Académique Documents
Professionnel Documents
Culture Documents
Au niveau européen la charte des droits fondamentaux de l’union européen dans son article 8 veille à
ce que Toute personne a droit à la protection des données à caractère personnel la concernant.
Au niveau national Le législateur marocain a dans ce contexte adopté la loi relative à la protection
des personnes physiques à l’égard des traitements des données à caractère personnel : la loi 09-08.
L’esprit du texte se lit dès le premier article qui dispose « L’informatique est au service du citoyen et
évolue dans le cadre de la coopération internationale. Elle ne doit pas porter atteinte à l’identité, aux
droits et aux libertés collectives ou individuelles de l’Homme. Elle ne doit pas constituer un moyen de
divulguer des secrets de la vie privée des citoyens ». Cette loi nous donne également la définition des
données à caractère personnel : toute information, de quelque nature qu’elle soit et
indépendamment de son support, y compris le son et l’image, concernant une personne physique
identifiée ou identifiable.
Ainsi, l’objectif de la loi 08-09 est de doter l’arsenal juridique marocain d’un instrument juridique de
protection des particuliers, contre les abus d’utilisation des données de nature à porter atteinte à
leur vie privée.
La problématique.
La protection des données personnelles est-elle effective au Maroc ?
ANNANCE DU PLAN.
Nous traiterons ce sujet en deux parties avec des sous parties. Dans une première partie nous
traiterons : L’effectivité (efficience) du régime juridique de la protection. Et dans une deuxième partie
nous traiterons : L’effectivité (efficience) du cadre institutionnel.
Développement.
La première partie : L’effectivité (efficience) du régime juridique de la
protection.
Il convient d’étudier les exigences légales en matière de droit et obligation des parties (I) et le régime
répressif (II).
Les droits des personnes concernées sont : droit d’information, droit d’accès, droit de rectification,
droit d’opposition.
*Le droit d’information : est au cœur de la protection des données car il constitue une garantie de
collecte transparente et loyale des données à caractère personnel. L’obligation d’information lors de
la collecte des données prévue par l’article 5 de la loi 09-08, concerne l’information préalable de
toute personne de manière précise, expresse et non équivoque de l’utilisation ou du stockage de
données informatisées la concernant. Cette même personne doit également être informée sur
l’organisme qui effectue la collecte d’information mais aussi sur les destinataires ou les catégories de
destinataires. D’autant plus, lorsque la personne concernée répond à des questionnaires, il doit être
porté à sa connaissance si la réponse à telle ou telle question est obligatoire ou facultative.
Toutefois, il existe des limites au droit d’information et notamment lorsque les informations sont
traitées à des fins de statistiques, historiques ou scientifiques, dans ce cas le responsable de
traitement doit en informer la commission et lui présenter les motifs de l’impossibilité d’information.
*Le droit d’accès : tel que reconnu à l’article 7 de la loi 09-08, est le droit qui permet à toute
personne d’accéder aux informations la concernant pour s’assurer de leur exactitude. Elle a le droit
d’obtenir du responsable de traitement les informations concernant les finalités du traitement, les
catégories de données sur lesquelles elle porte, et les catégories ou les catégories de destinataires
auxquels les données à caractère personnel sont communiquées.
Le responsable du traitement est tenu de délivrer ses informations aux personnes concernées
lorsqu’elles le souhaitent, mais il peut s’opposer à ce droit d’accès lorsqu’il est exercé de manière
abusive. Dans ce cas il doit en informer la Commission en apportant la preuve du caractère abusif de
ces demandes.
*Le droit de rectification : est un droit complémentaire du droit d’accès, en effet les personnes
peuvent demander la rectification des informations les concernant notamment lorsqu’elles sont
inexactes ou incomplètes. Le responsable du traitement est tenu de répondre à cette demande dans
un délai de dix jours, sans imposer de frais.
*Le droit d’opposition : tel que reconnu à l’article 9 de la loi 09-08, permet à toute personne dont les
données à caractère personnel font l’objet d’un traitement de s’opposer sans frais, à ce que les
données la concernant soient utilisées à des fins de prospection, notamment commerciale.
L’obligation primaire des responsables de traitement est de ne collecter des données à caractère
personnel que pour des finalités déterminées, dont la personne concernée est explicitement
informée. Ce dernier s’oblige à ne pas les traiter par la suite de manière incompatible avec ces
finalités. En plus de cela la loi 09-08 impose une autorisation préalable de la personne concernée
dans certains cas, et d’une déclaration préalable dans d’autres cas, et ce selon la nature des
informations collectées.
En vertu des dispositions de l’article 12 de la loi 09-08, les responsables du traitement sont soumis à
une autorisation préalable de la personne concernée lorsque les traitements concernent les données
sensibles visées à l’alinéa 3 de l’article premier. Ils sont également soumis à ladite autorisation
lorsqu’il s’agit de données portant sur les infractions, condamnations ou mesures de sûreté, des
données comportant le numéro de la carte d’identité nationale de la personne concernée.
