Ethique et droit digital des affaires

 La numérisation fait référence à la conversion d’informations analogiques

par voie numérique. Elle permet de stocker, traiter, de transmettre et de
manipuler ces données de manière électronique.
 La digitalisation est la transformation des activités, des processus, des
services ou des systèmes non numériques en version numérique à partir de
l’adoption des technologies numériques
 La digitalisation vise à réduire les délais, et améliorer l’efficacité.
 Le droit informatique, également connu sous le nom de droit de
l’informatique ou le droit de la technologie de l’information et de la
communication, ou encore le droit du digital, est une branche du droit qui
traite des aspects juridiques liés à l’utilisation, au développement et à la
réglementation des technologies de l’information et de la communication
(TIC).
 Les domaines d’application du droit digital : la protection des données
personnelles, cyber sécurité, la propriété intellectuelle, les contrats
électroniques, la réglementation la réglementation des réseaux sociaux, et
bien d’autres.
 C’est un droit multidisciplinaire, il intègre des concepts juridiques
traditionnels avec des aspects technologiques, économiques et éthiques,
comme il est un droit flexible qui change rapidement.
 Il s’applique aux entreprises technologiques, qui collectent les données
des clients, aux créateurs de logiciel et de contenu numérique, ainsi
qu’aux individus d’internet.
 Les raison d’importance du droit digital :
 Protection des données personnelle,
  Sécurité informatique : protection des individus contre les attaques
informatiques et les cybercriminels,
 Innovation et développement technologique,
 Réglementation des transactions électroniques,
 Responsabilité et responsabilisation,
 Gouvernance d’Internet : en établissant des normes et des règles
internationales pour l’utilisation mondiale du réseau.

L’interaction entre la technologie de l’information et le droit :

*Changement de paradigme : changement d’un ensemble de pensées d’un

individu.

 Le droit joue un rôle crucial dans la manière dont la technologie est

développée, utilisée et réglementée.
 Pour s’adapter à l’évolution constante de la technologie, les lois
doivent être continuellement révisées et mises à jour.
 Le parlement qui a créé la loi.
 Le gouvernement propose la loi de finance appelée proposition du
projet de loi tandis que le parlement qui propose la loi c’est la
proposition de loi.
 Loi d’état d’urgence sanitaire

La protection des données personnelles au Maroc

I. Les concepts clés de la loi 09-08 : loi relatif à la protection des

personnes physiques :
*A partir de 2008, le Maroc a commencé à réfléchir de constituer la
protection des données personnelles

*Maroc 2013, stratégie de transfert numérique

* L’objectif est de protéger le citoyen face à des pratiques dangereux, et

également d’augmenter le niveau de confiance des partenaires
internationaux, surtout les européens

* Donnée à caractère personnel est toute information de quelque nature,

qu’elle soit et indépendamment de son support, y compris le son et l’image,
concernant une personne physique identifiée (déjà identifiée) et identifiable
(on va l’identifier /probable).

* Selon la loi on peut identifier une personne par un nom et un prénom, lieu
de résidence, la nationalité, la CIN, code apogée, photo, les empreintes,
l’ADN

