Toute personne a droit à la protection - cndp.ma · constitutionnelle globale, sur la base de sept...
94
Transcript of Toute personne a droit à la protection - cndp.ma · constitutionnelle globale, sur la base de sept...
« Toute personne a droit à la protection
de sa vie privée. […]»
Article 24 de la Constitution
«...Nous avons décidé d’entreprendre une réformeconstitutionnelle globale, sur la base de sept fondements majeurs :
Premièrement : la consécration constitutionnelle de la pluralité de l’identité marocaine unie et riche de la diversité de ses affluents, et au cœur de laquelle figurel’amazighité, patrimoine commun de tous les Marocains, sans exclusive.
Deuxièmement : La consolidation de l’Etat de droit et des institutions, l’élargissement du champ des libertés individuelles et collectives et la garantie de leur exercice, ainsi que le renforcement du système des droits de l’Homme dans toutes leurs dimensions, politique, économique, sociale, culturelle, environnementale et de développement...»
Extrait du discours adressé à la Nation par SM le Roi, le mercredi 9 mars 2011.
Abréviations et Acronymes
ADM : Autoroutes du Maroc
ADN : Acide Désoxyribonucléique.
AFAPDP : Association Francophone des Autorités de Protection des Données Personnelles.
AMRC : Association Marocaine de la Relation Client.
ANRT : Agence Nationale de Réglementation des Télécommunications.
APSF : Association Professionnelle des Sociétés de Financement.
AUSIM : Association des Utilisateurs des Systèmes d’information au Maroc
BAM : Bank Al-Maghrib.
BCR : Binding Corporate Rules.
BO : Bulletin Officiel.
CDVM : Conseil Déontologique des Valeurs Mobilières.
CEA-UNESCO : Commission Economique pour l’Afrique/ United Nation, Educational, Scientific and Cultural Organisation.
CFCIM : Chambre Française de Commerce et d’Industrie du Maroc.
CGEM : Confédération Générale des Entreprises du Maroc.
CNI : Carte Nationale d’Identité.
CMS : Content Management system.
CERT : Centre Marocain de Gestion des incidents Informatiques.
CNDP : Commission Nationale de contrôle de la protection des Données à caractère Personnel.
CdE : Conseil de l’Europe.
DGSSI : Direction Générale de la Sécurité des Systèmes d’Information.
DSSI : Direction de la Sécurité des Systèmes d’Information.
ENSIAS : École Nationale Supérieure d’Informatique et d’Analyse des Systèmes.
FMSAR : Fédération Marocaine des Sociétés d’Assurances et de Réassurance.
G29 : Groupe de travail Article 29 sur la protection des données.
GAFI : Groupe d’Action Financière.
GED : Gestion Electronique des Documents.
HCP : Haut-Commissariat au Plan.
ICANN : Internet Corporation for Assigned Names and Numbers.
IEEE : Institute of Electrical and Electronics Engineers.
MCSC : Moroccan Cyber Security Challenge.
MISOC : Moroccan Internet Society.
OCP : Office Cherifien des phosphates
OIF : Organisation internationale de la Francophonie.
OMPIC : Office Marocain de la Propriété Industrielle et Commerciale.
RAA : Registrar Accreditation Agreement.
RCAR : Régime Collectif d’Allocation de Retraite.
RSSI : Responsable de la Sécurité des Systèmes d’Information.
SMS : Short Message Service.
UE : Union Européenne.
UNECA : United Nations Economic Commission for Africa.
UTRF : Unité de Traitement du Renseignement Financier.
17-18
11-14
21-22
25-27
29-51
53-61
63-65
67-68
71-81
83-89
91-92
I. La CNDP, institution garante de la protection de la vie privée et des données personnelles
II. Ressources humaines et financières
III. Un système d’information fiable et cohérent
IV. Sensibilisation et Communication
V. Registre National : Notification des traitements de données personnelles
VI. Dépôt de Plaintes : Bilan et indicateurs
VII. Contrôle et investigation
VIII. Modernisation du cadre législatif et doctrinede la CNDP
IX. Coopération et partenariat
X. Conclusion et Perspectives
Table des matières
Le mot du Président
RAPPORT D’ACTIVITE 2010-2013
9
Composition et organisation de la CNDP
Liste des membres
Président
M. Said Ihrai
Autres membres
M. Driss Belmahi.
M. Abdelaziz Benzakour.
M. Brahim Bouabid.
Mme Souad El Kohen.
M. Abdelmjid Rhomija.
M. Omar Seghrouchni.
Secrétaire Général
M. Lahoussine Aniss
10
RAPPORT D’ACTIVITE 2010-2013
11
Mot du Président« L’informatique est au service du citoyen… » Article 1 de la loi 09-08.
La loi 09-08 relative à la protection des données à caractère
personnel a été définitivement adoptée le 18 février 2009
après plusieurs années de préparation et de nombreux cycles
de concertation. Elle constitue, avec la mise en place de la
Commission nationale de contrôle de la protection des données
personnelles, CNDP, les deux piliers de la protection de la
vie privée au Maroc et prépare l’insertion du Royaume dans
l’économie et la société numériques.
La protection des données à caractère personnel s’étend à toutes les composantes de la
société et notamment aux personnes dont les données personnelles sont collectées et traitées.
La sensibilisation du grand public, entreprise par la CNDP, vise à informer les personnes
concernées par le traitement, qu’en vertu de la loi 09-08, elles ont des droits à faire valoir,
notamment le droit à l’information, les droits d’accès, d’opposition et de rectification et que la
CNDP a été mise en place pour assurer la protection de ces droits et veiller à leur application.
Cette initiative vise aussi à arrimer le Maroc à l’UE par le biais de la convergence législative et
règlementaire. Pour concrétiser cette relation privilégiée, le Maroc s’est vu octroyer par l’UE
un «statut avancé » en 2008. La demande de « l’adéquation », procédure visant à reconnaître
que le pays bénéficiaire est en mesure d’assurer une « protection satisfaisante » des données à
caractère personnel, est déposée en 2009 auprès de la Commission européenne à Bruxelles.
L’adéquation contribuera sans nul doute à rassurer les acteurs de l’offshoring.
12
L’adoption de la nouvelle constitution en
2011 constitue une date importante pour la
protection des données personnelles, dans la
mesure où elle consacre, dans son article 24,
le droit de chaque personne à la protection
de sa vie privée. Ainsi d’une obligation légale,
ce système de protection accède au statut de
norme constitutionnelle. Cette évocation claire
de la vie privée dans le dispositif constitutionnel
est renforcée par le choix clairement affiché,
pour la première fois au Maroc, de la primauté
des engagements internationaux de l’Etat
sur son droit interne. Cette prééminence est
confortée par l’insertion à la fin du préambule
d’une disposition qui précise que celui-ci fait
partie de la Constitution.
Ces stipulations ne manqueront pas de
produire leurs effets lorsque le Maroc achèvera
le processus d’adhésion à la convention 108
du Conseil de l’Europe de 1981 et à son
protocole additionnel de 2001. Le Royaume
sera, de ce fait, lié par les dispositions de
la Convention en matière de protection des
données personnelles. Il sera ainsi amené
à aligner son dispositif de protection des
données sur les standards européens du
Conseil de l’Europe, dans un premier temps,
et sur ceux de l’UE dans une étape ultérieure.
Après trois années consacrées à la mise en
application de la loi 09-08, la CNDP n’a pas à
rougir de son bilan, bien au contraire.
Au plan interne, la CNDP a pu procéder à
l’aménagement de ses locaux, inventorier les
domaines dans lesquels le texte de loi doit
être amendé en vue de tenir compte, d’une
part, de l’évolution rapide des nouvelles
technologies de l’information devenues de
plus en plus intrusives et, d’autre part, du
changement du contexte juridique intervenu
depuis l’adoption de la nouvelle constitution.
La CNDP a aussi, à travers une politique de
sensibilisation tous azimuts, visé à la fois les
personnes concernées par le traitement de
leurs données personnelles, mais aussi les
responsables de traitement, en attirant leur
attention sur les obligations qui pèsent sur eux
et sur la nécessité de se mettre en conformité
avec la loi en notifiant à la Commission tous
les traitements qu’ils effectuent.
RAPPORT D’ACTIVITE 2010-2013
13
C’est un motif de satisfaction de constater
que de plus en plus de citoyens marocains
et de résidents étrangers au Maroc font appel
à la CNDP pour faire respecter leurs droits
en la matière. Les plaintes qui parviennent à
la Commission sont en hausse d’année en
année, ce qui, pour l’institution, signifie que
la culture de la protection des données à
caractère personnel commence à se répandre
au Maroc. Certes, cette culture n’en est qu’à
ses débuts, mais les résultats enregistrés
durant ces trois années, sont franchement
encourageants.
