1

Sommaire

Première partie : La politique d’incrimination face aux réfractaires des données

personnelles………………………………………………………………………………5

Chapitre I : Incriminations et sanctions liées aux règles de fond de traitement……………5

Section 1 : Procéder à des traitements sans consentement des personnes concernées………5

Section 2 : Les infractions liées aux droits de la personne concernée………………………5

Section 3 : L’infraction de collecte frauduleuse et traitement illicite des données

personnelles…………………………………………………………………………………6

Section 4 : L’infraction de l'usage abusif des données ……………………………………7

Chapitre II : Infractions et sanctions liées aux règles de forme de traitement…………….7

Section 1 : L'infraction de traitement sans déclaration préalable………………………….8

Section 2 : Le non-respect des mesures de sécurité de traitement…………………………9

Section 3 : La violation des règles de transfert des données vers un pays étranger……….9

Section 4 : La non-coopération avec la commission nationale. …………………………..9

Section 5 : Le refus d’application des décisions de la Commission Nationale……………10

Deuxième partie : Renforcement du volet procédural de la protection des données

à caractère personnel…………………………………………………………….11

Chapitre I : Institutions judiciaires, Moyens de Preuve, Recours et Plaintes - Un Regard

Comparatif entre les Juridictions Marocaine et Suisse
………………………………………………………………………………………..11

Section 1 : Les organes judiciaires chargés des enquêtes et les moyens de preuves
…………………11

Section 2 : Les mécanismes de recours et de plaintes …………………..13

Chapitre II : L’entraide judiciaire et la coopération internationale……………………..14

2
Section 1 : L’adhésion à des instruments internationaux de protection des données
personnelles………………………………………………………………………………15

Section 2 : Les défis et les opportunités………………………………………………….16

Conclusion………………………………………………………………………………..18

Bibliographie……………………………………………………………………………..19

3
 Introduction

Fin 2009, le ministère marocain de l’Industrie, du Commerce et des Nouvelles Technologies a

lancé un vaste programme visant à développer l’usage de la technologie numérique au sein du
royaume. Celui-ci a conduit notamment à une informatisation croissante des PME et de
l’administration et à une meilleure accessibilité de la population à Internet. En parallèle de
cela, les dispositifs législatifs communautaires contraignent fortement l’échange de données
entre l’Europe et ses voisins, complexifiant le développement d’activités d’offshoring au
Maroc. Il devenait donc indispensable, d’une part, d’apporter au citoyen les garanties
indispensables face à une hausse de l’informatisation et aux inquiétudes que cela peut générer
(atteintes à la vie privée, spams commerciaux, etc.), et, d’autre part, de constituer un terrain
favorable à l’afflux de capitaux internationaux. C’est là tout l’objet de la loi 09-08 relative à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel,
équivalent marocain de la Loi Informatique et Libertés française. Une commission dédiée, la
Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP)
est ainsi instaurée pour assurer le respect de cette loi. Pour les entreprises, outre le respect
d’une nouvelle obligation légale, il s’agit dès lors de maintenir puis faciliter les échanges avec
ses partenaires européens et de protéger son image, voire de faire de son souci de la protection
de la vie privée un véritable atout concurrentiel. Cette similarité des principes entraine bien sûr
les mêmes difficultés pratiques, en particulier liées au champ d’application extrêmement
étendu des définitions : la grande majorité des traitements mis en œuvre par les entreprises et
administrations s’avèrent en effet être des traitements de données à caractère personnel. En
quoi les cyberattaques et les violations de données remettent-elles en question la responsabilité
légale des organisations en ce qui concerne la protection des données à caractère personnel?
Quelles sont les implications juridiques de l'utilisation croissante de technologies telles que
l'intelligence artificielle et la reconnaissance faciale pour la collecte et le traitement de données
à caractère personnel? A la lumière de notre connaissance et des œuvres lues nous allons en
Première partie énumérer La politique d'incrimination face aux réfractaires des données
personnelles, et en seconde partie parler du renforcement du volet procédural de la protection
des données à caractère personnel.

4
Première partie : La politique d’incrimination face aux réfractaires des
données personnelles
Chapitre I : Incriminations et sanctions liées aux règles de fond de
traitement

La loi 09-08 définit «le traitement des données à caractère personnel » comme étant « Toute
opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et
appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement,
l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation,
l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la
destruction ;

La Loi 09-08 prévoit diverses sanctions pour les responsables de traitement qui ne respectent
pas les dispositions de cette dite loi visant à protéger les données à caractère personnel.
Ces sanctions en particulier de type financier peuvent être conséquents avoir un caractère
dissuasif. Elles ont été fixées de manière à obliger les responsables de traitement à agir avec
plus de transparence dans la collecte de données à caractère personnel, mais surtout à les utiliser
en respectant les droits et libertés des personnes concernées.