 Traitement des données à caractère personnelle : est un ensemble

d’opérations ou une seule effectuée ou non à l’aide de procédés
automatisés et appliquées à des données à caractère personnelle, telle
que la collecte, l’enregistrement, l’organisation, la conservation,
l’adaptation ou la modification, l’extraction, la consultation,
l’utilisation, la communication par transmission, diffusion ou toute
autre forme de mise à disposition, le rapprochement ou
l’interconnexion
 Données sensibles : sous-ensemble des données à caractère
personnelle, c’est une information qui reflète des infos raciales ou
ethnique, les opinions politiques, les convictions religieuses ou
philosophiques ou l’appartenance syndicale de la personne concernée
ou qui sont relatives à sa santé y compris ses données génétiques.
 Fichier de données à caractère personnelle : tous ensemble structuré
de données à caractère personnelle accessible selon des critères
déterminés, décentralisé ou réparti de manière fonctionnelle ou
géographiques, tel que les archives, les banques de données, les
fichiers de recensement
 Le responsable de traitement : une personne physique ou morale,
l’autorité publique, le service ou tout autre organisme qui, seul ou
conjointement avec d’autres, détermine les finalités et les moyens du
traitement de données à caractère personnel.
 Sous-traitant : la personne physique ou morale, autorité publique, me
service ou autre organisme qui traite es données à caractère personnel
pour le compte du responsable du traitement.
 Tiers : la personne physique ou morale, autorité publique, le service,
ou autre organisme autres que la personne concernée, le responsable
du traitement, le sous-traitant et les personnes qui, placées sous
l’autorité directe du responsable du traitement ou de sous-traitant, sont
habilitées à traiter les données.
 Le destinataire : La personne physique ou moral…. qui reçoit
communication de données, qu’il s’agisse ou non d’un tiers
notamment la commission nationale de contrôle de la protection des
données à caractère personnel
 Le consentement de la personne concernée : toute manifestation de
volonté, libre, spécifique et informée, par laquelle la personne
concernée accepte que les données à caractère personnel la concernant
fassent l’objet du traitement.
 Cession ou communication : toute divulgation ou information d’une
donnée portée à la connaissance d’une personne autre qu’à personne
concernée
 *Dol (‫ )الغبن‬: l’utilisation d’un moyen frauduleux pour tromper une
autre personne

 Interconnexion de données : forme de traitement qui consiste à

rétablir un rapport entre les données d’un fichier et les données d’un
fichier ou plusieurs fichiers tenus par un autre ou par d’autres
responsables, ou tenus par le même responsable mais dans un autre
but.
II. Principes généraux :

La loi 09-08 s’applique :

 Lorsque le traitement des données à caractère personnel est effectué par

une personne soit physique soit morale dont le responsable est établi sur
le territoire marocain
 Lorsque le responsable n’est pas établi sur le territoire marocain mais, à
des fins de traitement des données à caractère personnel, à des moyens
automatisés ou non, situés sur le territoire marocain

La loi ne s’applique pas :

 Au traitement de données à caractère personnel effectué par une

personne physique pour l’exercice d’activités exclusivement
personnelle ou domestique
 Aux données recueillies et traitées dans l’intérêt de la défense
nationale et de la sécurité intérieure ou extérieure de l’Etat
 Aux données à CP recueillies en application d’une législation
particulière

Les données à CP doivent être :

o Traitées loyalement et licitement ;

o Collectées pour des finalités déterminées explicites et légitimes ;
o Adéquates, pertinentes et non excessives, au regard des finalités
pour lesquelles elles sont collectées, et pour lesquelles, elles sont
traitées ultérieurement ;
o Exactes, fiables, complètes et mise à jour ;
o La durée de conservation des données ne doit pas dépasser la durée
nécessaire à la finalité du traitement.
Le consentement doit être exprimé dans le cas du traitement de
données de la personne concernée :
Le consentement n’est pas exigé lorsque :
a. Au respect d’une obligation légale à laquelle est soumis la
personne concernée ou le responsable du traitement
b. A l’exécution du contrat auquel de la personne concernée, est
partie ou à l’exécution des mesures précontractuelles prises à la
demande de celle-ci
c. A la sauvegarde d’intérêts vitaux de la personne concernée, si
elle est physiquement ou juridiquement dans l’incapacité de
donner un consentement
d. L’exécution d’une mission d’intérêt public ou relevant de
l’exercice de l’autorité publique

III. Droits de la personne concernée

Droit d'accès:

Droit reconnu à la personne concernée d'obtenir du responsable du

traitement, à des intervalles raisonnables, sans délai et gratuitement,
des informations sur les traitements réalisés, les données traitées et
leur origine.

Droit de rectification:

Droit reconnu à la personne concernée d'obtenir du responsable du

traitement l'actualisation, la rectification, l'effacement ou le
verrouillage des données à caractère personnel
inexactes ou incomplètes.

