L’évolution croissante des technologies de l'information, la protection de la vie privée et

des données personnelles est devenue un sujet de préoccupation majeur de nos sociétés
modernes. Internet est devenu un outil incontournable de communication et d'échanges en
tous genres. Le développement rapide des réseaux sociaux et du e-commerce fait peser des
risques sur les informations personnelles de leurs utilisateurs. Lorsqu'ils les « exposent » sur
ces réseaux ou lorsqu'ils les « confient » à un e-commerçant pour une transaction, ils doivent
être rassurés quant au traitement qui leur sera réservé.1

La notion de vie privée, et plus précisément le droit à la protection des données

personnelles, est reconnue aussi bien dans les textes nationaux et internationaux, que dans les
politiques mises en place par les sites Web. « Il est admis que toutes informations identifiant
ou permettant d’identifier une personne peut porter atteinte à sa vie privée, à savoir son nom,
prénom, numéro de téléphone, de carte bancaire, de sécurité sociale, ou encore ses adresses
électronique et internet.2

La protection de la vie privée est pleinement consacrée par tous les grands textes
internationaux, à l’instar de l’article 8 de la Convention européenne des droits de l’homme qui
consacre le droit au respect de la vie privée.3

Concrétisant l’article 8 de la CEDH, le Conseil de l’Europe qui a pour mission de

débattre sur les questions de société, a adopté la Convention sur la protection des personnes à
l’égard du traitement automatisé de données à caractère personnel (Convention 108) ouverte à
la signature le 28 janvier 1981 laquelle sera complétée par un protocole additionnel
concernant les autorités de contrôle et les flux transfrontières de données du 8 novembre
2001.

Cette convention demeure le premier instrument international contraignant qui a pour

objet de protéger les personnes contre l'usage abusif du traitement automatisé des données à
caractère personnel, et qui réglemente les flux transfrontaliers des données.

Le titre décrit cet instrument comme «Convention», et non «Convention européenne»

afin de mieux souligner qu'elle doit se prêter à l'adhésion d'Etats non européens.4

1
KETTANI, Omar. LexisMa [En ligne].
https://www.lexisma.com.eressources.imist.ma/doctrine/maroc/320/index.html (Consulte le 16.01.2023)
2
Cynthia Chassigneux, « La protection des données personnelles en France », (2001) Vol 6-Numéro2 Lex
Electronica. [En ligne]: https://www.lex-electronica.org/s/1091.
3
L’article 8 de de la CEDH : « 1- Toute personne a droit au respect de sa vie privée et familiale, de son domicile
et de sa correspondance.
2- Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette
ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est
nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de
l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection
des droits et libertés d'autrui. »
4
Rapport explicatif de la Convention pour la protection des personnes à l'égard du traitement automatisé des
données à caractère personnel, p6 consulté sur STCE 108 - Rapport explicatif de la Convention pour la
protection des personnes à l'égard du traitement automatisé des données à caractère personnel (coe.int) , le
16 janvier 2023 à 22 :19
 La Convention 108 s’applique à tout traitement de données à caractère personnel dans les
secteurs privé et public, y compris les traitements effectués par les autorités judiciaires ou
celles chargées de l’application de la loi. Elle protège les individus contre les abus pouvant
accompagner le traitement de données à caractère personnel, et vise en même temps à réguler
les flux transfrontières de données à caractère personnel.5

La Convention a récemment fait l’objet d’une modernisation et un protocole

d’amendement a été ouvert à la signature des parties le 10 octobre 2018. La modernisation de
la Convention 108 a poursuivi deux objectifs principaux : d’une part, répondre aux défis nés
de l’usage des nouvelles technologies de l’information et de la communication et d’autre part,
renforcer une mise en œuvre effective de la Convention.