Cette nouvelle situation nous interpelle au
quotidien, ce qui pousse la CNDP à revoir
constamment ses méthodes de travail et ses
prestations, à procéder à l’évaluation des
résultats obtenus et aux meilleurs moyens
de les améliorer. C’est pour atteindre ces
objectifs que la Commission a lancé fin
2013, les premiers contrôles, procédures
sans lesquelles aucune amélioration dans
l’application de la loi ne peut être obtenue.
A cet effet, la CNDP a mis un soin particulier
à l’élaboration d’un manuel des procédures
de contrôle afin d’en unifier les normes et
d’en assurer la cohérence. Les contrôleurs
de la CNDP ont prêté serment en novembre
2013 et des journées de sensibilisation
sont programmées cette année pour les
magistrats.
Au plan international, la CNDP a, pendant
ces trois années, amélioré sa visibilité.
Outre son action au sein de l’Association
francophone des Autorités de protection des
données personnelles (AFAPDP), auprès de
laquelle elle a trouvé soutien et assistance,
la Commission a intégré la Conférence
internationale des Autorités de protection des
données personnelles après avoir satisfait à
la procédure de l’accréditation.
Cette visibilité au plan international a permis à
la Commission d’asseoir et de consolider son
statut d’Autorité indépendante au plan interne,
mais aussi de se voir habilitée à participer,
auprès de l’autorité gouvernementale
concernée, aux négociations internationales
en la matière, comme cela est inscrit dans la
loi 09-08.
Les lecteurs de ce premier rapport d’activités
constateront les efforts accomplis par
14
l’instance marocaine de protection des données personnelles depuis sa création. Ils pourront
aussi remarquer les progrès réalisés dans la mise en application de la loi 09-08 qui, dans ses
principes généraux et ses règles s’inspire des standards européens, notamment de la directive
95/46 de la Commission européenne et de la Convention 108 du Conseil de l’Europe.
La CNDP mettra un soin particulier dans les années à venir, à continuer à adapter la loi 09-08
aux nouvelles exigences mondiales de la protection des données personnelles, d’une part, et
d’autre part, à assurer l’application effective des dispositions contenues dans cette loi.
C’est ainsi que, dans un avenir très proche, en assurant une protection satisfaisante des
données personnelles au Maroc, elle contribuera à faire aboutir une demande déposée il y a
4 années auprès de la Commission européenne. Les données personnelles seront ainsi non
seulement protégées de manière satisfaisante au Maroc, mais pourront aussi circuler librement
entre notre pays et les 28 Etats membres de l’UE.
Cette consécration sera, nous en sommes certains à la CNDP, non pas le simple aboutissement
des efforts consentis jusque-là, mais le début d’une participation effective à la protection des
libertés et droits fondamentaux de l’homme, tel qu’ils sont inscrits au titre II de la nouvelle
constitution du Royaume.
Le Président de la CNDP
Said Ihraï
RAPPORT D’ACTIVITE 2010-2013
15
16
RAPPORT D’ACTIVITE 2010-2013
17
I. La CNDP, institution garante de la protection de la vie privée et des données personnelles
Dans le cadre de leurs missions, les entreprises
publiques et privées sont amenées à effectuer
des traitements, tels la paie, la facturation,
la vidéosurveillance, l’enregistrement des
visiteurs, le contrôle d’accès aux locaux, les
campagnes de Marketing direct, la tenue
de sites marchands, la journalisation des
connexions Internet, etc. Tous ces traitements
utilisent les données personnelles, nom,
prénom, numéros de la carte d’identité
nationale, email, photo, numéros de
téléphone, empreinte digitale, ADN, RIB, etc.,
données qui permettent d’identifier d’une
façon directe ou indirecte les personnes
concernées, salariés, actionnaires, clients,
fournisseurs, visiteurs, etc.
Les traitements des données personnelles
sont en général indispensables aux
entreprises pour répondre à des exigences
administratives, organisationnelles ou
commerciales. Mais les risques de porter
atteinte à la vie privée et aux droits des
18/02/2009 : adoption de la loi
09-08, BO. n° 5714
du 18 février 2009.
31/08/2010 : Installation de la
Commission.
7/04/2011 : Approbation du
règlement intérieur de
la CNDP.
1/07/2011 : Constitutionnalisation
de la protection de la
vie privée.
Février 2012 : Mise en place
des structures
administratives.
15/11/2012 : Fin du délai de mise
en conformité avec la
loi 09-08.
18
personnes concernées sont réels. L’enjeu donc est de trouver un juste équilibre entre le
besoin d’utiliser ces données par les responsables de traitement et le respect des droits des
personnes concernées.
C’est pour veiller à maintenir cet équilibre que la CNDP a été créée et mise en place.
En d’autres termes, la CNDP est une autorité de contrôle qui veille à la protection de la vie privée
des personnes lors du traitement des données à caractère personnel. Elle a été instituée par la
loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données
à caractère personnel, loi à laquelle devaient se conformer, avant le 15 Novembre 2012, tous
les traitements opérés sur le territoire marocain, qu’ils soient effectués par un organisme public
ou privé marocain ou par un donneur d’ordre étranger dans le cadre de la sous-traitance ou
de la délocalisation.
Le processus de conformité à la loi doit veiller :
• à ce que les traitements opérés aient des finalités précises, claires et légitimes ;
• à ce que les traitements se limitent aux finalités prévues ;
• au respect de la confidentialité et de l’intégrité des données traitées ;
• à la notification des traitements à la CNDP ;
• au respect du consentement de la personne concernée et de ses droits d’information,
d’accès, de rectification et d’opposition.
RAPPORT D’ACTIVITE 2010-2013
19
20
RAPPORT D’ACTIVITE 2010-2013
21
II. Ressources humaines et financières
La CNDP comprend une Commission et des
services administratifs. La Commission se
compose de sept membres, désignés pour
une période de cinq ans, renouvelable une
seule fois. Le président est nommé par Sa
Majesté le Roi. Les six autres membres
sont nommés également par Sa Majesté le
Roi, sur proposition du Premier ministre, du
président de la Chambre des représentants et
du président de la Chambre des conseillers.
Les membres de la Commission sont soumis
au secret professionnel et ce, même après
la cessation de leurs fonctions. Celles-ci sont
incompatibles avec la détention d’intérêts
dans toute affaire liée au domaine du
traitement des données à caractère personnel
soumise à la CNDP.
Le Président, M. Saïd Ihrai, a été nommé à la
tête de la Commission en juillet 2010 par SM
le Roi. Les six autres membres sont : Mme
Souâd El Kohen, M. Abdelaziz Ben Zakour,
M. Abdelmajid Ghomija, M. Driss Belmahi, M.
Brahim Bouabid, et M. Omar Seghrouchni.
Ainsi sont représentées au sein de la
CNDP toutes les spécialités concernant les
données personnelles : expertise juridique,
informatique, pratique judiciaire et expertise
comptable. Une fois la CNDP installée, elle
s’est attelée à se doter d’un siège, à recruter
ses ressources humaines et à établir son
règlement intérieur.
Des ressources humaines compétentes mais insuffisantes
Les services administratifs, dirigés par le
secrétaire général sous l’autorité du président,
sont composés de cadres et d’agents
détachés ou mis à la disposition de la CNDP
Points saillants
• Une équipe pluridisciplinaire ;
• Un budget annuel de 15 millions
de dirhams.
Perspectives
• Renforcement des moyens
humains.
22
par des administrations publiques. D’horizons
divers, les cadres de la CNDP présentent des
profils variés : juristes, ingénieurs, cadres
administratifs et financiers. En 2013, l’effectif
en ressources humaines dépasse la dizaine
de cadres mis à la disposition de la CNDP, non
compris les sept membres de la Commission,
choisis pour leurs hautes compétences et
leur expertise dans les domaines concernés
par le traitement des données personnelles
et par la promotion de la liberté et droits
fondamentaux des citoyens marocains et des
résidents étrangers au Maroc.
Profil 2012 2013
Juristes 6 7
Ingénieurs Informaticiens
3 3
Economistes 2 2
Personnel administratif 1 5
Nombre Total 12 17
Des ressources financières honorables
Dès l’installation de la Commission, fin août
2010, des démarches sont entreprises en vue
de doter l’institution des moyens logistiques et
financiers à même de lui permettre de mener
à bien sa mission. Ses efforts aboutissent à
l’affectation à la CNDP de son premier budget
en 2012 et à l’accomplissement de toutes
les formalités permettant d’opérationnaliser
son exécution par le recours au système
GID (Gestion Intégrée des Dépenses).
