LE DROIT

NUMÉRIQUE
A N I M É E PA R : D R H - B O U T A Y B A
UN TOUR D’HORIZON
L’informatique est au service du citoyen et évolue dans le
cadre de la coopération internationale. Elle ne doit pas
porter atteinte à l’identité, aux droits et aux libertés
collectives ou individuelles de l’Homme. Elle ne doit pas
constituer un moyen de divulguer des secrets de la vie
privée des citoyens.
LA CYBERCRIMINALITÉ
LE CONCEPT

• Selon le ministère de l’intérieur français ;

• La cybercriminalité recouvre « l’ensemble des infractions
pénales susceptibles de se commettre sur les réseaux de
télécommunication en général et plus particulièrement sur les
réseaux appelés communément l’Internet »
• Selon l’ONU :
•« tout comportement illégale faisant intervenir des
opérations électroniques qui visent la sécurité des systèmes
informatiques et des données qu’ils traitent » et dans une
acception plus large « tous fait illégal commis au moyen d’un
système ou d’un réseau informatique au en relation avec un
système informatique »
• Pour la commission européenne ;
• « toute infraction qui implique l’utilisation des technologies
informatiques »
EN SOMME

• La cybercriminalité peut alors se définir comme toute action illégale dont l'objet est de
perpétrer des infractions pénales sur ou au moyen d'un système informatique
interconnecté à un réseau de télécommunication.
• Elle vise soit des infractions spécifiques à Internet, pour lesquelles les technologies de
l’information et de la communication sont l'objet même du délit, soit des infractions de
droit commun pour lesquelles Internet est le moyen de développer des infractions
préexistantes.
• Dès lors, on peut affirmer que la notion de cybercriminalité vise deux types d’infractions
NATURE DES INFRACTIONS DE LA CYBERCRIMINALITÉ

Cybercriminalité

Infractions pour lesquelles les Technologies Infractions pour lesquelles l’Internet est
de l’Information et de la Communication le moyen de commission
(TIC) sont l’objet même du délit

Caractéristiques : nature des technologies utilisées Caractéristiques : criminalité de droit commun, de

nature juridique traditionnelle

DE
CO AL
N
PE

Infractions liées à la Infractions liées à la Infractions Infractions prévues Infractions prévues par
télécommunication téléphonie cellulaire informatiques par le code pénal des textes spécifiques
LES INFRACTIONS VISÉES
• Il s'agit d'abord de la criminalité dont l'objet même est de menacer
les systèmes et les réseaux informatiques.
• Cela concerne les atteintes aux systèmes des traitements
automatisés des données, les infractions en matière de fichiers ou
de traitement informatique, ou encore le domaine de la cryptologie.
• Ce sont des infractions nouvelles, spécifiques à l'Internet, qui
n'existaient pas avant son arrivée.
• En ce sens, on peut citer le piratage informatique qui est en
l’occurrence, l'intrusion non autorisée dans les systèmes
informatiques et le sabotage informatique de ces derniers.
• Il s'agit ensuite de la criminalité commise au moyen du
réseau.
• Ce sont les formes traditionnelles de la cybercriminalité ou les
infractions de droit commun qui existaient déjà avant l'arrivée
d'Internet .
EXEMPLE

• En ce sens, on peut citer la pédophilie sur Internet qui est un des

exemples les plus visibles de criminalité de droit commun, ayant
pris de l'ampleur grâce au développement de l'Internet.
L A FRAUDE INFORMATIQUE: L A LOI GODFRAIN DU 5 JANVIER 1988

• Intrusion ou maintien frauduleux dans un système de

traitement automatisé de données (STAD)
• Fausser ou entraver le fonctionnement d'un STAD
• Supprimer, introduire ou modifier frauduleusement des
données dans un STAD
• Détenir, offrir, céder ou mettre à disposition un
équipement, programme informatique ou toute donnée
en vue de commettre les infractions sus-citées
• Association de malfaiteurs
LES INFRACTIONS PÉNALES POUR LESQUELLES L’INTERNET EST LE MOYEN DE
COMMISSION

