La création de la CNDP un impératif pour l’attractivité du Maroc à l’échelle internationale
La promulgation de la Loi 09-08 s’inscrit dans le cadre de la modernisation du système juridique marocain relatif à la protection des données à caractère personnel afin de consolider et de renforcer son système de protection du citoyen face aux nouvelles technologies, et pour que le Maroc soit à la hauteur des nouveaux défis posés par le digital, et notamment le commerce électronique. La sécurité des données personnelles est devenue un enjeu central pour les investisseurs qui avant de transférer leurs données dans un pays cible n’hésitent plus à conduire une due diligence très approfondie des normes et règles applicables aux données personnelles de leur client et à la sécurité de leurs données.
C’est dans cet esprit et conformément aux conventions internationales et en application des directives européennes, précisément en vertu de l’adhésion du Maroc à la convention n ° 108 du Conseil de l’Europe, que la Loi 09-08 a créée conformément à l’article 27, la Commission nationale de contrôle de la protection des données à caractère personnel, son objectif principal est d’assurer la mise en œuvre des dispositions de cette loi, d’être la première institution chargée d’assurer l’application des règles relatives à la protection des données à caractère personnel.
Malgré ces efforts, le Maroc à ce jour, ne figure pas dans la liste des Etats reconnus par l’union européenne comme assurant une protection suffisante des données personnelles, ce qui représente un frein certain pour les sociétés désirant s’implanter au Maroc, ainsi que les sous-traitants marocains de sociétés européennes.
La CNDP dispose de pouvoirs d’investigations importants
Pour mener à bien ses missions, la CNDP dispose de pouvoirs d’investigation et d’enquête lui permettant de contrôler et de vérifier que les traitements des données personnelles sont effectués conformément aux dispositions de la Loi 09-08 et de ses textes d’application. A cet effet, ses agents peuvent accéder directement à tous les éléments intervenant dans les processus de traitement (les données, les équipements, les locaux, les supports d’information …..). Ces contrôles peuvent donner lieu à des sanctions administratives, pécuniaires ou pénales.
Ce pouvoir d’investigation conféré par l’article 30 de la Loi 09-08 apparaît comme un pouvoir discrétionnaire, non soumis au contrôle de la justice. En effet, la loi 09-08 ne mentionne pas la nécessité d’obtenir l’autorisation du procureur ou du juge d’instruction pour conduire une enquête dans les locaux d’une entreprise. Une simple information préalable du procureur est requise et seule la saisie de matériel nécessite l’autorisation du procureur de la république conformément à l’article 21 du Décret 2-09-165.
L’article 30 de la Loi permet à la CNDP de mener quatre mesures distinctes pour assurer la conformité à la Loi, ses décrets et les délibérations de la CNDP.
La première mesure est celle diligenter une enquête. Les agents de la CNDP peuvent se rendre sur les lieux, demander un accès aux données faisant l’objet d’un traitement et saisir toute information ou tout document nécessaire pour mener la mission de contrôle.
La seconde mesure est celle d’ordonner que lui soit communiqué des documents dans un certain délai et fixer des sanctions en cas de défaut de communication.
La troisième mesure consiste dans la possibilité de procéder à toute modification des données pour permettre un traitement conforme à la Loi.
Enfin, la CNDP peut ordonner le verrouillage, la destruction ou l’effacement de données et l’interdiction de procéder au traitement de données.
Au vu de ce pouvoir d’investigation, se mettre en conformité avec la loi 09-08 peut apparaitre comme une nécessité pour les sociétés marocaines mais aussi étrangères.
Les infractions introduites par la Loi 09-08
Le Chapitre VII de la Loi n° 09-08 énonce les faits qui constituent des infractions. Nous pouvons les résumer comme suit :
- Tout traitement portant atteinte à l’ordre public, à la sureté, à la morale et aux bonnes mœurs ;
- La mise en œuvre d’un traitement sans l’autorisation ou la déclaration exigée ;
- Le refus du droit d’accès, de rectification ou d’opposition ;
- Toute incompatibilité avec la finalité déclarée ;
- Le non-respect de la durée de conservation des données ;
- Le non-respect des mesures de sécurité des traitements ;
- Le non-respect du consentement de la personne concernée, notamment lorsqu’il s’agit de prospection directe à des fins commerciales, avec aggravation des sanctions lorsqu’il s’agit de données sensibles ;
- Tout transfert de données personnelles vers un pays n’étant pas reconnu comme assurant une protection adéquate ;
- Toute entrave à l’exercice des missions de contrôle de la CNDP ;
- Tout refus d’application des décisions de la CNDP.