III. Droits de la personne concernée

Limites relatives à l'information:

a) aux données à caractère personnel dont la collecte et le

traitement sont nécessaires à la défense nationale, la Sté intérieure
ou extérieure de l'Etat, la prévention ou la répression du crime;

b) lorsque information de la personne concernée se révèle

impossible,

C) sta Mgislation prévoit expressément réenregistrement ou la

communication des données à caractère personnel
d) au traitement de données à caractère personnel effectuées à des
fins exclusivement journalistiques, artistiques ou littéraires

III. Droits de la personne concernée

Droit d'accès:

Droit reconnu à la personne concernée d'obtenir du responsable du

traitement, à des intervalles raisonnables, sans délai et gratuitement,
des informations sur les traitements réalisés, les données traitées et
leur origine.

Droit de rectification:

Droit reconnu à la personne concernée d'obtenir du responsable du

traitement l'actualisation, la rectification, l'effacement ou le
verrouillage des données à caractère personnel
inexactes ou incomplètes.

Droit d'opposition:

Droit reconnu à la personne concernée de s'opposer, pour des

motifs légitimes, à ce que des données la concernant fassent l'objet
d'un traitement.
- Application particulièrement stricte en cas de prospection
commerciale.

- Ce droit est exclu lorsque le traitement répond à une obligation

légale ou lorsque l'application de ce droit a été écartée par une
disposition expresse de l'acte autorisant le traitement.

Principe: Est interdite toute prospection directe par automate

d'appel, sms, courrier électronique ou autre moyen employant une
technologie de même nature qui utilise les données d'une personne
sans son consentement préalable. Exception: La prospection directe
par courrier électronique est autorisée quand les coordonnées ont
été recueillies auprès de la personne elle-même à l'occasion d'une
vente ou d'une prestation de services antérieurs et pour des produits
analogues et si le destinataire du courrier se voit offrir, de manière
expresse, dénuée d'ambiguïté et simple, la possibilité de s'opposer
sans frais à l'utilisation de ses coordonnées.

Le principe: une déclaration préalable

Conformément à la loi 09-08, une déclaration préalable doit

contenir des informations obligatoires, telles que l'identification du
responsable du traitement, les finalités du traitement, les
destinataires des données, la durée de conservation, et d'autres
détails essentiels, tels que spécifiés dans les formulaires types
fournis par la CNDP
Une fois que la déclaration préalable est soumise et que la CNDP a
vérifié la conformité aux règles applicables, celle-ci émet un
récépissé dans les 24 heures suivant le dépôt de la déclaration. Dès
réception du récépissé, le responsable du traitement est autorisé à
mettre en œuvre le traitement.

V. Rôle et attributions de la CNDP

• Recommandations et Conseils : La CNDP peut émettre des

Recommandations et fournir des conseils aux responsables de

traitement en matière de protection des données. Elle peut
également proposer des lignes directrices et des bonnes pratiques.

•Sanctions: La CNDP est habilitée à infliger des sanctions en cas

de non-conformité à la loi. Les sanctions peuvent inclure des
amendes et d'autres mesures coercitives en fonction de la gravité de
l'infraction.

• Contrôle et Supervision : La CNDP est chargée de contrôler et

de superviser la mise en œuvre de la législation relative à la
protection des données à caractère personnel. Elle veille à ce que
les entités et les individus respectent les dispositions de la loi dans
le traitement des données personnelles.
• Réception des Déclarations: Elle est responsable de recevoir et
de traiter les déclarations préalables des responsables de traitement.
Les déclarants doivent informer la CNDP des traitements de
données à caractère personnel qu'ils envisagent de réaliser.

La CNDP (Commission Nationale de Contrôle de la Protection des

Données à Caractère Personnel) joue un rôle central en matière de
protection des données personnelles au Maroc en vertu de la loi
marocaine 09-08. Ses principales attributions et fonctions
conformément à cette loi sont les suivantes :

• Lorsqu'un traitement est effectué par un sous-traitant, cela doit

être régi par un contrat ou un acte juridique liant formellement le
sous-traitant au responsable du traitement. Ce contrat doit stipuler
explicitement que le sous-traitant agit uniquement selon les
directives du responsable du traitement.

