si elle a déjà eu connaissance, des éléments suivants : 
a) l'identité du responsable du traitement et, le cas échéant, de son représentant ; 
b) les finalités du traitement auquel les données sont destinées ; 
c) toute information, supplémentaires telles que […] : 
d) les caractéristiques du récépissé de la déclaration auprès de la Commission nationale ou celles de l'autorisation délivrée par ladite commission ; […] ».

- Obligation de confidentialité et de sécurité des traitements

Le responsable du traitement doit se conformer à une obligation de confidentialité, et de sécurité des traitements selon les dispositions de l’article 23 de la loi n° 09-08. Le responsable du traitement doit en conséquence choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique(11).

- Obligation de qualité

Le responsable du traitement est tenu à une obligation de qualité selon l’article 3 de la loi n° 09-08 quand à la finalité d’un tel traitement et à l’exactitude des données prélevées. Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et être adéquates, pertinentes et non excessives au regard des finalités(12) pour lesquelles elles ont été collectées. Ces données doivent être exactes et, si nécessaire, mises à jour, et être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. 

1.3. Quelques exemples du champ d’application de la loi

Cette loi vise un large spectre d’information conformément aux standards européens de protection des données personnelles. A ce titre, il est prévu que la loi s’applique à tout traitement de données personnelles répondant à la définition présentée ci-dessus, que le processus de traitement soit automatisé ou non(13).

Par ailleurs, la loi vise à interdire toute prospection directe, notamment au moyen d’automate d’appel, de courrier électronique ou qui utilise les coordonnées d’une personne physique n’ayant pas exprimé son consentement préalable(14). Il s’agit d’un point central de cette loi, qui plus est dans un contexte où la protection des consommateurs demeure faible. En effet, malgré l’entrée en vigueur de la loi n° 31-08 relative à la protection des consommateurs depuis le 7 avril 2011, peu de textes en droit interne visent à limiter les pratiques « agressives » à l’encontre des consommateurs marocains.

2. Transfert des données à l’étranger

2.1. Données transférées depuis le Royaume du Maroc

A l’instar du droit communautaire, la loi n° 09-08 prévoit un dispositif de protection des transferts à destination d'Etats étrangers, en particulier lorsque ceux-ci n'assurent pas un niveau suffisant de protection de la vie privée, des libertés et des droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

La sécurité des transferts vers les autres Etats étrangers est appréciée en fonction des dispositions en vigueur dans ces Etats, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.

A ce sujet, et en application du 3eme alinéa de l'article 3 de la loi n° 09-08, la CNDP a le pouvoir d'établir une liste reconnaissant si un pays répond aux critères évoqués ci-dessus. A ce jour, aucune liste n’a été établie.

Soulignons par ailleurs que la loi(15) prévoit qu’il n’est pas nécessaire de requérir l’autorisation de la CNDP lorsque le transfert est considéré nécessaire : notamment réalisé en vue de « l’exécution d’un contrat entre le responsable du traitement et l’intéressé ; ou de mesures précontractuelles prises à la demande de celui-ci ». Le transfert sans autorisation est également permis si le transfert s’effectue dans le cadre de « la conclusion ou à l’exécution d’un contrat conclu ou à conclure dans l’intérêt de la personne concernée ; entre le responsable du traitement, et un tiers ».

2.2. Données transférées vers le Royaume du Maroc

S’agissant du transfert de données personnelles de la France vers le Maroc, soulignons que la loi française du 6 août 2004, transposant la directive européenne 95/46/CE dispose que « le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet. ».

Cet article ajoute que « le caractère suffisant du niveau de protection assuré par un Etat s’apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées(16). »

A ce sujet, notez que selon la CNIL, le Maroc n’offre pas une protection suffisante en matière de protection des données personnelles et ce, malgré l’existence d’une autorité de protection. On peut cependant prévoir que l’appréciation de la CNIL ne sera pas la même dès lors que la fin de la période transitoire de mise en conformité sera achevée au Maroc(17). Pour l’heure, toute entreprise exportant ses données vers le Royaume du Maroc devrait en principe effectuer une demande auprès de la CNIL conformément à la Directive 96/45 de la Commission Européenne. Cette demande doit notamment comprendre la description de la finalité du transfert des données, les destinataires (par exemple le sous-traitant) ; la nature des garanties mises en œuvre par le sous-traitant pour assurer un niveau de protection suffisant au regard de la protection des données transférées.

