L’utilisation des données personnelles, une crainte exprimée par les utilisateurs des sites marchands au Maroc.

Par Mehdi Rafi, Associé Gérant du cabinet E-business Consulting Solutions et Expert en Technologies de l’Information

Au Maroc, la crainte pour les données personnelles constitue l’un des plus grands freins au développement du commerce en ligne.  

Les différents sondages réalisés confirment que la majorité des Internautes au Maroc expriment les craintes suivantes : l’utilisation par le site web, des données personnelles pour d’autres fins que celles initialement prévues, et le risque d’exploitation ou de subtilisation des données bancaires communiquées. 

Néanmoins, les e-consommateurs au Maroc doivent prendre conscience que le risque de se faire subtiliser les données de paiement électroniques communiquées au niveau des sites e-commerce est extrêmement faible, et que le système de 3D Secure renforce davantage la sécurité du porteur de carte.  En effet, la 3D Secure implique la saisie, au niveau du site web, d’un code envoyé par SMS enregistré au niveau de sa banque, pour autoriser la transaction. De cette manière, on peut dire que tant que vous n’avez pas perdu votre carte et votre téléphone portable en même temps, vous êtes protégé.

Pour balayer cette crainte, le pays a mis en place la loi 09-08 relative à la protection des données personnelles. Cette loi s’applique à l’ensemble des entreprises marocaines qui collectent des données personnelles, et s’applique également pour les sites e-commerce.

Le texte juridique constitue un édifice important pour le développement de la confiance numérique au Maroc. Sa généralisation va très certainement impacter positivement le développement du e-commerce. Cependant, cette loi reste une première version qui est appelée à évoluer pour intégrer les développements technologiques et sociétaux récents.

Pour le e-commerce, cette mesure s’inscrit dans le cadre du développement de la confiance numérique.

Le constat est tel que certains e-marchands ont entamé sérieusement la démarche d’enregistrement de l’ensemble de leurs traitements de données personnelles. Certains ayant hébergé leurs plateformes web au niveau d’un cloud / serveurs étrangers, craignent en effet que la CNDP n’accepte pas leurs déclarations et demandes d’autorisation.   

Sur ce point, la loi 09-08 stipule que le pays hébergeur doit assurer “un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet”.  La liste de ces pays est fournie par la CNDP suite à requête.

On peut se poser la question: est-ce que Google ou Amazon respectent les modalités de la loi 09-08 ?  

Cette question doit faire partie des points à dresser pour améliorer la loi 09-08. Dans cette optique, le législateur est invité à repenser le texte afin de se mettre au diapason des évolutions rapides des TI et inclure l’adoption, de plus en plus importante, des hébergements externalisés et/ou en cloud.

Par ailleurs, toute plateforme informatique peut être piratée. Nous avons eu écho de multiples hacks qui se sont soldés par des pertes colossales pour des banques à l’étranger.

Certains sites marchands au Maroc sont malheureusement très fragiles aux attaques, d’autres sont aux meilleurs standards mondiaux.  En outre, les systèmes d’information des banques au Maroc, et les systèmes interbancaires sont très bien sécurisés. Ces derniers sont depuis très longtemps en phase avec les meilleures pratiques internationales pour la gestion du risque sécurité de l’information.

Comment se protéger?

Il faut savoir que chaque donnée que vous mettez dans le web peut être utilisée contre vous. La raison pour laquelle il est conseillé aux utilisateurs d’Internet de lire intégralement les conditions générales de vente et de services, et les finalités de traitement auxquelles vos données seront utilisées, avant de partager des données avec n’importe quel site web ou application mobile. Les sites qui ont enregistré leurs traitements au niveau de la CNDP doivent obligatoirement informer les internautes sur ce volet au niveau de leurs conditions générales de vente.

Pour se protéger sur les réseaux sociaux par exemple, il faut garder en tête que les informations à fournir seront exposées à la sphère publique, photos incluses.

Si vous pensez être victime d’un abus, il y a lieu tout d’abord de vous assurer que vous n’avez pas accepté le traitement sans vous en rendre compte.  Le cas échéant, vous pouvez contacter les responsables concernés et leur formuler votre opposition à l’utilisation de vos données personnelles.

Pour sa part, la Commission nationale de contrôle de protection des données à caractère personnel (CNDP) procède régulièrement au contrôle des dispositions légales chez les opérateurs télécoms, les banques et les assurances. Elle œuvre aujourd’hui à sensibiliser le maximum d’entreprises au respect de la loi 09-08.   Elle traite en outre, les plaintes reçues des particuliers. D’ailleurs, certaines entreprises ont été contraintes de fermer leurs portes parce qu’elles achètent des bases de données d’autres sociétés et bombardent les particuliers d’sms.