Le budget de la CNDP s’élève à 15 millions
de dirhams. Pour l’exercice 2013, la
CNDP a prévu d’allouer cette enveloppe
budgétaire à la réalisation des projets clés
identifiés en matière de communication et
de sensibilisation et au renforcement de son
système d’information.
NATURE 2012 2013
Créditsdisponibles
15 000 000,00 15 000 000,00
Engagements 2 679 114,04 5 133 440,85
Emissions 544 342,80 3442694,34
Le taux d’engagement des dépenses n’a pas
dépassé 18 % en 2012 et 34% en 2013. Le
Taux de paiement, quant à lui, a atteint 20%
en 2012 et 67% en 2013. Les faibles taux
d’engagements s’expliquent par le retard
intervenu dans l’adoption de la loi de finances
en 2012, d’une part, et par la rationalisation
des dépenses engagées par la CNDP, d’autre
part.
RAPPORT D’ACTIVITE 2010-2013
23
24
RAPPORT D’ACTIVITE 2010-2013
25
III. Un système d’information fiable et cohérent
Points saillants :
• Opérationnalisation des services
informatiques de base ;
• Mise en l igne du site web
www.cndp.ma;
• Mise en place d’un système
d’archivage.
Perspectives :
• Élaboration du schéma directeur
informatique ;
• Informatisation des processus
métiers ;
• Modernisation du Datacenter et
renforcement de l’architecture
réseau et sécurité du SI.
impérativement passer par la mise en place
d’un système d’information fiable, cohérent,
intégré, normalisé et suffisamment sécurisé.
En attendant la mise en œuvre d’un schéma
directeur informatique, la CNDP a défini
les principes directeurs et les Quick Wins,
mesures à effet rapide, à entreprendre à court
terme. Cette action consiste à donner forme
au premier noyau d’un système d’information
évolutif qui permettra, entre autres, de mettre
en place les infrastructures adéquates,
réseaux et équipements, d’informatiser les
processus métiers, de favoriser l’utilisation
des annuaires et d’un référentiel commun
et d’instaurer les principes de base de la
sécurité des systèmes d’information et de la
confidentialité des traitements effectués.
A la lumière des principes qui ont présidé à
l’élaboration de la loi portant création d’une
institution chargée de protéger les données
des personnes physiques, la CNDP a réalisé
les actions suivantes :
Le management et la bonne gestion des
organisations reposent sur la maîtrise
de l’information. Une maîtrise qui doit
26
Premier axe : rationalisation des métiers de la CNDP
• Informatisation des processus-métiers
de la CNDP : l’année 2013 a connu le
lancement d’un marché pour l’acquisition
et la mise en œuvre d’une application
informatique de gestion des activités
de la CNDP, notamment des demandes
de notification des traitements, des
déclarations et demandes d’autorisation,
des plaintes provenant des personnes
concernées, des missions de contrôle
organisées par l’autorité de protection, du
courrier, des réunions, etc.
Toutes ces initiatives constitueront le noyau
de base du système d’information de la
CNDP.
• Gestion des archives : Pour une meilleure
gestion de ses archives, la CNDP a
équipé un centre de documentation en
vue de garantir une bonne conservation
des documents et de faciliter l’exploitation
des éléments archivés et ce, en attendant
d’instaurer un système de gestion
électronique.
Deuxième axe : renforcement des infrastructures techniques de la CNDP
• Mise en place d’un Datacenter et
conception d’une architecture réseau :
La CNDP a mis en place en 2012, une
architecture réseau informatique qui lui a
permis, outre le partage et la mutualisation
des ressources informatiques de :
- mettre en place la messagerie électronique
de la CNDP;
- se doter d’un standard téléphonique
permettant de communiquer en interne
et d’optimiser les communications
téléphoniques externes ;
- configurer un annuaire de service du
domaine en vue de sécuriser l’accès aux
ressources informatiques de la CNDP et
en faciliter le partage ;
- mettre à la disposition des utilisateurs
un serveur de fichiers afin d’optimiser le
partage des données et faciliter le travail
collaboratif.
RAPPORT D’ACTIVITE 2010-2013
27
• Lancement d’un site Internet : La CNDP a développé un site Internet institutionnel conforme
aux standards internationaux en la matière, notamment, en ce qui a trait à la mise à jour de
son contenu. Il repose sur un système dynamique de gestion de contenu (CMS).
En plus des informations et des documents pratiques sur la protection des données personnelles,
le site Internet de la CNDP est doté de fonctionnalités dynamiques permettant aux Internautes
de déposer des plaintes en ligne. Ils peuvent aussi envoyer des demandes d’information à la
CNDP en utilisant les formulaires électroniques appropriés, et suivre les actualités de la CNDP
sur les différents réseaux sociaux.
• Concernant les équipements bureautiques : il y a lieu de rappeler que la CNDP s’est
équipée de matériels informatiques et bureautiques permettant aux utilisateurs d’accéder
aux services informatiques de base.
28
RAPPORT D’ACTIVITE 2010-2013
29
IV. Sensibilisation et communication
08 (voir schéma ci-après) à rendre effectif le
respect de la vie privée à travers la protection
des données personnelles.
La CNDP a donc veillé à adapter son action au
niveau de développement de ses structures
et au degré de diffusion de la culture de la
protection des données personnelles au
Maroc, protection qui, il faut le rappeler,
était inexistante avant l’installation de la
Commission. Ainsi, il a fallu fixer des objectifs
précis aux actions de communication
permettant de choisir les outils adéquats et
les partenaires devant servir de relais à la
propagation des messages de la CNDP.
Les actions de sensibilisation menées par
la CNDP entre 2010 et 2013, que l’on peut
résumer dans cette formule « informer,
sensibiliser, former et communiquer », visaient
par ordre de priorité les organismes publics
et privés utilisant des données personnelles,
les partenaires internationaux, les individus,
en ayant recours, notamment, aux outils
de communication détaillés dans le présent
chapitre.
La stratégie de communication adoptée par
la CNDP s’est incontestablement révélée
payante comme le montrent, au plan interne,
les demandes de consultation de plus en
plus nombreuses de la part des membres
du gouvernement, les contacts établis
avec les secteurs public et privé et avec les
médias, mais aussi au plan international,
l’accréditation de l’institution par la Conférence
internationale des Autorités de contrôle, son
adhésion à l’Association francophone des
Autorités de contrôle, les relations établies
avec des institutions similaires en Afrique et
l’adhésion du Royaume à la Convention 108
du Conseil de l’Europe.
Car en effet, la CNDP, avant d’entamer
les procédures de contrôle et de mettre
en œuvre la répression des infractions à la
protection des données personnelles, a fait
de la sensibilisation et de la communication
un axe majeur de sa politique. Cette stratégie
vise, en utilisant des outils appropriés, en
véhiculant des messages adaptés aux
principaux acteurs concernés par la loi 09-
30
LES CITOYENSLES ENTREPRISES
TRAITANT LESDONNEES
LES POUVOIRSPUBLICS
L’INTERNATIONAL
Schéma récapitulatif des cibles de communication
RAPPORT D’ACTIVITE 2010-2013
31
1- L’action de la CNDP en direction des médias en tant que courroie de transmission entre les différents acteurs
La protection des données personnelles au
Maroc est un domaine qui affecte à la fois le
respect des droits de l’homme et le climat
des affaires. Consciente de cette donne et à
la lumière de l’intérêt constant que porte le
Maroc à ces deux domaines, la CNDP a tenu
à informer régulièrement les médias (presse
écrite, électronique, radio et télévision), du
développement de la protection des données
personnelles au Maroc. La Commission a
saisi ou a été saisie à cette fin, à maintes
reprises, afin d’éclairer le grand public et les
opérateurs économiques sur les principes
de base de la loi, le rôle de la CNDP, les
obligations des organismes traitant les
données personnelles, les moyens dont
disposent les individus pour se prémunir
contre d’éventuels abus relatifs à l’utilisation
de leurs données personnelles (notamment
contre les SMS intempestifs), l’impact de
l’adhésion du Maroc à la Convention 108,
etc.
Consciente du rôle important que peuvent
jouer les médias en tant que courroie de
transmission entre les différents acteurs
concernés par la loi 09-08, la CNDP a veillé
à instaurer un climat de confiance et de
transparence avec toutes leurs composantes.
