Préparé par : Encadré par :

Ibtissame AMZIL MR : Bouchta ALOUI

Hafsa ABIDI ALAOUI
Chaymae MOKHLIS
Hassan ELBEDOUI
Zakariyae EL ADLOUNI
Année universitaire : 2019/2020

1
 REMERCIEMENT
On soussigne Mlle Ibtissame AMZIL, Mlle chaymae MOKHLIS,
Mlle Hafsa ABIDI ALAOUI, Mr Hassan EL BEDOUI, et Mr Zakariyae EL
ADLOUNI. très fières et avec grand honneur avant d’entamer notre
sujet d’exposé de remercier la faculté des sciences juridiques
économiques juridiques et sociales de FES, en commençant par
monsieur le professeur de fournir à tous les étudiants(es), tous ses
efforts, et spécialement pour la chance qui nous a tenté d’exposer le
sujet de la protection des données personnelles sous son
encadrement et également pour sa générosité en matière de
formation.
On tient à remercier les agents de la bibliothèque de la faculté
des sciences juridique économiques et sociales de FES, pour la mise à
notre disposition un ensemble de références indispensables à la
réalisation de notre sujet.

2
 Sommaire
Introduction

Première partie : réglementation et régulation de la protection des données à

caractère personnel

Chapitre 1 : protection des données personnelles sur le plan international

Section 1 : la protection de données personnelles œuvre de diverses institutions

internationales

Section2 : dispositions internationales visant la protection de données à caractère

personnel

Chapitre2 : la protection de données à caractère personnel sur le plan national

Section1 : protection des données personnelles à travers divers dispositions

légales

Section2 : la protection institutionnelle des données à caractère personnel

Deuxième partie : effectivité des lois de la protection des données à caractère

personnel

Chapitre 1 : entraves et impact de la protection des données personnelles

Section1 : impacts de la protection des données à caractère personnel

Section2 : entraves face à la véritable protection des données à caractère

personnel

Chapitre2 : l’effectivité de la mise en application des lois de la protection des

données à caractère personnel

Section1 : illustrations

Section2 : modèle de plainte

Conclusion

3
INTRODUCTION
L’article 12 de la Déclaration universelle des droits de l’homme (1948)
dispose : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa
famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa
réputation. Toute personne a droit à la protection de la loi contre de telles
immixtions ou de telles atteintes. » Ce thème est repris par la Convention
européenne de sauvegarde des droits de l’homme et des libertés fondamentales
(1950) : « Article 8 – Droit au respect de la vie privée et familiale Toute
personne a droit au respect de sa vie privée et familiale, de son domicile et de sa
correspondance. » La jurisprudence de la Cour européenne des droits de
l’homme (CEDH) confirme que la protection des données personnelles
représente une composante du droit à la vie privée et relève à ce titre de l’article
8 de la Convention. 1

Ainsi, dans son article 24, la nouvelle Constitution souligne ce droit

fondamental en ces termes : Toute personne a droit à la protection de sa vie
privée.

La vie privée est un concept relativement récent, d’un point de vue aussi
bien sociologique que juridique. La notion d’un droit à l’intimité et à la vie
privée, inconnue dans l’Antiquité, prend corps au XIXe siècle dans les pays
industrialisés. Elle est formalisée pour la première fois dans un article de 1890
de Brandeis et Warren, dans la Harvard Law Review, intitulé « The Right to
Privacy ». Il s’agissait déjà de protéger cette vie privée contre les intrusions de
la technologie et des médias de l’époque : la presse et la photographie 2

Le droit au respect de la vie privée est un droit humain fondamental. La vie

privée des individus doit être protégée contre toutes les atteintes qui peuvent
l’affecter, notamment celles qui portent sur leurs informations personnelles.
Avec le développement croissant des technologies de l’information, la
protection de la vie privée et des données personnelles est devenue un sujet de
préoccupation majeure de nos sociétés modernes. Internet est devenu un outil
incontournable de communication et d’échanges en tous genres. Le
développement rapide des réseaux sociaux et du e-commerce fait peser des

1
La déclaration universelle de droits de l’HOMME
2
http://www.seuil.com/ouvrage/histoire-de-la-vie-privee-philippe-aries/9782020364171 consulté le
03/11/2019

4
risques sur les informations personnelles de leurs utilisateurs. Lorsqu’ils les
« exposent » sur ces réseaux ou lorsqu’ils les « confient » à un e-commerçant
pour une transaction, ils doivent être rassurés quant au traitement qui leur sera
réservé.

Nous parlons d’un enjeu qui concerne chacun d’entre nous, de notre
capacité au travail, dans nos achats, notre santé, à voir notre vie privée
effectivement garantie au sein d’un univers qui a tellement changé.

En quelques années en effet, le monde numérique s’est installé. Il ne

s’agit pas seulement d’Internet. Il s’agit de la dématérialisation progressive de
toutes les activités humaines qui s’étendent désormais du monde physique au
monde virtuel ; l’individu passe de l’un à l’autre souvent sans même s’en
apercevoir et la donnée est au cœur de ce monde.

En effet le terme donnée renvoie vers toute donnée qui va permettre

directement ou indirectement d’identifier une personne physique (nom, prénom,
CIN, photo,…etc.). Ces données étant omniprésentes, et qui peuvent être traitées
selon les dispositions de la loi en vigueur doivent être protégées, puisque chacun
a droit au respect de sa vie privée. Sinon la victime d’une atteinte à la vie privée
peut obtenir des dommages et intérêts pour réparer le préjudice que lui a causé
cette atteinte.

Non seulement l’exploitation des données personnelles est indispensable au

fonctionnement même des nouveaux services, qu’il s’agisse des réseaux
sociaux, de la relation client personnalisée ou des comptes en ligne proposés par
les administrations ou par les banques, mais la connaissance de l’utilisateur ou
du client devient un élément essentiel du modèle économique de ces services .
La volonté de limiter l’exploitation des données personnelles risque alors
d’entrer en conflit avec la créativité des nouveaux services et d’en entraver le
développement en empêchant de valoriser ces données.

Le traitement des données personnelles représente désormais un enjeu

crucial pour les responsables d’entreprises, d’administrations ou d’associations :
qu’il s’agisse des données de leurs employés, de leurs clients, de leurs usagers
ou de leurs membres, elles sont omniprésentes et doivent être traitées et
protégées dans les formes prescrites par la loi . Or, leur importance économique
est croissante : l’exploitation des données personnelles permet non seulement de
rendre un meilleur service aux clients, mais parfois aussi de financer à elle seule
ce service. Tous les nouveaux géants du web, les Facebook et Google, ne sont
5
gratuits que parce qu’ils monétisent les données personnelles de leurs
utilisateurs concernant leur profil de consommation, leurs centres d’intérêt ou
leur mode de vie. 3

Bien plus, le respect des données personnelles et de la vie privée constitue

désormais un argument commercial et un avantage compétitif dans la
concurrence entre acteurs marchands. Dans ce contexte, pour se démarquer, les
directeurs de projets informatiques, des systèmes d’informations ou les
responsables de traitement de données, ce qui inclut les dirigeants d’entreprises,
ont désormais intérêt à adopter des pratiques vertueuses, c’est-à-dire à connaître
les principes de protection des données personnelles, à les appliquer et, surtout,
à le faire savoir

Les données personnelles sont en effet des informations qui permettent

d'identifier individuellement, de manière directe ou indirecte, une personne
physique il s'agit donc de données qui portent sur des éléments qui caractérisent
une personne, et qui sont ainsi susceptibles d'affecter la vie privée de celle-ci.
Dès lors, ces données étant ainsi considérées, on peut comprendre que l'exigence
d'une certaine protection de ces données se heurte à une autre exigence, celle
consistant à les mettre à la disposition de l'État dans une certaine mesure, afin
que les autorités publiques puissent assurer efficacement le maintien de la
sécurité. Et même si ces considérations ne sont pas nécessairement
inconciliables, il est clair que l'on est en présence de deux mouvements dont la
vocation respective est bien différente puisque l'une privilégie l'intérêt de la
personne tandis que l'autre tend à mettre cet intérêt "en suspens" au profit d'un
intérêt sans doute plus général tenant à la sécurité. Cette notion de sécurité peut,
en plus, être largement entendue et recouvrir la sécurité des individus comme
celle de l'État lui-même. On voit bien qu'il est tout à fait possible de décliner
sous plusieurs angles l'étude sur les données personnelles compte tenu de
l'ampleur des enjeux, mais aussi de la relative incertitude autour des discours et
des concepts concernant cette problématique.

Dans ce contexte, et afin d’être en adéquation avec les législations

internationales en la matière, le législateur marocain est intervenu pour
règlementer la protection des données personnelles en prévoyant un arsenal
juridique à caractère préventif mais aussi répressif. Dans le même temps, les

3
Fabrice MATTATIA : traitement des données personnelles ; le guide juridique

6
contraintes économiques devaient être prises en considération pour que la loi ne
constitue pas un frein au développement commercial.

L’ensemble des informations précitées nous amène à poser la

problématique suivante :

Qu’elle réglementation et régulation réservées par le législateur marocain à

la protection des données à caractère personnel. Et est ce qu’il existe une
effectivité au Maroc lors de la mise en application de cette réglementation ?

Pour réponde à cette problématique nous allons suivre le plan suivant :

Dans une première partie on va traiter la réglementation et la régulation des

données à caractère personnel tant au niveau international que national, et dans
une seconde partie on va traiter l’effectivité de l’application de cette
réglementation au Maroc.