Sanctions contre les personnes physiques
La Loi 09-08 prévoit diverses sanctions pour les responsables de traitement qui ne respectent pas les dispositions de cette dite loi visant à protéger les données à caractère personnel. Ces sanctions et leurs montants peuvent être conséquents ceci afin de jouer un rôle dissuasif. Elles ont été conçues de manière à obliger les responsables de traitement à agir avec plus de transparence dans la collecte de données à caractère personnel, mais surtout à les utiliser en respectant les droits et libertés des personnes concernées.
À l’encontre des personnes physiques responsables du traitement des données personnelles, et sans préjudice de leur responsabilité civile à l’égard des personnes ayant subi des dommages du fait de l’infraction, les sanctions varient selon la gravité des faits incriminés, pour ce qui est de l’emprisonnement entre trois mois et deux ans de prison, et pour ce qui est des amendes entre 10 000 et 300 000 dirhams. Ces sanctions peuvent être portées au double en cas de récidive.
Des sanctions plus sévères contre les personnes morales
Lorsque l’auteur de l’infraction est une personne morale, et sans préjudice des peines qui peuvent être appliquées à ses dirigeants, les peines d’amende sont portées au double. La personne morale peut voir ses biens confisqués et ses établissements fermés.
Cette partie est traitée par l’article 64 de la Loi 09-08 qui prévoit :
Lorsque l’auteur de l’une des infractions prévues et sanctionnées au titre du présent chapitre est une personne morale et sans préjudice des peines qui peuvent être appliquées à ses dirigeants auteurs de l’une des infractions prévues ci-dessus, les peines d’amende sont portées au double.
En outre, la personne morale peut être punie de l’une des peines suivantes :
- la confiscation partielle de ses biens ;
- la confiscation des biens objet de l’infraction ;
- la fermeture du ou des établissements de la personne morale où l’infraction a été commise.
Les recours des victimes en cas d’infraction
Le législateur a conféré aux victimes la possibilité de déposer plainte si leurs droits ne sont pas respectés par le responsable de traitement, et cela soit auprès de la justice ou bien aux agents de la CNDP, sans oublier que ces derniers ont la possibilité de chercher et constater des faits constituant des infractions selon la Loi 09-08.
Les personnes physiques qui se considèrent « victimes » d’une atteinte à leurs données personnelles peuvent adresser leurs plaintes à la police judiciaire ou aux agents de la CNDP qui sont habilités à rechercher et à constater les infractions. Les procès-verbaux qu’ils rédigent à ce titre sont transmis, dans les cinq jours suivant les opérations de recherche et de constatation, au procureur du Roi. Les victimes peuvent également adresser leurs plaintes à ce dernier.
Les recours dans l’intérêt de l’ordre public ou de la loi
Les agents de la police judiciaire et ceux de la CNDP ont également pour mission de rechercher et de constater les atteintes à l’ordre public ou aux dispositions de la Loi n° 09-08. Dans ce cas également, ils transmettent leurs procès-verbaux au procureur du Roi qui étudie l’opportunité d’engager des poursuites contre le contrevenant.
Quels sont les droits et la procédure à suivre en cas d’investigation de la CNDP ?
Bien que la CNDP dispose d’un pouvoir souverain pour diligenter une investigation, cette investigation doit obéir à des règles strictes qui sont pour la plupart des règles internes à la CNDP qui sont issues de son règlement interne.
La loi 09-08 n’introduit pas un réel cadre légal pour l’investigation mais énonce un principe important à l’article 31, le principe du contradictoire et le respect d’une procédure disciplinaire garantissant les droits de la défense. Toutefois, la loi 09-08 a malheureusement exclu les procédures d’investigation sur place et la mesure de modification des données du respect de ses principes. Ces principes ne s’appliquent qu’en cas de contrôle sur pièce (demande de communication de documents) et de demande de suppression, de verrouillage ou d’interdiction de traitement de données. Cette application partielle des principes de respect des droits de la défense et de contradictoire peut surprendre. Peut-être le législateur a-t-il voulu réserver ses principes aux mesures de contrôle sur pièce et de privation du droit de procéder à un traitement car elles sont assorties de sanctions, ce qui n’est pas le cas des autres mesures (contrôle sur place et droit de modification de données).