Section 1 : Procéder à des traitements sans consentement des personnes concernées

En se référant à l’article 57 de la loi 09-08, toute personne qui, sans le consentement des personnes
concernées, procède au traitement des données à caractère personnel et qui directement ou
indirectement, font évoquer les origines raciales ou ethniques, les opinions politique philosophiques ou
religieuse, y compris également les appartenances syndicales des personnes ou qui sont relatives à la
santé de celles-ci, sera puni d’une peine d’emprisonnement de six mois à deux ans et/ou d’une amende
de 50.000 à 300.000DH.
les mêmes peines sont infligées pour toute personne qui procède au traitement des données à caractère
personnel concernant des infractions, des condamnations ou des mesures de sureté.

A noter que selon la CNDP, "toute opération de traitement des données personnelles ne peut avoir lieu
que si la personne concernée a exprimé son consentement d'une façon claire, incontestable libre et
avertie". Cela dit, "le consentement des personnes concernées n'est pas exigé dans les cas suivants:
-Le traitement est nécessaire au respect d'une obligation légale à laquelle est soumis(e) le responsable
du traitement ou la personne concernée ;

5
-Le traitement entre dans le cadre de l'exécution d'un contrat auquel la personne concernée est
partie ;
-La personne concernée est dans l'incapacité physique ou juridique de donner son consentement
et le traitement envisagé permet la sauvegarde d'intérêts vitaux la concernant ;
-le traitement permet la réalisation d'un intérêt légitime poursuivi par le responsable du
traitement, à condition de ne pas méconnaitre l'intérêt et les droits des personnes concernées

On cite à cet effet une Ordonnance de référé du tribunal administratif de Rabat le 11/02/2020,
le dossier nº 2019/7101/101474(Dans la règle que l'on peut qualifier principe, mentionner ou
joindre l'état de santé d'un fonctionnaire dans son attestation de travail est une violation, par
l'administration, de ses <données personnelles sensibles », et peut porter éventuellement atteinte
à ses données personnelles sensibles sans sa permission et son consentement selon les
dispositions de la 0908 ive à la protection des données à caractère personnel plus précisément
les données sensibles).
Section 2 : Les infractions liées aux droits de la personne concernée
Les articles 53 et 59 de la loi 09-08 ont fait référence à ses infractions, dès lors, elles peuvent
être réalisées si le responsable du traitement des données à caractère personnel refuse les droits
d'accès¹, de rectification ou d’opposition ? prévus aux articles 7,8 et 9 de la loi précitée, ou
lorsque responsable procède à un traitement de donnée à caractère personnel malgré
l'opposition de cette personne.
Cependant, en se référant aux articles 53 et 59 de la loi 09-08, le législateur marocain a
incriminé le fait de refuser par tout responsable de traitement le droit d'accès, de rectification
ou d'opposition par une amende de 20.000 à 200.000 DH. Et il a puni également toute personne
qui procède à un traitement de données à caractère personnel concernant une personne physique
malgré l'opposition de cette personne d'une peine d'emprisonnement de trois mois à un an et
d'une amende de 20.000 à 200.000 DH ou de l'une de ces deux peines seulement.
En France, les sanctions de non-respect des droits d'accès, de rectification, d'effacement et
d'information sont considérées comme moins graves par le législateur français, sont prévues et
réprimées en tant que contraventions, qui répriment les manquements aux dispositions
concernant le droit d'information, d'accès et de rectification des données par la personne
concernée. Le non-respect de ces obligations est puni d'après les dispositions des articles R.625-
11, R. 625-10 et R.625-12 du code pénal, d'une amende de 1 500 € maximum (3000 € en cas
de récidive). Par contre, le non-respect de droit à l'opposition est puni d'après l'article 226-18-
1 du Code pénal, de cinq ans d'emprisonnement et de 300 000€ d'amende.