7
Partie1 : réglementation et régulation de la protection des
données à caractère personnel
Sur le plan historique, le besoin d’assurer aux données à caractère
personnel une protection n’est pas récent. Et face à l’exploitation grandissante et
surtout aux violations massives de ces données, elle s’est imposé la nécessité
d’une certaine protection nationale mais aussi internationale des données
personnelles, c’est-à-dire la mise en place des mécanismes afin de réprimer ces
violations et de consacrer aux titulaires des données une protection de ces
dernières. De ce fait le concept de l’intérêt supérieur de fournir tant au niveau
national qu’international un référentiel majeur au contenu multidimensionnel
relativement à la construction du régime de protection.
La nécessité de réglementer la protection des données à caractère personnel
a été dictée au législateur marocain non seulement par des impératifs
économiques mais également par des impératifs d’adéquation de la législation
nationale avec les principes relatifs aux droits humains énoncés dans des textes
fondamentaux internationaux et nationaux.

De ce fait on va traiter dans cette partie la réglementation et la régulation

de la protection des données à caractère personnel tant au niveau international
(chapitre 1) que national (chapitre 2).

Chapitre 1 : Protection des données à caractère personnel au

niveau international
Section 1 : la protection des données personnelles œuvre de
diverses institutions internationales
Au niveau de cette partie on va se focaliser sur l’union européenne comme
source de protection des données personnelles et source d’inspiration au niveau
international
Dans l’Union européenne, les APD ou Autorités de Protection des Données
sont des autorités publiques indépendantes, dont le rôle est de contrôler
l’application des législations relatives à la protection des données telles que
le RGPD. 4
Pour contrôler cette application des lois, les APD bénéficient de pouvoirs
d’enquête et d’adoption de mesures correctrices. Leur rôle est également de
prodiguer aux entreprises des conseils d’experts sur les questions relatives à la
protection des données. Elles se chargent aussi de traiter les réclamations liées à
d’éventuelles violations du RGPD ou des législations nationales.
4
Fabrice MATTATIA : RGPD et droit des données personnelles 4° édition

8
 Dans ce but, le CEPD (le contrôleur européen de la protection des
données personnelles) surveille toutes les activités qui impliquent un
traitement de données personnelles, aussi bien pour les données des citoyens
de l’UE que pour les visiteurs, les contractants ou les bénéficiaires de
subventions. Le CEPD se charge aussi de superviser Europol, l’organe de l’UE
qui coopère avec les autorités répressives pour lutter contre la criminalité
internationale et le terrorisme. 5
Pour aider les institutions à assurer la protection des données personnelles,
le CEPD leur fournit des conseils et des orientations sur la façon de se
conformer à la réglementation. Il veille également à ce que la réglementation
soit appliquée correctement.
Concrètement, le CEPD publie des lignes directrices, réalise des
enquêtes suite à des réclamations, et vérifie les traitements à risque. Cet
organe effectue sa mission de contrôle de la même façon que les autorités
nationales de protection des données ou que les autorités de contrôle des
différents États membres de l’UE.
Les institutions consultent le CEPD par le biais de leur délégué à la
protection des données (DPD), afin d’obtenir un avis lorsqu’elles élaborent des
mesures ou des règles internes impliquant le traitement de données personnelles.
Elles reçoivent alors un avis écrit ou oral de la part du CEPD.
Si les règles ne sont pas respectées, le CEPD peut adresser un
avertissement ou une admonestation à l’institution européenne concernée. Il
peut aussi lui ordonner de satisfaire les demandes d’exercice des droits des
citoyens, interdire un traitement de données, ou porter une affaire devant la Cour
de justice de l’Union européenne.
De surcroit l’article 50 de la Coopération internationale dans le domaine de la
protection des données à caractère personnel dispose que6

La Commission et les autorités de contrôle prennent, à l'égard des pays tiers

et des organisations internationales, les mesures appropriées pour:

a) élaborer des mécanismes de coopération internationale destinés à

faciliter l'application effective de la législation relative à la protection des
données à caractère personnel;

b) se prêter mutuellement assistance sur le plan international dans

l'application de la législation relative à la protection des données à caractère
personnel, y compris par la notification, la transmission des réclamations,
l'entraide pour les enquêtes et l'échange d'informations, sous réserve de garanties
appropriées pour la protection des données à caractère personnel et d'autres
libertés et droits fondamentaux;
5
Aurélie BANCK : RGPD ; la protection des données personnelles
6
la Coopération internationale dans le domaine de la protection des données à caractère personnel

9
 c) associer les parties prenantes intéressées aux discussions et activités
visant à développer la coopération internationale dans le domaine de
l'application de la législation relative à la protection des données à caractère
personnel;

d) favoriser l'échange et la documentation de la législation et des pratiques

en matière de protection des données à caractère personnel, y compris en ce qui
concerne les conflits de compétence avec des pays tiers.

Ainsi, ambitionnés par le but d’assurer une protection des données

personnelles des législations relatives à la protection de la vie privée ont été
adoptées ou le seront prochainement dans près de la moitié des pays de l'OCDE
l’organisation de coopération et de développement économique (l'Allemagne,
l'Autriche, le Canada, le Danemark, les Etats-Unis, la France, le Luxembourg, la
Norvège et la Suède ont promulgué une législation. La Belgique, l'Espagne, les
Pays-Bas et la Suisse ont établi des projets de loi) en vue de prévenir des actes
considérés comme constituant des violations des droits fondamentaux de
l'homme, tels que le stockage illicite de données de caractère personnel qui sont
inexactes, l'utilisation abusive ou la divulgation non autorisée de ces données.
En revanche, il est à craindre que des disparités dans les législations
nationales n'entravent la libre circulation des données de caractère personnel à
travers les frontières; or, cette circulation s'est considérablement intensifiée au
cours des dernières années et elle est appelée à se développer encore par suite de
l'introduction généralisée de nouvelles technologies des ordinateurs et des
télécommunications. Des restrictions imposées à ces flux pourraient entraîner de
graves perturbations dans d'importants secteurs de l'économie, tels que la banque
et les assurances.
C'est pourquoi, les pays Membres de l'OCDE ont jugé nécessaire d'élaborer
des lignes directrices qui permettraient d'harmoniser les législations nationales
relatives à la protection de la vie privée et qui, tout en contribuant au maintien
de ces droits de l'homme, empêcheraient que les flux internationaux de données
ne subissent des interruptions. Ces lignes directrices sont l'expression d'un
consensus sur des principes fondamentaux qui peuvent être intégrés à la
législation nationale en vigueur ou servir de base à une législation dans les pays
qui ne sont pas encore dotés.
Les lignes directrices, qui revêtent la forme d'une recommandation du
conseil de l'OCDE, ont été élaborées par un groupe d'experts gouvernementaux
placé sous la présidence de M. M.D. Kirby, Président de la Commission
australienne de la réforme législative. Cette recommandation a été adoptée et a
pris effet le 23 septembre 1980. 7

7
https://www.oecd.org/fr/internet/ieconomie/lignesdirectricesregissantlaprotectiondelaviepriveeetlesfluxtran
sfrontieresdedonneesdecaracterepersonnel.htm consulté le 03/11/2019

10
 Les lignes directrices sont accompagnées d'un exposé des motifs destiné à
fournir des éléments d'information sur les débats et les raisonnements qui sous-
tendent leur énoncé.

Section 2 : Dispositions internationales visant la protection

des données personnelles
Toujours dans le but d’assurer une protection des données personnelles, des
normes et dispositions écrites ont été adoptées pour donner aux pays du monde
inspirations pour leurs législations internes en matière de la protection des
données à caractère personnel, en effet les principales dispositions sont les
suivantes :

 La déclaration universelle des droits de l’Homme Le 10 décembre

1948, les 58 États Membres qui constituaient alors l’Assemblée générale des
Nations Unies, ont adopté la Déclaration universelle des droits de l’Homme. Ce
texte énonce les droits fondamentaux de l’individu, leur reconnaissance et leur
respect par la loi et insiste sur la nécessité du respect inaliénable de ces droits
fondamentaux par tous les pays. L’article 12 de cette Déclaration stipule : «
Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son
domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation.
Toute personne a droit à la protection de la loi contre de telles immixtions ou de
telles atteintes. »
 Le pacte international relatif aux droits civils et politiques,
l’Assemblée générale des Nations Unies a adopté le Pacte international relatifs
aux droits civils et politiques. Ce Pacte est considéré comme une étape
importante de l’action de la communauté internationale pour promouvoir les
droits de l’Homme. Parmi ses principales dispositions, on retrouve le droit à la
vie privée. Son article 17 reprend in extenso l’article 12 de la Déclaration des
droits de l’Homme. Comme l’ensemble des pays signataires de ce Pacte,
le Maroc (qui l’a signé le 19 janvier 1977 et l’a ratifié le 3 mai 1979) s’est
engagé à œuvrer pour le respect de ses engagements.8
 La directive européenne 95/46/CE En tant que texte de référence en
matière de protection des données personnelles au niveau de l’Union
européenne, ce texte met en place un cadre réglementaire visant à établir un
équilibre entre un niveau élevé de protection de la vie privée des personnes et la
libre circulation des données à caractère personnel. Il fixe des limites strictes à la
collecte et à l’utilisation des données à caractère personnel. En raison de ses

8
https://www.ohchr.org/FR/ProfessionalInterest/Pages/CCPR.aspx consulté le 03/11/2019

11
engagements économiques, le Maroc a dû adopter une législation protectrice des
données à caractère personnel similaire à celles qui existent en Europe. Pour
illustrer notre propos, nous rappelons que le Maroc est une destination propice à
l’offshoring de services dont l’objet est le traitement des données personnelles
(les centres d’appel, les centres de télémarketing, etc.). À ce titre, et en vue
d’obtenir le statut d’adéquation aux normes de l’Union européenne, il s’est avéré
nécessaire de se conformer intégralement à la législation européenne. 9