Ainsi, à titre d’exemple, la Commission est
intervenue dans les débats lancés par les
media suivants :
La radio
Le vendredi 5 juillet 2013 de 10h à 12h, le
président de la CNDP et Monsieur Brahim
Bouabid, membre de la Commission, ont été
les invités du programme «Les Experts» de la
chaine Radio Atlantic. A cette occasion, les
deux membres de la CNDP ont répondu , en
direct, aux questions des auditeurs au sujet
des modalités de la protection des données
personnelles au Maroc.
La télévision
Le 22 décembre 2012, la chaine de télévision
2M, a réalisé un documentaire au sein de la
CNDP dans lequel ont été mis en exergue
l’importance de la mise en œuvre de la loi
32
09-08 et le rôle que doit jouer la Commission
auprès des institutions publiques et privées
et des individus. Cette émission a intégré
également des interviews de témoins et des
explications de spécialistes.
Le 19 décembre 2012, la chaine Al Oula a
effectué à son tour un reportage dédié en
particulier à la problématique de la réception
par la population des SMS indésirables,
présenté aux citoyens la procédure à
suivre pour déposer une plainte auprès de
la CNDP et précisé les pénalités encourues
par les sociétés qui recourent à ces pratiques
commerciales.
La presse écrite
A l’occasion de la célébration de la journée
mondiale de l’accès à l’information, le
Syndicat National de la Presse Marocaine,
Transparency Maroc et l’Organisation pour
les Libertés d’Information et d’expression ont
organisé le 21 septembre 2013 à Rabat une
journée d’étude sous le thème « Pour une
législation efficiente régissant le droit d’accès
à l’information et des mesures garantissant
son application ».
Invitée à contribuer au débat, la CNDP a fait
état dans son intervention de la relation qu’il y
a entre la loi 09- 08 relative à la protection des
données personnelles et le projet de loi sur le
droit d’accès à l’information, en précisant que
les deux textes visent à renforcer les libertés
et droits fondamentaux de l’homme.
Par ailleurs, la CNDP a souligné la nécessité
de rechercher un compromis lorsqu’il s’agit
pour les instances publiques de diffuser des
informations qui comporteraient des données
personnelles.
L’action de sensibilisation aux données
personnelles s’est poursuivie à travers les
interviews accordées par le Président de
la CNDP à plusieurs organes de presse
nationaux et étrangers (la Vie économique, la
revue Convergence de la chambre française
de commerce de Casablanca, l’Economiste,
Akhbar al-Youm, Challenge, La Lettre
d’information de l’AFADPD, etc.). Le Président
a bien voulu aussi préfacer le Livre blanc de
l’Association des Utilisateurs des Systèmes
d’Information au Maroc – AUSIM-
RAPPORT D’ACTIVITE 2010-2013
33
Le site web <www.cndp.ma>
La CNDP a mis en ligne, le vendredi 21 juin
2013, la version française de son site Internet
institutionnel. Cette version qui remplace
la page de téléchargement des différents
formulaires publiée initialement par la CNDP,
assure deux rôles importants :
• Un outil d’information : dans la mesure
où il comporte des parties statiques
rappelant le contenu du cadre régissant la
protection des données personnelles au
Maroc et une partie dynamique permettant
d’informer les internautes sur les activités
de la CNDP.
• Une plateforme d’échange : plateforme
qui s‘est avérée très utile grâce notamment
à ses fonctionnalités permettant aux
internautes d’interagir avec la CNDP
via le dépôt en ligne des plaintes et des
demandes d’information ainsi que par
le suivi des activités de la CNDP sur les
différents réseaux sociaux.
Les données statistiques relatives aux visites
du site Internet de la CNDP, depuis sa date
de lancement jusqu’au 31 Décembre 2013,
montrent qu’il a été visité 15 444 fois avec
une moyenne de 2000 visites par mois.
Ces visites proviennent essentiellement
du Maroc: 13059 comme le montre les
schémas ci-après. 41 % des visites
concernent des internautes qui ont déjà
consulté le site Internet. La ventilation
des visites extérieures par pays d’origine,
démontre que le portail de la CNDP
remplit parfaitement son rôle de vitrine de
l’institution à l’international. En effet,
comme le montre la partie bleue du
graphique ci-après, les visites du site de la
CNDP provenaient de plusieurs pays
situés dans quatre continents. Le plus grand
nombre de visites émane de France (1046
visites), de Grande Bretagne (346 visites),
d’Espagne (105 visites), des Etats-Unis
d’Amériques (89 visites), de Suisse (85
visites), du Canada (75 visites), d’Allemagne
(55 visites) et de Tunisie (47 visites).
34
Fig. n° 1 : Statistiques relatives à l’accès au site web de la CNDP
40,9%
59,1%
RAPPORT D’ACTIVITE 2010-2013
35
Fig. n° 2 : Pays d’origine des accès au site web de la CNDP
N.B : L’intensité de la couleur bleue varie en fonction du nombre d’accès au site web de la CNDP
36
Supports publicitaires
La CNDP a préparé plusieurs supports
publicitaires nécessaires au lancement
prochainement de campagnes de
sensibilisation efficaces. Les outils de
communication préparés sont les suivants :
• Deux livrets en arabe et en français
résumant les principes de la loi 09-08,
les obligations des organismes traitant
les données personnelles, les droits des
individus et les attributions de la CNDP.
• Un spot publicitaire radio en Français,
en arabe et en amazigh.
• Un spot publicitaire télé en dialecte
marocain, en français et en Amazigh.
• Un film web institutionnel en Français,
en arabe et en amazigh.
• Des Affiches publicitaires, destinées
à faire connaitre la loi 09-08 et la CNDP
auprès du grand public en utilisant des
insertions dans les panneaux d’affichage
et dans la presse écrite.
Par ailleurs, entre 2010 et 2013, la CNDP a
organisé ou participé à 22 manifestations
nationales et internationales.
En effet, la CNDP a animé plusieurs ateliers
et participé à diverses manifestations afin
d’expliquer et de faire connaitre les dispositions
de la loi 09-08. Plusieurs rencontres traitant
des thématiques touchant la protection des
données personnelles tels que le commerce
électronique, la gouvernance de l’Internet, la
sécurité des systèmes d’information, le droit
d’accès à l’information ont été des occasions
propices, pour la CNDP, de propager les
règles élémentaires de la protection des
données personnelles au Maroc et de faire
connaître ses réalisations en la matière.
2- La sensibilisation des milieux d’affaires
Depuis son installation, la Commission a
décidé de collaborer avec les organismes
professionnels représentant les entreprises
dont le métier repose sur l’utilisation massive
des données personnelles. L’objectif de cette
collaboration était, d’un côté, la sensibilisation
RAPPORT D’ACTIVITE 2010-2013
37
de ces partenaires aux dispositions de la loi
09-08 et, d’un autre côté, la mise en place
des bases d’une coopération pérenne qui
permettrait aux membres de ces groupements
d’utiliser les données personnelles dans
le cadre de leur activité en toute légalité et
transparence.
La collaboration de la CNDP avec les
opérateurs téléphoniques
Les opérateurs téléphoniques ont été
la première cible de la campagne de
sensibilisation lancée par la CNDP. En effet,
les premières plaintes enregistrées par
l’institution concernaient la réception par les
citoyens de SMS non désirés. A ce propos,
la CNDP a reçu, à tour de rôle, entre le
17 et le 24 juin 2011, le Directeur général
de MarocTelecom, Le Directeur général de
Méditel et le Directeur général d’INWI. L’objectif
de cette première rencontre était d’établir
les bases d’une saine coopération entre la
Commission et les opérateurs téléphoniques
et de réfléchir ensemble à la meilleure façon
de mettre fin aux désagréments dus aux
SMS non sollicités. Cette coopération s’est
avérée fructueuse.
La sensibilisation des milieux bancaires
Le 1er juillet 2011, une rencontre est organisée
par la CNDP et Bank Al Maghrib- BAM-, au
cours de laquelle les deux institutions ont mis
en place les axes de leur collaboration. Les
participants à cette rencontre ont échangé
leurs points de vue relatifs à « L’impact de la
loi 09-08 relative à la protection des données
personnelles sur le secteur bancaire ».
Par ailleurs, l’influence de l’avis de la CNDP
sur l’efficacité des mesures nationales de
lutte contre le blanchiment de capitaux et le
financement du terrorisme, a été le thème
discuté par la CNDP et l’instance marocaine
de lutte contre le blanchiment des capitaux...