6
Section 3 : L’infraction de collecte frauduleuse et traitement illicite des données
personnelles
En analysant les articles 54 et 55 de la loi 09-08, nous constatons que l’élément matériel de
cette infraction est réalisé par les actes suivants :
- Collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ;
- L'utilisation de méthodes trompeuses pour obtenir des données personnelles, telles que
l'usurpation d'identité.
- Le traitement de données personnelles sans base légale appropriée, telle que le
consentement explicite de la personne concernée, une obligation légale, ou un intérêt
légitime.
- Mettre en œuvre un traitement à des fins autres que celles déclarées ou autorisées
- Soumettre les données précitées à un traitement ultérieure incompatible avec les
finalités déclarées ou autorisées
- Conserve des données à caractère personnel au-delà de la durée prévue par le législateur
en vigueur ou celle prévue dans la déclaration ou l’autorisation.
Le législateur a réprimé l'infraction de collecte frauduleuse, illicite et déloyale des données à
caractère personnel d'une peine d'emprisonnement de trois mois à un an et d'une amende De
20.000 à 200.000 DH ou de l'une de ces deux peines seulement. La même peine est infligée
pour l'infraction de conservation de ces données au-delà de la durée prévue par la loi.

En outre, en se référant à l'alinéa 4 de l'article 55 de la loi 09-08 les mêmes peines sont prévues
pour le traitement des fins autres qu'historiques, statistiques ou scientifiques des données à
caractère personnel conservées au-delà de la durée mentionnée au premier alinéa de l'article
précitée.1

Toutefois, en France, cette infraction est réprimée en se référant à l'article 226-18 du

Code pénal, de cinq ans d'emprisonnement et de 300 000€ d’amende ».
Section 4 : L’infraction de l'usage abusif des données

1 Loi 09-08

7
Cette infraction est prévue par l’article 61 de la loi 09-08 qui réprime d’une peine
d’emprisonnement de six mois à un an et d’une amende de 20.000 à 300.000 DH ou l’une de
ces deux peines seulement, tout responsable de traitement, tout sous-traitant et toute autre
personne qui est chargé (e) de traiter des données à caractère personnel, qui même par
négligence cause ou facilite l’usage abusif ou frauduleux, des données traitées ou reçues ou les
communique à des tiers non habilités.2
En France, l’infraction de l’usage abusif des données personnelles est principalement
réglementée par le Règlement Général sur la Protection des Données (RGPD) de l’Union
européenne, qui a été directement applicable dans tous les États membres, y compris en France,
depuis le 25 mai 2018. Le RGPD établit des règles strictes en matière de protection des données
personnelles et prévoit des sanctions en cas d’infraction ainsi qu’en cas de non-conformité au
RGPD, les autorités de protection des données en France, telles que la Commission Nationale
de l’Informatique et des Libertés (CNIL), peuvent imposer des sanctions, y compris des
amendes pouvant atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise ou
une amende maximale de 20 millions d’euros, en fonction de la gravité de l’infraction. 3
La France, en tant que membre de l’Union européenne, dispose de sanctions spécifiques et
rigoureuses en cas d’usage abusif des données personnelles conformément au RGPD. En
revanche, le Maroc, bien qu’il ait une loi sur la protection des données, manque de clarté sur
les sanctions, ce qui peut rendre l’application de la loi moins prévisible.

Chapitre II : Infractions et sanctions liées aux règles de forme de traitement

Les infractions et sanctions liées aux règles de forme de traitement des données personnelles
varient en fonction de la législation applicable. Généralement, les règles de forme de traitement
des données personnelles imposent des exigences spécifiques sur la manière dont les données
doivent être collectées, stockées, utilisées et partagées. Le non-respect de ces règles peut
entraîner des sanctions, telles que des amendes et d'autres mesures correctives.

Section 1 : L'infraction de traitement sans déclaration préalable

2 Article 61 de la loi 09-08

3 academia.edu

8
Cette infraction est prévue par l’article 52 de la loi n°09-08 qui prévoit que : « sans préjudice
de ka responsabilité civile à l’égard des personnes ayant subi des dommages du fait de
l’infraction , est puni d’une amende de 10.000 à 100.000DH , quiconque aura mis en œuvre un
fichier de données à caractère personnel sans la déclaration ou l’autorisation exigée à l’article
12 ci-dessus ou aura continué son activité de traitement de données à caractère personnel malgré
le retrait du récépissé de la déclaration ou de l’autorisation » .4
En France, en se référant à l’article 225-16 du code pénal, le fait de procéder ou de faire procéder
à des traitements de données à caractère personnel sans respecter les formalités préalables à leur
mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300.000 euros
d’amende5
Pour illustrer concrètement l’infraction de traitement sans déclaration préalable en France
et au Maroc, voici deux exemples fictifs

En France par exemple :

Une entreprise française, qui collecte des données personnelles de ses clients pour l’envoi
de newsletters publicitaires, omet de faire la déclaration préalable de ce traitement à la
CNIL, comme l’exige le RGPD. L’entreprise commence à envoyer des newsletters sans
avoir obtenu le consentement approprié des personnes concernées.