De surcroit, considérant que la mise en place d’un cadre normatif sur la

cyber sécurité et la protection des données à caractère personnel tient compte
des exigences de respect des droits des citoyens, garantis en vertu des textes
fondamentaux de droit interne et protégés par les Conventions et Traités
internationaux relatifs aux droit de l’Homme particulièrement la Charte
africaine des droits de l'Homme et des Peuples, Convaincue de la nécessité de
mobiliser l’ensemble des acteurs publics et privés (États, collectivités locales,
entreprises du secteur privé, organisations de la société civile, médias,
institutions de formation et de recherche etc.) en faveur de la cybersécurité, et
consciente qu’elle est destinée à régir un domaine technologique
particulièrement évolutif et en vue de répondre aux attentes exigeantes des
nombreux acteurs aux intérêts souvent divergents, la présente convention
détermine les règles de sécurité essentielles à la mise en place d’un espace
numérique de confiance pour les transactions électroniques, la protection des
données à caractère personnel et la lutte contre la cybercriminalité ;

Ayant à l’esprit que les principaux défis au développement du commerce

électronique en Afrique sont liés à des problèmes de sécurité dont notamment :

 Les insuffisances qui affectent la réglementation en matière de

reconnaissance juridique des communications de données et de la signature
électronique ;
 L’absence de règles juridiques spécifiques protectrices des
consommateurs, des droits de propriété intellectuelle, des données à caractère
personnel et des systèmes d’informations ;
 L’absence de législations relatives aux téléservices et au télétravail ;
 L’application des techniques électroniques aux actes commerciaux
et administratifs ;

9
La directive européenne 95/46/CE

12
  Les éléments probants introduits par les techniques numériques
(horodatage, certification, etc.).
 Les règles applicables aux moyens et prestations de cryptologie ;
 L’encadrement de la publicité en ligne ;
 L’absence de législations fiscale et douanière appropriées au
commerce électronique.

Ainsi, convaincue que ce constat justifie l’appel à la mise en place d’un

cadre normatif approprié correspondant à l’environnement juridique, culturel,
économique et social africain ; que l’objet de cette convention vise donc à
assurer la sécurité et le cadre juridique nécessaires à l’émergence de l’économie
du savoir en Afrique. Soulignant que sur un autre plan, la protection des données
à caractère personnel ainsi que de la vie privée se présente donc comme un enjeu
majeur de la société de l’information, tant pour les pouvoirs publics que pour les
autres parties prenantes ; que de cette protection nécessite un équilibre entre
l’usage des technologies de l’information et de la communication et la
protection de la vie privée des citoyens dans leur vie quotidienne ou
professionnelle tout en garantissant la libre circulation des informations.
Préoccupés par l’urgence de la mise en place d’un dispositif permettant de faire
face aux dangers et risques nés de l’utilisation de l'informatique et des fichiers
sur les individus dans le souci de respecter la vie privée et les libertés tout en
favorisant la promotion et le développement des TIC dans les pays membres de
l’Union Africaine ; Considérant que l'ambition de la présente convention est de
répondre aux besoins de législation harmonisée dans le domaine de la
cybersécurité dans les États membres de l’Union africaine ; qu’elle vise à mettre
en place, dans chaque État partie, un dispositif permettant de lutter contre les
atteintes à la vie privée ;

Convaincue de plus qu’elles sont susceptibles d’être engendrées par la

collecte, le traitement, la transmission, le stockage et l’usage des données à
caractère personnel ; qu’elle garantit, elle proposant un type d’ancrage
institutionnel, que tout traitement, sous quelque forme que ce soit, respecte les
libertés et droits fondamentaux des personnes physiques tout en prenant
également en compte les prérogatives des États, les droits des collectivités
locales, les intérêts des entreprises ; tout en prenant en compte les meilleures
pratiques reconnues au niveau international. Considérant que la protection
pénale du système de valeurs de la société de l’information s’impose comme une
nécessité dictée par des considérations de sécurité ; qu’elle se manifeste

13
essentiellement par le besoin d’une législation pénale appropriée à la lutte contre
la cybercriminalité en général et conscients qu’il est nécessaire, face à
l’actualité de la cybercriminalité qui constitue une véritable menace pour la
sécurité des réseaux informatiques et le développement de la société de
l’information en Afrique, de fixer les grandes orientations de la stratégie de
répression de la cybercriminalité, dans les pays membres de l’Union Africaine,
en prenant en charge leurs engagements actuels aux plans sous régional, régional
et international ;

Considérant également que la présente Convention vise en droit pénal

substantiel à moderniser les instruments de répression de la cybercriminalité, par
l’élaboration d’une politique d’adoption d’incriminations nouvelles spécifiques
aux TIC, l’adaptation de certaines incriminations, des sanctions et du régime de
responsabilité pénale en vigueur dans les États Membres à l’environnement des
technologies de l’information et de la communication ; Considérant qu’en outre,
en droit pénal procédural, elle fixe d’une part le cadre de l’aménagement de la
procédure classique relativement aux technologies de l’information et de la
communication et précise d’autre part les conditions de l’institution de
procédures spécifiques à la cybercriminalité.

14
Chapitre 2 : la protection des données personnelles sur le
plan national
Section 1 : protection des données personnelles à travers
divers dispositifs légaux
La protection des données personnelles représente pour le Maroc un sujet
d’une très grande importance, ce qui efforce le législateur marocain à organiser
plusieurs stratégies juridiques afin de renforcer le domaine numérique tout en
renforçant le système de la protection des données personnelles pour enfin lutter
contre la cybercriminalité

Ainsi, au cours des dix dernières, le législateur marocain a mis en place un

régime juridique protecteur des données personnelles en adoptant les lois
suivantes :

■ La loi n° 09-08 promulguée par le dahir n° 1-09-15 du 18 février 2009 –

22 safar 1430, relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel (BORM n° 5714, 5 mars 2009) ;

■ La loi n° 07-03 promulguée par le dahir n° 1-03-197 du 11 novembre

2003 – 16 ramadan 1424, modifiant et complétant le Code pénal (BORM n°
5184, 5 févr. 2004) ;

■ La loi n° 53-05 promulguée par le dahir n° 1-07-129 du 30 novembre

2007 – 19 kaada 1428, relative à l’échange électronique de données juridiques
(BORM n° 5584, 6 déc. 2007) ;

■ La loi n° 31-08 promulguée par le dahir n° 1-11-03 du 18 février 2011 –

14 rabii 1432, édictant des mesures de protection des consommateurs (BORM
n° 5932, 7 avr. 2011).

■ La loi n° 132-13 portant approbation du protocole additionnel à la

convention européenne pour la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel promulguée par le Dahir n° 1-14-
136 du 3 chaoual 1435 (31 juill.2014) (BORM n° 6288, 4 sept.2014).

■ La loi n° 88-13 promulguée par le dahir n° 1-16-122 du 10 août 2016 – 6

kaada 1437, relative à la presse et à l’édition (BORM n° 6522, 1 déc. 2016).

15
 1- la nouvelle constitution de juillet 2011
Cette constitution a réaffirmé l’attachement du Maroc à la construction d’un
État de droit, démocratique et moderne qui protège les droits de l’Homme et les
libertés individuelles et collectives. Parmi ces droits, figure le droit à la
protection de la vie privée. Dans son article 24, la nouvelle Constitution
souligne ce droit fondamental en ces termes : « Toute personne a droit à la
protection de sa vie privée. Le domicile est inviolable. Les perquisitions ne
peuvent intervenir que dans les conditions et les formes prévues par la loi.
Les communications privées, sous quelque forme que ce soit, sont secrètes.
Seule la justice peut autoriser, dans les conditions et selon les formes prévues
par la loi, l’accès à leur contenu, leur divulgation totale ou partielle ou leur
invocation à la charge de quiconque. Est garantie pour tous, la liberté de circuler
et de s’établir sur le territoire national, d’en sortir et d’y retourner,
conformément à la loi »10. Lorsque la Constitution affirme le principe du droit à
la protection de la vie privée, elle entend protéger les droits des individus quant
aux informations qui leurs sont personnelles. Par ailleurs, en consacrant la
primauté des conventions internationales ratifiées, la Constitution impose le
respect, sur le plan interne, des dispositions du Pacte international relatif aux
droits civils et politiques dont l’article 17 rappelle les dispositions de la
Déclaration universelle des droits de l’Homme relatives à la protection que doit
apporter la loi contre les immixtions arbitraires dans la vie privée des individus
et les atteintes à leur honneur et à leur réputation 11

De surcroit, l’adaptation du droit interne l’adhésion du Maroc à la

législation internationale en matière de droit à la protection des données à
caractère personnel et la consécration de ce droit par la Constitution constituent
une véritable base pour l’harmonisation de son droit interne avec les principes et
dispositions énoncés dans ces textes.

2-la loi n° 09-08

Cette loi contient les principes fondamentaux et les moyens de mise en
œuvre de la protection des personnes physiques à l’égard du traitement des
données personnelles. Nous avons donc choisi de lui consacrer toute une
partie (A).12

10
La constitution de 2011
11
La déclaration universelle de droits de l’HOMME
12
La loi n° 09-08 promulguée par le dahir n° 1-09-15 du 18 février 2009- 22 safar 1430, relative à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel

16
 A- RÉGIME DE PROTECTION DES PERSONNES PHYSIQUES À
L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE
PERSONNEL À LA LUMIÈRE DES DISPOSITIONS DE LA LOI N° 09-
08

La mise en place des règles de protection et institution d’une commission

La loi n° 09-08 édicte les règles relatives à la protection des données
personnelles et institue une Commission nationale de contrôle de la protection
des données à caractère personnel (CNDP).

