[Maroc] Un haro sur le statut juridique de la CNDP.

L’avènement de la crise sanitaire liée à la pandémie Covid-19 a accéléré le processus de de transformation digitale au Maroc [1]. Du coup, tout avant cette pandémie virale, de nombreuses entreprises nationales ou multinationales ont adopté des stratégies de transition numérique en vue de s’adapter aux contraintes contemporaines [2].

Or, un tel processus pourrait constituer un danger pour la vie privée des consommateurs et pour leurs données personnelles (DP), qui sont des droits fondamentaux consacrés par la Constitution, s’il n’est pas conforme [3] au cadre légal en place. Pour assurer cette conformité et renforcer la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le législateur a créé une instance dite Commission Nationale de Contrôle de la Protection des Données à caractère Personnel (CNDP) [4] en vertu de la loi 09-08 du 18 février 2009 [5]. Le décret d’application [6] de ladite loi, n’a pas tardé à être pris vu l’importance de ses dispositions. De plus, une décision du Premier Ministre (actuellement Chef du gouvernement) a été prise pour l’homologation du règlement intérieur de ladite Commission [7].

En fait, la protection de la vie privée, dont il résulte le droit à la protection des DP, est garantie, au Maroc, par la Constitution de 2011 [8] dans son article 24 [9].

Une telle consécration montre à tel point ce droit est à la fois très essentiel et sensible. Cependant, le Constituant marocain n’a pas prévu une instance, dans le cadre des institutions et instances de protection des droits et libertés, de la bonne gouvernance, du développement humain et durable et de la démocratie participative, se chargeant de la protection de tel droit. Il a pourtant laissé la tâche au législateur en énonçant dans l’article 159 de la Constitution la possibilité de créer par la loi d’autres instances de régulation si nécessité il y a.

Ainsi, le même Article énonce-t-il que ces instances de régulation sont indépendantes [10]

De ce fait, le législateur a donc mis en place la CNDP dans le cadre de la loi 09-08 précitée toujours est-il qu’il l’a soumise à la tutelle du pouvoir exécutif en contradiction flagrante avec des standards internationaux en la matière [11].

A vrai dire, le fait que l’article 27 de la loi 09-08 édicte que la CNDP relève du Chef du gouvernement, constitue une atteinte manifeste à son indépendance et à son impartialité même si elle n’est qu’une autorité gouvernementale.

Aujourd’hui, la régulation du domaine de la protection des DP est beaucoup plus stratégique et sensible pour être délaissée à la charge d’une simple autorité gouvernementale dépourvue d’indépendance et de vrais pouvoirs de contrôle. Si le Maroc a adhéré à la Convention du Conseil de l’Europe n˚108 du 28 janvier 1981, pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, le statut juridique de la CNDP est loin de satisfaire aux exigences des textes adoptés en la matière par l’Union Européenne.

De telles exigences sont réitérées par les différentes juridictions européennes. En effet, l’indépendance des autorités de DP est très chère aux instances judiciaires de l’UE [12].

A propos des attributions, il est nécessaire de rappeler qu’au contraire de la Commission Nationale de l’Informatique et des Libertés [13], la CNDP est totalement privée de tout pouvoir de sanction et de mesures correctrices. Il est clair qu’une telle autorité ne pourrait pas mener à bien ses missions dans l’absence de toute indépendance et de pouvoirs attributifs réels.

Donc, il est temps de mettre en évidence les failles et les insuffisances juridiques liées au statut de la CNDP à la fois au niveau de son indépendance et de ses attributions.

Pour ce faire, nous allons questionner, dans un premier lieu, le degré d’indépendance de la CNDP (I) avant de traiter, dans un deuxième lieu, l’insuffisance de ses attributions (II)

I- Les restrictions liées à l’indépendance de la CNDP.

Pour être à la hauteur des enjeux juridiques de la transformation numérique et digitale liés à la protection des DP, l’autorité régulatrice en la matière doit être totalement indépendante à l’égard de toute influence extérieure. Or, le statut juridique de la CNDP présente des insuffisances indéniables à ce niveau. Celles-ci ont trait à l’absence de l’indépendance organique (A) et fonctionnelle (B) de la CNDP.