La CNIL va mener une enquête et constate que l’entreprise a enfreint les règles du RGPD
en ne faisant pas la déclaration préalable, en ne garantissant pas le consentement approprié
et en ne respectant pas les droits des individus. En conséquence, la CNIL peut imposer une
amende à l’entreprise, pouvant aller jusqu’à 4 % de son chiffre d’affaires annuel mondial,
ou jusqu’à 20 millions d’euros, selon le montant le plus élevé.

Au Maroc par exemple

Si Une entreprise marocaine collecte des données personnelles de ses employés pour la
gestion des ressources humaines, y compris la paie, sans avoir effectué la déclaration
préalable auprès de la Commission Nationale de Contrôle de la Protection des Données à
Caractère Personnel (CNDP), comme l’exige la loi n° 09-08.

La CNDP est informée de cette infraction et ouvre une enquête. Elle constate que
l’entreprise n’a pas respecté l’obligation de déclaration préalable et a traité des données

4 Art 53 de la loi
5 Revue des affaires pénales et de la gouvernance sécuritaire

9
 personnelles sans se conformer aux exigences légales de protection des données. La CNDP
peut prendre des mesures administratives, telles que des avertissements, des sanctions
financières ou des mesures correctives, en fonction de la gravité de l’infraction

Section2 : Le non-respect des mesures de sécurité de traitement :

En se référant à l’article 58 de la loi 09-08, toute personne qui procède ou fait procéder à
un traitement de données à caractère personnel sans mettre en œuvre les mesures visant à
préserver la sécurité des données prévues aux article 23 et 24 ci-dessus est punie d’une peine
d’emprisonnement de trois mois à un an et d’une amende de 20.000 à 200.000 DH ou de
l’une de ces deux peines seulement.

En France, le non-respect de l’obligation de sécurité prévue par la loi informatique et

libertés et par le RGPD est sanctionné par l’article 226-17 du code pénal qui est puni d’une
peine d’emprisonnement de cinq ans et amende de 300.000 euros.

Section3 : La violation des règles de transfert des données vers un pays étranger :
La violation des dispositions des articles 43 et 44 la loi 09-08 par le responsable du transfert
de données personnelles vers un pays étranger entraine l’élément matériel de l’infraction
‘’ La violation des règles de transfert des données personnelles vers un pays
étranger ‘’intentionnellement ou par erreur, lorsque le législateur n’a pas précisé son caractère
intentionnel, qui est stipulé a l’article 60 de la même loi, où il que tout Transfert de données à
caractère personnel vers un Etat étranger effectué en violation des dispositions des données des
articles 43 et 44 de la présente loi , est puni de l’emprisonnement de trois mois a 1 ans et ou
une amande de 20 000 à 200 000dh .6

Section 4 : La non –coopération avec la commission nationale :

En ce qui concerne la non coopération avec la commission national Les articles 62 et 63 de la
loi 09-08 prévoient que le refus de coopérer avec la commission nationale est réalisé chaque
fois que l’exercice de ses fonctions est entravé ou que la coopération avec elle est refusé, et qui
l’exécution de ses décisions est refusé. Néanmoins, l’élément matériels de cette infraction
suppose la commission par le délinquant l’un des actions suivantes :

6 Les articles 43 et 44 et 60 de la loi 09-08

10
-entraver l’exercice des de contrôle de la commission nationale.

- refuser de recevoir les contrôleurs et de laisser remplir leurs commissions.

-refuser d’envoyer les documents ou informations demandé (e) s : ce refus peut être prendre
plusieurs formes, telles que l’envoi de documents incomplets ou contenant des erreurs
intentionnelles, ou leur envoi en dehors des délais qui leur sont indiqués, et le refus peut être
définitif et direct.

- refuser de transmettre les documents prévus par la loi. 7

Section5 : Le refus d’application des décisions de la commission nationale :

Le législateur marocain édicté deux peins différentes pour le refus de coopérer avec la
commission nationale : l’article 62 prévoit une peine d’emprisonnement de trois à six mois et
une amande de 10 000 dirhams à 50 000 dirhams, soit l’une de ces deux peines seulement,
tandis que l’article 63 puni d’un emprisonnement de 3mois à un an et une amande de 10 000dh
100 000dh, ou de l’une de ces deux peines seulement, pour refus d’exécuter les décisions de
ladite commission.