1- CHAMP D’APPLICATION DE LA LOI

Dans ce cadre la loi traite avant tout la définition des données et détermine
les personnes concernées :

a- Données et Personnes concernées

La loi n° 09-08 définit, dans son article premier, les données à caractère
personnel comme étant « toute information de quelque nature qu’elle soit et
indépendamment de son support, y compris le son et l’image, concernant une
personne physique identifiée ou identifiable ». Les personnes concernées sont
celles qui sont identifiées ou qui peuvent être identifiées directement ou
indirectement, notamment par référence à un numéro d’identification ou à un ou
plusieurs éléments spécifiques de leur identité physique, physiologique,
génétique, psychique, économique, culturelle ou sociale.

À titre d’exemple, un nom qui apparaît sur un fichier, un numéro de

téléphone ou d’immatriculation est une information à caractère personnel. Bien
plus, les groupements d’informations, tels que l’association d’une date et d’un
lieu de naissance, d’un nom et d’un numéro de téléphone, ou d’une adresse et
d’un numéro de sécurité sociale constituent des données à caractère personnel.

En plus de cette définition générale, la loi a voulu offrir aux citoyens une
protection accrue lorsque les données revêtent un caractère « sensible ».
Aussi, il s’agit selon l’article 1er de la loi n° 09-08, des données qui révèlent
l’origine raciale ou ethnique, les opinions politiques, convictions religieuses, ou

17
philosophiques, ou l’appartenance syndicale ainsi que celles qui sont relatives à
la santé et aux caractéristiques génétique.

b- Traitement et responsable du traitement

Définition du traitement et du responsable du traitement : Le traitement est
défini dans la loi n° 09-08 comme étant : « toute opération ou ensemble
d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à
des données à caractère personnel, telles que la collecte, l’enregistrement,
l’organisation, la modification, l’extraction, la consultation, l’utilisation, la
communication par transmission, diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage,
l’effacement ou la destruction. » (L. n° 09-08, art. 1, al. 2). Par cette définition,
le législateur a voulu englober toutes les possibilités de traitement qui pourraient
être appliquées à des données à caractère personnel pour offrir la protection la
plus adéquate aux citoyens. Quant au responsable du traitement, il a été
défini comme étant « la personne physique ou morale, l’autorité publique, le
service ou tout autre organisme qui, seul ou conjointement avec d’autres
détermine les finalités et les moyens du traitement de données à caractère
personnel. » (L. n° 09-08, art. 1er)

Notion de « traitement sensible » Les traitements sensibles sont ceux qui

impliquent la manipulation des données collectées à d’autres fins que le
traitement lui-même, ceux qui s’appuient sur la carte d’identité nationale, ceux
qui portent sur les infractions, condamnations ou mesures de sûreté et ceux qui
consistent en l’interconnexion ou le croisement de fichiers aux finalités
différentes.

2- PRINCIPES FONDAMENTAUX DE LA PROTECTION DES

DONNÉES PERSONNELLES
a- Consentement de la personne concernée
Définition du consentement : Le consentement est une manifestation de
volonté libre, spécifique et informée, par laquelle la personne concernée accepte
que les données à caractère personnel la concernant fassent l’objet d’un
traitement.

18
 Le caractère obligatoire : Conformément à l’article 4 de la loi n°
09-08, le traitement des données à caractère personnel ne peut être effectué que
si la personne concernée a indubitablement donné son consentement à
l’opération ou à l’ensemble des opérations envisagées.

Ainsi par exemple, lors d’une opération d’achat en ligne, le consommateur

accepte expressément que ses données personnelles soient traitées par le vendeur
pour les besoins de la transaction. Si le vendeur envisage un traitement de ces
données autre que celui lié à l’opération en question, il doit requérir le
consentement de la personne concernée. Il arrive ainsi qu’il soit demandé à
l’acheteur de cocher une case supplémentaire indiquant qu’il accepte que ses
données personnelles soient transmises à des partenaires commerciaux du
vendeur pour que ceux-ci puissent promouvoir leurs produits et services. À
défaut de consentement, le transfert des données personnel de la personne
concernée par le vendeur à un tiers serait considéré comme illicite.

b- Finalité du traitement

Obligation d’une détermination claire de la finalité Le traitement de

données personnelles doit avoir une finalité clairement définie. Elles ne peuvent
être collectées que pour des finalités déterminées et ne doivent pas être traitées
ultérieurement de manière incompatible avec ces finalités.

En reprenant l’exemple ci-dessus, on peut dire que le consentement de

l’acheteur doit être requis pour deux finalités qui doivent lui être clairement
exposées : la transaction envisagée et le transfert à un ou plusieurs partenaires
du vendeur.

c- Le principe de proportionnalité

Le principe de proportionnalité implique que les données personnelles

collectées soient en adéquation avec la finalité du traitement. Ainsi, les données
doivent être « adéquates, pertinentes et non excessives au regard des finalités
pour lesquelles elles sont traitées ultérieurement » (L. n° 09-08, art. 3, al. 1, c)).
Par exemple, lorsqu’une personne souhaite souscrire un abonnement
téléphonique auprès d’un opérateur, il ne nous paraît pas nécessaire que celui-ci
demande au futur client sa situation matrimoniale. Une telle demande serait, à
notre sens, excessive. En revanche, si la personne souhaite souscrire une
assurance-vie, la demande nous paraît légitime, adéquate et pertinente eu égard à
l’opération envisagée.

19
 d- Loyauté dans le traitement

Il s’agit là d’un principe fondamental qui doit sous-tendre toute opération

de traitement portant sur les données personnelles. Il faut ainsi s’assurer que les
données soient collectées loyalement, c’est-à-dire que les personnes concernées
soient bien informées et veiller à ce que leurs droits soient respectés. Il faut aussi
faire en sorte que les données soient protégées contre toute atteinte qui pourrait
venir de tiers en mettant en place les moyens humains et techniques adéquats.

3- MÉCANISMES DE PROTECTION
a- Établissement des droits des personnes concernées

Consentement inhérent au premier principe évoqué ci-dessus, le droit de la

personne concernée de donner ou de refuser son consentement permet aux
individus de garder le contrôle de leur vie privée et des données qui leur sont
personnelles.

Droit à l’information lors de la collecte des données : Toute personne

dont il est envisagé de traiter les données personnelles a le droit d’être informée
de façon précise, expresse et non équivoque de l’utilisation ou du stockage des
données la concernant. Ce droit à l’information porte également sur l’organisme
qui effectue la collecte des informations et les destinataires envisagés. De plus,
lorsque la personne répond à un questionnaire, il doit être porté à sa
connaissance si la réponse à telle ou telle question est obligatoire ou facultative.

Droit d’accès : Ce droit est reconnu par l’article 7 de la loi n° 09-08.

Il permet à toute personne d’accéder aux informations la concernant pour
s’assurer de leur exactitude.

Droit de rectification: Complétant le droit d’accès, il permet aux

personnes concernées d’exiger la rectification des informations la concernant,
notamment lorsqu’elles sont inexactes ou incomplètes. Ce droit s’exerce au
travers d’une requête adressée au responsable du traitement qui est tenu d’y
répondre dans un délai de 10 jours, sans imposer de frais.

Droit d’opposition à la prospection directe : La prospection directe est

l’envoi de tout message destiné à promouvoir, directement ou indirectement, des
biens, des services ou l’image d’une personne vendant des biens ou fournissant
des services. Durant ces dernières années, des abus ont été constatés en matière
de prospection directe, notamment commerciale. La loi n° 09-08 est venue
20
encadrer ce type de pratique pour protéger la vie privée des citoyens contre les
intrusions intempestives dans leur espace privé (téléphone, messagerie
électronique, etc.). Ainsi, l’article 9 permet à toute personne dont les données à
caractère personnel font l’objet d’un traitement de s’opposer, sans frais, à ce que
les données la concernant soient utilisées à des fins de prospection commerciale.
D’ailleurs, l’article 10 affirme ce droit en interdisant la prospection directe au
moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique ou
d’un moyen employant une technologie de même nature qui utilise, sous
quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas
exprimé son consentement libre et spécifique à recevoir des prospections
directes par ce moyen.

b- Obligations des responsables du traitement

Obligation de recueillir le consentement de la personne concernée Il
s’agit là d’une obligation qui découle du droit des personnes concernées à la
protection de leurs données personnelles et d’un préalable indispensable à tout
traitement envisagé.

Déclaration préalable Sauf pour certains cas nécessitant une

autorisation préalable le traitement de données à caractère personnel doit faire
l’objet d’une déclaration préalable auprès de la Commission Nationale de
contrôle de la protection des Données Personnelles (CNDP). Cette déclaration
préalable permet à la CNDP, de contrôler la protection des données à caractère
personnel et de veiller au respect, par le responsable du traitement, des
dispositions de la loi n° 09-08.

Autorisation préalable Certains traitements, en raison de leur spécificité,

requièrent des responsables du traitement non pas une déclaration préalable,
mais une autorisation préalable qui leur est délivrée par le CNDP. Tel est le cas
notamment pour le traitement des « données sensibles » telles que définies ci-
dessus (V. supra n° 11), les traitements de données personnelles à d’autres fins
que celles pour lesquelles elles ont été collectées, le traitement des données
portant sur les infractions, condamnations ou mesures de sûreté ainsi que celui
des données comportant le numéro de la carte d’identité nationale de la personne
concernée. On comprend aisément la nécessité d’imposer l’obtention préalable
d’une autorisation pour ce type de traitement parce qu’ils touchent de plus près
les droits fondamentaux des citoyens.

21
 Obligations de confidentialité, de sécurité des traitements et de secret
professionnel : En vertu des dispositions de l’article 23 de la loi n° 09-08, le
responsable du traitement est tenu de mettre en œuvre toutes les mesures
techniques et organisationnelles pour protéger les données à caractère personnel,
afin d’empêcher qu’elles soient endommagées, modifiées ou utilisées par un
tiers non autorisé à y accéder. Ces mesures doivent être renforcées lorsqu’il
s’agit de données sensibles ou de données relatives à la santé conformément aux
dispositions de l’article 24. Elles s’appliquent non seulement au responsable du
traitement mais aussi à tout sous-traitant qui se verrait déléguer les tâches du
responsable. En outre, l’article 26 soumet le responsable du traitement de
données à caractère personnel ainsi que les personnes qui, dans l’exercice de
leurs fonctions, ont connaissance de données à caractère personnel, à une
obligation de respect du secret professionnel.

