Académique Documents
Professionnel Documents
Culture Documents
Sommaire
Section 3 : La violation des règles de transfert des données vers un pays étranger……….9
Section 1 : Les organes judiciaires chargés des enquêtes et les moyens de preuves
…………………11
2
Section 1 : L’adhésion à des instruments internationaux de protection des données
personnelles………………………………………………………………………………15
Conclusion………………………………………………………………………………..18
Bibliographie……………………………………………………………………………..19
3
Introduction
4
Première partie : La politique d’incrimination face aux réfractaires des
données personnelles
Chapitre I : Incriminations et sanctions liées aux règles de fond de
traitement
La loi 09-08 définit «le traitement des données à caractère personnel » comme étant « Toute
opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et
appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement,
l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation,
l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la
destruction ;
La Loi 09-08 prévoit diverses sanctions pour les responsables de traitement qui ne respectent
pas les dispositions de cette dite loi visant à protéger les données à caractère personnel.
Ces sanctions en particulier de type financier peuvent être conséquents avoir un caractère
dissuasif. Elles ont été fixées de manière à obliger les responsables de traitement à agir avec
plus de transparence dans la collecte de données à caractère personnel, mais surtout à les utiliser
en respectant les droits et libertés des personnes concernées.
A noter que selon la CNDP, "toute opération de traitement des données personnelles ne peut avoir lieu
que si la personne concernée a exprimé son consentement d'une façon claire, incontestable libre et
avertie". Cela dit, "le consentement des personnes concernées n'est pas exigé dans les cas suivants:
-Le traitement est nécessaire au respect d'une obligation légale à laquelle est soumis(e) le responsable
du traitement ou la personne concernée ;
5
-Le traitement entre dans le cadre de l'exécution d'un contrat auquel la personne concernée est
partie ;
-La personne concernée est dans l'incapacité physique ou juridique de donner son consentement
et le traitement envisagé permet la sauvegarde d'intérêts vitaux la concernant ;
-le traitement permet la réalisation d'un intérêt légitime poursuivi par le responsable du
traitement, à condition de ne pas méconnaitre l'intérêt et les droits des personnes concernées
On cite à cet effet une Ordonnance de référé du tribunal administratif de Rabat le 11/02/2020,
le dossier nº 2019/7101/101474(Dans la règle que l'on peut qualifier principe, mentionner ou
joindre l'état de santé d'un fonctionnaire dans son attestation de travail est une violation, par
l'administration, de ses <données personnelles sensibles », et peut porter éventuellement atteinte
à ses données personnelles sensibles sans sa permission et son consentement selon les
dispositions de la 0908 ive à la protection des données à caractère personnel plus précisément
les données sensibles).
Section 2 : Les infractions liées aux droits de la personne concernée
Les articles 53 et 59 de la loi 09-08 ont fait référence à ses infractions, dès lors, elles peuvent
être réalisées si le responsable du traitement des données à caractère personnel refuse les droits
d'accès¹, de rectification ou d’opposition ? prévus aux articles 7,8 et 9 de la loi précitée, ou
lorsque responsable procède à un traitement de donnée à caractère personnel malgré
l'opposition de cette personne.
Cependant, en se référant aux articles 53 et 59 de la loi 09-08, le législateur marocain a
incriminé le fait de refuser par tout responsable de traitement le droit d'accès, de rectification
ou d'opposition par une amende de 20.000 à 200.000 DH. Et il a puni également toute personne
qui procède à un traitement de données à caractère personnel concernant une personne physique
malgré l'opposition de cette personne d'une peine d'emprisonnement de trois mois à un an et
d'une amende de 20.000 à 200.000 DH ou de l'une de ces deux peines seulement.