Le préambule de la convention 108 dans sa version modernisée affirme solennellement

« qu’il est nécessaire de garantir la dignité humaine ainsi que la protection des droits de
l’homme et des libertés fondamentales de toute personne … »6 Dès le début du nouveau texte,
la nécessité de garantir la dignité humaine à l’égard du traitement des données à caractère
personnel est reconnu. C’est un rappel que l’être humain doit rester un sujet et ne pas se
réduire à un simple objet.

Après avoir affirmé la nécessité de garantir la dignité humaine, le préambule de la

Convention 108+ souligne ensuite la nécessité de garantie également le droit à l’autonomie
personnelle, le droit de chacun de contrôler ses propres données à caractère personnel, lequel
découle en particulier du droit au respect de la vie privée.

Le premier article décrit l’objet et le but de la Convention. Il met l’accent sur le sujet de
la protection : les personnes physiques doivent être protégées lorsque leurs données à
caractère personnel font l’objet d’un traitement.7

Contrairement à la version de 1981 qui garantit une protection des données à caractère
personnel sur le territoire de chaque partie, quelle que soient sa nationalité ou sa résidence. La
version 2018 a opté pour un critère différent du territoire. La protection s'appliquera sur la
base de la « juridiction » des parties.8

La seule exclusion totale du champ d'application : traitement de données effectué par une
personne dans le cadre d’activités exclusivement personnelles ou domestiques.

5
Manuel de droit européen en matière de protection des données, p28 consulté sur Manuel de droit européen
en matière de protection des données – Édition 2018 (europa.eu) , le 16 janvier 2023 à 22 :43
6
Convention 108 + pour la protection des personnes à l’égard du traitement des données à caractère
personnel, p7 consulté sur 16808b3726 (coe.int) , le 17 janvier 2023 à 11 :28
7
Rapport explicatif du Protocole d’amendement à la Convention pour la protection des personnes à l'égard du
traitement automatisé des données à caractère personnel, op.cit., p3.
8
González, G., Van Brakel, R., & De Hert, P. (Eds.). (2022). "Contributors". In Research Handbook on Privacy and
Data Protection Law. Cheltenham, UK: Edward Elgar Publishing, p16. Consulté
sur :https://www.elgaronline.com/display/edcoll/9781786438508/9781786438508.xml , le 19 janvier 2023 à
22 :25
 Pour arriver à cet objectif, la Convention 108 a établi des “ Principes de base pour la
protection des données ”. Ces principes, reflètent les domaines qu’il convient de respecter dès
que l’on veut collecter des renseignements personnels.

Les principes fondamentaux de la protection des données n'ont pas changé depuis
plusieurs décennies. Les principes énoncés dans la version de 1981 de la Convention 108 ont
démontré leur capacité à résister à l'épreuve du temps. Ils se sont avérés généralement
appropriés et efficaces également dans des contextes technologiques et sociétaux en
évolution. Ainsi, ils ont été maintenus à la fois dans la Convention 108+ qui n'a apporté que
des ajustements où c'était nécessaire.

Un « nouveau principe » notable a été ajouté dans la Convention 108+, le principe de

proportionnalité. L’article 5 de la convention 108+9 a fait l’ancrage du principe de proportionnalité
pour tout traitement de données.

Cela signifie que le traitement des données doit être pertinent au regard de la finalité
légitime poursuivie, et limité à ce qui est nécessaire au regard des intérêts, droits et libertés
des personnes concernées ou de l’intérêt public. Il ne doit pas induire une ingérence
disproportionnée dans ces intérêts, droits et libertés. Le principe de proportionnalité doit être
respecté à toutes les étapes du traitement, y compris au stade initial, c’est-à-dire lorsqu’il est
décidé de procéder ou non au traitement des données.10