4- PRINCIPALES INFRACTIONS ET SANCTIONS

a- Infractions
Le Chapitre VII de la loi n° 09-08 énonce les faits qui constituent des
infractions. Nous pouvons les résumer comme suit :

 Tout traitement portant atteinte à l’ordre public, à la sureté, à la

morale et aux bonnes mœurs,
 La mise en œuvre d’un traitement sans l’autorisation ou la
déclaration exigée
 Le refus du droit d’accès, de rectification ou d’opposition
 Toute incompatibilité avec la finalité déclarée,
 Le non-respect de la durée de conservation des données
 Le non-respect des mesures de sécurité des traitements,
 Le non-respect du consentement de la personne concernée,
notamment lorsqu’il s’agit de prospection directe à des fins commerciales, avec
aggravation des sanctions lorsqu’il s’agit de données sensibles,
 Tout transfert de données personnelles vers un pays n’étant pas
reconnu comme assurant une protection adéquate,
 Toute entrave à l’exercice des missions de contrôle de la CNDP ;
 Tout refus d’application des décisions de la CNDP.

22
 b- Sanctions
Sanctions contre les personnes physiques
À l’encontre des personnes physiques responsables du traitement des
données personnelles, et sans préjudice de leur responsabilité civile à l’égard des
personnes ayant subi des dommages du fait de l’infraction, les sanctions varient
selon la gravité des faits incriminés, pour ce qui est de l’emprisonnement entre
trois mois et deux ans de prison, et pour ce qui est des amendes entre 10 000 et
300 000 dirhams. Ces sanctions peuvent être portées au double en cas de
récidive.
Sanctions contre les personnes morales Lorsque l’auteur de l’infraction
est une personne morale, et sans préjudice des peines qui peuvent être
appliquées à ses dirigeants, les peines d’amende sont portées au double. La
personne morale peut voir ses biens confisqués et ses établissements fermés.

Finalités des sanctions : On constate que le législateur a voulu faire

preuve de sévérité quant aux sanctions prévues dans le cadre de la loi n° 09-08.
L’objectif évident est, dans un premier temps, de dissuader les personnes qui
manipulent des données personnelles de contrevenir aux dispositions légales et
de les inciter à faire preuve d’une vigilance extrême lors des traitements
effectués. Dans un second temps, l’objectif est d’appliquer des peines
exemplaires à l’encontre des contrevenants pour qu’ils évitent de porter atteinte
à nouveau aux droits des citoyens.

c- Recours en cas d’infraction

Recours des « victimes » : Les personnes physiques qui se considèrent «

victimes » d’une atteinte à leurs données personnelles peuvent adresser leurs
plaintes à la police judiciaire ou aux agents de la CNDP qui sont habilités à
rechercher et à constater les infractions. Les procès-verbaux qu’ils rédigent à ce
titre sont transmis, dans les cinq jours suivant les opérations de recherche et de
constatation, au procureur du Roi. Les victimes peuvent également adresser
leurs plaintes à ce dernier.

Recours dans l’intérêt de l’ordre public ou de la loi : Les agents de la

police judiciaire et ceux de la CNDP ont également pour mission de rechercher
et de constater les atteintes à l’ordre public ou aux dispositions de la loi n° 09-
08. Dans ce cas également, ils transmettent leurs procès-verbaux au procureur
du Roi qui étudie l’opportunité d’engager des poursuites contre le contrevenant.

23
 3- la loi N° 07-03
La loi n° 07-03 a complété le Code pénal en réglementant les infractions
relatives aux systèmes de traitement automatisé des données. 13

a- Faits incriminés

Cette loi incrimine les faits suivants :

■ Le fait d’accéder, frauduleusement, à tout ou partie d’un système de

traitement automatisé de données

■ Le fait d’entraver ou de fausser intentionnellement le fonctionnement

d’un système de traitement automatisé de données,

■ Le fait d’introduire frauduleusement des données dans un système de

traitement automatisé des données ou de détériorer ou de supprimer ou de
modifier frauduleusement les données qu’il contient, leur mode de traitement ou
de transmission,

■ Le faux ou la falsification de documents informatisés.

b- Peines encourues Les peines prévues pour ce type d’infractions

varient entre un mois et cinq ans de d’emprisonnement et/ou une amende variant
entre 2 000 et 200 000 dirhams selon la gravité du fait incriminé. Le législateur
marocain a voulu punir lourdement les personnes qui portent atteinte à la vie
privée des individus en passant par les nouvelles technologies.

Par exemple : Un ordinateur personnel contient des informations

personnelles et peut faire l’objet d’un accès frauduleux de la part d’un “
délinquant informatique “. Celui-ci pourra alors être condamné pour le fait
délictueux qu’il aura commis si sa culpabilité est établie. Il en est de même pour
le “hacker” qui “ subtilise “ une photo d’un individu, la modifie avec un
programme informatique et la publie sur Internet pour nuire à la personne
concernée.

13
La loi n° 07-03 promulguée par le dahir n° 1-03-197 du 11 novembre 2003 – 16 ramadan 1424, modifiant et
complétant le Code pénal (BORM n° 5184, 5 févr. 2004)

24
 4- LOI N° 53-05
Cette loi a complété le Dahir formant Code des obligations et contrats
(DOC) Cette elle est relative à l’échange électronique des données juridiques,
introduit dans le DOC des mesures protectrices des données personnelles. 14

 Le droit d’accès et de correction des données personnelles Lors de

la conclusion d’un contrat par voie électronique, notamment dans le cadre de
l’achat de biens et de services, le destinataire d’une offre électronique qui
l’accepte et qui confie ses données personnelles à l’auteur de l’offre, a la
possibilité de corriger les erreurs éventuelles qui se seraient glissées au cours du
processus contractuel.
 Nécessité d’obtenir le consentement préalable « Les informations
qui sont demandées en vue de la conclusion d’un contrat ou celles qui sont
adressées au cours de son exécution peuvent être transmises par courrier
électronique si leur destinataire a accepté expressément l’usage de ce moyen »
(DOC, art. 65-3). Il s’agit là d’une mesure qui consacre le principe de la
nécessité d’obtention du consentement préalable des individus et qui permet aux
citoyens d’être protégés contre les intrusions dans leur espace privé par des
commerçants peu scrupuleux qui exploiteraient leurs données personnelles à des
fins mercantiles.

5- La loi N° 31-08
Cette loi concerne la protection du citoyen consommateur

Le citoyen, agissant en tant que consommateur, est protégé par la loi n°

31-08. Entre autres dispositions protectrices de cette loi, on retrouve celles qui
sont relatives aux données personnelles. En effet cette loi se réfère, pour les
conditions de validité du contrat de vente à distance, à la loi n° 53-05 laquelle
prévoit la protection des données personnelles. De plus, elle impose au “
cybercommerçant “ d’indiquer, dans son offre de bien ou de service, son nom et
ses coordonnées complètes afin que le consommateur puisse exercer ses droits
en cas de nécessité. Elle insiste également sur l’obligation pour le “
cybercommerçant “ de rappeler au consommateur ses différents choix et lui
permettre de confirmer sa demande ou la modifier selon sa volonté. 15

14
La loi n° 53-05 promulguée par le dahir n° 1-07-129 du 30 novembre 2007 – 19 kaada 1428, relative à
l’échange électronique de données juridiques (BORM n° 5584, 6 déc. 2007)
15
La loi n° 31-08 promulguée par le dahir n° 1-11-03 du 18 février 2011 – 14 rabii 1432, édictant des mesures de
protection des consommateurs (BORM n° 5932, 7 avr. 2011).

25
 6- La loi n°88-13
Cette loi se focalise sur deux points : les journaux électroniques et la
publicité
 Les journaux électroniques : En vertu de l’article 33 de la loi n°
88-13, les journaux électroniques sont soumis aux dispositions de la loi n° 09-
08.
 La publicité : en vertu de l’article 64 de la loi n°88-13, l’utilisation
illégale des données personnelles et à des fins publicitaires constitue une
infraction punissable, en vertu de l’article 70, d’un amende de 5000 à 20.000
dirhams.16

Section2 : La protection institutionnelle des données à

caractère personnel

 INSTITUTION DE LA COMMISSION NATIONALE DE CONTRÔLE DE

LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
(CNDP)

a- Composition
 Membres
La CNDP est composée de sept membres :
■ Un président nommé par Sa Majesté le Roi ;
■ Six membres nommés également par Sa Majesté le Roi, sur proposition :
– du chef du Gouvernement,
– du président de la Chambre des représentants,
– du président de la Chambre des conseillers.

16
La loi n° 88-13 promulguée par le dahir n° 1-16-122 du 10 août 2016 – 6 kaada 1437, relative à la presse et à
l’édition (BORM n° 6522, 1 déc. 2016)

26
 b- Missions17
La CNDP a pour missions principales :
■ De donner son avis aux autorités gouvernementales ou législatives sur les
projets ou propositions de loi ou de règlement se rapportant aux données à
caractère personnel ;
■ De donner son avis aux autorités compétentes sur les projets de
règlements créant des fichiers relatifs aux données à caractère personnel
recueillies et traitées à des fins de prévention et de répression de crimes et de
délits ;
■ De recevoir les déclarations et demandes d’autorisations relatives aux
traitements de données personnelles, mentionnées au paragraphe relatif aux
obligations du responsable du traitement ;
■ D’informer en permanence le public sur les droits et obligations légales
et réglementaires relatives aux données à caractère personnel ;
■ De mener des investigations afin de contrôler la bonne application des
dispositions légales par les responsables du traitement ;
■ D’instruire les plaintes dont elle est saisie et ordonner que lui soient
communiquées à cet effet toutes les informations nécessaires pour qu’elle puisse
mener à bien cette mission ;
■ D’ordonner le verrouillage, l’effacement, ou la destruction des données,
en cas de contravention aux dispositions légales.

