Thème 2 

: la protection des données

personnelles.
Introduction.
La protection des données personnelles s’inscrit dans le cadre de La protection de la vie privée celle-
ci est un des droits fondamentaux des individus. Ce droit est protégé par la déclaration universelle
des droits de l’homme 1948, ainsi d’après son article 12 « Nul ne sera l’objet d’immixtions arbitraires
dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et sa
réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles
atteintes ». Le pacte international des droits civils et politiques 1966 de sa part consacre la protection
de la vie privée dans son article 12.

Au niveau européen la charte des droits fondamentaux de l’union européen dans son article 8 veille à
ce que Toute personne a droit à la protection des données à caractère personnel la concernant.

Au niveau national Le législateur marocain a dans ce contexte adopté la loi relative à la protection
des personnes physiques à l’égard des traitements des données à caractère personnel : la loi 09-08.

L’esprit du texte se lit dès le premier article qui dispose « L’informatique est au service du citoyen et
évolue dans le cadre de la coopération internationale. Elle ne doit pas porter atteinte à l’identité, aux
droits et aux libertés collectives ou individuelles de l’Homme. Elle ne doit pas constituer un moyen de
divulguer des secrets de la vie privée des citoyens ». Cette loi nous donne également la définition des
données à caractère personnel : toute information, de quelque nature qu’elle soit et
indépendamment de son support, y compris le son et l’image, concernant une personne physique
identifiée ou identifiable.

Ainsi, l’objectif de la loi 08-09 est de doter l’arsenal juridique marocain d’un instrument juridique de
protection des particuliers, contre les abus d’utilisation des données de nature à porter atteinte à
leur vie privée.

La problématique.
La protection des données personnelles est-elle effective au Maroc ?

ANNANCE DU PLAN.
Nous traiterons ce sujet en deux parties avec des sous parties. Dans une première partie nous
traiterons : L’effectivité (efficience) du régime juridique de la protection. Et dans une deuxième partie
nous traiterons : L’effectivité (efficience) du cadre institutionnel.
Développement.
La première partie : L’effectivité (efficience) du régime juridique de la
protection.
Il convient d’étudier les exigences légales en matière de droit et obligation des parties (I) et le régime
répressif (II).

I) les exigences légales en matière de droit et obligation des parties

Ces exigences légales concernant beaucoup plus les droits de la personne concernée (1) et les
obligations de la personne responsable du traitement (2).

1- Droits de la personne concernée :

Les droits des personnes concernées sont : droit d’information, droit d’accès, droit de rectification,
droit d’opposition.

*Le droit d’information : est au cœur de la protection des données car il constitue une garantie de
collecte transparente et loyale des données à caractère personnel. L’obligation d’information lors de
la collecte des données prévue par l’article 5 de la loi 09-08, concerne l’information préalable de
toute personne de manière précise, expresse et non équivoque de l’utilisation ou du stockage de
données informatisées la concernant. Cette même personne doit également être informée sur
l’organisme qui effectue la collecte d’information mais aussi sur les destinataires ou les catégories de
destinataires. D’autant plus, lorsque la personne concernée répond à des questionnaires, il doit être
porté à sa connaissance si la réponse à telle ou telle question est obligatoire ou facultative.

Toutefois, il existe des limites au droit d’information et notamment lorsque les informations sont
traitées à des fins de statistiques, historiques ou scientifiques, dans ce cas le responsable de
traitement doit en informer la commission et lui présenter les motifs de l’impossibilité d’information.

Ce droit à l’information permettra de garantir l’exercice du droit d’accès et de rectification.

*Le droit d’accès : tel que reconnu à l’article 7 de la loi 09-08, est le droit qui permet à toute
personne d’accéder aux informations la concernant pour s’assurer de leur exactitude. Elle a le droit
d’obtenir du responsable de traitement les informations concernant les finalités du traitement, les
catégories de données sur lesquelles elle porte, et les catégories ou les catégories de destinataires
auxquels les données à caractère personnel sont communiquées.

Le responsable du traitement est tenu de délivrer ses informations aux personnes concernées
lorsqu’elles le souhaitent, mais il peut s’opposer à ce droit d’accès lorsqu’il est exercé de manière
abusive. Dans ce cas il doit en informer la Commission en apportant la preuve du caractère abusif de
ces demandes.

