Le cadre juridique de la nouvelle technologie au Maroc

Le Maroc dispose d'un cadre juridique robuste visant à protéger les droits des
consommateurs, avec des lois spécifiques et des réglementations couvrant
divers aspects, y compris ceux liés aux nouvelles technologies. Voici
quelques-unes des lois pertinentes dans le contexte de la protection des
consommateurs au Maroc.

Loi sur la Protection des Données Personnelles (LPDP)

La LPDP, promulguée en 2009, établit les principes fondamentaux régissant
la collecte, le traitement, et la protection des données personnelles. Elle vise
à assurer la confidentialité et la sécurité des informations des individus,
imposant des obligations strictes aux entités traitant ces données. Cette loi
est cruciale dans le contexte de la sécurité des données et de la protection
de la vie privée des consommateurs.

Nouvelle Constitution
La réforme constitutionnelle de juillet 2011 a réaffirmé l'attachement du
Maroc à la construction d'un État de droit, démocratique et moderne qui
protège les droits de l'homme et les libertés individuelles et collectives. Parmi
ces droits, figure le droit à la protection de la vie privée. Dans son article 24,
la nouvelle Constitution souligne ce droit fondamental en ces termes :
« Toute personne a droit à la protection de sa vie privée. Le domicile est
inviolable. Les perquisitions ne peuvent intervenir que dans les conditions et
les formes prévues par la loi. Les communications privées, sous quelque
forme que ce soit, sont secrètes. Seule la justice peut autoriser, dans les
conditions et selon les formes prévues par la loi, l'accès à leur contenu, leur
divulgation totale ou partielle ou leur invocation à la charge de quiconque. Est
garantie pour tous, la liberté de circuler et de s'établir sur le territoire national,
d'en sortir et d'y retourner, conformément à la loi ». Lorsque la Constitution
affirme le principe du droit à la protection de la vie privée, elle entend
protéger les droits des individus quant aux informations qui leur sont
personnelles. Par ailleurs, en consacrant la primauté des conventions
internationales ratifiées, la Constitution impose le respect, sur le plan interne,
des dispositions du Pacte international relatif aux droits civils et politiques
dont l'article 17 rappelle les dispositions de la Déclaration universelle des
droits de l'homme relatives à la protection que doit apporter la loi contre les
immixtions arbitraires dans la vie privée des individus et les atteintes à leur
honneur et à leur réputation.
Adaptation du droit interne

L'adhésion du Maroc à la législation internationale en matière de droit à la

protection des données à caractère personnel et la consécration de ce droit
par la Constitution constituent une véritable base pour l'harmonisation de son
droit interne avec les principes et dispositions énoncés dans ces textes. Au
cours des dix dernières années, le législateur marocain a mis en place un
régime juridique protecteur des données personnelles en adoptant les lois
suivantes :
Loi n° 07-03, promulguée par le dahir n° 1-03-197 du 11 novembre 2003 (16
ramadan 1424), modifiant et complétant le Code pénal (BORM n° 5184,
5 févr. 2004) ;
Loi n° 53-05, promulguée par le dahir n° 1-07-129 du 30 novembre 2007 (19
kaada 1428), relative à l'échange électronique de données juridiques (BORM
n° 5584, 6 déc. 2007) ;
Loi n° 09-08, promulguée par le dahir n° 1-09-15 du 18 février 2009 (22 safar
1430), relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel (BORM n° 5714, 5 mars
2009) ;
Loi n° 31-08, promulguée par le dahir n° 1-11-03 du 18 février 2011 (14 rabii
1432), édictant des mesures de protection des consommateurs (BORM
n° 5932, 7 avr. 2011) ;
loi n° 132-13 , portant approbation du protocole additionnel à la convention
européenne pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel promulguée par le dahir n° 1-
14-136 du 31 juillet 2014 (3 chaoual 1435) (BORM n° 6288, 4 sept. 2014) ;
loi n° 88-13, promulguée par le dahir n° 1-16-122 du 10 août 2016 (6 kaada
1437), relative à la presse et à l'édition (BORM n° 6522, 1er déc. 2016);
loi n° 31-13, promulguée par dahir n° 1-18-15 du 22 février 2018, relative au
droit d'accès à l'information (BORM n° 6670, 3 mai 2018); Protection des
données personnelles www.lexisma.com 5 loi n° 21-18, promulguée par dahir
n° 1-19-76 du 17 avril 2019, relative aux sûretés mobilières (BORM n°6840
19 déc. 2019);
loi n° 103-13, promulguée par dahir n° 1-18-19 du 22 février 2018, relative à
la lutte contre les violences faites aux femmes ( BORM n°6688, 5 juil. 2018).