En France, les sanctions de non-respect des droits d'accès, de rectification, d'effacement et
d'information sont considérées comme moins graves par le législateur français, sont prévues et
réprimées en tant que contraventions, qui répriment les manquements aux dispositions
concernant le droit d'information, d'accès et de rectification des données par la personne
concernée. Le non-respect de ces obligations est puni d'après les dispositions des articles R.625-
11, R. 625-10 et R.625-12 du code pénal, d'une amende de 1 500 € maximum (3000 € en cas
de récidive). Par contre, le non-respect de droit à l'opposition est puni d'après l'article 226-18-
1 du Code pénal, de cinq ans d'emprisonnement et de 300 000€ d'amende.
6
Section 3 : L’infraction de collecte frauduleuse et traitement illicite des données
personnelles
En analysant les articles 54 et 55 de la loi 09-08, nous constatons que l’élément matériel de
cette infraction est réalisé par les actes suivants :
- Collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ;
- L'utilisation de méthodes trompeuses pour obtenir des données personnelles, telles que
l'usurpation d'identité.
- Le traitement de données personnelles sans base légale appropriée, telle que le
consentement explicite de la personne concernée, une obligation légale, ou un intérêt
légitime.
- Mettre en œuvre un traitement à des fins autres que celles déclarées ou autorisées
- Soumettre les données précitées à un traitement ultérieure incompatible avec les
finalités déclarées ou autorisées
- Conserve des données à caractère personnel au-delà de la durée prévue par le législateur
en vigueur ou celle prévue dans la déclaration ou l’autorisation.
Le législateur a réprimé l'infraction de collecte frauduleuse, illicite et déloyale des données à
caractère personnel d'une peine d'emprisonnement de trois mois à un an et d'une amende De
20.000 à 200.000 DH ou de l'une de ces deux peines seulement. La même peine est infligée
pour l'infraction de conservation de ces données au-delà de la durée prévue par la loi.
En outre, en se référant à l'alinéa 4 de l'article 55 de la loi 09-08 les mêmes peines sont prévues
pour le traitement des fins autres qu'historiques, statistiques ou scientifiques des données à
caractère personnel conservées au-delà de la durée mentionnée au premier alinéa de l'article
précitée.1
1 Loi 09-08
7
Cette infraction est prévue par l’article 61 de la loi 09-08 qui réprime d’une peine
d’emprisonnement de six mois à un an et d’une amende de 20.000 à 300.000 DH ou l’une de
ces deux peines seulement, tout responsable de traitement, tout sous-traitant et toute autre
personne qui est chargé (e) de traiter des données à caractère personnel, qui même par
négligence cause ou facilite l’usage abusif ou frauduleux, des données traitées ou reçues ou les
communique à des tiers non habilités.2
En France, l’infraction de l’usage abusif des données personnelles est principalement
réglementée par le Règlement Général sur la Protection des Données (RGPD) de l’Union
européenne, qui a été directement applicable dans tous les États membres, y compris en France,
depuis le 25 mai 2018. Le RGPD établit des règles strictes en matière de protection des données
personnelles et prévoit des sanctions en cas d’infraction ainsi qu’en cas de non-conformité au
RGPD, les autorités de protection des données en France, telles que la Commission Nationale
de l’Informatique et des Libertés (CNIL), peuvent imposer des sanctions, y compris des
amendes pouvant atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise ou
une amende maximale de 20 millions d’euros, en fonction de la gravité de l’infraction. 3
La France, en tant que membre de l’Union européenne, dispose de sanctions spécifiques et
rigoureuses en cas d’usage abusif des données personnelles conformément au RGPD. En
revanche, le Maroc, bien qu’il ait une loi sur la protection des données, manque de clarté sur
les sanctions, ce qui peut rendre l’application de la loi moins prévisible.