• Les atteintes aux libertés individuelles

– Diffamation et injure
– Atteintes à la vie privée
– Haine raciale, négationnisme, révisionnisme
• Les atteintes aux biens
– Escroquerie
– Menace de commettre une destruction, une dégradation
ou une détérioration
• Les atteintes à l’ordre public
– Protection des mineurs
– Terrorisme
– Paris clandestins et Jeux d’argent
• Les infractions au code de la propriété intellectuelle
– contrefaçon
TYPOLOGIE DES CYBERDÉLINQUANTS

• Le développement des NTIC a mené à l'apparition d'un nouveau

type de délinquance que l'on nomme « délinquance informatique »
QU’EST-CE QU’UN DÉLINQUANT ?

• En droit pénal, le délinquant est défini comme « l'auteur d'une

infraction pénale, qui peut faire l'objet d'une poursuite de ce chef »,
• Le délinquant informatique serait donc la personne qui commet un
délit informatique
EN TOUT ÉTAT DE CAUSE,,,,

• La délinquance informatique se différencie de la délinquance

classique car elle « se compose de délinquants spécialisés,
jeunes par hypothèse, considérés comme employés modèles
occupant un poste de confiance dans la direction d'une
entreprise. Généralement motivés par le caractère du jeu et du
défi qu'apporte l'idée de tromper l'ordinateur »
• Tout pirate informatique n'est pas forcément qu’un hacker et il
convient donc de distinguer entre un « hacker », un « cracker »
et un « crasher »,
HACKER

• Le terme « hacker » provient du verbe anglais « to hack into » qui

signifie « entrer par effraction ». Pour beaucoup, les hackers sont
ceux qui utilisent les NTIC à des fins contraires à la loi.
DÉFINITION DE LAROUSSE

• « une personne qui, par jeu, goût du défi ou souci de notoriété,

cherche à contourner les protections d'un logiciel, à s'introduire
frauduleusement dans un système ou un réseau informatique »
POUR LES ANGLO-SAXONS

• Le hacker est « quelqu'un qui tente de faire irruption dans les

systèmes informatiques, en particulier pour obtenir des
renseignements confidentiels qui y sont entreposés »
LE « CRACKER »

• Le terme « cracker » provient du verbe anglais « to crack » qui

signifie craquer, casser un code d'accès;
• Le cracker est spécialisé dans le cassage de codes de protection
anti-copies des logiciels sous licence ou encore des jeux.
LE « CRASHER »

• Le terme « crasher » provient du verbe anglais « to crash » qui

signifie « s'écraser »;
• Il pénètre à l'intérieur d'un système informatique et détruit ou
sabote un de ses éléments par pur plaisir.
PHÉNOMÈNE NOUVEAU ,,,, NOUVELLES
LOIS AUX PLURIEL.

• Pourquoi aux pluriel ?

IL Y A TROIS LOIS RÉGISSANT CE
PHÉNOMÈNE
• 1- La loi n°07-03 complétant le code pénal en ce qui concerne les infractions relatives aux
systèmes de traitement automatisé des données ;
• 2 - La loi 53-05 relative à l’échange électronique de données juridiques;
• 3 - La loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel
LA LOI N°07-03
• Les premières dispositions législatives concernant la
cybercriminalité au Maroc sont apparues en 2003, avec la parution
de la loi 07-03 complétant le code pénal en ce qui concerne les
infractions relatives aux systèmes de traitement automatisé des
données
• La loi 07-03 comble un vide juridique important face au
phénomène de la cybercriminalité qui est devenu préoccupant pour
les autorités sécuritaires du Maroc.
• La loi 07-03 s’est inspirée des lois étrangères similaires,
notamment la loi française appelée loi Godfrain de 1988.
L A LO I 0 7-0 3 R ÉP R IM E P ÉN A LEM EN T D E N O M B R EU X
C O M P O R T EM EN T S JU G ÉS M A LS A IN S