Le responsable du traitement peut être physique comme il peut être une personne morale tel
qu’il est mentionné dans l’alinéa 5 de l’article premier de la loi 09-08, de ce fait, qu’en est-il
des effets de violations commises par une personne morale et même lorsqu’on est en présente
d’une récidive ?

Ses textes comportant les infractions portant atteinte au traitement des données à caractère
personnel sont applicables également aux personnes morales, sauf qu’elle diffère cependant
en termes de peines, et cela tient à sa nature , puisque l’article 64 de la loi 09-08 prévoit que
les peines d’amende sont portées au double , lorsque l’auteure de l’une des infractions prévus
et sanctionnées au titre du présent chapitre est une personne morale et sans préjudice des peines
qui peuvent être appliquées à ses dirigeants auteurs de l’une des infractions prévues ci-dessus
.

Toutefois, la personne morale peut être punie de l’une des peines suivantes :

- la confiscation partielle de ses biens

7 Les articles 62 et 63 de la loi 09-08

11
- la confiscation prévue à l’article 89 du code pénal 8

- la fermeture du ou des établissements de la personne morale où l’infraction a été commise.

D’autre part, les sanctions prévues au présent chapitre sont portées au double , lorsqu’il
s’agit de la récidive , dès lors en se référant à l’article 65 de la loi 09-08 est on était de récidive
, toute personne ayant été condamné par décision de justice devenue irrévocable pour l’une des
infractions prévues au présent chapitre a commis un infraction de même nature dans l’année
qui suit le prononcé d’une telle décision 9 , et cela conformément à l’article 15910 du CPM qui
fixé une de 12 mois pour la commission de la même convention pour qu’on puisse parler de
récidive .

Par ailleurs, en droit pénal français ces infractions existaient depuis longtemps et se trouvaient
particulièrement : au livre II, titre II, chapitre VI section 5 de la partie législative code pénal :
les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ;
et aux articles R. 625-10 à R.625-13 du code pénal11. On trouve des peines au maximum de
5ans d’emprisonnent et d’une amande pouvant aller jusqu'à 3000 .000 euros.

Si on compare le texte marocain et français en matière d’atteintes aux données personnelles,

on peut dire que le texte marocain est généralement moins sévère que le français sur certains
points, dans la mesure où les sanctions prévues par le texte marocain sont, moins élevées que
celle du texte français, ce qui peut éventuellement engendrer plus transgressions des données
à caractère personnel dans notre législation marocaine.

Deuxième partie : renforcement du volet procédural de la protection des

données à caractère personnel :

La protection des données personnelles est une responsabilité partagée entre différents organes
chargés d'assurer la recherche et l'enquête en cas d'infractions portant atteinte à ces données.

8 Article 89 du code pénal marocain dispose que : » est ordonnée comme mesure de sureté, la confiscation des
objets et choses dont la fabrication, l’usage, le port, la détention ou la vente constituent une infraction, même
s’ils appartiennent à un tiers et même si aucune condamnation n’est prononcée »
9 Art 65 de la loi 09-08
10 Article 159 du code pénal marocain dispose que : « Quiconque ayant été condamné pour une contravention

a, dans les douze mois du prononcé de cette décision de condamnation, devenue irrévocable, commis une
même contravention, est puni des peines aggravées de la récidive contraventionnelle conformément aux
dispositions de l'article 611. »
11 www.seban- associes.avocat.fr/protection-des-donnes-personnelles-et-sanction-penales

12
 De plus, les enquêtes judiciaires se trouvent de plus en plus confrontées à des preuves sous
forme de documents informatiques ou stockées dans des dispositifs électroniques (I). Cela est
dû en partie à la nature transfrontalière, voire internationale, de la cybercriminalité, qui est
souvent associée aux violations des données personnelles. Par conséquent, une coopération
entre les États est nécessaire pour mieux appréhender les actes commis simultanément dans
plusieurs pays (II).

Chapitre I : Institutions judiciaires, Moyens de Preuve, Recours et Plaintes -

Un Regard Comparatif entre les Juridictions Marocaine et Suisse -

Section1 : Les organes judiciaires chargés des enquêtes et des recherches et les moyens de
preuves valables :