Le 19 janvier 2012 à l’occasion d’une
rencontre à Rabat avec les milieux bancaires
la CNDP a exposé aux représentants de
Bank Al-Maghrib, du GPBM et en présence
des partenaires français de la Commission
nationale informatique et liberté, les
grandes lignes de la loi 09-08 et les activités
de la Commission tant au plan national
qu’international.
38
Par ailleurs, les organismes publics et privés
opérant dans les secteurs bancaire et financier
(banques, organismes de crédit, assurances,
société de bourse, CDVM, etc.) ont participé
au symposium organisé par BAM et la
CNDP à Rabat les 24 et 25 Octobre 2013.
Cette journée de réflexion a mis l’accent
sur les particularités de l’application des
dispositions de la loi 09-08, dans les secteurs
susmentionnés au Maroc et en France.
Elle a été couronnée par la signature d’une
convention de coopération entre la CNDP et
BAM. La collaboration de Bank al Maghrib
avec la CNDP s’est avérée exemplaire.
Rencontres avec l’Association des
utilisateurs des Systèmes d’Information
– AUSIM –
Dans le cadre de son plan d’action dédié
à l’accompagnement des entreprises
dans la mise en place des processus de
conformité à la loi 09- 08, l’AUSIM a organisé,
le 16 septembre 2011 à Casablanca, une
rencontre avec la CNDP.
L’objectif de cette rencontre était de débattre
du cadre législatif et des implications de
ladite loi pour les entreprises et aussi des
bonnes pratiques en matière de mise en
conformité.
L’année suivante, à l’occasion de la tenue
des assises de l’AUSIM les 10, 11 et 12
Octobre 2012 à Marrakech, les responsables
de la CNDP ont participé en particulier aux
travaux de l’Atelier sur la confiance numérique
dont l’objectif était d’inciter les entreprises
à investir dans le numérique. Le Président
RAPPORT D’ACTIVITE 2010-2013
39
de la CNDP a insisté dans son intervention,
sur l’existence d’une réelle interaction entre
la confiance numérique et la protection
des données personnelles. Celle-ci est
considérée par les experts comme étant
une des pièces maîtresses de la confiance
numérique et une condition essentielle pour
son développement.
Rencontre avec les membres de la
Fédération Marocaine des Technologies
de l’Information, des Télécommunications
et de l’Offshoring – APEBI-
Le 1er juin 2012 à Technopolis-Rabat, la
CNDP a participé à une rencontre organisée
par l’APEBI au profit des représentants de
certaines entreprises françaises intéressées
par la collaboration avec le Maroc dans
le domaine de l’offshoring. Lors de cette
rencontre, la CNDP a présenté le cadre
juridique de ces activités au Maroc.
Le 8 août 2012 à Rabat, les représentants de la
CNDP ont animé les débats au cours du Ftour
organisé par la Fédération des Technologies
de l’Information, des Télécommunications
et de l’Offshoring (APEBI) sur le thème « Le
Maroc et les enjeux de l’économie numérique»
La CNDP a participé également, le 22 Juillet
2013 au lancement par l’APEBI de la vision «
Smart City » ou « ville intelligente » marocaine
baptisée e-Madina.
A chacune de ces manifestations, la CNDP a
présenté les dispositions de la loi 09-08, leur
mise œuvre et l’interprétation que fait l’autorité
marocaine de contrôle des stipulations de la
loi sur la question de l’Offshoring.
Participation de la CNDP au séminaire
du Groupe Professionnel des Banques
Marocaines – GPBM-
Le GPBM a organisé, le 19 janvier 2012 à
Casablanca, un séminaire sur la protection
des données personnelles. A cette occasion,
la CNDP, la CNIL, BAM et la Fédération
Française des Banques ont exposé, chacune
en ce qui la concerne, les règles régissant les
traitements des données personnelles dans
le secteur bancaire.
40
La CNDP au séminaire de la Confédération
Générale des Entreprises du Maroc –
CGEM- sur le commerce électronique
Un séminaire sur le cadre juridique et
réglementaire du commerce électronique
a eu lieu le 14 mars 2012, au siège de
l’Office marocain de la propriété industrielle
et commerciale (OMPIC) à Casablanca.
Organisé par la CGEM, cette rencontre
visait à sensibiliser les entreprises et les
consommateurs sur le dispositif réglementaire
et juridique régissant le e-commerce. Lors
de cette rencontre, l’accent a été mis sur
la présentation du Label E-thiqa, lancé par
la CGEM en vue d’instaurer la confiance
des consommateurs en ligne dans les sites
marchands et promouvoir le développement
du commerce électronique au Maroc.
Les responsables de la CNDP ont exposé
les dispositions de la loi 09-08 relative à la
protection des personnes physiques à l’égard
du traitement des données à caractère
personnel sur cette question.
La CNDP évoque la protection des
données personnelles au forum
International des Assurances
La CNDP a participé aux travaux du forum
intitulé : « La protection des données
personnelles, quels enjeux pour le secteur
des assurances au Maroc », forum organisé
à Casablanca les 18 & 19 Avril 2013 par
la Fédération Marocaine des Sociétés
d’Assurance et de Réassurance (FMSAR).
La CNDP a saisi cette opportunité pour
développer les modalités pratiques de la
protection des données personnelles dans les
métiers de l’assurance, métiers caractérisés
par une forte utilisation des informations
personnelles ainsi que par la multiplicité et la
diversité des intervenants.
Participation de la CNDP à une journée
d’étude organisée par la Chambre de
commerce internationale
La Chambre de Commerce Internationale
au Maroc a organisé le 6 décembre 2012
à Casablanca, une journée d’étude sur le
thème: «Le droit de l’économie numérique
au Maroc».
RAPPORT D’ACTIVITE 2010-2013
41
Invitée à participer à cette rencontre, la CNDP
a fait une présentation axée sur « La mise
en œuvre de la protection des données à
caractère personnel au Maroc et le rôle de la
CNDP ».
Les autres sujets débattus concernaient les
échanges électroniques (e-Gouvernement
et le commerce électronique) et la
cybercriminalité (les enjeux, les défis et l’état
de la loi pénale au Maroc).
Participation de la CNDP aux Ateliers
de sensibilisation des membres de la
Chambre Française du Commerce et de
l’Industrie au Maroc
Les délégations régionales de la Chambre
Française de Commerce et d’Industrie au
Maroc ont organisé respectivement, à
Marrakech et à Tanger en collaboration avec
la CNDP, le mardi 18 juin et le Mercredi 19
Juin 2013, deux ateliers d’information sous le
thème : « La loi n° 09-08 et la protection des
données personnelles au Maroc : enjeux et
aspects pratiques de sa mise en œuvre pour
l’entreprise».
La CNDP a saisi ces deux occasions pour
exposer aux entreprises françaises opérant à
Marrakech et à Tanger les dispositions de la
loi n°09-08 ainsi que les modalités pratiques
pour s’y conformer.
Contribution de la CNDP au 9ème Salon
des Centres d’appels et du Marketing
direct
La CNDP a pris part au 9ème Salon des
Centres d’appels et du marketing direct qui a
eu lieu à Casablanca les 17 et 18 mai 2012.
Lors de cette manifestation, la CNDP a mis
l’accent sur les règles que doivent respecter
les campagnes de marketing direct afin d’être
conformes à l’article 10 de la loi 09-08.
6ème édition de la Conférence annuelle
du Cloud Computing & datacenter
La CNDP a saisi l’occasion offerte par la tenue
de la 6ème édition de la conférence annuelle
du «cloud computing & datacenter», organisée
le 24 septembre 2013 à Casablanca par un
cabinet spécialisé, pour s’adresser à des
participants concernés au quotidien, dans le
42
cadre de leur métier, par les dispositions de
la loi 09-08.
La Commission a profité de cette rencontre
pour présenter aux gestionnaires des
«Datacenter » les principes de la protection
des données personnelles. Elle a mis l’accent
sur les aspects concernant la sécurité des
informations et le transfert des données
personnelles à l’étranger, notamment lorsque
les serveurs d’hébergement sont localisés à
l’étranger ou dans des nuages informatiques
(cloud computing).
Sommet National du Cloud
La CNDP a participé à la première édition
du « National Cloud Summit », organisé,
le jeudi 12 décembre 2013 à Rabat, par
Microsoft.
L’événement a permis à la CNDP de partager
avec les décideurs des secteurs économiques
et politiques présents, les valeurs relatives au
respect du droit à la vie privée tout en profitant
des services offert par le Cloud.