A- L’absence d’indépendance organique de la CNDP.

Une simple lecture des dispositions de l’article 27 de la loi 09-08 précitée montre à quel point la CNDP dépend du pouvoir exécutif. En effet, le premier alinéa dudit article dispose : "Il est institué auprès du Premier ministre une Commission nationale de contrôle de la protection des données à caractère personnel, chargée de mettre en œuvre et de veiller au respect des dispositions de la présente loi et des textes pris pour son application". Donc, Il en résulte que, même si la CNDP est créée en vertu de la loi, il n’en demeure pas moins qu’elle est placée sous la tutelle du Chef du gouvernement.

Cela faisant, le Chef du gouvernement intervient, de droit, pour s’assurer de la bonne gestion, de la bonne gouvernance et de l’accompagnement nécessaire de la CNDP. Autrement dit, ladite commission n’est qu’une autorité gouvernementale soumise au pouvoir réglementaire relevant du Chef du gouvernement en application de l’article 90 de la Constitution [14].

Dans ce cadre, l’article 5 de la loi organique n˚065-13 [15] précise, dans son deuxième alinéa, que le Chef du gouvernement veille à l’accompagnement de l’action de différentes autorités gouvernementales et des administrations publiques qui en relèvent [16].

En conséquence, la CNDP peut recevoir du Chef du gouvernement des directives concernant ses missions. Cela constitue une ingérence flagrante dans son champ d’intervention et porte atteinte aux exigences d’indépendance, de neutralité et d’impartialité qui caractérisent une telle autorité. Cela aurait également terni et discrédité son image vis-à-vis à la fois des personnes physiques aspirant à une meilleure protection de leurs données personnelles et de ses partenaires internationaux.

En fait, la tutelle et les liens ombilicaux entre la CNDP et le pouvoir exécutif renforcent la suspicion et le scepticisme déjà exprimés par la doctrine envers la légitimité de l’indépendance des autorités de régulation économique [17], y compris les autorités veillant à l’application de l’arsenal juridique relatif à la protection des données personnelles [18].

Si la plupart des autorités de protection des DP sont aujourd’hui des AAI, dont le statut juridique a suscité une longue controverse doctrinale sur leur vraie indépendance [19], la CNDP, quant à elle, est une autorité gouvernementale relevant du Chef du gouvernement.

Bien que son président soit nommé par le Roi et que ses autres membres soient nommés par lui sur proposition du Chef du gouvernement, du président de la chambre des représentants et du président de la chambre des conseillers, cela ne suffit pas pour avancer que la CNDP est à l’abri de l’ingérence des pouvoirs politiques. Se pose, alors, la question de savoir si cette dépendance organique de la CNDP aurait des conséquences négatives sur son fonctionnement.

B- L’insuffisance de l’indépendance fonctionnelle de la CNDP.

Il est convenable, a priori, de faire le constat suivant lequel le fonctionnement de la CNDP répond en général aux nécessitées d’indépendance dans la mesure où les procédures mises en place pour des délibérations et la prise des décisions sont plus ou moins conformes aux normes et aux standards internationaux en la matière [20]. Sur ce, il ne sera question dans ce qui suit que de quelques remarques liées aux ressources humaines et financières de la CNDP.

Premièrement, la question de l’insuffisance des ressources humaines des autorités de régulation économique n’a pas cessé de faire couler beaucoup d’encre. En fait, le degré de l’importance des ressources humaines dont dispose une telle autorité reflète son degré d’indépendance vis-à-vis de toute influence extérieure [21].

Dans ce qui concerne les ressources humaines dont dispose la CNDP, nous nous contenterons d’émettre quelques critiques à propos des membres étant donné que les autres moyens humaines, assurés par le département administratif et financier [22], revêtent un caractère technique qui relève, peu ou prou, des besoins estimés par la Commission et qui échappe, par conséquent, à notre appréciation.