Aspect Maroc Suisse

Autorité de Commission Nationale de Contrôle de la Le Préposé fédéral à la protection des données et à la
Surveillance Protection des Données à Caractère Personnel transparence (PFPDT)
(CNDP)
Organisme La Brigade Nationale de la Police Judiciaire Le Ministère Public et la Police fédérale suisse
chargé des (BNPJ) peut être impliquée dans les enquêtes peuvent mener des enquêtes en collaboration avec le
enquêtes liées à la protection des données PFPDT
Compétence Les tribunaux marocains traitent les affaires Les tribunaux suisses, y compris le Tribunal fédéral,
juridique liées à la protection des données ont compétence en la matière
Sanctions Amendes, peines d'emprisonnement, et autres Amendes administratives, ordres de cessation, et
possibles sanctions conformément à la législation sanctions pénales en vertu de la législation suisse de
marocaine protection des données
Compétences Supervision et contrôle de la protection des Surveillance et contrôle de la protection des données.
données. Médiation en cas de litige.
Enquêtes et sanctions en cas de non-conformité.
Principaux Documents écrits, enregistrements, Documents écrits, enregistrements, témoignages,
Moyens de témoignages, constat d'huissier expertises
Preuve
Rôle des La CNDP peut demander la production de Le PFPDT peut exiger la communication de
Autorités de documents pertinents documents et témoignages
Contrôle

13
Requêtes Les tribunaux peuvent ordonner la production Les tribunaux suisses peuvent émettre des
Judiciaires de preuves ordonnances de production de preuves
Admissibilité Les preuves électroniques sont généralement Les preuves électroniques sont admises, sous réserve
des Preuves admises, mais doivent respecter certaines de leur fiabilité et admissibilité en vertu du droit
Électroniques conditions suisse

Section 2 : Les mécanismes de recours et de plaintes

Aspect Maroc Suisse

Mécanismes de Les individus peuvent déposer des plaintes
Recours auprès de la CNDP en cas de violation de leurs
droits en matière de protection des données
Droit à un Les citoyens ont le droit de saisir les tribunaux
Recours marocains en cas de violation de leurs droits en
Juridictionnel matière de protection des données
Processus de Les plaintes peuvent être déposées en ligne ou
Plainte par écrit à la CNDP, qui enquête sur les
allégations de violations des droits liés à la
protection des données
Les personnes concernées peuvent déposer des
plaintes auprès du PFPDT en cas de non-respect de la
législation sur la protection des données
Les individus ont le droit de saisir les tribunaux
suisses pour obtenir réparation en cas de violation de
leurs droits liés à la protection des données
Les personnes concernées peuvent déposer des
plaintes auprès du PFPDT par voie électronique, par
courrier ou par téléphone, déclenchant une enquête si
nécessaire

14
 Chapitre II : L’entraide judiciaire et la coopération internationale.
La nature singulière de la cybercriminalité a rendu impérative la consolidation de la
coopération juridique et le renforcement de la sécurité entre différentes nations, afin de
conjurer l'impunité des criminels opérant dans le cyberespace. Cela s'opère par le biais de
l'échange d'informations, de documents et de données sollicités par une autorité judiciaire
étrangère dans le cadre d'une enquête sur des accusations spécifiques à l'encontre de ses
citoyens à l'étranger, ainsi que des mesures prises à leur encontre. Il convient également
de concevoir, le cas échéant, des mesures adéquates pour résoudre les problématiques de
compétence soulevées par les cybercrimes à portée internationale, tout en envisageant la
conclusion d'accords internationaux spécialisés. Ces accords pourraient, par exemple,
réglementer les procédures d'accès aux systèmes d'information interconnectés, tout en
préservant les droits et libertés individuels, ainsi que la souveraineté des États.

Section 1 : L’adhésion à des instruments internationaux de protection des données

personnelles.

Le Maroc est en voie d’adhésion à plusieurs conventions internationales dans le cadre de la politique
de voisinage de l’Union Européenne, dont notamment la Convention de Budapest et la
Convention 108 du Conseil de l’Europe et son Protocole additionnel. À noter que la Convention
108 du Conseil de l’Europe admet des restrictions – mais pas d’exceptions – aux principes
fondamentaux de la protection des données personnelles pour des raisons relatives à « la protection
de la sécurité de l’Etat, à la sûreté publique, aux intérêts monétaires de l’Etat ou à la répression des
infractions pénales » (Coe, Convention 108, Art.9). L’article 2 de la loi 09-08 évoquée
précédemment semble de fait contraire à cette disposition. Le Maroc participe également au projet
Action Globale sur la Cybercriminalité (GLACY) de l’Union européenne et du Conseil de l’Europe.
Ce projet a pour objectif «de permettre aux autorités judiciaires pénales de s’engager dans la
coopération internationale en matière de cybercriminalité et de preuve électronique sur le fondement
de la Convention de Budapest sur la cybercriminalité. » Il s’agit entre autres de mobiliser les
responsables politiques, harmoniser la législation, renforcer le partage d’information, la formation
judiciaire, et les moyens des organes de répression.