La CNDP reçoit les représentants de
Le 7 juillet 2013, au siège de la CNDP, le
Représentant de Google, Head of Enterprise
Emerging Markets à Dubaï a été reçu par les
responsables de la CNDP. L’objet de la réunion
portait sur l’examen des moyens à mettre en
œuvre en vue d’assurer la protection des
données personnelles des citoyens et des
résidents étrangers au Maroc.
3- L’action de sensibilisation de la CNDP dédiée au secteur public
Parallèlement au secteur privé, la Commission
a multiplié les actions visant la sensibilisation
des départements ministériels, les offices
et les sociétés de l’Etat et ce afin d’inciter
le secteur public à assumer son rôle en
matière de respect des lois en général et des
normes relatives à la protection des données
personnelles, en particulier.
RAPPORT D’ACTIVITE 2010-2013
43
La CNDP organise une Journée de
sensibilisation au profit du secteur public
La CNDP a organisé au bénéfice du secteur
public, le vendredi 31 mai 2013, un séminaire
de sensibilisation sur la loi 09-08, sous le
thème : «Administration et CNDP, ensemble
pour protéger les données personnelles». 140
représentants des différents départements
ministériels, offices et sociétés d’Etat ont
participé à cette journée
Outre, la présentation des principes de la
loi 09-08 et de l’expérience pratique de
mise en conformité de deux régulateurs
nationaux (BAM et ANRT), cette rencontre
a permis d’explorer les axes de coopération
entre la CNDP et l’Administration en vue
d’accompagner les institutions publiques
dans le processus de conformité à la loi 09-
08, processus qui doit servir d’exemple au
secteur privé.
Participation au 1er salon du
E-commerce organisé sous l’égide du
Ministère de l’Industrie du Commerce et
des Nouvelles Technologies
La CNDP a pris part au 1er Salon
«e-commerce» à Casablanca, le 30 Mai 2012
à l’Office des Changes de Casablanca. Elle a
participé à la table ronde «Aspects juridiques
du e-commerce au Maroc».
Organisé sous l’égide du Ministère de
l’Industrie du Commerce et des Nouvelles
Technologies, en partenariat avec la CGEM,
l’APEBI et l’AMRC, ce salon a été structuré
autour de plus de 50 conférences et ateliers
traitant des aspects légaux de la confiance
numérique, des nouveaux canaux et moyens
de paiement et de la valorisation des nouvelles
pratiques.
44
La CNDP participe au colloque organisé
par le Ministère de la Fonction Publique et
de la Modernisation de l’Administration
sur le droit à l’information
Le 13 juin 2013, la CNDP a présenté une
Communication intitulée «Protection des
données personnelles et droit à l’information»
au colloque organisé Sous le Haut
Patronage de SM le Roi, par le Ministère de
la Fonction Publique et de la Modernisation
de l’Administration sur le thème « Le droit à
l’information».
La CNDP assure une formation au 1er
Séminaire organisé par la Direction
Générale de la Sécurité des Systèmes
d’Information
La CNDP a dispensé une formation
consacrée à l’analyse des dispositions de
la loi 09-08 au profit des responsables de
la sécurité des systèmes d’information des
différents organismes publics et privés et ce à
l’occasion du séminaire-formation organisé, à
Rabat le 16 septembre 2013, par la Direction
Générale de la Sécurité des Systèmes
d’Information (DGSSI).
Concertation avec le HCP pour la
préparation du recensement de la
population
Plusieurs rencontres ont réuni les
représentants de la CNDP et du HCP pour
préparer les opérations du recensement
national prévues pour l’automne 2014 afin de
garantir la sécurité des données personnelles
recueillies.
La CNDP a tenu aussi à être présente au
sein des universités et grandes écoles pour
sensibiliser enseignants, chercheurs et
étudiants à la nécessaire protection de leurs
données personnelles.
4 - La sensibilisation des milieux universitaires
Contribution de la CNDP au séminaire
organisé par l’Université Mohammed
V-Agdal et Pablo Olavide de Séville
La CNDP a animé, à Rabat, avec sa consœur
espagnole un séminaire sur « Le droit à la
protection des données personnelles au
Maroc et en Espagne », séminaire organisé
RAPPORT D’ACTIVITE 2010-2013
45
par les universités de Rabat-Agdal et Pablo
Olavide de Séville en Novembre 2010.
Contribution de la CNDP au Colloque
National sur la Cybercriminalité
Le Centre Marocain de Recherches
Polytechniques et d’Innovation a organisé,
le 30 Mai 2013 à Kenitra, en partenariat
avec divers acteurs gouvernementaux,
universitaires, professionnels et associatifs,
un colloque national sur la Cybercriminalité
(CNC 2013) sous le thème «Sécurité et
justice».
La CNDP a présenté aux participants
les principes de base de la loi 09-08, en
insistant, notamment, sur les obligations des
organismes traitant les données personnelles,
les droits des individus dont les données
personnelles sont traitées ainsi que le rôle que
la protection des données personnelles peut
jouer dans la lutte contre la cybercriminalité.
3éme édition du « Moroccan Cyber
Security Challenge » de l’Ecole Nationale
Supérieure d’Informatique et d’Analyse
des systèmes –ENSIAS-
L’ENSIAS, de l’Université Mohammed
V-Souissi, a organisé la 3ème édition du
concours « Moroccan Cyber Security
Challenge » (MCSC), les 22 et 23 Juin 2013
à Rabat. En marge de cet évènement, des
conférences et des ateliers ont été animés
par des professionnels dans le domaine de
la sécurité informatique. Les représentants de
la CNDP ont fait, en ce qui les concerne, une
présentation axée sur la Protection juridique
des données à caractère personnel.
Il est important de noter que Moroccan Cyber
Security Challenge (MCSC) est le premier
concours en matière de sécurité informatique
au Maroc en partenariat avec l’IEEE
Moroccan Section. C’est une compétition
amicale qui a pour but, sur le mode ludique,
46
de mettre l’accent sur l’importance de la
sécurité informatique, cette manifestation se
déroule entre des élèves de grandes écoles
d’ingénieurs et des universités du Maroc.
Par ailleurs, la CNDP, soucieuse
d’accompagner les grandes options du
royaume dans le domaine diplomatique,
l’ouverture sur l’UE, le développement des
relations avec l’Afrique subsaharienne, etc.,
mais aussi de partager son expérience avec
des institutions similaires, a tenu à s’ouvrir à
l’international
5 - Plus de visibilité pour la CNDP à l’international
La CNDP accréditée par la Conférence
internationale des Autorités de contrôle
La CNDP a été officiellement admise à la
Conférence internationale des Autorités de
contrôle des données personnelles, réunie
à Mexico-City du 1er au 4 Novembre 2011.
La Conférence internationale regroupe les
présidents des Commissions nationales
de protection des données personnelles.
Cette reconnaissance internationale,
appelée «accréditation », vise à distinguer
les institutions nationales de protection des
données personnelles et de la vie privée
qui disposent de la capacité et des moyens
d’assurer une protection maximale des
données à caractère personnel.
Le Maroc est le premier pays africain, arabe
et musulman à être accrédité auprès de la
Conférence internationale des Autorités de
contrôle des données personnelles.
La CNDP a participé en octobre 2012 à
la 34ème Conférence Internationale des
Autorités de contrôle organisée à Punta
del este en Uruguay. Lors de la 35ème
Conférence réunie à Varsovie en septembre
2013, le Président de la CNDP a procédé
à la présentation, dans le cadre de la 4ème
session, intitulée «Actors, perspectives,
roles, interests», de l’expérience marocaine
en matière de protection des données
personnelles.
RAPPORT D’ACTIVITE 2010-2013
47
La CNDP membre de l’Association
francophone des Autorités de contrôle
des données personnelles
La CNDP a adhéré à l’AFAPDP dès
2010 et s’est fait représenter aux
rencontres de l’Association, tenues en
novembre 2010 à Paris et en septembre
2011 à Dakar. A Dakar, le Président Saïd
Ihraï a présenté le cadre légal de la
protection des données personnelles au
Maroc et a décrit les premiers pas de
l’institution marocaine.
En marge de la Conférence internationale
des Autorités de contrôle de Mexico du 31
Octobre 2011, s’est tenue la 5e Conférence
de l’AFAPDP. La CNDP a participé activement
à cette Conférence et ce d’autant plus qu’un
sujet intéressant au plus haut point le Maroc
y a été évoqué. Il s’agit de la question de «
l’adéquation » qui, dans le domaine de la
protection des données personnelles, est
une notion différente de l’accréditation.