• Les intrusions au sein des systèmes de traitement automatisé des

données (STAD).
• Les atteintes aux STAD.
L A LO I 0 7-0 3 S A N C T IO N N E T O U T ES LES IN T R U S IO N S N O N
A U T O R IS ÉES D A N S U N S TA D

• Elle fait la distinction entre :

• Accès frauduleux : pénétration par effraction dans un SDAT
• Maintien par erreur : outrepasser une autorisation d’accès donnée
pour un temps déterminé.
N-B

• Il est important de noter que l’intrusion accidentelle ne peut être

incriminée toute seule.
• Les sanctions prévues par la loi varient selon que l’intrusion a eu ou
non une incidence sur le SDAT.
L’ACCÈS AU STAD

• L’accès au STAD peut se faire :

• Depuis l’extérieur du système : ainsi, un pirate qui pénètre dans
un ordinateur connecté à l’internet tombe sous le coup de la loi.
• Depuis l’intérieur du système : un salarié ou un fonctionnaire
qui, depuis son poste, pénètre dans une zone du réseau de son
organisme à laquelle il n’a pas le droit d’accéder pourra être
poursuivi.
SANCTIONS
• Le fait d'accéder, frauduleusement, dans tout ou partie d'un système
de traitement automatisé de données est puni d'un mois à trois
mois d'emprisonnement et de 2.000 à 10.000 dirhams d'amende ou
de l'une de ces deux peines seulement.
• Est passible de la même peine toute personne qui se maintient dans
tout ou partie d'un système de traitement automatisé de données
auquel elle a accédé par erreur et alors qu'elle n'en a pas le droit.
• La peine est portée au double lorsqu'il en est résulté soit la
suppression ou la modification de données contenues dans le
système de traitement automatisé de données, soit une altération
du fonctionnement de ce système.
• Sans préjudice de dispositions pénales plus sévères, est puni de six
mois à deux ans d'emprisonnement et de 10.000 à 100.000 dirhams
d'amende quiconque commet les actes prévus à l'article précédent
contre tout ou partie d'un système de traitement automatisé de
données supposé contenir des informations relatives à la sûreté
intérieure ou extérieure de l'Etat ou des secrets concernant
l'économie nationale.
• Sans préjudice de dispositions pénales plus sévères, la peine est
portée de deux ans à cinq ans d'emprisonnement et de 100.000 à
200.000 dirhams d'amende lorsqu'il résulte des actes réprimés au
premier alinéa du présent article soit la modification ou la
suppression de données la modification ou la suppression de
données contenues dans le système de traitement automatisé des
données, soit une altération du fonctionnement de ce système ou
lorsque lesdits actes sont commis par un fonctionnaire ou un
employé lors de l'exercice de ses fonctions ou à l'occasion de cet
exercice ou s'il en facilite l'accomplissement à autrui.
LES ATTEINTES CONSIDÉRÉES PAR LA
LOI 07-03 SONT DE DEUX TYPES
• Atteintes au fonctionnement du STAD (article 607-5) :
• Attaque DoS Changement de mots de passe Blocage d’une
application ou d’un fichier et l’introduction d’un virus, etc.
• ◦ Atteintes aux données contenues dans le STAD (607-6).
• Le fait d'entraver ou de fausser intentionnellement le fonctionnement
d'un système de traitement automatisé de données est puni d'un an à
trois ans d'emprisonnement et de 10.000 à 200.000 dirhams d'amende
ou de l'une de ces deux peines seulement.
• Le législateur n’a pas précisé dans cet article les méthodes utilisées pour
entraver ou fausser le fonctionnement d’un STAD. Elles peuvent être
physiques ou Électroniques.
• Le fait d'introduire frauduleusement des données dans un système
de traitement automatisé ou de détériorer ou de supprimer ou
de modifier frauduleusement les données qu'il contient, leur mode
de traitement ou de transmission, est puni d'un an à trois ans
d'emprisonnement et de 10.000 à 200.000 dirhams d'amende ou de
l'une de ces deux peines seulement.
• Sans préjudice de dispositions pénales plus sévères, le faux ou la
falsification de documents informatisés, quelle que soit leur forme,
de nature à causer un préjudice à autrui, est puni d'un
emprisonnement d'un an à cinq ans et d'une amende de 10.000 à
1.000.000 de dirhams.
• Sans préjudice de dispositions pénales plus sévères, la même peine
est applicable à quiconque fait sciemment usage des documents
informatisés visés à l'alinéa précédent.
• Quiconque aura participé à une association formée ou à une
entente établie en vue de la préparation, concrétisée par un ou
plusieurs faits matériels, d'une ou de plusieurs infractions prévues
au présent chapitre est puni des peines prévues pour l'infraction
elle- même ou pour l'infraction la plus sévèrement réprimée.
• Est puni d'un emprisonnement de deux à cinq ans et d'une amende
de 50.000 à 2.000.000 de dirhams le fait, pour toute personne, de
fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à
disposition des équipements, instruments, programmes
informatiques ou toutes données, conçus ou spécialement adaptés
pour commettre les infractions prévues au présent chapitre.
LA LOI N°09-08