En effet, l’article 32 de la loi 09-08 susvisée, énonce que la CNDP se compose de sept membres nommés par le Roi tel qu’il a été précisé là-haut. Le présent article a une portée générale et a laissé la détermination des modalités de nomination et les conditions requises des membres au décret d’application de la même loi. En effet, le deuxième et le troisième alinéa de l’article 3 du décret n˚2-09-165 précité, posent les conditions générales que les membres de la Commission doivent remplir. En plus des vertus liées à la probité, à l’impartialité, à l’expertise et à la compétence, il doit y en avoir ceux qualifiés pour leur compétence dans le domaine juridique et judiciaire et ceux justifiant d’une grande expertise en matière informatique.

Or, pour donner plus de légitimité et plus de consistance à la Commission, le législateur aurait élevé le nombre des membres à un seuil acceptable en s’inspirant des législations étrangères en la matière [23] vu l’importance de ses missions et la nécessité d’une intelligence collective adéquate en la matière. De plus, le législateur aurait prévu la possibilité de nommer, comme membres de la Commission, certains anciens membres de différentes institutions [24] comme la Cour de cassation, la Cour des comptes, le CESE [25], le Médiateur, etc. Cela aurait permis à ces institutions d’être représentées au sein de la Commission par leur expertise et leur expérience.

Deuxièmement, les moyens financiers dont dispose la CNDP viennent du budget dont le secrétaire général prépare un projet chaque année selon les orientations du président [26].

Celui-ci soumet, à son tour, ce projet au Chef du gouvernement avant de son approbation définitive par la Commission. Cela dit, le fait de soumettre le projet du budget au Chef de gouvernement n’est pas de bon augure et laisse subsister les doutes sur son indépendance. Cependant, il ne faut pas perdre de l’esprit que la CNDP n’est qu’une autorité gouvernementale relevant du Chef du gouvernement. Donc, ce serait normal et acceptable qu’il veille et surveille son budget annuel.

En outre, l’insuffisance des moyens financiers mis au service des autorités de PDP demeure un problème récurrent et reconnu même ailleurs [27]. En fait, comme il est mentionné dans un rapport [28],

"l’indépendance budgétaire regroupe trois paramètres : l’indépendance financière, qui vise les ressources de l’autorité, l’indépendance d’exécution budgétaire, qui permet à l’autorité de décider de l’utilisation de son budget, et l’autonomie de gestion budgétaire, qui désigne la capacité de l’autorité à effectuer ses dépenses".

Toutefois, quand on parle des moyens financiers des autorités de PDP, on se réfère à l’absence de l’autonomie financière plutôt qu’à l’indépendance financière [29]. Ainsi, concernant l’indépendance d’exécution et la gestion budgétaire de la CNDP, le règlement intérieur montre qu’il appartient au seul président de la Commission de donner des orientations au Secrétaire Général quand il prépare le projet de budget. Donc, une indépendance relative est assurée là-dessus.

Enfin, une réforme du statut juridique de la CNDP est devenue imposante pour en assurer une indépendance organique à l’égard des pouvoirs politique et la doter des moyens humains et financiers nécessaires. En attendant, le manque du pouvoir répressif affaiblit également la place de la CNDP à l’encontre des mastodontes numériques et complique les procédures engagées pour infractions à la loi 09-08 précitée.

II- Les attributions de la CNDP : la nécessité de la mise en place d’un pouvoir répressif.

De nos jours, nul ne peut contester la montée en puissance des géants numériques [30] multinationaux et la transformation digitale, massive et accélérée par les contraintes liées à la pandémie de la Covid 19, de nombreuses entreprises marocaines et multinationales. La lecture, à la lumière de ce qui précède, des pouvoirs d’investigation et d’enquête dont dispose la CNDP montre, à la fois, leur insuffisance (A) et à quel point sa dotation d’un pouvoir répressif est nécessaire (B).

A- Les attributions de la CNDP.

Les attributions essentielles de la CNDP sont prévues par les articles 27, 28, 29 et 30 de la loi 09-08 précitée. Dès lors, sans prétendre à l’exhaustivité ni à la dextérité du législateur, nous allons en évoquer quelques-unes pour en jauger l’importance.