Directement concernée par cette thématique,
la CNDP y a participé d’autant plus
activement qu’une demande d’adéquation
a été déposée par le Maroc auprès de la
Commission européenne qui, à ce jour, n’a
octroyé l’adéquation qu’à une dizaine de pays
tiers, parmi lesquels les USA sous certaines
conditions, le Canada, la Suisse, l’Uruguay,
la Principauté d’Andorre, etc.
« L’adéquation » est un concept propre à l’UE.
Elle est accordée à un pays non membre de
l’UE, après que la Commission Européenne
ait vérifié, conformément à la Directive
européenne 95/46/CE de 1995, que le pays
concerné assure une protection « adéquate»,
c’est-à-dire « suffisante » et satisfaisante des
données à caractère personnel. L’adéquation
permet aux entreprises de l’UE de transférer,
en toute sécurité, des données à caractère
personnel vers des filiales et des sous-
traitants installés dans le pays qui en est
bénéficiaire, sans aucune autre formalité
auprès de l’Autorité de contrôle nationale
européenne dont il relève.
Par ailleurs, l’AFAPDP a adopté à l’occasion
de cette réunion, une résolution relative
à l’élaboration de principes communs
aux autorités francophones pour assurer
un encadrement effectif des transferts de
données personnelles. Cette résolution
prévoit aussi la création d’un Groupe de
48
travail Francophone sur l’Encadrement des
Transferts de données (GFET). Ce groupe
est composé d’experts des autorités
francophones volontaires pour participer aux
travaux du groupe de travail. Les membres du
Bureau ont proposé en mars 2012 à la CNDP
d’assurer, avec la Commission de protection
de la vie privée de Belgique, coauteur de la
résolution, la coprésidence du GFET pour en
coordonner les travaux durant tout le mandat
(mars-septembre 2012).
En novembre 2012, la 6ème réunion annuelle
de l’AFADPD s’est tenue à Monaco. Ont
été examinés « …la stratégie des Autorités
régulatrices pour diffuser le droit, les
principes de la protection des données
personnelles défendus par les autorités
francophones ; les initiatives des autorités
de l’espace francophone et de l’AFAPDP
pour l’administration électronique, pour la
consolidation des fichiers d’état civil et des
listes électorales, pour l’encadrement des
transferts internationaux de données ».
Parallèlement s’est tenue la réunion des
Autorités de contrôle des pays africains
francophones et la CNDP a proposé
d’organiser la 7ème réunion de l’AFAPDP au
Maroc.
En effet, la CNDP a accueilli les Autorités de
protection des pays de l’espace francophone
lors de la tenue à Marrakech, les 21 et 22
Novembre 2013, de la 7éme conférence
RAPPORT D’ACTIVITE 2010-2013
49
internationale sur la protection des données
personnelles. Organisée par l’AFAPDP, en
partenariat avec l’Organisation internationale
de la Francophonie (OIF) et la CNDP, cette
conférence a traité les questions liées à la
défense des libertés sur Internet et à la place
des appareils et services mobiles dans la
société. Elle a, en outre, adopté un référentiel
servant à encadrer les transferts de données
personnelles au sein de l’espace francophone
par le biais des règles contraignantes
d’entreprises (BCR). Cette conférence a aussi
posé les principes et les règles devant régir
la coopération entre les différentes Autorités
francophones de protection des données
personnelles
Rappelons que la CNDP a codirigé le Groupe
de travail sur l’encadrement des transferts de
données personnelles au sein de l’espace
francophone (GFET).
L’adhésion du Maroc à la convention 108
du Conseil de l’Europe
L’action de la CNDP au plan international
permet de relayer l’action officielle du
Maroc en vue de faire aboutir la demande
d’adéquation, demande qui a été l’un des
objectifs majeurs visés par l’adoption de la
loi 09-08 en 2009.
A ce propos, le 2 juillet 2012, à l’instigation de
la CNDP, le Maroc a fait part de son souhait
d’adhérer à la Convention pour la protection
des personnes à l’égard du traitement
automatisé des données à caractère
personnel, la «Convention 108 », initiative
extrêmement importante pour l’octroi de
l’adéquation.
Pour l’organisation d’un Data Day au
Maroc
Soucieuse de s’ouvrir à l’international, de
faire connaître l’expérience marocaine,
mais aussi de s’informer des dernières
problématiques soulevées par la protection
des données personnelles, la CNDP a tenu
à se faire représenter au Data Day organisé
annuellement par le Conseil de l’Europe le
28 janvier, date de l’ouverture à la signature
de la Convention 108 du Conseil de l’Europe
pour la protection des personnes à l’égard
du traitement automatisé des données à
caractère personnel, Convention qui est
depuis plus de 30 ans le fondement de la
protection des données en Europe et au-delà
50
et à laquelle le Maroc a accepté d’adhérer
en 2013. Cette journée réunit des décideurs
du secteur privé et public, des universitaires
et des experts qui partagent leur expérience
dans le domaine de la protection. Des
actions dédiées à la protection des données
sont entreprises au cours de cette journée
au niveau national, par chaque Autorité
de contrôle. La Commission envisage de
programmer, en 2014, en collaboration avec
le Ministère de la Justice, à l’instar des autres
Autorités de contrôle, une journée particulière
de sensibilisation à la protection des données
personnelles, le 28 janvier, journée qui sera
dédiée à l’examen du rôle du juge dans la
protection des données personnelles.
Participation de la CNDP au Séminaire
international organisé par l’Institut
tunisien de protection des données
personnelles
A l’occasion du séminaire organisé à Tunis par
l’Institut national de protection des données
personnelles tunisien, en collaboration avec
l’Union Européenne, à Tunis les 28 et 29 juin
2012, le Président de la CNDP a présenté
l’expérience marocaine en matière de transfert
des données personnelles à l’étranger.
Le principal objectif de ce séminaire a été
de réfléchir à la réforme de la législation
tunisienne à la lumière de l’expertise
juridique et technique de la France et du
Maroc en matière de protection des données
personnelles.
Contribution de la CNDP à la Conférence
de l’UNESCO sous le thème « Liberté de
connexion, liberté d’expression : écologie
dynamique des lois et règlements qui
façonnent l’Internet »
Les 15 et 16 février 2013, la Commission a
pris part à la Conférence-débat organisée à
Marrakech par le Bureau de l’UNESCO de
Rabat, sur le thème «Liberté de connexion,
liberté d’expression : écologie dynamique des
lois et règlements qui façonnent l’Internet».
Elle a saisi cette occasion pour donner
son avis sur la manière de concilier liberté
d’expression et protection des données
personnelles.
RAPPORT D’ACTIVITE 2010-2013
51
Cette conférence-débat organisée en collaboration avec l’association Moroccan Internet
Society (MISOC) avait pour objectif de sensibiliser le public à la question de la liberté
d’expression sur Internet et de stimuler la réflexion sur les défis et les enjeux de cette liberté.
A travers l’argumentaire de l’UNESCO «Liberté de connexion, Liberté d’expression – Ecologie
dynamique des lois et règlements qui façonnent l’Internet», il apparait que la question relative
à la conciliation entre la liberté d’expression et la protection des données personnelles est loin
d’être tranchée et que le débat entre les tenants de l’un ou de l’autre des principes est loin
d’être épuisé.
Forum Africain sur la Gouvernance de l’Internet
La CNDP et ses consœurs du Benin et du Burkina Faso ont présenté leurs expériences
pratiques en matière de protection des données personnelles aux participants à l’atelier réservé
aux « Pratiques de protection des données à caractère personnel dans les pays francophones
d’Afrique ». Cet atelier a été tenu en marge du Forum Africain sur la Gouvernance de l’Internet,
organisé à Nairobi du 24 au 26 Septembre 2013, par la Commission Economique des Nations
Unis pour l’Afrique (CEA- UNECA), en collaboration avec le Gouvernement du Kenya et plusieurs
organismes internationaux, dont l’Organisation Internationale de la Francophonie (OIF).
52
RAPPORT D’ACTIVITE 2010-2013
53
V. Registre National : Notification des traitements de données personnelles
Chiffres clés :
• 1 995 notifications de traitements
et de transferts à l’étranger dont :
• 976 demandes d’autorisation ;
• 840 déclarations ;
• Une notification du responsable
de la tenue d’un registre public ;
• 178 demandes de transferts à
l’étranger.
Depuis sa création, la CNDP a entrepris
une série de mesures en vue d’inciter les
responsables de traitement à la notification
des traitements de données personnelles et à
la mise en conformité avec la loi 09-08. Ainsi
la CNDP a-t-elle procédé à :
• l’élaboration et publication des formulaires
de notification des traitements des
données personnelles ;
• la création de commissions mixtes
avec les fédérations de divers secteurs
économiques en vue de préparer
des modèles d’autorisation pour les
traitements communs et simplifier la
procédure de leur notification à la CNDP;
• la concertation avec les différents
Ministères afin qu’ils désignent des
responsables de la protection des
données personnelles au sein de leurs
départements.