En lien avec ce principe, elle prévoit qu’un traitement de données à caractère personnel
ne peut en outre intervenir que s’il repose sur une base de légitimité (consentement, ou autres
fondements légitimes prévus par la loi). Cela signifie que les données ne devraient pas être
utilisées à des fins incompatibles avec ces dernières, ni conservées plus longtemps que
nécessaire. Ils concernent également la qualité des données, en particulier le fait qu’elles
doivent être adéquates, pertinentes, non excessives (proportionnalité) et exactes. 11

En plus de fournir des garanties sur le traitement de données à caractère personnel et les
obligations en matière de sécurité des données, la Convention 108 interdit, en l’absence de
garanties juridiques convenables, le traitement de données « sensibles », telles que l’origine
raciale, l’opinion politique, l’état de santé, les convictions religieuses, la vie sexuelle ou les
condamnations pénales d’une personne.12

Dans la Convention 108, les exigences de sécurité apparaissent dans la liste des principes
de base de la protection des données. Les cybercrimes (y compris le piratage, le vol d'identité,
la fraude informatique, l'extorsion, le phishing, les virus, les malwares, etc.) ont augmenté à
des niveaux élevés. En réponse à ces préoccupations de sécurité, la convention 108 exige que
9
Art 5 de la convention 108+ : « Le traitement de données doit être proportionné à la finalité légitime
poursuivie et refléter à chaque étape du traitement un juste équilibre entre tous les intérêts en présence, qu’ils
soient publics ou privés, ainsi que les droits et les libertés en jeu. ».
10
Rapport explicatif du Protocole d’amendement à la Convention pour la protection des personnes à l'égard du
traitement automatisé des données à caractère personnel. Op.cit. p8.
11
Manuel de droit européen en matière de protection des données. Op.cit. p28, consulté le 19 janvier 2023
à 00 :14.
12
Manuel de droit européen en matière de protection des données. Op.cit. p28, consulté le 20 janvier 2023
à 00 :14 à 09 :28.
les données personnelles soient traitées de manière à garantir leur sécurité appropriée, "y
compris la protection contre l’accès accidentel ou non autorisé

aux données à caractère personnel, leur destruction, perte, utilisation, modification ou

divulgation".13

Cette mission de sécurité inclut la nécessité de signaler les violations de données

personnelles à l'autorité de surveillance et dans certains cas aux personnes concernées
également.14

La Convention 108+ renforce également les obligations de transparence dans l’article 8 15

et les droits des personnes concernées à l’article 9,16 en particulier en inscrivant au côté des
droits d’accès et de rectification :

 L’obligation d’informer les personnes concernées ; de savoir que des informations sont
conservées à son sujet ;

 Le droit de toute personne de ne pas être soumise à une décision l’affectant de manière
significative, qui serait prise uniquement sur le fondement d’un traitement automatisé de
données sans que son point de vue soit pris en compte ;
 Le droit de toute personne d’obtenir connaissance du raisonnement qui sous-tend le
traitement de données, lorsque les résultats de ce traitement lui sont appliqués ;
 Le droit d’opposition au traitement ; et
 Le droit de disposer d’un recours effectif.

Ainsi, une fois « en ligne », les données personnelles peuvent être instantanément
distribuées à un grand nombre de tiers, souvent hors frontières, ce qui explique le besoin
croissant de l’harmonisation des mesures de protection des données personnelles.17

Dans ce sens, En 2001, un Protocole additionnel à la Convention 108 a été adopté. Il a

introduit des dispositions sur les flux transfrontières de données vers des pays qui ne sont pas
parties à la Convention, appelés « pays tiers », et sur la création obligatoire d’autorités
nationales de contrôle de la protection des données.