Loi sur la protection du consommateur

La Loi sur la Protection du Consommateur, révisée en 2011, offre un cadre
général de protection des droits des consommateurs. Elle couvre un large
éventail de domaines, allant de la qualité des produits et des services à
l'information précontractuelle, visant à garantir des transactions justes et
équitables. Cette loi s'adapte progressivement aux évolutions technologiques
et aux nouvelles formes de commerce.

- Principes fondamentaux de la protection des données personnelles

Consentement de la personne concernée
Définition du consentement - Le consentement est une manifestation de
volonté libre, spécifique et informée, par laquelle la personne concernée
accepte que les données à caractère personnel la concernant fassent l'objet
d'un traitement.
Protection des données personnelles
Caractère obligatoire
Conformément à l'article 4 de la loi n° 09-08, le traitement des données à
caractère personnel ne peut être effectué que si la personne concernée a
indubitablement donné son consentement à l'opération ou à l'ensemble des
opérations envisagées.
Illustration
Ainsi par exemple, lors d'une opération d'achat en ligne, le consommateur
accepte expressément que ses données personnelles soient traitées par le
vendeur pour les besoins de la transaction. Si le vendeur envisage un
traitement de ces données autre que celui lié à l'opération en question, il doit
requérir le consentement de la personne concernée. Il arrive ainsi qu'il soit
demandé à l'acheteur de cocher une case supplémentaire indiquant qu'il
accepte que ses données personnelles soient transmises à des partenaires
commerciaux du vendeur pour que ceux-ci puissent promouvoir leurs
produits et services. À défaut de consentement, le transfert des données
personnel de la personne concernée par le vendeur à un tiers serait
considéré comme illicite.
Obligation d'une détermination claire de la finalité
Le traitement de données personnelles doit avoir une finalité clairement
définie. Elles ne peuvent être collectées que pour des finalités déterminées et
ne doivent pas être traitées ultérieurement de manière incompatible avec ces
finalités. 18. - Illustration - En reprenant l'exemple ci-dessus, on peut dire que
le consentement de l'acheteur doit être requis pour deux finalités qui doivent
lui être clairement exposées : la transaction envisagée et le transfert à un ou
plusieurs partenaires du vendeur.
Notion
Le principe de proportionnalité implique que les données personnelles
collectées soient en adéquation avec la finalité du traitement. Ainsi, les
données doivent être « adéquates, pertinentes et non excessives au regard
des finalités pour lesquelles elles sont traitées ultérieurement » (L. n° 09-
08,18 févr.2009, art. 3, al. 1er, c).
. - Illustration - Par exemple, lorsqu'une personne souhaite souscrire un
abonnement téléphonique auprès d'un opérateur, il ne nous paraît pas
nécessaire que celui-ci demande au futur client sa situation matrimoniale.
Une telle demande serait, à notre sens, excessive. En revanche, si la
personne souhaite souscrire une assurance-vie, la demande nous paraît
légitime, adéquate et pertinente eu égard à l'opération envisagée.
- Principe fondamental général - Il s'agit là d'un principe fondamental qui doit
sous-tendre toute opération de traitement portant sur les données
personnelles. Il faut ainsi s'assurer que les données soient collectées
loyalement, c'est-àdire que les personnes concernées soient bien informées
et veiller à ce que leurs droits soient respectés. Il faut aussi faire en sorte que
les données soient protégées contre toute atteinte qui pourrait venir de tiers
en mettant en place les moyens humains et techniques adéquats.