• Cette loi a été publiée au Bulletin Officiel n° 5744 du 18 Juin 2009,

après avoir été promulguée par le Décret n° 2-09-165, en date du
21 mai 2009.
• Elle introduit, pour la première fois, dans le paysage juridique
marocain, un ensemble de dispositions légales harmonisées avec le
droit européen et, notamment, avec la Directive Communautaire
n° 95/46
QUE PRÉVOIT CETTE LOI ?

• 1 - Des clauses relatives aux objectifs, champ d’application et au

référentiel du concept de protection des données personnelles,
• 2 - Des dispositions portant sur les conditions du traitement de
cette catégorie de données,
• 3 - Les droits de la personne concernée et obligations du
responsable du traitement,
• 4 - La création d’une commission de contrôle de la protection de
cette catégorie de données.
LA NATURE DES DONNÉES À PROTÉGER

• Autrement dit ,,,,

• Le champ d’application de cette loi
• La loi n° 09-08 s’applique au traitement des données à caractère
personnel, sous quelque forme que ce soit relatives à une personne
physique identifiée ou identifiable.
QU’EST-CE QU’UNE PERSONNE
IDENTIFIABLE ?
• Selon les dispositions de l’article premier de la loi n°09-08 :
• « Est réputée identifiable une personne qui peut être
identifiée, directement ou indirectement, notamment par
référence à un numéro d'identification ou à un ou plusieurs
éléments spécifiques de son identité physique, physiologique,
génétique, psychique, économique, culturelle ou sociale »
QUE CONSTITUENT LES DONNÉES
PERSONNELLES ?
• Art 1 « Toute information, de quelque nature qu’elle soit et
indépendamment de son support, y compris le son et l’image,
concernant une personne physique identifiée ou identifiable,
dénommée ci-après « personne concernée ».
• Le nom, prénom, adresse, courriel, photographie d’identité, numéro
d’identification, empreintes digitales,,,
PEUT-ON CONSIDÉRER UNE ADRESSE IP COMME
UNE DONNÉE À CARACTÈRE PERSONNEL ?

