Le présent article se veut une introduction à la protection des données à caractère personnel au Maroc.

Dans un monde dominé par les nouvelles technologies de l’information et de la communication, la protection des données à caractère personnel sur Internet n’est pas un luxe mais une priorité. Dans cette optique, le législateur marocain a notamment adopté la loi No. 09-08 relative à la protection des données des personnes physiques à l’égard du traitement des données à caractère personnel. Au sens de l’article 1er de cette loi, une donnée à caractère personnel est toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable. Un numéro de carte d’identité, un numéro de téléphone, une adresse électronique (e-mail) constituent des exemples de données à caractère personnel.

Le traitement des données à caractère personnel est défini par le législateur marocain comme toute opération effectuée ou non à l’aide de procédés automatisés et appliquée à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Le responsable du traitement a été défini par le législateur marocain comme la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres détermine les finalités et les moyens du traitement de données à caractère personnel.

Fondamentaux de la protection des données à caractère personnel

Le consentement libre et éclairé de la personne physique concernée sans préjudice à l’exercice de ses droits d’accès, d’opposition et de rectification, assorti d’une collecte de données sécurisée et confidentielle, compatible et proportionnelle à la finalité du traitement sont des règles sacrosaintes à observer par le responsable du traitement des données à caractère personnel.

Que risque une personne morale en infraction à la loi No. 09-08 ?

En plus de peines privatives de liberté et d’amendes à l’encontre de ses dirigeants auteurs de l’infraction, une personne morale en infraction à la loi No. 09-08 peut faire l’objet d’une confiscation de ses biens, d’une fermeture de l’établissement où l’infraction a été commise, voire d’une fermeture de tous ses établissements. En cas de récidive, les sanctions sont portées au double.

Finie la prospection directe ?

Au sens de l’article 10 de la loi No. 09-08 « Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique ou d’un moyen employant une technologie de même nature qui utilise, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. »

Toutefois, « la prospection directe par courrier électronique est autorisée, si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la présente loi, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou service analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse, dénuée d’ambiguïté et simple, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque foi, qu’un courrier électronique de prospection lui est adressé. »

En guise de conclusion, rappelons que tout traitement de données à caractère personnel doit faire l’objet d’une déclaration préalable à la Commission Nationale de contrôle de la protection des données à caractère personnel.

Issam Benhssine, Conseil en PI Directeur général du cabinet de conseil juridique IB FOR IP www.ibforip.com