C. - Mécanismes de protection
Établissement des droits des personnes concernées
. - Consentement
Inhérent au premier principe évoqué ci-dessus, le droit de la personne
concernée de donner ou de refuser son consentement permet aux individus
de garder le contrôle de leur vie privée et des données qui leur sont
personnelles.
. - Droit à l'information lors de la collecte des données
Toute personne dont il est envisagé de traiter les données personnelles a le
droit d'être informée de façon précise, expresse et non équivoque de
l'utilisation ou du stockage des données la concernant. Ce droit à
l'information porte également sur l'organisme qui effectue la collecte des
informations et les destinataires envisagés. De plus, lorsque la personne
répond à un questionnaire, il doit être porté à sa connaissance si la réponse à
telle ou telle question est obligatoire ou facultative.
- Droit d'accès
Ce droit est reconnu par l'article 7 de la loi n° 09-08 . Il permet à toute
personne d'accéder aux informations la concernant pour s'assurer de leur
exactitude.
- Droit de rectification
Complétant le droit d'accès, il permet aux personnes concernées d'exiger la
rectification des informations la concernant, notamment lorsqu'elles sont
inexactes ou incomplètes. Ce droit s'exerce au travers d'une requête
adressée au responsable du traitement qui est tenu d'y répondre dans un
délai de 10 jours, sans imposer de frais.
. - Droit d'opposition à la prospection directe –
La prospection directe est l'envoi de tout message destiné à promouvoir,
Protection des données personnelles
. - Droit d'opposition à la prospection directe
La prospection directe est l'envoi de tout message destiné à promouvoir,
directement ou indirectement, des biens, des services ou l'image d'une
personne vendant des biens ou fournissant des services. Durant ces
dernières années, des abus ont été constatés en matière de prospection
directe, notamment commerciale. La loi n° 09-08 est venue encadrer ce type
de pratique pour protéger la vie privée des citoyens contre les intrusions
intempestives dans leur espace privé (téléphone, messagerie
électronique, etc.).
Ainsi, l'article 9 permet à toute personne dont les données à caractère
personnel font l'objet d'un traitement de s'opposer, sans frais, à ce que les
données la concernant soient utilisées à des fins de prospection
commerciale. D'ailleurs, l'article 10 affirme ce droit en interdisant la
prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un
courrier électronique ou d'un moyen employant une technologie de même
nature qui utilise, sous quelque forme que ce soit, les coordonnées d'une
personne physique qui n'a pas exprimé son consentement libre et spécifique
à recevoir des prospections directes par ce moyen.

Loi sur le Commerce Électronique

La Loi sur le Commerce Électronique, adoptée en 2007, définit le cadre
juridique des transactions électroniques. Elle établit les règles régissant la
validité juridique des contrats électroniques, la responsabilité des
fournisseurs de services, et la protection des consommateurs dans le
contexte du commerce électronique. Cette loi vise à sécuriser les
transactions en ligne et à instaurer la confiance des consommateurs.