Premièrement, les articles 27, 28 et 29 de la loi 09-08 prévoient un certain nombre de missions que la CNDP est en mesure d’accomplir. Les plus importantes entre ces missions sont :
 Le pouvoir consultatif [31] ;
 La réception des notifications et des déclarations et l’octroi d’un certain nombre d’autorisations prévues par la législation et la règlementation en vigueur [32] ;
 La réception des plaintes des personnes intéressées et la réalisation des expertises nécessaires au compte d’autorités publiques déterminées ;
 L’information et la sensibilisation du public et des responsables du traitement des DP sur la PDP.

Cela faisant, la CNDP a rendu, dans le cadre de l’exercice des compétences précédentes, un ensemble de délibérations portant sur divers sujets.

A titre d’exemple, après avoir été saisie par des établissements de prévoyance sociale pour autorisation du recours aux technologies de reconnaissance facile pour la preuve de vie des allocataires, la CNDP, dans la délibération n˚ n°D-126-EUS/2020 [33], a décidé de la possibilité d’établir de telles technologies à condition de prendre des mesures nécessaires pour protéger les DP des personnes intéressées.

De plus, la Commission a rendu un avis, sous forme de délibération, concernant la question des identifiants comme condition d’une économie digitalisée. Dans cette délibération [34], il est recommandé que d’une part, les données d’usage et que, d’autre part, les données d’authentification ne soient pas stockées au sein de la même architecture et sous la responsabilité de la même entité.

Elle recommande, également, l’utilisation d’identifiants sectoriels, à une granularité à définir selon les exigences de chaque secteur d’activité. Cette disposition ne s’oppose en aucun cas aux politiques de ciblage, encadrées par des lois spécifiques (pour les secteurs du social, de la finance, du fisc, de la santé, etc.) ou par des actes ayant trait à la sécurité intérieure ou extérieure de l’Etat. Le recours à un identifiant unique est alors un mécanisme technique sécurisé par des politiques de tokenisation, assurant que cet identifiant unique, et technique, ne soit pas public mais sous la protection impérative des autorités régaliennes.

Récemment, la CNDP a précisé un certain nombre de mesures à prendre et à respecter dans le cadre des analyses d’impact relatives à la protection des données effectuées par les responsables de traitement des DP [35]. Dans cette délibération, la Commission a conclu qu’un responsable de traitement peut recourir à la réalisation d’une analyse d’impact pour étayer son dossier de notification. La CNDP, dans sa mission d’accompagnement, et après instruction de la demande soumise, préconisera les mesures à envisager par le responsable de traitement, qu’elle jugera suffisantes pour assurer un niveau de protection des données à caractère personnel adéquat.

En outre, en matière de notification, la CNDP a reçu 1675 notifications en 2019 [36].

Elle en a reçu 734 depuis le 1 janvier jusqu’à la publication de ce bulletin. Concernant les plaintes, la CNDP, en a reçu 575 plaintes en 2019 et 429 du 1 janvier au juin 2020 [37].

Deuxièmement, concernant les pouvoirs d’investigation et d’enquête dont dispose la CNDP, ils sont d’une grande importance malgré les limites légales. Dans ce cadre, l’article 30-1˚ de la loi 09-08 susvisée dispose :

"La Commission nationale est dotée :
1. des pouvoirs d’investigation et d’enquête permettant à ses agents, régulièrement commissionnés à cet effet par le président, d’avoir accès aux données faisant l’objet de traitement, de requérir l’accès direct aux locaux au sein desquels le traitement est effectué, de recueillir et de saisir toutes les informations et tous documents nécessaires pour remplir les fonctions de contrôle, le tout conformément aux termes de la commission qu’ils exécutent".

Donc, les agents de la CNDP régulièrement commissionnés par son président sont chargés entre autre d’effectuer des contrôles sur place et sur documents et de rechercher des infractions à la loi 09-08 [38] et aux textes pris pour son application. Dans ce cadre, 169 contrôles ont été menés par la CNDP en 2016 [39], dont 53 contrôles sur documents, 29 contrôles sur documents dans le cadre de l’opération Sweep Day.