Ainsi, toute entreprise sous traitant notamment les services après vente, leur service de vente par téléphone et de manière générale toute activité dite de « call center », doit normalement avoir satisfait à la procédure de demande de transfert vers le Maroc.

En France, le défaut d’une telle déclaration est passible d’une peine allant jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende(18).

Soulignons enfin que la CNIL n’autorisera pas le transfert de données « si le traitement original dont les données sont issues n'a pas été déclaré ou autorisé(19) ». 

3. Application de la loi

L’obligation pour les opérateurs marocains de se conformer à la loi d’ici le 15 novembre 2012 a entrainé l’obligation pour toute entreprise et notamment française de devoir requérir une autorisation de l’autorité de contrôle dans son pays afin de pouvoir transférer des données vers le Maroc. Cependant, les contrats liant les entités marocaines et leur sous traitant tendent à insérer des clauses visant à la protection des données. Il revient alors au sous-traitant de protéger les données sans pour autant pouvoir effectuer les demandes d’autorisation telles qu’exigées par la loi. Le site de la CNIL offre d’ailleurs des exemples de clauses pouvant être insérées en ce sens. 

Conclusion

La loi n° 09-08 présente de nombreuses similitudes avec la loi française « Informatique et Libertés ». Elle oblige au respect des standards de protection des données personnelles et s’inscrit dans la « convergence réglementaire » entre l’Union Européenne et le Maroc conformément à la qualité de Statut Avancé de ce dernier. Elle vise ainsi à installer et encourager l’économie numérique tout en rassurant les investisseurs.

Toutefois, soulignons qu’avant même l’adoption de la loi n° 09-08, des textes épars posaient déjà l’obligation de confidentialité, particulièrement dans le domaine médical et bancaire (loi n° 34-03).

Néanmoins, cette loi nécessitera indéniablement une communication et une pédagogie importante qui plus est à l’attention d’un paysage économique marocain composé de nombreuses PME. En effet, les entreprises établies au Maroc désireuses de traiter des données personnelles disposent d’un délai jusqu’au mois de novembre 2012 pour se conformer aux dispositions de la loi n° 09-08.

  1. Décret n° 2-09-165 du 25 joumada I 1430 pris pour l'application de la loi n° 09-08 relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel. (B.O. n° 5744 du 18 juin 2009).
  2. Article 67 de la loi n° 09-08
  3. Article 1 de la loi n° 09-08
  4. Article 1er, alinéa 3
  5. Cf. la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel Strasbourg, 28.I.1981
  6. Article 4, loi n° 09-08
  7. Article 12, loi n° 09-08
  8. Article4, loi n° 09-08
  9. Article 4b), loi n° 09-08
  10. Article 4 e), loi n° 09-08
  11. Article 23.2, loi n° 09-08
  12. Article 3, loi n° 09-08
  13. Article 2, loi n° 09-08
  14. Article 10, loi n° 09-08
  15. Articles 44 d) ; e) ; et 44.2 de la loi n° 09-08
  16. Article 69 de la loi du 6 janvier 1978, modifiée le 6 Août 2004
  17. Par effet de l’application de l’Article 67 de la loi n° 09-08, les entreprises disposent jusqu’au mois de novembre 2012 pour se conformer aux dispositions de la loi sur la protection des données personnelles au Maroc.
  18. Article 226-16 du Code pénal
  19. Définition de la CNIL dans la Délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnel (décision d’autorisation unique n° AU-004)

Auteurs

La photo de Marc Veuillot
Marc Veuillot
Avocat
Casablanca