• Précisions émises par la jurisprudence française concernant l’adresse IP :

• la cour d’appel de Paris a estimé que le relevé de l’adresse IP qui est une
série de chiffres qui entre dans le constat de la matérialité de
l’infraction et non dans l’identification de son auteur, ne
constitue en rien une donnée indirectement nominative.
LE TRAITEMENT QUI FAIT L’OBJET DE LA
PROTECTION DES DONNÉES À CARACTÈRE
PERSONNEL CONCERNE :
• Toute opération ou tout ensemble d’opérations portant sur des
données à caractère personnel réalisés ou non par le biais
de procédés automatisés.
« RESPONSABLE DU TRAITEMENT »
ART 1
• La personne physique ou morale, l’autorité publique, le service ou tout autre
organisme qui, seul ou conjointement avec d’autres, détermine les finalités et
les moyens du traitement de données à caractère personnel. Lorsque les
finalités et les moyens du traitement sont déterminés par des dispositions
législatives ou réglementaires, le responsable du traitement doit être indiqué
dans la loi d’organisation et de fonctionnement ou dans le statut de l’entité
légalement ou statutairement compétente pour traiter les données à caractère
personnel en cause,
DE QUOI S’AGIT-IL EXACTEMENT ?

• C'est toute opération portant sur des données

personnelles, quel que soit le procédé utilisé.
•
Par exemple, enregistrer, organiser, conserver,
modifier, rapprocher avec d'autres données, transmettre, etc. des
données personnelles.
DES FICHIERS MAIS PAS SEULEMENT :

• Un traitement n'est donc pas uniquement un fichier, une base de

données ou un tableau Excel. Il peut s'agir aussi d'une installation de
vidéosurveillance, d'un système de paiement par carte bancaire ou
de reconnaissance biométrique, d'une application pour smartphone,
etc. ;
• Des traitements apparaissent et évoluent selon les innovations
technologiques.
INFORMATISÉS MAIS PAS
UNIQUEMENT :
• Un traitement de données à caractère personnel peut être
informatisé ou non ;
• Un fichier papier organisé selon un plan de classement, des
formulaires papiers nominatifs ou des dossiers de candidatures
classés par ordre alphabétique ou chronologique sont aussi des
traitements de données personnelles.
N-B

• Les implications de cette nouvelle loi concernent non seulement les

entreprises et les citoyens établis sur le territoire marocain mais
aussi toutes les entreprises étrangères qui entretiennent des
relations d’affaires avec leurs homologues marocaines ou qui
échangent des données avec leurs filiales ou leurs maisons mères
marocaines, tout en utilisant des moyens situés sur le territoire
marocain.
« DONNÉES SENSIBLES » ART 1

• Données à caractère personnel qui révèlent l’origine raciale ou

ethnique, les opinions politiques, les convictions religieuses ou
philosophiques ou l’appartenance syndicale de la personne
concernée ou qui sont relatives à sa santé y compris ses données
génétiques, ;
« FICHIER DE DONNÉES À CARACTÈRE
PERSONNEL » (« FICHIER ») ART 1
• Tout ensemble structuré de données à caractère personnel
accessibles selon des critères déterminés, que cet ensemble soit
centralisé, décentralisé ou réparti de manière fonctionnelle ou
géographiques, tels que les archives, les banques de données, les
fichiers de recensement ;
LES DROITS DE LA PERSONNE CONCERNÉE

• Chaque traitement de données à caractère personnel, ou son

transfert à des tiers, nécessite en principe, pour être effectué, le
consentement indubitable de la personne concernée par ledit
traitement ou ledit transfert,
LES PERSONNES PHYSIQUES DISPOSENT AU TITRE DES
ARTICLES 5 ET SUIVANTS DE LA LOI PRÉCITÉE DE
QUATRE T YPES DE DROITS.
1- LE DROIT À L’INFORMATION

• Ce droit d’être informé est essentiel car il conditionne

l'exercice des autres droits tels que le droit d'accès ou le droit
d'opposition.
2- LE DROIT D’ACCÈS

• Cette loi donne le droit à la personne concernée d'être au courant

de la compilation de ses données et d'y avoir accès pour s'assurer
de leur véracité et si elles font l'objet d'un usage sain.
3- LE DROIT DE RECTIFICATION

• Le droit de rectification constitue un complément essentiel du

droit d’accès. En effet, les personnes concernées peuvent obtenir
l’actualisation, la rectification, l’effacement ou le verrouillage des
données personnelles collectées, notamment du fait du caractère
inexact ou incomplet des informations.
4- LE DROIT D’OPPOSITION