Le décret 2-09-165 (le « Décret ») ainsi que le règlement interne de la CNDP (issu de la décision du Premier Ministre n°3-33-11) apporte des garanties au citoyen faisant l’objet d’une mesure de contrôle.
Ainsi l’opération de contrôle doit faire l’objet d’une décision de la CNDP. Cette décision est votée à la majorité des membres présents de la CNDP (avec un quorum de deux tiers des membres). Les membres de la CNDP sont le Premier Ministre, le Président de la CNDP, les deux membres désignés sur proposition de la chambre des conseillers, deux membres désignés sur proposition de la chambre des représentants, et deux membres désignés sur proposition du premier ministre. Cette décision doit mentionner le nom du responsable de traitement, le nom de l’agent commissionné (ou des agents commissionnés) pour diligenter le contrôle sur place, et la durée ainsi que l’objet du contrôle.
Ainsi l’opération de contrôle est strictement cadrée par cette décision de la CNDP et les agents devront se conformer à la lettre à la décision et ne pourront sortir du cadre fixé par la CNDP.
Cette opération fait l’objet d’une information du Procureur compétent au moins 24 heures à l’avance. Cet avis devra énoncer l’heure, la date, l’objet et le lieu du contrôle.
Les agents devront présenter leur habilitation et leur ordre de mission.
Enfin, un procès-verbal détaillé devra être rédigé. Ce procès devra comprendre la nature, le jour, l’heure et le lieu du contrôle effectué. Il devra indiquer l’objet, les personnes rencontrées, les agents de la CNDP présents, les déclarations des personnes contrôlées et les difficultés rencontrées. En annexe, un inventaire devra lister les pièces et les documents donc copie a été prise et contresigné par l’agent de la CNDP et le responsable sur place.
Les agents de la CNDP peuvent formuler une demande d’autorisation au procureur pour effectuer une saisie de matériel. Cette demande doit être motivée et comporter toutes les informations nécessaires pour statuer sur l’autorisation.
Les agents peuvent également auditionner toute personne de leur choix en la convoquant par lettre recommandée au moins sept jours avant la date de l’audition. La personne convoquée peut être accompagnée de la personne de son choix. En cas de refus de répondre à la convocation, elle doit être mentionnée sur un procès-verbal.
Aperçu des sanctions infligées par la CNDP à date d’aujourd’hui.
On constate que le législateur a voulu faire preuve de sévérité quant aux sanctions prévues dans le cadre de la Loi n° 09-08. L’objectif évident est, dans un premier temps, de dissuader les personnes qui manipulent des données personnelles de contrevenir aux dispositions légales et de les inciter à faire preuve d’une vigilance extrême lors des traitements effectués. Dans un second temps, l’objectif est d’appliquer des peines exemplaires à l’encontre des contrevenants pour qu’ils évitent de porter atteinte à nouveau aux droits des citoyens.
Le législateur a prévu un arsenal répressif contre tout responsable de traitement, qu’il soit une personne physique ou morale, qui ne respecte pas les dispositions de la Loi 09-08.
Selon le dernier rapport de la CNDP publié à ce jour, le nombre de plaintes reçues par la CNDP continue d’augmenter et atteint 584 unités en 2016, soit une hausse de 47% par rapport à 2015.
Concernant les sanctions, les retours d’expérience montrent que les mises en demeure et les lettres de relance, adressées par huissier de justice aux organismes publics et acteurs privés sont des moyens assez efficaces en matière de mise en conformité à la loi 09-08.
Sur 584 plaintes reçues en 2016, 51 ont fait l’objet d’une mise en demeure, dont 43 portent sur la prospection directe et 8 sur la vidéosurveillance. Au total, 65 dossiers ont été transmis par huissier de justice en 2016 contre 8 en 2015.
Toutefois nous restons en attente de la publication de rapports annuels plus récents car ces dernières années la CNDP a considérablement augmenté la cadence des missions de contrôles.