En effet, l’article 14 de la convention 108, vise à garantir que des données à caractère
personnel traitées à l’origine dans la juridiction d’une partie (données collectées ou

13
Art 7 parag 1 de la Convenion 108.
14
Art 7 parag 2 de la Convetion 108 : « Le responsable du traitement est tenu de notifier, sans délai excessif, à
tout le moins à l’autorité de contrôle compétente au sens de l’article 15 de la présente Convention, les
violations des données susceptibles de porter gravement atteinte aux droits et libertés fondamentales des
personnes concernées. »
15
« Le responsable du traitement doit fournir impérativement et de sa propre initiative certaines informations
essentielles aux personnes concernées lorsqu’il collecte leurs données, directement ou indirectement, afin de
garantir un traitement loyal et de permettre aux personnes concernées de comprendre et, partant, d’exercer
pleinement leurs droits dans le cadre du traitement considéré. »
16
Article 9, Droits des personnes concernées de la Convention 108.
17
Ana I. Vicente, « La convergence de la sécurité informatique et la protection des données à caractère
personnel : vers une nouvelle approche juridique », Maîtrise (LL.M.), option Nouvelles technologies de
l’information, faculté de Droit, Université de Montréal, 2003.
conservées dans cette juridiction, par exemple), qui relèvent ensuite de la juridiction d’un État
non partie à la Convention continuent d’être traitées avec des garanties appropriées.18

Enfin le Maroc a renforcé son arsenal juridique en adoptant les standards européens de la
protection des données personnels établis par la Convention 108 du conseil de l’Europe de
1981.A cet égard le législateur marocain a adopté la loi n° 46-13 portant approbation de la
Convention européenne n° 108 pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel.19

Et, la promulgation par Dahir n° 1-22-14 du 15 rejeb 1443 (17 février 2022) la loi n° 53-
21 portant approbation du Protocole d'amendement à la Convention du Conseil de l'Europe n°
108 pour la protection des personnes à l'égard du traitement automatisé des données à
caractère personnel, fait à Strasbourg le 10 octobre 2018.20

Le Maroc adhère à cette convention et constitue le 55ème membre de celle-ci en premier

septembre 2019 (il a déposé ses instruments de ratification le 28 Mai 2019).

Il est à signaler que l'adhésion du Maroc à cette Convention s'inscrit dans le cadre de
l'activation du partenariat de voisinage qui lie le Royaume au Conseil de l'Europe et de ses
efforts pour renforcer la législation nationale dans le domaine de la protection des données
personnelles et l'aligner sur les normes internationales les plus élevées.

On peut dire que l'architecture avancée de protection des données en Europe peut servir
de modèle et dépasser les limites européennes. La Convention 108 est le seul instrument
juridiquement contraignant qui présente un potentiel unique de devenir un standard universel
en matière de protection des données personnelles. La révision de ce texte est intervenue à un
moment où la mise en place de principes fondamentaux communs dans le monde pour
protéger les individus en ce qui concerne le traitement de leurs données personnelles est
devenue absolument nécessaire. Le processus de révision de la Convention a introduit des
éléments clés renforçant la protection des individus. Le premier de ces éléments clés est la
formulation explicite du principe de proportionnalité à respecter à toutes les étapes du
traitement des données et pour toutes les opérations effectuées avec les données.

18
Rapport explicatif de la Convention pour la protection des personnes à l'égard du traitement automatisé des
données à caractère personnel, p19 consulté sur : STCE 223 - Rapport explicatif du Protocole d’amendement à
la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère
personnel (coe.int) le 21/01/2023 à 19 :34
19
Promulguée par Dahir n° 1-14-150 du 25 chaoual 1435 (22 août 2014) portant promulgation de la loi n° 46-13
portant approbation de la Convention européenne n° 108 pour la protection des personnes à l'égard du
traitement automatisé des données à caractère personnel, faite à Strasbourg le 28 janvier 1981. (Bulletin
officiel du Royaume du Maroc - 18 septembre 2014 - N° 6292)
20
Bulletin officiel du Royaume du Maroc - 03 mars 2022 - N° 7070
L‘évolution croissante des technologies de l’information et de la communication et de leurs
usages s’est accompagnée d’un besoin croissant de règles plus détaillées pour protéger les
individus en protégeant leurs données à caractère personnel.