• La personne concernée pourra s’opposer au traitement des

données la concernant. Ainsi toute personne peut refuser, sans
avoir à se justifier, que les données qui la concernent soient utilisées
à des fins de prospection, en particulier commerciale
LES OBLIGATIONS DU RESPONSABLE DU
TRAITEMENT
• La loi n°09-08 définit le responsable du traitement comme « la
personne physique ou morale, l'autorité publique, le service ou tout
autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement de données à
caractère personnel ».
• Selon la nature des informations collectées, le traitement va
nécessiter soit une autorisation préalable, soit une déclaration
préalable de la part de la Commission de contrôle de la
protection des données à caractère personnel.
• Le responsable de traitement est tenu par
• Des obligations de confidentialité et de sécurité des
traitements
• Des obligations de secret professionnel.
DÉCLARATION PRÉALABLE

• Tout traitement de données personnelles doit donner lieu à une

déclaration préalable auprès de la commission nationale (Art 12)
sauf si la loi en dispose autrement conformément à l’article 18.
L’OBJET DE LA DÉCLARATION (ART 13)

• Cette déclaration a pour objet de permettre à la Commission

nationale d’exercer les compétences qui lui sont dévolues par la
présente loi, afin de contrôler le respect de ses dispositions et
d’assurer la publicité du traitement des données personnelles.
L’ART 18

• L’obligation de déclaration ne s’applique pas aux traitements ayant

pour seul objet la tenue d’un registre qui est, en vertu de
dispositions législatives ou réglementaires, destiné à l’information
du public et ouvert à la consultation du public ou de toute
personne justifiant d’un intérêt légitime.
• Le défaut de déclaration est sanctionné par l’article 52 de la loi
précitée
ART 52

• Sans préjudice de la responsabilité civile à l’égard des personnes

ayant subi des dommages du fait de l’infraction, est puni d’une
amende de 10.000 à 100.000 DH, quiconque aura mis en œuvre un
fichier de données à caractère personnel sans la déclaration ou
l’autorisation exigée à l’article 12 ci-dessus ou aura continué son
activité de traitement de données à caractère personnel malgré le
retrait du récépissé de la déclaration ou de l’autorisation.
LA FINALITÉ … LIGNE ROUGE

• Le principe de finalité constitue un élément majeur « les données

sont collectées pour des finalités déterminées, explicites et
légitimes et ne sont pas traitées ultérieurement de
manière incompatible avec ces finalités ».
• Dés lors un traitement de données à caractère
personnel est créé pour atteindre un objectif et ne pas servir à
d’autres fins.
CAS RÉEL

• la SNCF en France avait déclaré comme finalité du fichier Socrate

la délivrance de titres de transport a commis un détournement de
finalité en utilisant ses fonctionnalités pour vérifier l’activité d’un
personnel.
AUTORISATION PRÉALABLE

• L’autorisation préalable devra être obtenue par le responsable du

traitement lorsque ledit traitement porte sur des données dites
« sensibles »
Y-A-T-IL D’AUTRES CAS ?

• Doivent être soumises à autorisation préalable les données utilisées

à d’autres fins que celles pour lesquelles elles ont été collectées, les
données relatives aux infractions, condamnations ou mesures de
sûreté, de même que les données comportant le numéro de la
carte d’identité nationale de la personne concernée.
N-B

• Tout comme pour la déclaration préalable, le défaut de

l’autorisation préalable est sanctionné par l’article 52 de la loi la
précitée,
 OBLIGATION DE CONFIDENTIALITÉ ET DE SÉCURITÉ DES
TRAITEMENTS ET DE SECRET PROFESSIONNEL

• Le responsable du traitement est tenu de prendre toutes

précautions utiles, au regard de la nature des données et des
risques présentés par le traitement, pour préserver
la sécurité des données et, notamment, empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y
aient accès (art 23).