Ainsi, Au niveau national, la CNDP a œuvré, depuis sa mise en

place, à jouer son rôle de sensibilisation et d’information en 18 :

■ organisant des réunions de travail avec les autorités de contrôle et de

régulation comme Bank Al Maghrib et l’Agence nationale de réglementation des
télécommunications ;

■ instituant des comités de travail avec les fédérations sectorielles comme

le Groupement professionnel des banques du Maroc et la Fédération des
technologies de l’information, des Télécommunications et de l’ “Offshoring” ;

■ fournissant des réponses personnalisées aux questions qui lui sont

adressées par les personnes physiques et les personnes morales intéressées par le
traitement des données à caractère personnel.
17
https://www.cndp.ma/fr/cndp/missions.html consulté le 04/11/2019
18
Protection des données personnelles au Maroc quel rôle pour la CNDP? / RHAZZALI Bouchra

27
 Au niveau international, la CNDP a présenté une demande d’adéquation
auprès de la Commission européenne, pour que le Maroc soit pleinement
considéré comme un pays offrant une protection des données personnelles
adéquate aux standards européens. Elle a également saisi le ministère des
Affaires Étrangères et de la Coopération en vue de l’adhésion à la Convention
108 du Conseil de l’Europe, relative à la protection des personnes à l’égard du
traitement automatisé des données à caractère personnel. 19

19
https://www.cndp.ma/fr/ consulté le 04/11/2019

28
Partie 2 : Effectivité des lois de la protection des données
personnelles
Il s’agit dans cette partie de constater si il existe ou pas une véritable
application de la loi de la protection des données personnelles (chapitre 2), mais
tout d’abord il fallait traiter les entraves mais également l’impact de la
protection des données personnelles sur plusieurs niveaux (Chapitre 1), pour
enfin constater jusqu’à quel point il existe une effectivité de la mise en place des
lois de la protection des données personnelles.

Chapitre1 : Impact entraves et de la protection des données

personnelles
Section 1 : Impacts de la protection des données personnelles
A- Impact sur le niveau économique

La véritable protection des données personnelles permet :

 L’amélioration de la condition des êtres humains dans une

multitude de secteurs d’activité.
 L’encouragement de l’innovation ainsi que de la capacité des
consommateurs et des firmes à se rencontrer.
 Renforcement de l’efficacité de la publicité en ligne
 Augmentation des incitations à investir dans le secteur de la publicité en
ligne et plus généralement des services de l’information financés par cette
même publicité
 L’élimination des barrières à l’entrée dans le secteur numérique qui
positions dominantes.20

B- Impact sur la vie privée et les droits des personnes concernées

La réglementation relative à la vie privée ne soulève pas seulement des

préoccupations économiques. Elle pose également des questions philosophiques
sur les atteintes qu’elle génère à l’encontre de la liberté d’expression, la liberté
des communications et la liberté d’entreprendre.

20
https://www.iedm.org/files/note0913_fr.pdf consulté le 04/11/2019

29
 De surcroit, lorsqu’on a une véritable protection des données personnelles ça
constitue une bonne illustration du respect de la vie privée qui constitue un droit
à caractère constitutionnel.

Section2 : Entraves face à la véritable protection des données

personnelles
Face à l’importance qui revêt la protection des données personnelles, et
les efforts fournis en vue d’assurer cette dernière il existe en effet plusieurs
entraves qui empêchent aux pays d’assurer une véritable mise en application de
la protection des données personnelles. 21

I- Entraves d’ordre technique

1- Une collecte abusive des données à caractère personnel des
membres des réseaux sociaux

Les réseaux sociaux, dans le cadre de leurs activités, sont amenés à collecter
certaines données personnelles. Toutefois, par leur intrusion dans la vie privée
de leurs membres, ils arrivent à en collecter d'autres. Ce surplus d'informations
qui n'est pas nécessaire à la réalisation des objectifs fixés et qui dénote d'une
certaine immixtion dans la vie privée de ces derniers apparaît comme une
collecte excessive de leurs données(A).Cette collecte touche même des données
sensibles(B).

A- Une collecte excessive des données à caractère personnel

des membres des réseaux sociaux

Les réseaux sociaux tracent la navigation de leurs membres pour en récolter

d'autres données (telles que les habitudes alimentaires, les sites fréquentées, etc.)
en plus des données fournies lors de leurs souscriptions . Cette pratique des
réseaux sociaux est condamnable.

En effet une telle collecte semble être excessive au regard de la finalité

poursuivie par ce réseau social. Un dossier médical contient plusieurs
informations telles que le numéro de sécurité social, le numéro de compte.

En outre, ce réseau collecte les contacts téléphoniques des membres par la

mise en place de système de synchronisation. En effet, ce réseau demande à
collecter les contacts personnels pour aider des membres à retrouver des amis.
Par cette collecte, ce réseau arrive à collecter les noms, prénoms et contacts
21
https://www.cigref.fr/wp/wp-content/uploads/2015/11/CIGREF-Economie-donnees-perso-Enjeux-business-
ethique-2015.pdf consulté le 04/11/209

30
d'amis, de collègues et de proches. Par ailleurs, la consultation de leur politique
d'utilisation révèle que ce réseau collecte aussi :

- Les données d'emplacement de l'appareil, notamment les données

d'emplacement géographique précises recueillies à travers les signaux GPS,
Bluetooth ou Wi-Fi.

- Des informations de connexion telles que le nom de votre opérateur mobile ou

de votre fournisseur d'accès à internet, le type de navigateur que vous utilisez,
votre langue et le fuseau horaire dans lequel vous vous situez, votre numéro de
téléphone mobile et votre adresse.

Ces informations collectées ne sont pas toutes nécessaires à l'accomplissement

de la finalité. Cette situation constitue donc un manquement à l'obligation de
collecter des données non-excessives au regard de la finalité. Cette situation
s'analyse plutôt comme un contrôle de la vie des membres des réseaux sociaux.

B- Une collecte illicite de données sensibles des membres des

réseaux sociaux

Les réseaux sociaux, malgré les dispositions formelles continuent à collecter

des données sensibles (opinions politiques, philosophiques ou religieuses,
dossier médical, sexualité) de leurs membres. Cette situation a été constatée lors
du contrôle effectué par la CNIL sur la conformité du réseau Facebook à la loi
informatique et libertés. Comme susmentionné, plusieurs ivoiriens sont membres
de ce réseau social. Eu égard à l'importance que revêtent les données sensibles
pour les personnes concernées, l'organe de protection doit veiller rigoureusement
au respect des règles relatives à la collecte des données personnelles. 22

2- Un traitement détourné de sa finalité

Les données collectées doivent permettre la réalisation de la finalité déclarée par

le responsable du traitement. Ainsi, les données collectées ne peuvent être
conservées pendant une durée qui excède le temps nécessaire à la réalisation de
la finalité. Nonobstant cette disposition, les données collectées auprès des
utilisateurs des réseaux sociaux sont conservées pendant une durée
indéterminée. Ces données sont conservées au-delà de la réalisation de la finalité
pour laquelle elles ont été collectées(A).En outre, les données ainsi conservées

22
La cybercriminalité: enjeux et dimension juridique de protection des données personnelles au Maroc / GOULI
Safae

31
sont commercialisées(B) car elles sont devenus une véritable richesse et une
source de revenus.23

A- La conservation des données au-delà de la réalisation de la finalité

Il existe une possibilité de collecter les données à caractère personnel mais selon
des procédures déterminées par la loi et par des moyens licites . Pour le
traitement de données personnelles, la loi requiert une finalité déterminée,
légitime, explicite.

Ainsi pour la réalisation de la finalité, la loi permet la conservation des données

collectées. Cependant, cette conservation ne doit pas excéder le temps nécessaire
à la réalisation de la finalité déclarée.

B- La commercialisation des données

Le principe même des réseaux sociaux est de donner des informations

personnelles sur sa vie : ses loisirs, ses centres d'intérêts, ses goûts musicaux ou
cinématographiques, ainsi que sa ville, sa date de naissance, allant jusqu'à ses
opinions politiques ou religieuses ou encore ses préférences sexuelles.

L'essence même des réseaux sociaux est de rendre publique une vie
considérée originellement comme privée. Il s'agit en quelque sorte d'un journal
intime qui permet de raconter sa vie à ses amis ou contacts. Si les personnes ont
plus ou moins conscience des conséquences de cette publicité, il n'en demeure
pas moins que le phénomène de publicité de la vie privée se développe de plus
en plus. Si l'on regarde les chiffres de vente des magazines « people », on note
l'intérêt majeur que portent les lecteurs à la vie privée des célébrités. Il n'est pas
étonnant que ces mêmes personnes portent un intérêt à la vie de leurs amis.