Loi sur la Cybercriminalité

La Loi sur la Cybercriminalité, promulguée en 2018, renforce les mécanismes
de répression contre les crimes liés à l'utilisation des technologies de
l'information. Elle couvre les aspects liés à la sécurité des données, la
protection contre les attaques informatiques, et la lutte contre la fraude
électronique, contribuant ainsi à la protection des consommateurs contre les
menaces cybernétiques.
Le Maroc s’est engagé depuis 2011, sous la Conduite Eclairée de Sa Majesté
le Roi que Dieu l’Assiste, sur la voie du renforcement de ses capacités
nationales de sécurité des systèmes d’information et de la consolidation de la
confiance numérique. Dans la continuité des actions ainsi entreprises, le
Royaume s’est doté en 2012 d’une Stratégie Nationale de Cybersécurité et
d’une Directive Nationale de la Sécurité des Systèmes d’Information
applicable depuis 2014 aux administrations et organismes publics. Pour
accélérer la montée en puissance de ce dispositif, l’Administration de la
défense nationale (ADN) a également élaboré en 2016 un décret fixant le
dispositif de protection des systèmes d’information sensibles (SIS) des
infrastructures d’importance vitale. Ce texte a été complété par l’élaboration
en 2018 d’un arrêté du Chef du Gouvernement fixant les critères
d’homologation des prestataires d’audit des SIS des infrastructures
d’importance vitale et les modalités de déroulement de l’audit. Compte tenu
des enjeux auxquels notre pays est confronté dans le domaine de la
cybersécurité, il devient plus que jamais nécessaire de disposer d’un cadre
juridique complet qui s’appuierait sur les actions déjà menées. Ce cadre
permettrait de renforcer la sécurité des systèmes d’information de l’Etat
ROYAUME DU MAROC ROYAUME DU MAROC ADMINISTRATION DE LA
DEFENSE NATIONALE Rabat, le 17.0 2 et des infrastructures d’importance
vitale et préconiserait des actions de sensibilisation au profit des opérateurs
du secteur privé et des particuliers. En capitalisant sur ce contexte
international de renforcement de la législation sur la cybersécurité et sur
l’édifice juridique national dans le domaine, l’ADN a, suite au Haut
Assentiment Royal, élaboré la loi 05-20 relative à la cybersécurité
promulguée par le Dahir n°1-20-69 du 4 hija (25 juillet 2020).

- l’Autorité nationale de la cybercriminalité

L’autorité nationale est tenue de préserver la confidentialité des informations
sensibles qu’elle recueille dans le cadre de la présente loi

L’autorité nationale fixe les règles de sécurité nécessaires à la protection des

systèmes d’information des entités, des infrastructures d’importance vitale et
des opérateurs visés à l’article premier de la présente loi. L’autorité nationale
fixe des règles de sécurité particulières à un secteur d’activité d’importance
vitale déterminé. Elle notifie aux responsables des infrastructures
d’importance vitale relevant dudit secteur lesdites règles ainsi que les
modalités et les délais de leur mise en œuvre. Les responsables précités
sont tenus d’appliquer ces règles à leurs frais.
L’autorité nationale collabore avec les services compétents de l’Etat à travers
l’échange de toute donnée ou information susceptible de les aider dans le
traitement des infractions portant atteinte aux systèmes de traitement
automatisé des données. Lorsqu’il appert à l’autorité nationale, à l’occasion
de l’exercice de ses attributions, qu’un acte est présumé contraire à la loi, elle
en saisit les autorités compétentes. Les autorités compétentes doivent
informer l’autorité nationale du sort réservé à la saisine.

Loi sur la Protection des Données Personnelles des Abonnés aux

Services de Communications Électroniques

La loi 09-08 sur relative à la protection des personnes physiques à l’égard du

traitement des données à caractère personnel est un défi majeur pour
nombre d’administrations publiques tenues de protéger les données
personnelles des citoyens Marocain. Sans préciser clairement comment
protéger les données, la loi 09-08 n'est pas une norme technologique et
n'encourage aucune approche technologique précise. Il invite néanmoins à
s'interroger sur comment initier et gérer la mise en conformité. Pour éclairer
les administrations sur le rôle de la cybersécurité dans le contexte de la loi
marocaine de protection des données à caractère personnel, cette article
dresse un panorama du règlement et propose un Framework pour
accompagner la mise en conformité et voir l’impact de la protection des
données à caractère personnel sur la gouvernance de la sécurité des
systèmes d’information à travers les bonnes pratiques regroupé dans la
directive nationale de la sécurité des systèmes d’information (DNSSI). Ce
document se penche notamment sur la notion d'état de l'art en matière de
gouvernance de la sécurité des systèmes d’information et de ses avantages
pour les organisations souhaitant associer les différentes briques nécessaires
à la conformité. Pour aider les professionnels de l'informatique et de la
conformité qui participent au projet de mise en conformité et de gestion des
risques informatique, nous dévoilons la question de comment la manière de
la mise en œuvre de la DNSSI peut aider les administrations publiques
marocaines à atteindre la conformité à la loi 09- 08, dans le but d’atteindre la
gouvernance des systèmes d’information grâce à une maitrise des risques.