En somme, toutes ces attributions sont d’une importance indéniable compte tenu de son statut juridique actuel. Certes, les insuffisances sont nombreuses et les défis à relever sont imposants. Toutefois, ce qui est reproché à la CNDP, c’est son manque de statut d’AAI efficace et d’un vrai pouvoir répressif à l’instar de son homologue français la CNIL.

B- Le manque de pouvoir répressif.

La loi 09-08 précitée n’a pas prévu des sanctions et mesures correctrices pouvant être infligées par la Commission aux contrevenants aux obligations prévues par ladite loi. Le fait que la CNDP n’est pas une AAI, l’établissement de telles attributions serait difficile.

Cependant, la lecture des paragraphes 2 et 4 de l’article 30 de la loi 09-08 montre que ladite Commission peut, quand bien même, contraindre les responsables de traitement des DP à respecter leurs obligations vis-à-vis de la loi sous peine de sanctions de minime importance bien sur. De ce fait, le deuxième paragraphe énonce la possibilité pour la Commission d’ordonner que lui soient communiqués, dans les délais et selon les modalités ou sanctions éventuelles qu’elle fixe, les documents de toute nature ou sur tous supports lui permettant d’examiner les faits concernant les plaintes dont elle est saisie. Donc, la Commission peut fixer des sanctions à l’égard de tout responsable de traitement des DP qui fait l’objet d’une plainte pour qu’il lui communique les documents nécessaires.

Toutefois, ni la loi 09-08 ni son décret d’application n’ont pas déterminé la nature ni la consistance de telles sanctions.

De plus, la Commission est en mesure d’ordonner le verrouillage, l’effacement ou la destruction de données et celui d’interdire, provisoirement ou définitivement le traitement de données à caractères personnel, même de celles incluses dans des réseaux ouverts de transmission de données à partir de serveurs situés sur le territoire national [40]. Or, dans le cas où le responsable de traitement de DP aurait refusé de s’exécuter, la loi n’a pas prévu les sanctions qui lui seront infligées. Il reste que ce refus sera mentionné sur un procès-verbal qui sera transmis au procureur du Roi pour l’ouverture d’une information pénale.

En fait, l’information du procureur du Roi par les agents commissionnés de la CNDP de toute opération de contrôle [41] dans un délai de vingt-quatre heures avant la date de ladite opération constitue également un obstacle à la célérité de la procédure de contrôle sur place. Enfin, aucune saisie de matériels objets de l’infraction ne pourrait être faite par les agents de la CNDP que sur l’autorisation du procureur du Roi compètent [42]. D’ailleurs, chaque fois qu’il s’avère à la CNDP qu’un tel agissement d’untel responsable de traitement de DP constitue une infraction aux dispositions pénales de la loi 09-08 susvisée, elle en informe le procureur du Roi compétent et y transfère toutes les pièces dont elle dispose. L’action pénale suit alors son chemin traditionnel qui peut être très long.

Force donc est de reconnaitre qu’une réforme profonde du statut juridique de la CNDP devient une nécessité absolue vu le contexte actuel lié à la digitalisation massive et la montée en puissance du numérique. La protection des données personnelles et, partant de la vie privée, des citoyens nécessite la mise en place d’une AAI de PDP puissante dotée de vrais pouvoirs.

La possibilité d’infliger aux responsables de traitement des DP contrevenants à la loi des amendes administratives plus ou moins importantes, constituerait une dissuasion efficace contre eux. Donc, il est temps pour réfléchir sur un nouveau statut juridique de la CNDP conforme aux standards internationaux en la matière.

En guise de conclusion, vu la révolution numérique et la transformation digitale que connait la société d’aujourd’hui et leur enjeux majeurs sur les DP, que nos souhaits soient émis et ajoutés aux souhaits de ceux qui aspirent à une réforme profonde de statut juridique de la CNDP pour qu’elle devienne une AAI vraisemblablement impartiale et indépendante vis-à-vis des pouvoirs politiques et dotée de moyens humains et financiers nécessaires à l’exercice des missions qui sont les siennes.