Photo, numéro de téléphone, adresse du domicile... Voici comment la CNDP protège vos données personnelles!

Avec la transformation digitale que connaît le monde actuellement, la question de la protection des données personnelles n’a jamais été aussi importante.

Une donnée à caractère personnel désigne toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable.

Elle concerne donc une photo personnelle publié sur Internet, votre numéro de téléphone ou votre adresse de domicile communiqués à travers un formulaire d’inscription, etc.

Au Maroc, le traitement de ces données est encadré depuis 2009 par la loi 09.08. Créée en 2010, la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) a pour objectif principal de veiller au respect des libertés et droits fondamentaux des personnes physiques à l’égard des traitements de données à caractère personnel. Voici comment:

- Par quel moyen et comment sensibilisez-vous les individus, et les organismes publics et privés sur les droits d’utilisation de leurs informations personnelles ?

 La CNDP a pour mission de rendre effective la loi sur la protection des données personnelles au Maroc et d’en faire une réelle exigence, conciliant le droit à la vie privée, telle que consacrée par l’article 24 de la Constitution de 2011, et le développement du pays, notamment le développement de l’économie numérique.

 La Commission conçoit sa mission en tenant compte des exigences liées aux notions de partenariat et de sensibilisation. Dans ce cadre, la CNDP a fait des pas importants pour amener plusieurs secteurs de l’économie nationale à se conformer à la loi sur les données personnelles. Je cite en particulier le secteur bancaire, les assurances et les télécommunications.

La CNDP a également lancé le processus visant à assurer la conformité du secteur public. Des rencontres ont été tenues avec plusieurs ministères et organismes publics. Une convention a été récemment conclue avec le ministère de l’Education nationale et de la formation professionnelle. Cette convention jette les bases d’un partenariat ambitieux qui vise, certes, la mise en conformité des traitements mis en place par le ministère, mais surtout à inculquer la culture de la protection de la vie privée et des données personnelles aux nouvelles générations et à leur dispenser une formation efficiente à l’éducation au numérique.

La CNDP a aussi recours à l’adoption de délibérations doctrinales destinées à encadrer l’utilisation de certaines technologies modernes, à adapter l’application de la loi à certains secteurs spécifiques de l’économie, et à répondre aux demandes d’avis émanant d’instances publiques.

 En 2014, la CNDP a fait diffuser à la télévision et à la radio une campagne visant le grand public. Le but visé était de sensibiliser les individus à leurs droits en matière de protection de la vie privée et des données personnelles.

 La même année, la CNDP a lancé, pour la première fois,  des opérations de contrôle. Ainsi, plus de 100 sites web appartenant à des organismes publics et privés ont été contrôlés. Un autre chantier important a été ouvert  fin  2014, celui des opérations de contrôle sur place.

 Sur le  plan international, la CNDP peut faire état d’un bilan prometteur, vu la reconnaissance dont elle jouit parmi les organisations et les autorités étrangères, et comme en témoignent les partenariats tissés avec plusieurs importants acteurs internationaux de la protection des données personnelles.

• Avez-vous déjà traité une affaire de vente de données personnelles à des fins commerciales ?

L’action de la CNDP est progressive. La Commission favorise d’abord la sensibilisation des entreprises qui  utilisent ces bases de données pour lancer des campagnes marketing. Convaincre celles-ci des risques juridiques encourus amènera à terme ces organismes à respecter la loi 09-08.

Néanmoins, la CNDP est une autorité qui dispose de pouvoirs étendus. A ce titre, elle peut, le cas échéant, transmettre un dossier au Procureur du Roi aux fins de poursuites.

Il convient de rappeler que la loi prévoit des sanctions pécuniaires et privatives de liberté dissuasives. A titre d’exemple, l’article 59 de la loi 09-08 dispose qu’« Est puni d'un emprisonnement de trois mois à un an et d'une amende de 20.000 à 200.000 DH ou de l'une de ces deux peines seulement, quiconque procède à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque cette opposition est fondée sur des motifs légitimes ou lorsque ce traitement répond à des fins de prospection, notamment commerciale, tel que mentionné à l'article 9 ou par voie électronique tel que prévu à l'article 10 de la présente loi ».

La CNDP place la vente de bases de données personnelles au centre de ses préoccupations. A cet effet, elle a mené plusieurs investigations qui ont révélé que les annonceurs envoient des messages publicitaires à leurs propres clients ou ont recours à des prestataires qui leur louent des bases de données qualifiées.

Pour encadrer cette opération, la Commission agit à plusieurs niveaux. Elle s’adresse d’abord aux entreprises (les annonceurs) qui louent des bases de données pour lancer des campagnes marketing visant à promouvoir leurs produits ou services. D’autre part, la CNDP incite les prestataires à veiller à la loyauté et la légalité des bases de données qu’ils commercialisent. Sachant que les uns et les autres encourent des sanctions pécuniaires et privatives de liberté en cas d’infraction à la loi.

Enfin, il est important de rappeler que les individus doivent être conscients de leurs droits et se montrer vigilants quand ils donnent leurs données personnelles à l’occasion d’une transaction commerciale, d’un abonnement à un service, d’une ouverture de compte, etc. Cette attitude est de nature à limiter les risques et les abus.

• Pourriez-vous expliquer le processus de traitement des plaintes reçues par la CNDP , de la saisine ou l’auto-saisine jusqu’aux sanctions ?

La CNDP reçoit et instruit, par écrit ou par Internet, quotidiennement, des plaintes de citoyens, relatives aux sollicitations téléphoniques non désirées ou à l’utilisation abusive de leurs données personnelles, ou encore au refus d’exercer leurs droits d’accès, d’opposition ou de rectification de leurs données.

Depuis sa création, la CNDP a reçu, à ce jour, plus de 1100 plaintes. Ce chiffre s’explique, en partie, par la mise en service de la nouvelle version du site web de la CNDP qui permet le dépôt en ligne des plaintes. En effet, plus de 80% des plaintes reçues sont parvenues à la CNDP par le biais des formulaires en ligne.

Toutefois, le nombre de réclamations reçues reste limité et s’explique par le caractère relativement récent du concept de protection des données personnelles au Maroc et par une grande réticence des personnes à déposer leurs plaintes par écrit.

 Le contenu des plaintes reçues par la CNDP varie. Il concerne principalement la réception des SMS (plus de 50%), le reste des plaintes concerne les SPAMS, l’utilisation abusive des données biométriques, l’usage intrusif de la vidéosurveillance et bien d’autres sujets.

 

A cet effet, la CNDP a mis en place une procédure spécialement dédiée au traitement des plaintes. Dans un premier temps, la CNDP notifie la plainte reçue au responsable de traitement concerné.

Si le responsable du traitement ne répond pas dans les délais aux sollicitations de la CNDP ou que les échanges avec lui se sont avérés infructueux, le contrevenant reçoit un avertissement ou une mise en demeure. Dans les cas extrêmes, la Commission met en œuvre les sanctions prévues au chapitre VII de la loi 09-08. Ces sanctions sont éminemment dissuasives. Elles comportent des amendes et/ou des peines privatives de liberté.

Propos recueillis par Chaima Ezzahraoui pour Wibgapps.com