*Le droit de rectification : est un droit complémentaire du droit d’accès, en effet les personnes
peuvent demander la rectification des informations les concernant notamment lorsqu’elles sont
inexactes ou incomplètes. Le responsable du traitement est tenu de répondre à cette demande dans
un délai de dix jours, sans imposer de frais.
*Le droit d’opposition : tel que reconnu à l’article 9 de la loi 09-08, permet à toute personne dont les
données à caractère personnel font l’objet d’un traitement de s’opposer sans frais, à ce que les
données la concernant soient utilisées à des fins de prospection, notamment commerciale.

2- Obligations de la personne responsable du traitement

L’obligation primaire des responsables de traitement est de ne collecter des données à caractère
personnel que pour des finalités déterminées, dont la personne concernée est explicitement
informée. Ce dernier s’oblige à ne pas les traiter par la suite de manière incompatible avec ces
finalités. En plus de cela la loi 09-08 impose une autorisation préalable de la personne concernée
dans certains cas, et d’une déclaration préalable dans d’autres cas, et ce selon la nature des
informations collectées.

En vertu des dispositions de l’article 12 de la loi 09-08, les responsables du traitement sont soumis à
une autorisation préalable de la personne concernée lorsque les traitements concernent les données
sensibles visées à l’alinéa 3 de l’article premier. Ils sont également soumis à ladite autorisation
lorsqu’il s’agit de données portant sur les infractions, condamnations ou mesures de sûreté, des
données comportant le numéro de la carte d’identité nationale de la personne concernée.

Le traitement de ces données nécessite une autorisation préalable de la personne concernée

lorsqu’elles sont utilisées pour d’autres finalités que celles pour lesquelles elles ont été collectées.

La déclaration préalable doit comporter les éléments suivants : le nom et adresse du responsable du
traitement, et le cas échéant, de son représentant, la dénomination, les caractéristiques et la ou les
finalités du traitement envisagé, une description de la ou des catégories de personnes concernées et
des données ou des catégories de données à caractère personnel, les destinataires, les transferts de
données envisagés à destination d’Etats étrangers, la durée de conservation des données, les
interconnexions, ou toutes autres formes de rapprochement des données.

II) Le régime répressif :

Il convient d’étudier Les éléments constitutifs de l’infraction (1), et Les sanctions (2).

1- Les éléments constitutifs de l’infraction :

Le Chapitre VII de la loi n° 09-08 énonce les faits qui constituent des infractions. Nous pouvons les
résumer comme suit :

-tout traitement portant atteinte à l’ordre public, à la sureté, à la morale et aux bonnes mœurs

- la mise en œuvre d’un traitement sans l’autorisation ou la déclaration exigée

-le refus du droit d’accès, de rectification ou d’opposition

-toute incompatibilité avec la finalité déclarée

-le non-respect de la durée de conservation des données

-le non-respect des mesures de sécurité des traitements

-le non-respect du consentement de la personne concernée

-tout transfert de données personnelles vers un pays n’étant pas reconnu comme assurant une
protection adéquate

-toute entrave à l’exercice des missions de contrôle de la CNDP

-tout refus d’application des décisions de la CNDP

2-Les sanctions :

Sanctions contre les personnes physiques : À l’encontre des personnes physiques responsables du
traitement des données personnelles, et sans préjudice de leur responsabilité civile à l’égard des
personnes ayant subi des dommages du fait de l’infraction, les sanctions varient selon la gravité des
faits incriminés, pour ce qui est de l’emprisonnement entre trois mois et deux ans de prison, et pour
ce qui est des amendes entre 10 000 et 300 000 dirhams. Ces sanctions peuvent être portées au
double en cas de récidive.

Sanctions contre les personnes morales : Lorsque l’auteur de l’infraction est une personne morale, et
sans préjudice des peines qui peuvent être appliquées à ses dirigeants, les peines d’amende sont
portées au double. La personne morale peut voir ses biens confisqués et ses établissements fermés.

Deuxième partie : L’effectivité (efficience) du cadre institutionnel :

Il convient d’étudier la naissance et la composition de l’organisme institutionnel de la protection des
données à caractère personnel au Maroc et en France. La commission nationale de contrôle de la
protection des données à caractère personnel, et La Commission nationale de l'informatique et des
libertés de France (CNIL).