Chaque utilisateur choisit, lors de son inscription quelles informations il

souhaite donner et qui aura accès à ses informations. En effet, à chaque
inscription, l'hébergeur demande un certain nombre d'informations personnelles.
S'ajoutent aux données livrées volontairement un certain nombre de données «
connexes », livrées lors de la navigation sur Internet, a fortiori sur les réseaux
sociaux, telles que les données de connexion et adresses. En outre, de
nombreuses informations peuvent être livrées par des tiers notamment les amis
et contacts. Cela se traduit essentiellement par la mise en ligne sur le réseau de

23
https://www.memoireonline.com/10/08/1573/m_la-protection-des-donnees-personnelles-face-aux-
nouvelles-exigences-de-securite1.html consulté le 04/11:2019

32
photos et vidéos « taguées » c'est-à-dire que les personnes figurant sur la photo
sont nommées.24

La réunion de toutes ces données permet aux réseaux sociaux de tout

connaître de leurs utilisateurs : leurs goûts, leurs loisirs. Les annonceurs, pour
obtenir ce genre d'informations, devraient systématiquement demander le
consentement exprès des consommateurs. Or peu de gens acceptent de donner
dans une optique «marketing», ce genre d'informations. Les gens, à juste titre,
refusent de donner ces informations à n'importe qui ; surtout aux annonceurs.
Alors que les choses sont différentes pour les réseaux sociaux.

Les internautes donnent leurs informations parce qu'ils le décident, le

veulent. Même s'ils ont une faible conscience de ce qu'ils donnent, ils le font
volontiers.

En effet, plutôt que de lancer des campagnes publicitaires à grande échelle

pour qu'un maximum de gens soit touché, il revient nettement moins cher de
cibler la publicité. C'est-à-dire que sur chaque page d'un utilisateur d'un réseau
social, la publicité correspondra tout-à-fait à ses goûts et la publicité est alors
plus susceptible de l'intéresser. Si le profilage a montré qu'un utilisateur était
passionné de cinéma, les fabricants de télévisions souhaiteront diffuser une
publicité sur sa page plutôt que de diffuser une publicité sur la page d'un autre
utilisateur qui affirme ne pas regarder la télévision. L'annonceur est gagnant à
tous points de vue : il économise de l'argent sur la campagne publicitaire et il
récupère plus de clients du fait du ciblage.

Ces différentes données sont alors du pain béni pour les annonceurs. Le
rachat de ces informations représente un enjeu important pour les publicitaires,
car l'information personnelle se présente aujourd'hui, comme« un bien
économique de première importance», « une ressource fondamentale au même
titre que l'énergie», et est donc intégrée dans un véritable marché.

Certains juristes proposent que la loi évolue pour rendre l'individu

pleinement propriétaire de ses données. Il pourrait alors à sa guise les louer ou
les vendre. Toutefois, une telle évolution serait contraire à l'esprit de la loi
actuelle, qui fait de la protection de la vie privée et des données personnelles un
droit intangible : on ne peut ni y renoncer ni le vendre. Elle ne correspond pas
non plus à ce que l'on entend communément par le concept de propriété.

On considère traditionnellement que le droit de propriété se décline en

trois éléments issus du droit romain : le fructus, l'usus et l'abusus. Le fructus est

24
La cybercriminalité: enjeux et dimension juridique de protection des données personnelles au Maroc / GOULI
Safae

33
le droit de profiter des revenus et produits de sa propriété, l'usus est le droit
d'utiliser celle-ci et l'abusus est le droit de la détruire ou de la vendre. On voit
bien qu'il est difficile d'appliquer ces concepts à des données personnelles : si
l'on comprend ce que pourrait être le droit de tirer un profit d'une donnée
personnelle, on voit mal comment on pourrait transférer à autrui le droit de
l'utiliser à sa place, voire la détruire. Pourrait-on ainsi vendre une donnée
aussi éminemment personnelle que son identité ?

II- Entraves d’ordre institutionnel

Ces entraves se manifestent au niveau de la méconnaissance et le manque

d'efficacité des organes chargés de la protection des données à caractère
personnel

A- Le défaut d’information sur les autorités de régulation des

télécommunications et ses missions.

Ce défaut d'information sur les ART et ses missions entrave la protection

efficace des données personnelles puisque les utilisateurs des réseaux sociaux ne
sont pas informés sur la possibilité d'un quelconque recours et de l'organe qui
prendrait en charge leur requête.

Il faut ajouter que, bien que l'ARTCI ait organisé des campagnes de
sensibilisation et des ateliers qui ne sont d'ailleurs pas suffisamment médiatisés,
ces compétences en matière de protection des données personnelles restent
étrangères à la plupart des citoyens. Comment donc une telle structure pourrait
protéger efficacement les données des citoyens ? Cette méconnaissance de
l'organe de protection des données personnelles prouve l'existence d’une grande
entrave face à la protection des données personnelles des citoyens.

B- Le défaut d'indépendance de la direction chargée de la protection des

données personnelles

L'organe de protection des données à caractère personnel a un rôle très important

dans la sensibilisation, la prévention, la promotion et la protection des droits et
libertés fondamentaux, notamment en matière de traitement de données
personnelles. Il ne devrait pas s'agir d'un simple organe, mais plutôt d'une
Autorité Administrative Indépendante, qui réponde aux critères de
fonctionnement des institutions nationales indépendantes de protection et de
promotion des droits humains. Comme critères, nous avons entre autres :

L'indépendance : l'Autorité de protection, pour le bon fonctionnement de

ses activités, doit être autonome à tout point de vue, mais être soumise à un

34
contrôle financier respectant son indépendance. Si les ART ont bien le statut
d'Autorité Administrative Indépendante en matière de télécommunication, cette
affirmation doit être nuancée s'agissant de la protection des données
personnelles. En effet, la protection des données à caractère personnel est
confiée à une direction. La question de l'indépendance de la direction en charge
de la protection des données à caractère personnel est à analyser. Cette direction
en charge de la protection des données personnelles emprunte son indépendance
aux ART. Il n'est par conséquent pas indépendant à tout point de vue. Cette
direction étant sous la coupole des ART, elle ne peut prendre de décisions ni
mener des actions en faveur de la protection des données personnelles de sa
propre initiative. Cette situation est une entrave à l'application effective de la loi.
Elle ne pourra donc parvenir à une protection effective des données personnelles
des citoyens.25

25
La cybercriminalité et ses répercussions sur la confiance numérique/ FARIH Omar

35
Chapitre 2 : l’effectivité de la mise en application des lois de
la protection des données personnelles

Comme il est précité, il s’agit dans ce chapitre de constater si il existe ou

pas une véritable application de la loi de la protection des données personnelles.
De ce fait, on va illustrer par une diapo indiquant l’évolution du nombre
des plaintes reçues par la CNDP entre 2012et 2018, et par la suite on va
introduire son commentaire pour enfin constater l’effectivité de la mise en
application de la réglementation des données personnelles.

Secton1 : Illustrations 26
De 2012 à 2017, 1.700 plaintes ont été reçues par la Commission
nationale de contrôle de la protection des données à caractère personnelles.
1.068 concernent des SMS intempestifs, dont 151 contre "un club de fitness".

Les SMS indésirables sont en tête des réclamations reçues par la CNDP,
organisme de protection des données personnelles. Sur les 1.700 plaintes
enregistrées entre 2012 et 2017, 1.068 concernent ces messages envoyés
massivement à des fins publicitaires (298 pour la seule année 2017).

Autre forme de prospection commerciale, autre canal : les SPAM par

emails ont quant à eux fait l'objet de 145 plaintes sur la même période.

Entre 2015 et 2017, le ciblage par téléphone ou mailing a conduit la

Commission à mettre en demeure une centaine de personnes (morales et
physiques). Incommodante et intrusive, cette pratique peut aussi relever du
pénal. D'où les 73 dossiers soumis à la Justice, et qui mettent tous en cause…
"un club de fitness".

Il s'agit de plaintes transférées par la CNDP aux parquets territorialement

compétents. 62 autres réclamations ont été notifiées au club en question, tandis
que 16 sont en cours de notification.

Le tribunal de première instance de Casablanca (Correctionnelle d'Ain

Sbaâ) attire le gros de ces dossiers, avec 51 plaintes transférées par la CNDP. Le
parquet de Rabat arrive en deuxième place avec seulement 8 dossiers.

26
https://www.medias24.com/MAROC/DROIT/181438-SMS-indesirables.-151-Plaintes-contre-un-club-de-
fitness-73-dossiers-devant-la-Justice.html consulté le 04/11/2019

36
 Depuis 2014, le club concentre à lui seul 151 plaintes reçues par la CNDP,
avec un pic de 94 pour l'année 2017. 2018 démarre bien puisque la CNDP
totalise déjà 9 dossiers, indique le régulateur, qui s'est gardé de nous dévoiler
l'identité du mis en cause.

Répartition des plaintes reçues contre le club par procureur du Roi

Source: CNDP

La loi n° 09-08 interdit "la prospection directe au moyen d’un automate

d’appel, d’un télécopieur ou d’un courrier électronique ou d’un moyen
employant une technologie de même nature qui utilise, sous quelque forme que
ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son
consentement préalable à recevoir des prospections directes par ce moyen."
(Article 10)

Braver l'interdit, c'est encourir l'emprisonnement "de trois mois à un an et

d’une amende de 20.000 à 200.000 DH ou de l’une de ces deux peines
seulement (article 59).

Mais les atteintes à la vie privée ne se résument pas aux SMAP et SMS, la
CNDP a reçu 134 plaintes relatives à l'usage et installations illégales des
caméras de vidéos surveillances. L'utilisation frauduleuse des données
biométriques fait aussi partie des dossiers, mais dans une moindre mesure (20
réclamations de 2012 à 2017). Plusieurs centaines de cas concernent la

37
divulgation et diffusion de données personnelles (69) et d'autres agissements
illicites.

Evolution du nombre des plaintes par thèmes 2012-2017

Source: CNDP

La CNDP dispose d'un pouvoir d'investigation et de contrôle. Ses agents

sont chargés de rechercher et contrôler, par procès-verbal, les infractions aux
dispositions de la loi n° 09-08. Les opérations de contrôle se font après
information du parquet territorialement compétent. A fin 2017, la Commission
avait procédé à plus de 6.000 notifications et 639 contrôles, dont 128 contrôles
sur place, 299 sur web, 98 sur documents et 114 Sweep day (audits sur sites
internet et applications).