8
Cette infraction est prévue par l’article 52 de la loi n°09-08 qui prévoit que : « sans préjudice
de ka responsabilité civile à l’égard des personnes ayant subi des dommages du fait de
l’infraction , est puni d’une amende de 10.000 à 100.000DH , quiconque aura mis en œuvre un
fichier de données à caractère personnel sans la déclaration ou l’autorisation exigée à l’article
12 ci-dessus ou aura continué son activité de traitement de données à caractère personnel malgré
le retrait du récépissé de la déclaration ou de l’autorisation » .4
En France, en se référant à l’article 225-16 du code pénal, le fait de procéder ou de faire procéder
à des traitements de données à caractère personnel sans respecter les formalités préalables à leur
mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300.000 euros
d’amende5
Pour illustrer concrètement l’infraction de traitement sans déclaration préalable en France
et au Maroc, voici deux exemples fictifs
Une entreprise française, qui collecte des données personnelles de ses clients pour l’envoi
de newsletters publicitaires, omet de faire la déclaration préalable de ce traitement à la
CNIL, comme l’exige le RGPD. L’entreprise commence à envoyer des newsletters sans
avoir obtenu le consentement approprié des personnes concernées.
La CNIL va mener une enquête et constate que l’entreprise a enfreint les règles du RGPD
en ne faisant pas la déclaration préalable, en ne garantissant pas le consentement approprié
et en ne respectant pas les droits des individus. En conséquence, la CNIL peut imposer une
amende à l’entreprise, pouvant aller jusqu’à 4 % de son chiffre d’affaires annuel mondial,
ou jusqu’à 20 millions d’euros, selon le montant le plus élevé.
Si Une entreprise marocaine collecte des données personnelles de ses employés pour la
gestion des ressources humaines, y compris la paie, sans avoir effectué la déclaration
préalable auprès de la Commission Nationale de Contrôle de la Protection des Données à
Caractère Personnel (CNDP), comme l’exige la loi n° 09-08.
La CNDP est informée de cette infraction et ouvre une enquête. Elle constate que
l’entreprise n’a pas respecté l’obligation de déclaration préalable et a traité des données
4 Art 53 de la loi
5 Revue des affaires pénales et de la gouvernance sécuritaire
9
personnelles sans se conformer aux exigences légales de protection des données. La CNDP
peut prendre des mesures administratives, telles que des avertissements, des sanctions
financières ou des mesures correctives, en fonction de la gravité de l’infraction
En se référant à l’article 58 de la loi 09-08, toute personne qui procède ou fait procéder à
un traitement de données à caractère personnel sans mettre en œuvre les mesures visant à
préserver la sécurité des données prévues aux article 23 et 24 ci-dessus est punie d’une peine
d’emprisonnement de trois mois à un an et d’une amende de 20.000 à 200.000 DH ou de
l’une de ces deux peines seulement.
Section3 : La violation des règles de transfert des données vers un pays étranger :
La violation des dispositions des articles 43 et 44 la loi 09-08 par le responsable du transfert
de données personnelles vers un pays étranger entraine l’élément matériel de l’infraction
‘’ La violation des règles de transfert des données personnelles vers un pays
étranger ‘’intentionnellement ou par erreur, lorsque le législateur n’a pas précisé son caractère
intentionnel, qui est stipulé a l’article 60 de la même loi, où il que tout Transfert de données à
caractère personnel vers un Etat étranger effectué en violation des dispositions des données des
articles 43 et 44 de la présente loi , est puni de l’emprisonnement de trois mois a 1 ans et ou
une amande de 20 000 à 200 000dh .6
10
-entraver l’exercice des de contrôle de la commission nationale.
-refuser d’envoyer les documents ou informations demandé (e) s : ce refus peut être prendre
plusieurs formes, telles que l’envoi de documents incomplets ou contenant des erreurs
intentionnelles, ou leur envoi en dehors des délais qui leur sont indiqués, et le refus peut être
définitif et direct.
Le responsable du traitement peut être physique comme il peut être une personne morale tel
qu’il est mentionné dans l’alinéa 5 de l’article premier de la loi 09-08, de ce fait, qu’en est-il
des effets de violations commises par une personne morale et même lorsqu’on est en présente
d’une récidive ?
Ses textes comportant les infractions portant atteinte au traitement des données à caractère
personnel sont applicables également aux personnes morales, sauf qu’elle diffère cependant
en termes de peines, et cela tient à sa nature , puisque l’article 64 de la loi 09-08 prévoit que
les peines d’amende sont portées au double , lorsque l’auteure de l’une des infractions prévus
et sanctionnées au titre du présent chapitre est une personne morale et sans préjudice des peines
qui peuvent être appliquées à ses dirigeants auteurs de l’une des infractions prévues ci-dessus
.