La déclaration préalable doit comporter les éléments suivants : le nom et adresse du responsable du
traitement, et le cas échéant, de son représentant, la dénomination, les caractéristiques et la ou les
finalités du traitement envisagé, une description de la ou des catégories de personnes concernées et
des données ou des catégories de données à caractère personnel, les destinataires, les transferts de
données envisagés à destination d’Etats étrangers, la durée de conservation des données, les
interconnexions, ou toutes autres formes de rapprochement des données.
Le Chapitre VII de la loi n° 09-08 énonce les faits qui constituent des infractions. Nous pouvons les
résumer comme suit :
-tout traitement portant atteinte à l’ordre public, à la sureté, à la morale et aux bonnes mœurs
-tout transfert de données personnelles vers un pays n’étant pas reconnu comme assurant une
protection adéquate
2-Les sanctions :
Sanctions contre les personnes physiques : À l’encontre des personnes physiques responsables du
traitement des données personnelles, et sans préjudice de leur responsabilité civile à l’égard des
personnes ayant subi des dommages du fait de l’infraction, les sanctions varient selon la gravité des
faits incriminés, pour ce qui est de l’emprisonnement entre trois mois et deux ans de prison, et pour
ce qui est des amendes entre 10 000 et 300 000 dirhams. Ces sanctions peuvent être portées au
double en cas de récidive.
Sanctions contre les personnes morales : Lorsque l’auteur de l’infraction est une personne morale, et
sans préjudice des peines qui peuvent être appliquées à ses dirigeants, les peines d’amende sont
portées au double. La personne morale peut voir ses biens confisqués et ses établissements fermés.
- Créée en 1978 par la loi Informatique et Libertés, la CNIL accompagne les professionnels dans leur
mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs
droits. Elle analyse l’impact des innovations technologiques et des usages émergents sur la vie privée
et les libertés. Enfin, elle travaille en étroite collaboration avec ses homologues européens et
internationaux pour élaborer une régulation harmonisée.
CNDP ; Instituée auprès du premier ministre, elle est chargée de mettre en œuvre et de
veiller au respect des dispositions de la loi 09-08 et des textes pris pour son application. Elle
se compose de 7 membres dont un président nommé par le Roi. Les six autres membres
sont également nommés par le Roi, dont deux sur proposition du premier ministre, deux sur
proposition du président de la Chambre des représentants, et deux sur proposition du
président de la Chambre des conseillers. La durée du mandant des membres de la CNDP
est de cinq ans, renouvelable une seule fois. Les membres de la Commission sont choisis
parmi des personnalités du secteur public ou privé, qualifiés pour leur compétence dans le
domaine juridique et judiciaire, des personnalités justifiant d’une grande expertise en matière
informatique, ainsi que des personnalités reconnues pour leur connaissance des questions
touchant aux libertés individuelles. La Commission est composée de cinq départements :
Juridique, Communication, Systèmes d’informations, Expertise et Contrôle. Ressources
Humaines et Financières.
-De donner son avis aux autorités gouvernementales ou législatives sur les projets ou propositions de
loi ou de règlement se rapportant aux données à caractère personnel
-De donner son avis aux autorités compétentes sur les projets de règlements créant des fichiers
relatifs aux données à caractère personnel recueillies et traitées à des fins de prévention et de
répression de crimes et de délits ;
-De recevoir les déclarations et demandes d’autorisations relatives aux traitements de données
personnelles, mentionnées au paragraphe relatif aux obligations du responsable du traitement
-D’informer en permanence le public sur les droits et obligations légales et réglementaires relatives
aux données à caractère personnel ;
-De mener des investigations afin de contrôler la bonne application des dispositions légales par les
responsables du traitement ;
-D’instruire les plaintes dont elle est saisie et ordonner que lui soient communiquées à cet effet
toutes les informations nécessaires pour qu’elle puisse mener à bien cette mission ;
Elle est dotée de plusieurs pouvoirs qui lui ont été confié par la loi. Elle exerce un pouvoir de
contrôle, de sanction, de conseil, de sensibilisation.
-Elle contrôle les paramètres institués par les responsables des traitements pour répondre à
l’obligation de confidentialité et de sécurité. A cet égard, elle contrôle le transfert des données
personnelles vers un pays étranger.
- La Commission peut être saisie par toute personne physique dont les données à caractère
personnel font l’objet d’un traitement à travers le dépôt d’une plainte, La Commission a également la
possibilité de s’autosaisir en cas de violation des dispositions de la loi 09-08.
La Commission est également investie d’un pouvoir de sanction, qui lui a été confié par la loi 09-08.
Dans une déclaration du président de la commission à un quotidien national, ce dernier s’exprime sur
les violations avérées par les organismes détenant les données, et parle de la possibilité de la
Commission d’adopter des mesures disciplinaires à leur encontre.