38
 Section 2 : Modèle de plainte
Fait à _____, le __/__/___

M / Mme / Mlle NOM PRENOM

Adresse
Ville, PAYS
Tél
Email

A
l’attention de Monsieur le Président
de la Commission Nationale de contrôle de
la protection des Données Personnelles.

Objet : Plainte concernant le traitement de mes données personnelles par

l’organisme _________________________

Monsieur le Président,

J’ai l’honneur de vous adresser une plainte relative au traitement de mes données
personnelles effectué par l’entreprise ________________________, inscrite au
registre de commerce de_______ sous le numéro_______ et dont le siège est
à________________________.

[Décrivez ici les motifs de votre plainte et les démarches entreprises auprès du
responsable de traitement. Ex : « En effet, l’entreprise susmentionnée n’a mis à ma
disposition aucun moyen me permettant de consulter mes données personnelles en
sa possession et ce en dépit des correspondances que je lui ai adressées, dont des
copies sont jointes à cette lettre. »]

Je vous saurai gré de bien vouloir donner à vos services les instructions nécessaires
afin d’obliger l’entreprise à se conformer aux dispositions de la loi 09-08.

Je vous prie de croire, Monsieur le Président, en l’assurance de mon profond

respect.

Pièces jointes :
- copies des correspondances adressées à l’entreprise

39
Conclusion
On sait bien toutefois que chaque progrès technologique apporte son lot de
bienfaits et de nuisances ; l’internet n’échappe pas à la règle, et bien qu’il recèle,
ainsi que nous le montrerons, des vertus émancipatrices, il engendre aussi des
attitudes tyranniques. Car l’homme qui l’utilise reste lui-même : comme en tous
domaines, il est l’artisan du meilleur comme du pire. 27

A l'heure d'internet, du piratage informatique, de la traçabilité, du

marketing-comportemental, du spam, du développement de la biométrie, de la
vidéosurveillance, des péages autoroutiers et d'autres technologies avancées,
constituant donc un terrain fertile pour de potentielles atteintes à la vie privée et
bien précisément aux données personnelles.

« La donnée est au cœur de ce monde sans couture ». Cette citation illustre

parfaitement la place centrale des données. Elles sont aujourd’hui à l’épicentre
des enjeux de conformité rencontrés à travers le monde. elle constitue un bien
précieux .Les milliers de données (bancaires, personnelles,…) qui traversent la
toile sont de plus en plus partagées par les grands sites et hébergeurs d'internet
sans être protégées. -c'est un business de plusieurs dizaines de milliards d'euros
.

L’arsenal juridique et technologique en ce qui concerne les contrôles et la

protection est aujourd'hui largement insuffisant. Les cadres légaux datent et ne
répondent pas aux défis posés par l’évolution des nouvelles technologies 28.
Malgré ces tentatives d'avancées dans un domaine encore largement ignoré par
le droit, les internautes sont largement responsables des informations qu'ils
mettent en ligne. la CNIL rappelle qu'encore « trop de sites n'ont aucune mesure
de vigilance ». Il faut donc, dans l'attente d'une éventuelle loi qui viendrait palier
à un traitement moral des données personnelles par les géants du web, se méfier
de certain site, et éviter d'y recourir.
Même si le droit s'adapte avec l'évolution de la technologie il a toujours un
temps de retard .
La création de la CNDP au Maroc constitue un pas décisif sur la voie de
protection des données à caractère personnel mais il faut consolider la confiance
des citoyens aux institutions.

27
Les Nouvelles TechnologiesLaurence Burgorgue-LarsenDans Pouvoirs 2009/3 (n° 130), pages 65 à 80.
28
selon Florence Raynal, chef du service des affaires européennes et internationales de la CNIL, « n’a pas
échappé à l’Union européenne ».

40
 Bibliographie

Ouvrages

Ouvrages généraux
 Christiane FERAL-SCHUHL : Cyber droit, le droit à l’épreuve de l’internet
7°édition

Ouvrages spéciaux
 Fabrice MATTATIA : traitement des données personnelles ; le guide juridique
 Aurélie BANCK/ Catherine SCHULTIS : ved-mecum de la protection des
données personnelles
 Jessica Eynard : Les données personnelles quelle définition pour un régime de
protection efficace
 Fabrice MATTATIA : RGPD et droit des données personnelles 4° édition
 Aurélie BANCK : RGPD ; la protection des données personnelles

Loi et règlements :

■ La nouvelle constitution de 2011

■ La loi n° 09-08 promulguée par le dahir n° 1-09-15 du 18 février 2009 – 22 safar
1430, relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel (BORM n° 5714, 5 mars 2009) ;

■ La loi n° 07-03 promulguée par le dahir n° 1-03-197 du 11 novembre 2003 – 16

ramadan 1424, modifiant et complétant le Code pénal (BORM n° 5184, 5 févr. 2004)

■ La loi n° 53-05 promulguée par le dahir n° 1-07-129 du 30 novembre 2007 – 19

kaada 1428, relative à l’échange électronique de données juridiques (BORM n° 5584,
6 déc. 2007) ;

■ La loi n° 31-08 promulguée par le dahir n° 1-11-03 du 18 février 2011 – 14 rabii

1432, édictant des mesures de protection des consommateurs (BORM n° 5932, 7 avr.
2011).

■ La loi n° 132-13 portant approbation du protocole additionnel à la convention

européenne pour la protection des personnes à l’égard du traitement automatisé des
données à caractère personnel promulguée par le Dahir n° 1-14-136 du 3 chaoual 1435
(31 juill.2014) (BORM n° 6288, 4 sept.2014).

■ La loi n° 88-13 promulguée par le dahir n° 1-16-122 du 10 août 2016 – 6 kaada

1437, relative à la presse et à l’édition (BORM n° 6522, 1 déc. 2016).

41
 ■ Règlement Intérieur de la CNDP

Thèses et mémoires
 La protection des données à caractère personnel étude comparative, TADA
OWIS, MEMOIRE D’OBTENTION DU MASTER
 Protection des données personnelles au Maroc quel rôle pour la CNDP? /
RHAZZALI Bouchra
 La cybercriminalité: enjeux et dimension juridique de protection des données
personnelles au Maroc / GOULI Safae
 La cybercriminalité et ses répercussions sur la confiance numérique/ FARIH
Omar
 La protection civile de la vie privée/ MEZGHANI Nébila
 La protection de la vie privée

Webographie
 https://fr.irefeurope.org/Publications/Etudes-et-Monographies/article/Le-
numerique-et-ses-ennemis-lever-les-obstacles-a-la-libre-exploitation-des-donnees
 https://www.memoireonline.com/10/08/1573/m_la-protection-des-donnees-
personnelles-face-aux-nouvelles-exigences-de-securite1.html
 https://blogs.parisnanterre.fr/article/le-droit-loubli-liberte-fondamentale-ou-
entrave-la-liberte-dexpression

42
Sommaire ...........................................................................................................................................3
INTRODUCTION...............................................................................................................................4
Partie1 : réglementation et régulation de la protection des données à caractère personnel ............8
Chapitre 1 : Protection des données à caractère personnel au niveau international ........................8
Section 1 : la protection des données personnelles œuvre de diverses institutions internationales .8
Section 2 : Dispositions internationales visant la protection des données personnelles ................ 11
Chapitre 2 : la protection des données personnelles sur le plan national ....................................... 15
Section 1 : protection des données personnelles à travers divers dispositifs légaux....................... 15
1- la nouvelle constitution de juillet 2011 .................................................................................. 16
2-la loi n° 09-08 ............................................................................................................................. 16
3- la loi N° 07-03 ........................................................................................................................ 24
4- LOI N° 53-05 .......................................................................................................................... 25
5- La loi N° 31-08 ....................................................................................................................... 25
6- La loi n°88-13 ........................................................................................................................ 26
Section2 : La protection institutionnelle des données à caractère personnel ................................. 26
 INSTITUTION DE LA COMMISSION NATIONALE DE CONTRÔLE DE LA PROTECTION DES
DONNÉES À CARACTÈRE PERSONNEL (CNDP) ................................................................................ 26
a- Composition .......................................................................................................................... 26
b- Missions ................................................................................................................................ 27
Partie 2 : Effectivité des lois de la protection des données personnelles ....................................... 29
Chapitre1 : Impact entraves et de la protection des données personnelles .................................. 29
Section 1 : Impacts de la protection des données personnelles ..................................................... 29
A- Impact sur le niveau économique .......................................................................................... 29
B- Impact sur la vie privée et les droits des personnes concernées............................................. 29
Section2 : Entraves face à la véritable protection des données personnelles ................................. 30
I- Entraves d’ordre technique ................................................................................................... 30
1- Une collecte abusive des données à caractère personnel des membres des réseaux sociaux . 30
A- Une collecte excessive des données à caractère personnel des membres des réseaux sociaux
30
B- Une collecte illicite de données sensibles des membres des réseaux sociaux ......................... 31
2- Un traitement détourné de sa finalité ................................................................................... 31
A- La conservation des données au-delà de la réalisation de la finalité .......................................... 32
B- La commercialisation des données ............................................................................................ 32
II- Entraves d’ordre institutionnel .............................................................................................. 34

43
A- Le défaut d’information sur les autorités de régulation des télécommunications et ses
missions. ....................................................................................................................................... 34
B- Le défaut d'indépendance de la direction chargée de la protection des données personnelles .. 34
Chapitre 2 : l’effectivité de la mise en application des lois de la protection des données
personnelles ................................................................................................................................. 36
Secton1 : Illustrations.................................................................................................................... 36
Section 2 : Modèle de plainte ........................................................................................................ 39
Conclusion .................................................................................................................................... 40
Bibliographie................................................................................................................................. 41

44