Toutefois, la personne morale peut être punie de l’une des peines suivantes :
11
- la confiscation prévue à l’article 89 du code pénal 8
D’autre part, les sanctions prévues au présent chapitre sont portées au double , lorsqu’il
s’agit de la récidive , dès lors en se référant à l’article 65 de la loi 09-08 est on était de récidive
, toute personne ayant été condamné par décision de justice devenue irrévocable pour l’une des
infractions prévues au présent chapitre a commis un infraction de même nature dans l’année
qui suit le prononcé d’une telle décision 9 , et cela conformément à l’article 15910 du CPM qui
fixé une de 12 mois pour la commission de la même convention pour qu’on puisse parler de
récidive .
Par ailleurs, en droit pénal français ces infractions existaient depuis longtemps et se trouvaient
particulièrement : au livre II, titre II, chapitre VI section 5 de la partie législative code pénal :
les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ;
et aux articles R. 625-10 à R.625-13 du code pénal11. On trouve des peines au maximum de
5ans d’emprisonnent et d’une amande pouvant aller jusqu'à 3000 .000 euros.
La protection des données personnelles est une responsabilité partagée entre différents organes
chargés d'assurer la recherche et l'enquête en cas d'infractions portant atteinte à ces données.
8 Article 89 du code pénal marocain dispose que : » est ordonnée comme mesure de sureté, la confiscation des
objets et choses dont la fabrication, l’usage, le port, la détention ou la vente constituent une infraction, même
s’ils appartiennent à un tiers et même si aucune condamnation n’est prononcée »
9 Art 65 de la loi 09-08
10 Article 159 du code pénal marocain dispose que : « Quiconque ayant été condamné pour une contravention
a, dans les douze mois du prononcé de cette décision de condamnation, devenue irrévocable, commis une
même contravention, est puni des peines aggravées de la récidive contraventionnelle conformément aux
dispositions de l'article 611. »
11 www.seban- associes.avocat.fr/protection-des-donnes-personnelles-et-sanction-penales
12
De plus, les enquêtes judiciaires se trouvent de plus en plus confrontées à des preuves sous
forme de documents informatiques ou stockées dans des dispositifs électroniques (I). Cela est
dû en partie à la nature transfrontalière, voire internationale, de la cybercriminalité, qui est
souvent associée aux violations des données personnelles. Par conséquent, une coopération
entre les États est nécessaire pour mieux appréhender les actes commis simultanément dans
plusieurs pays (II).
Section1 : Les organes judiciaires chargés des enquêtes et des recherches et les moyens de
preuves valables :
13
Requêtes Les tribunaux peuvent ordonner la production Les tribunaux suisses peuvent émettre des
Judiciaires de preuves ordonnances de production de preuves
Admissibilité Les preuves électroniques sont généralement Les preuves électroniques sont admises, sous réserve
des Preuves admises, mais doivent respecter certaines de leur fiabilité et admissibilité en vertu du droit
Électroniques conditions suisse
14
Chapitre II : L’entraide judiciaire et la coopération internationale.
La nature singulière de la cybercriminalité a rendu impérative la consolidation de la
coopération juridique et le renforcement de la sécurité entre différentes nations, afin de
conjurer l'impunité des criminels opérant dans le cyberespace. Cela s'opère par le biais de
l'échange d'informations, de documents et de données sollicités par une autorité judiciaire
étrangère dans le cadre d'une enquête sur des accusations spécifiques à l'encontre de ses
citoyens à l'étranger, ainsi que des mesures prises à leur encontre. Il convient également
de concevoir, le cas échéant, des mesures adéquates pour résoudre les problématiques de
compétence soulevées par les cybercrimes à portée internationale, tout en envisageant la
conclusion d'accords internationaux spécialisés. Ces accords pourraient, par exemple,
réglementer les procédures d'accès aux systèmes d'information interconnectés, tout en
préservant les droits et libertés individuels, ainsi que la souveraineté des États.