De surcroît, l'Organisation Internationale de Police Criminelle (Interpol) : Cette organisation a mis

en place un système particulier de coopération, qui se traduit par la mise en place d'un bureau central

15
 national au sein de tous les États membres de cette organisation, qui est le point de contact avec les
administrations étrangères qui mènent des enquêtes hors de leurs frontières.

Ainsi que, le Réseau du Groupe des Huit : Le G8 a été créé par les ministres de la Justice et de
l'Intérieur des pays du G8 afin de renforcer la coopération au niveau international dans le domaine
de la lutte contre la cybercriminalité. Principalement spécialisée dans les enquêtes sur les sous-
traitants, et dispose des moyens de conserver et d'obtenir des preuves du traitement des données.

Ajoutant à cela, et à l’échelle des pays arabes , l'Office Arabe de Police Criminelle : Le Conseil
des Ministres Arabes de l'Intérieur a créé l'Office Arabe de Police Criminelle, dans le but de
développer la coopération entre les services de police des Etats membres, lutter contre les crimes et
punir les auteurs conformément aux lois en vigueur dans chaque pays, et fournir une assistance et
entraide judiciaire dans le domaine du soutien et du développement des services de police dans les
États membres.

Ainsi que le Réseau Marocain de Coopération Judiciaire Internationale (RMCJI) ; Ce réseau

a été présenté lors de la Conférence internationale sur la prévention du crime et la justice pénale au
Salvador, qui s'est tenue du 12 au 19 avril 2011. C’est un groupe de magistrats experts en
coopération judiciaire internationale ayant pour mission de faciliter, d'améliorer et de promouvoir
l'entraide judiciaire internationale demandée ou octroyée par le Maroc, à travers l'assistance active
et l'appui aux autorités judiciaires concernées, tant nationales qu'étrangères, en établissant des
contacts informels entre elles. Toutefois, parmi les instruments régionaux de coopération en
Afrique en matière de protection des données à caractère personnel, on trouve la Convention de
Malabo du 27 juin 2014 sur la cybersécurité et la protection des données à caractère personnel.

L’entraide judiciaire internationale est évidente, notamment on trouve parmi ses instruments,
l’échange d’informations, transfert des procédures, de la commission rogatoire internationale et de
l'extradition des criminels.

1- Echange d’informations : cet échange d’informations entre autorités judiciaires de différents États
dans le but de garantir une recherche de preuves efficace.
2- Transfert des procédures, cela signifie qu'un pays, sur la base d'un accord, prend des mesures
pénales pour un certain nombre de crimes commis sur le territoire d'un autre Etat et dans l'intérêt de
cet Etat, selon plusieurs conditions dont les plus importantes sont
3- La condition de la double incrimination qui signifie que l'acte imputé à la personne constitue un
crime dans l'Etat requérant comme dans l'Etat requis ; ensuite, les procédures à suivre devraient être

16
 stipulées dans la loi du pays requis pour le même crime, et enfin que l'action à entreprendre est utile
pour parvenir à la vérité.
4- Commission rogatoire internationale, elle signifie qu'un État soumet une demande à un autre État
pour trancher une affaire devant l'autorité judiciaire de l'État requérant. Elle constitue
indéniablement un instrument central de l’entraide judiciaire permettant l’obtention de preuves
situées à l’étranger. Et La demande d’accomplissement d’un acte de recherche de preuves d’une
infraction, classiquement appelée commission rogatoire internationale, adressée à un État étranger,
occupe toujours une place majeure dans la palette des moyens de lutte contre une criminalité
s’affranchissant largement des frontières, notamment dans ses formes les plus graves.
5- L'extradition des criminels, c'est l'une des manifestations les plus marquantes de la coopération
internationale dans la lutte contre la cybercriminalité, et il est prévu qu'un pays extrade la personne
physique résidant sur son territoire vers le pays requérant l'extradition, dans le but de le poursuivre
et le châtier.

Section 2 : Les défis et les opportunités.