 Les mesures techniques et organisationnelles mises en place

doivent être appropriées et adaptées au niveau de sécurité requis
en fonction des risques inhérents au traitement et de la nature
des données à protéger.

Selon la loi 09-08, le responsable du traitement est tenu de mettre

en place des mesures techniques et organisationnelles adéquates en
vue de prévenir la destruction accidentelle ou illicite, la perte
fortuite, la modification, la divulgation non autorisée ou l'accès non
autorisé aux données personnelles.

• Le responsable du traitement doit également veiller à ce que les

individus placés sous son autorité et les sous-traitants auxquels II
confie le traitement respectent pleinement les obligations de
confidentialité et de sécurité.

L'exception: une autorisation préalable

Traitement de données portant sur des infractions, condamnations

ou mesures de sûreté (fiche anthropométrique); traitement de
données comportant le numéro de la carte d'identité nationale (n"
CIN);

Interconnexion de fichiers relevant d'une ou de plusieurs personnes

morales gérant un service public et dont les finalités d'intérêt public
sont différentes ou l'interconnexion de fichiers relevant d'autres
personnes morales et dont les finalités principales sont différentes.
L'exception: une autorisation préalable

Certains traitements requièrent des responsables du traitement, non

pas une déclaration, mais une autorisation préalable délivrée par la
CNDP, notamment dans les cas suivants:

Traitement de données sensibles;

Données à caractère personnel utilisées à d'autres fins que celles

pour lesquelles elles ont été collectées;

Traitement de données génétiques (par exemple des empreintes

digitales), à l'exception des traitements mis en œuvre par des
personnels de santé et qui répondent à des fins médicales, qu'il
s'agisse de médecine préventive, de diagnostics ou de soins;

Le principe: une déclaration préalable il convient de noter que la

CNDP peut décider de soumettre le traitement à une procédure
d'autorisation préalable si le traitement envisagé présente
clairement des risques pour le respect et la protection de la vie
privée ainsi que des libertés et droits fondamentaux. Cette décision
doit être communiquée au responsable du traitement dans un délai
de huit (8) jours suivant le dépôt de la déclaration.

• Recommandations et Conseils : La CNDP peut émettre des

recommandations et fournir des conseils aux responsables de
traitement en matière de protection des données. Elle peut
également proposer des lignes directrices et des bonnes pratiques.

 Sanctions: La CNDP est habilitée à infliger des sanctions en cas

de non-conformité à la loi. Les sanctions peuvent inclure des
amendes et d'autres mesures coercitives en fonction de la gravité
de l'infraction.

• Quand la personne concernée a donné expressément son

consentement au transfert; ou

⚫si le transfert est nécessaire au regard d'un certain nombre de

critères (sauvegarde de la vie de la personne concernée,
préservation de l'intérêt public, défense d'un droit en justice,
exécution d'un contrat, entraide judiciaire internationale, prévention
ou traitement de maladies);

 s'il s'effectue en application d'un accord bilatéral/multilatéral

auquel le Royaume du Maroc est partie;

⚫ sur autorisation expresse et motivée de la CNDP, qui doit

s'assurer que le traitement présente des garanties suffisantes,
notamment en raison de clauses contractuelles (BCR) ou des
procédures mises en place
Le transfert de données personnelles à l'étranger ne peut être
effectué que dans les cas suivants :

• Vers un pays figurant sur la liste établie par la CNDP; • Vers un

pays ne figurant pas sur la liste établie par la CNDP dans les
conditions suivantes :

 Sensibilisation et Éducation : La CNDP a un rôle actif dans la

Sensibilisation du public et des acteurs concernés à l'importance de

la protection des données à caractère personnel.

 Collaboration Internationale: Elle peut coopérer avec des

autorités de protection des données d'autres pays, conformément
aux accords internationaux, pour garantir une protection
adéquate des données transfrontalières.