Le Maroc est en voie d’adhésion à plusieurs conventions internationales dans le cadre de la politique
de voisinage de l’Union Européenne, dont notamment la Convention de Budapest et la
Convention 108 du Conseil de l’Europe et son Protocole additionnel. À noter que la Convention
108 du Conseil de l’Europe admet des restrictions – mais pas d’exceptions – aux principes
fondamentaux de la protection des données personnelles pour des raisons relatives à « la protection
de la sécurité de l’Etat, à la sûreté publique, aux intérêts monétaires de l’Etat ou à la répression des
infractions pénales » (Coe, Convention 108, Art.9). L’article 2 de la loi 09-08 évoquée
précédemment semble de fait contraire à cette disposition. Le Maroc participe également au projet
Action Globale sur la Cybercriminalité (GLACY) de l’Union européenne et du Conseil de l’Europe.
Ce projet a pour objectif «de permettre aux autorités judiciaires pénales de s’engager dans la
coopération internationale en matière de cybercriminalité et de preuve électronique sur le fondement
de la Convention de Budapest sur la cybercriminalité. » Il s’agit entre autres de mobiliser les
responsables politiques, harmoniser la législation, renforcer le partage d’information, la formation
judiciaire, et les moyens des organes de répression.
15
national au sein de tous les États membres de cette organisation, qui est le point de contact avec les
administrations étrangères qui mènent des enquêtes hors de leurs frontières.
Ainsi que, le Réseau du Groupe des Huit : Le G8 a été créé par les ministres de la Justice et de
l'Intérieur des pays du G8 afin de renforcer la coopération au niveau international dans le domaine
de la lutte contre la cybercriminalité. Principalement spécialisée dans les enquêtes sur les sous-
traitants, et dispose des moyens de conserver et d'obtenir des preuves du traitement des données.
Ajoutant à cela, et à l’échelle des pays arabes , l'Office Arabe de Police Criminelle : Le Conseil
des Ministres Arabes de l'Intérieur a créé l'Office Arabe de Police Criminelle, dans le but de
développer la coopération entre les services de police des Etats membres, lutter contre les crimes et
punir les auteurs conformément aux lois en vigueur dans chaque pays, et fournir une assistance et
entraide judiciaire dans le domaine du soutien et du développement des services de police dans les
États membres.
L’entraide judiciaire internationale est évidente, notamment on trouve parmi ses instruments,
l’échange d’informations, transfert des procédures, de la commission rogatoire internationale et de
l'extradition des criminels.
1- Echange d’informations : cet échange d’informations entre autorités judiciaires de différents États
dans le but de garantir une recherche de preuves efficace.
2- Transfert des procédures, cela signifie qu'un pays, sur la base d'un accord, prend des mesures
pénales pour un certain nombre de crimes commis sur le territoire d'un autre Etat et dans l'intérêt de
cet Etat, selon plusieurs conditions dont les plus importantes sont
3- La condition de la double incrimination qui signifie que l'acte imputé à la personne constitue un
crime dans l'Etat requérant comme dans l'Etat requis ; ensuite, les procédures à suivre devraient être
16
stipulées dans la loi du pays requis pour le même crime, et enfin que l'action à entreprendre est utile
pour parvenir à la vérité.
4- Commission rogatoire internationale, elle signifie qu'un État soumet une demande à un autre État
pour trancher une affaire devant l'autorité judiciaire de l'État requérant. Elle constitue
indéniablement un instrument central de l’entraide judiciaire permettant l’obtention de preuves
situées à l’étranger. Et La demande d’accomplissement d’un acte de recherche de preuves d’une
infraction, classiquement appelée commission rogatoire internationale, adressée à un État étranger,
occupe toujours une place majeure dans la palette des moyens de lutte contre une criminalité
s’affranchissant largement des frontières, notamment dans ses formes les plus graves.