A) Naissance (création) et composition :

1-Naissance

-La Commission Nationale de contrôle de la protection des Données à caractère Personnel

(CNDP) a été créée par la loi n°09-08 du 18 février 2009 relative à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel. Elle est
chargée de vérifier que les traitements des données personnelles sont licites, légaux et qu’ils
ne portent pas atteinte à la vie privée, aux libertés et droits fondamentaux de l’homme.
La Commission est formée de personnalités notoirement connues pour leur impartialité, leur
probité morale et leur compétence dans les domaines juridique, judiciaire et informatique.

- Créée en 1978 par la loi Informatique et Libertés, la CNIL accompagne les professionnels dans leur
mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs
droits. Elle analyse l’impact des innovations technologiques et des usages émergents sur la vie privée
et les libertés. Enfin, elle travaille en étroite collaboration avec ses homologues européens et
internationaux pour élaborer une régulation harmonisée.

2-Composition (indépendance des membres)

CNDP ; Instituée auprès du premier ministre, elle est chargée de mettre en œuvre et de
veiller au respect des dispositions de la loi 09-08 et des textes pris pour son application. Elle
se compose de 7 membres dont un président nommé par le Roi. Les six autres membres
sont également nommés par le Roi, dont deux sur proposition du premier ministre, deux sur
proposition du président de la Chambre des représentants, et deux sur proposition du
président de la Chambre des conseillers. La durée du mandant des membres de la CNDP
est de cinq ans, renouvelable une seule fois. Les membres de la Commission sont choisis
parmi des personnalités du secteur public ou privé, qualifiés pour leur compétence dans le
domaine juridique et judiciaire, des personnalités justifiant d’une grande expertise en matière
informatique, ainsi que des personnalités reconnues pour leur connaissance des questions
touchant aux libertés individuelles. La Commission est composée de cinq départements :
Juridique, Communication, Systèmes d’informations, Expertise et Contrôle. Ressources
Humaines et Financières.

CNIL ; Composée de 18 membres. 6 représentants des hautes juridictions, 5 personnalités qualifiées,

4 parlementaires, 2 membres du conseil économique social et environnemental, 1 membre de la
commission d’accès aux documents administratifs.

B) L’effectivité du rôle de la CNDP :

1-Description des attributions, missions :

La CNDP a pour missions principales :

-De donner son avis aux autorités gouvernementales ou législatives sur les projets ou propositions de
loi ou de règlement se rapportant aux données à caractère personnel

-De donner son avis aux autorités compétentes sur les projets de règlements créant des fichiers
relatifs aux données à caractère personnel recueillies et traitées à des fins de prévention et de
répression de crimes et de délits ;

-De recevoir les déclarations et demandes d’autorisations relatives aux traitements de données
personnelles, mentionnées au paragraphe relatif aux obligations du responsable du traitement

-D’informer en permanence le public sur les droits et obligations légales et réglementaires relatives
aux données à caractère personnel ;

-De mener des investigations afin de contrôler la bonne application des dispositions légales par les
responsables du traitement ;

-D’instruire les plaintes dont elle est saisie et ordonner que lui soient communiquées à cet effet
toutes les informations nécessaires pour qu’elle puisse mener à bien cette mission ;

-D’ordonner le verrouillage, l’effacement, ou la destruction des données, en cas de contravention aux

dispositions légales.

2-Pouvoirs constatation, injonction etc.

Elle est dotée de plusieurs pouvoirs qui lui ont été confié par la loi. Elle exerce un pouvoir de
contrôle, de sanction, de conseil, de sensibilisation.

-Elle contrôle les paramètres institués par les responsables des traitements pour répondre à
l’obligation de confidentialité et de sécurité. A cet égard, elle contrôle le transfert des données
personnelles vers un pays étranger.

- La Commission peut être saisie par toute personne physique dont les données à caractère
personnel font l’objet d’un traitement à travers le dépôt d’une plainte, La Commission a également la
possibilité de s’autosaisir en cas de violation des dispositions de la loi 09-08.

La Commission est également investie d’un pouvoir de sanction, qui lui a été confié par la loi 09-08.
Dans une déclaration du président de la commission à un quotidien national, ce dernier s’exprime sur
les violations avérées par les organismes détenant les données, et parle de la possibilité de la
Commission d’adopter des mesures disciplinaires à leur encontre.