Adoptée en 2018, cette loi spécifique renforce la protection des données

personnelles dans le contexte des services de communications
électroniques. Elle vise à garantir la confidentialité des informations des
abonnés et à réguler la collecte et le traitement des données dans le secteur
des télécommunications.

La présente loi s’applique au traitement des données à caractère

personnel, automatisé en tout ou en partie, ainsi qu’au traitement non
automatisé de données à caractère personnel contenues ou appelées à
figurer dans des fichiers manuels ;

- La présente loi s’applique au traitement des données à caractère

personnel répondant à la définition du paragraphe
1 ci-dessus :
a) Lorsqu’il est effectué par une personne physique ou morale dont le
responsable est établi sur le territoire marocain. Le responsable d’un
traitement qui exerce une activité sur le territoire marocain dans le
cadre d’une installation, qu’elle que soit sa forme juridique, y est
considéré comme établi ;
b) Lorsque le responsable n’est pas établi sur le territoire marocain
mais recourt, à des fins de traitement des données à caractère
personnel, à des moyens automatisés ou non, situés sur le territoire
marocain, à l’exclusion des traitements qui ne sont utilisés qu’à des fins
de transit sur le territoire national ou sur celui d’un Etat dont la
législation est reconnue équivalente à celle du Maroc en matière de
protection des données à caractère personnel ;
3- Dans le cas visé, le responsable du traitement doit notifier à la
Commission nationale, l’identité d’un représentant installé au Maroc qui
sans préjudice de sa responsabilité personnelle, se substitue à lui dans
tous ses droits et obligations résultant des dispositions de la présente
loi et des textes pris pour son application ;

4- La présente loi ne s’applique pas :

- au traitement de données à caractère personnel effectué par une
personne physique pour l’exercice d’activités exclusivement
personnelles ou domestiques ; - aux données à caractère personnel
recueillies et traitées dans l’intérêt de la défense nationale et de la
sécurité intérieure ou extérieure de l’Etat. Elle ne s’applique aux
données à caractère personnel recueillies et traitées à des fins de
prévention et de répression des crimes et délits que dans les conditions
fixées par la loi ou le règlement qui crée le fichier en cause ; ce
règlement précise le responsable du traitement, la condition de
légitimité du traitement, la ou les finalités du traitement, la ou les
 catégories de personnes concernées et les données ou les catégories
de données s’y rapportant, l’origine de ces données ou les tiers ou les
catégories de tiers auxquels ces données peuvent être communiquées
et les mesures à prendre pour assurer la sécurité du traitement. Il est
soumis à l’avis préalable de la Commission nationale ; - aux données à
caractère personnel recueillies en application d’une législation
particulière. Les projets ou propositions de loi portant création de
fichiers relatifs aux données précitées sont communiqués à la
Commission nationale en précisant l’autorité responsable du fichier, la
ou les finalités du traitement, la ou les catégories de personnes
concernées et les données ou les catégories de données s’y
rapportant, l’origine de ces

-5- données, les tiers ou les catégories de tiers auxquels ces données
peuvent être communiquées et les mesures à prendre pour assurer la
sécurité du traitement.

Législation Connexe aux Nouvelles Technologies :

Loi sur la Protection du Droit d'Auteur et des Droits Voisins
Cette loi vise à protéger les droits des créateurs dans le contexte numérique,
offrant des dispositions spécifiques pour lutter contre la contrefaçon en ligne
et préserver les droits de propriété intellectuelle dans le domaine des
nouvelles technologies.

Loi sur les Crimes Informatiques et la Protection des Systèmes

d'Information
Cette loi s'adresse aux crimes informatiques, y compris les attaques contre
les systèmes d'information. Elle renforce les mesures de sécurité dans le
domaine numérique et contribue à protéger les consommateurs contre les
menaces en ligne.