5- L'extradition des criminels, c'est l'une des manifestations les plus marquantes de la coopération
internationale dans la lutte contre la cybercriminalité, et il est prévu qu'un pays extrade la personne
physique résidant sur son territoire vers le pays requérant l'extradition, dans le but de le poursuivre
et le châtier.
- la formation des policiers, notamment pour l’enregistrement des plaintes relatives à la protection
des données personnelles, la formation judiciaire,
17
- les partenariats publics-privés (ex : conditions de conservation des données par le secteur privé,
modalités d’accès à ces données),
Il serait nécessaire de développer une vision stratégique commune à tous les acteurs concernés en
matière de protection des données personnelles dans le cadre des activités de sécurité et de défense.
En outre, les discussions autour du renforcement de la protection des données personnelles devraient
être complétées par un volet spécial sur les réseaux sociaux. Afin que le Maroc puisse établir une
stratégie de protection des citoyens sur ces réseaux, il faudrait tout d’abord parler des risques et des
menaces, les évaluer et sensibiliser le public à ce propos. Les citoyens ne sont pas toujours
conscients qu’ils laissent sur les réseaux sociaux des informations personnelles pouvant être
réutilisées à mauvais escient. Ainsi que le rôle primordial de La CNDP, son rôle consiste entre autres
à diffuser la culture de la protection des données personnelle dans le pays. Il serait d’ailleurs préférable
que la CNDP adopte une approche d’accompagnement, plutôt qu’une approche de sanction.
Enfin, le Maroc peut aisément disposer d’expertise internationale en matière de protection des
données personnelles afin de se conformer à ses obligations légales et institutionnelles.
Evidemment, il ne s’agit pas là de dupliquer les expériences internationales, mais plutôt d’en tirer
des leçons et, si possible, d’adapter certains modèles au contexte marocain.
18
Conclusion générale
Le droit au respect de la vie privée est un droit humain fondamental.la vie privée des individus doit
être protégée contre toutes les atteintes qui peuvent le nuir, notamment celles qui portent sur leurs
informations personnelles. Aussi avec le développement croissant des technologies de l'information
, la protection de la vie privée et des données personnelles est devenue un sujet de préoccupation
majeur de nos sociétés modernes .Internet est devenue un outil incontournable de communication
et d'échange en tous genres le développement rapide des réseaux et du e-commerce font peser des
risques sur les informations personnelles de leurs utilisations .lorsqu'ils les exposent sur les réseaux
ou lorsqu'ils les confient à une entreprise pour son travail. Ils doivent etre rassurés quant au
traitement qui leur sera réservé. D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux
organismes. Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel
de plus en plus mature, le niveau d’exigence en matière de conformité ne fera que croître. Par
ailleurs, au fur et à mesure que la pédagogie laissera place à la sanction, il est fort à parier que les
exigences de la loi iront en se durcissant. Par conséquent, bien plus que de se mettre en conformité
à une nouvelle loi, il s’agit de se familiariser dès aujourd’hui, à son rythme, avec ce qui permettra
demain de répondre à des impératifs bien plus grands et bien plus pressants.
19
Bibliographie
Revues :
- Revue des affaires pénales et de la gouvernance sécuritaire
Sites :
- 3https://medias24.com/2023/07/01/donnees-personnelles-ce-que-prevoit-la-loi-
en-cas-de--violations.
- www.seban- associes.avocat.fr/protection-des-donnes-personnelles-et-
sanction-penales
- 1 academia.edu
Autres :
- La Loi 09-08
- LETTRE D’ARTEMIS 3ème 62 TRIMESTRE 2021 ; La mise en
conformité à la loi 09-08 : Une voie incontournable face à l’arsenal
répressif, WASSIM BENZARTI Avocat au barreau de Paris
- Rapport : la protection des données personnelles dans le cadre du secteur
de la sécurité au Maroc (séminaire DCAF-CEDHD Rabat 2015)
- Code pénal marocain
- Décret 2-09-165 du 21 mai 2009 pris pour l'application de la loi n° 09-08
relative à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel.
20