➢ Défis relatifs à l’application de la Convention 108 et de la Convention de Budapest du Conseil

de l’Europe

La mise en œuvre de la Convention 108 du Conseil de l’Europe et de son Protocole additionnel au

Maroc va nécessiter plusieurs réformes juridiques et institutionnelles. Tout d’abord et comme déjà
évoqué auparavant, la loi 09-08 exclut les données recueillies dans le cadre des activités de défense
et de sécurité de son champ d’application. La loi devra donc être modifiée pour être conforme à la
Convention 108. De plus, le Maroc a entamé le processus d’adhésion à la Convention de Budapest.
Avant de pouvoir la ratifier, le Royaume doit achever la mise en place de l’Unité d’enquête
spécialisée et procéder à certains amendements législatifs, notamment dans le Code de Procédure
Pénale. Sur le plan opérationnel, la mise en œuvre des deux Conventions nécessite de mettre en
place des garde-fous afin d’assurer que les interventions et pouvoirs des autorités policières et
judiciaires respectent le principe de proportionnalité (gradation des mesures). Il s’agira également
de renforcer :

- les moyens humains et financiers mis à disposition dans ce domaine,

- la coopération entre les différents services de sécurité,

- la formation des policiers, notamment pour l’enregistrement des plaintes relatives à la protection
des données personnelles, la formation judiciaire,

17
 - les partenariats publics-privés (ex : conditions de conservation des données par le secteur privé,
modalités d’accès à ces données),

- la protection des enfants et des groupes à risques (minorités ethniques, religieuses).

➢ Opportunités liées au renforcement de la protection des données personnelles

Il serait nécessaire de développer une vision stratégique commune à tous les acteurs concernés en
matière de protection des données personnelles dans le cadre des activités de sécurité et de défense.
En outre, les discussions autour du renforcement de la protection des données personnelles devraient
être complétées par un volet spécial sur les réseaux sociaux. Afin que le Maroc puisse établir une
stratégie de protection des citoyens sur ces réseaux, il faudrait tout d’abord parler des risques et des
menaces, les évaluer et sensibiliser le public à ce propos. Les citoyens ne sont pas toujours
conscients qu’ils laissent sur les réseaux sociaux des informations personnelles pouvant être
réutilisées à mauvais escient. Ainsi que le rôle primordial de La CNDP, son rôle consiste entre autres
à diffuser la culture de la protection des données personnelle dans le pays. Il serait d’ailleurs préférable
que la CNDP adopte une approche d’accompagnement, plutôt qu’une approche de sanction.

Enfin, le Maroc peut aisément disposer d’expertise internationale en matière de protection des
données personnelles afin de se conformer à ses obligations légales et institutionnelles.
Evidemment, il ne s’agit pas là de dupliquer les expériences internationales, mais plutôt d’en tirer
des leçons et, si possible, d’adapter certains modèles au contexte marocain.

18
 Conclusion générale
Le droit au respect de la vie privée est un droit humain fondamental.la vie privée des individus doit
être protégée contre toutes les atteintes qui peuvent le nuir, notamment celles qui portent sur leurs
informations personnelles. Aussi avec le développement croissant des technologies de l'information
, la protection de la vie privée et des données personnelles est devenue un sujet de préoccupation
majeur de nos sociétés modernes .Internet est devenue un outil incontournable de communication
et d'échange en tous genres le développement rapide des réseaux et du e-commerce font peser des
risques sur les informations personnelles de leurs utilisations .lorsqu'ils les exposent sur les réseaux
ou lorsqu'ils les confient à une entreprise pour son travail. Ils doivent etre rassurés quant au
traitement qui leur sera réservé. D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux
organismes. Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel
de plus en plus mature, le niveau d’exigence en matière de conformité ne fera que croître. Par
ailleurs, au fur et à mesure que la pédagogie laissera place à la sanction, il est fort à parier que les
exigences de la loi iront en se durcissant. Par conséquent, bien plus que de se mettre en conformité
à une nouvelle loi, il s’agit de se familiariser dès aujourd’hui, à son rythme, avec ce qui permettra
demain de répondre à des impératifs bien plus grands et bien plus pressants.

19
Bibliographie

Revues :
- Revue des affaires pénales et de la gouvernance sécuritaire
Sites :
- 3https://medias24.com/2023/07/01/donnees-personnelles-ce-que-prevoit-la-loi-
en-cas-de--violations.
- www.seban- associes.avocat.fr/protection-des-donnes-personnelles-et-
sanction-penales
- 1 academia.edu

Autres :
- La Loi 09-08
- LETTRE D’ARTEMIS 3ème 62 TRIMESTRE 2021 ; La mise en
conformité à la loi 09-08 : Une voie incontournable face à l’arsenal
répressif, WASSIM BENZARTI Avocat au barreau de Paris
- Rapport : la protection des données personnelles dans le cadre du secteur
de la sécurité au Maroc (séminaire DCAF-CEDHD Rabat 2015)
- Code pénal marocain
- Décret 2-09-165 du 21 mai 2009 pris pour l'application de la loi n° 09-08
relative à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel.

20