Le registre national
En vue d’assurer la publicité des traitements
des données à caractère personnel mis en
œuvre par les organismes publics et privés, la
loi 09-08 prévoit la tenue, par la CNDP, d’un
registre national de la protection des données
à caractère personnel. Ce registre recense les
principales caractéristiques des traitements
notifiés.
54
• L’accompagnement des organismes
publics et privés dans le processus de
conformité à la loi 09-08.
Indicateurs et chiffres clés
La CNDP a reçu, depuis sa création jusqu’à
fin 2013, 1 995 notifications de traitements
dont 976 demandes d’autorisations, 840
déclarations et 178 demandes de transfert
des données personnelles à l’étranger.
Fig. n° 3 : Notifications par régime
95% du total des notifications de traitement
(déclarations et demandes d’autorisation) ont
été déposées à la CNDP entre Novembre
2012 et décembre 2013. Il est à rappeler que
le délai dont disposaient les responsables de
traitement pour se conformer aux dispositions
de la loi 09-08 expirait le 15 Novembre 2012.
1. Fréquence des notifications de
traitement
Le nombre moyen des notifications de
traitements par mois était de 90 notifications
en 2013, enregistrant une augmentation
d’environ 50% par rapport à 2012 (61
notifications de traitement par mois).
Toutefois, il est à signaler que des pics
ont été enregistrés en novembre 2012 et
décembre 2013 avec respectivement 597 et
360 notifications, pics qui ont coïncidé avec
la fin de la période de grâce accordée aux
organismes pour se conformer à la loi 09-08
(15 Novembre 2012) et celle précédant le
lancement des opérations de contrôle de la
CNDP (Janvier 2014).
49%
42%
Autorisations Déclarations Transferts
9%
RAPPORT D’ACTIVITE 2010-2013
55
Janv
ier
Févr
ier
Mar
s
Avril
Mai
Juin
Juille
t
Août
Sept
embr
e
Oct
obre
Nov
embr
e
Déc
embr
e
Autorisations Déclarations
300
200
100
0
Janv
ier
Févr
ier
Mar
s
Avril
Mai
Juin
Juille
t
Août
Sept
embr
e
Oct
obre
Nov
embr
e
Déc
embr
e
Autorisations Déclarations
300
200
100
0
Fig. n° 4 : Notifications des Traitements en 2012
Fig. n° 5 : Notifications des Traitements en 2013
56
2. Évolution du volume des notifications
de traitement
Fig. n° 6 : Évolution des notifications
de traitements par année
Le nombre de notifications de traitements
reste largement en dessous du volume des
traitements des données personnelles mis
en œuvre effectivement au Maroc. Toutefois,
l’évolution annuelle des notifications (46%
en 2013) montre que de plus en plus
d’organismes accomplissent les formalités
auprès de la CNDP.
3. Etat des notifications des traitements
Le graphique n° 7 montre que 41% (752) des
notifications des traitements déposées à la
CNDP ont été accordées, 22% (401) étaient
en cours de traitement en Janvier 2014 et 3%
(52) ont été annulées par les responsables
des traitements. Le taux de rejet, quant à
lui, a baissé. Il est passé de 52% en 2012 à
34% en 2013 grâce notamment aux efforts
d’accompagnement consentis par la CNDP.
Fig. n° 7 : Notifications par décision
1200
1000
800
600
400
200
0
1076
2011 2012 2013
737
3
41%
3%22%
34%
Accordée Annulée
En cours Rejetée
RAPPORT D’ACTIVITE 2010-2013
57
4. Notifications des traitements par activité du responsable de traitement
La majorité des traitements autorisés appartiennent à des entreprises privées opérant dans
des industries qui utilisent massivement les données personnelles, tels que les centres d’appel
(22%), les banques et assurances (20%), etc. Pour leur part, certains organismes du secteur
public (22%), soucieux du respect de la loi et de l’instauration d’une relation de transparence et
de confiance avec les citoyens, ont aussi accompli les formalités exigées par la loi 09-08. Les
plus importants sont Bank Al Maghrib, l’ANRT, le CDVM, l’OMPIC, l’ADM, l’OCP, le RCAR, la
Bourse de Casablanca, Casa-Tramway, Tramway-Rabat, etc.
Fig. n° 8 : Traitements autorisés par activité du responsable de traitement
Autres activitésCommerce
Télécommunication
Technologies de l’informationRégie d’eau et d’électricité
Laboratoires Pharmaceutiqueset Médicaments
Industrie manufacturièreHôtellerie
Commerce ElectroniqueCentre d’appel
Bureau d’étude, Conseil et AvocatBanque et Assurance
Associations Professionnelles, Fédérations ...
Organismes Publics
0 20 40 60 80 100 120 140 160 180
1530
51
7122
1832
4
10
10
6
168
152
163
58
200
180
160
140
120
100
80
60
40
20
0
177
87 86 85 84
5441 38 36
2312 9 9 8
2 1
Ges
tion
des
Ress
ourc
es H
umai
nes
Sécu
rité,
con
trôle
d’a
ccès
et
vidé
osur
veilla
nce
Ges
tion
des
Clie
nts
Ges
tion
des
Annu
aire
s té
léph
oniq
ues
et d
es c
ompt
es in
form
atiq
ues
Com
ptab
ilité,
aud
it et
ges
tion
finan
cièr
e
Assu
ranc
es
Ges
tion
des
four
niss
eurs
Site
s w
eb e
t Com
mer
ce E
lect
roni
que
Ges
tion
des
Con
tent
ieux
et L
itige
s
Sant
é
Com
mun
icat
ion
et E
vène
men
tiel
Jeux
et c
onco
urs
Enqu
êtes
, Son
dage
et s
tatis
tique
s
Lutte
con
tre la
frau
de
Géo
loca
lisat
ion
Autre
s
5. Traitements autorisés
La répartition des traitements par finalité montre que 24%, soit pratiquement un quart du total
des traitements autorisés concerne la gestion des ressources humaines, 12% la gestion de la
sécurité, du contrôle d’accès et la vidéosurveillance et 11% la gestion des clients.
Fig. n° 9 : Traitements autorisés par finalité
RAPPORT D’ACTIVITE 2010-2013
59
69%
1%1%
2%
21%
2% 2% 1%1%
Rabat Salé Tanger
Meknès Agadir Casablanca
Fés Kenitra Mohammedia
6. Répartition géographique des
traitements autorisés
L’analyse des traitements autorisés selon la
localisation géographique des responsables
de traitement confirme, sans surprise, la
prédominance de Casablanca (69%) et, dans
une moindre mesure, Rabat (21%). Les
entreprises installées à l’étranger, notamment
en France, en Grande Bretagne, en Suisse et
au Danemark, ont été à l’origine de 2% des
traitements autorisés par la CNDP.
Fig. n° 10 : Traitements autorisés
par ville
7. Régime de l’autorisation
Sur un total de 1816 notifications de
traitements, 976 notifications, soit 54% du
total, ont utilisé le régime de l’autorisation.
Le choix de ce régime (demandes
d’autorisations) s’explique dans 58% des cas
par l’utilisation de données sensibles et dans
42% des cas par le traitement du numéro
de la CNI. Le changement de finalité a été
à l’origine de huit demandes d’autorisation,
quant aux interconnexions de fichiers, dont
les finalités sont différentes, ils ont enregistré
16 demandes d’autorisation.
a. Autorisations accordées
Sur un total de 976 demandes d’autorisation
déposées auprès de la CNDP, 33% (316)
ont été accordées, 29% (285) rejetées,
35% (344) étaient en cours d’instruction en
Janvier 2014 et 3% (31) ont été annulées
par les responsables de traitement. 57%
des autorisations accordées portent sur des
traitements usuels utilisant le numéro de
la CNI, tandis que, 43% concernent des
données sensibles. Parmi ces dernières, 56%
utilisent des données de santé, 29% portent
sur des données relatives aux infractions et
60
condamnations et le reste (15%) concernent
des informations relatives aux mesures de
sûreté, aux appartenances syndicales, à la
biométrie, aux origines raciales ou ethniques,
à la génétique et aux opinions politiques.
b. La durée moyenne d’instruction des
demandes d’autorisation
Le délai moyen de traitement des demandes
d’autorisation a été de trois mois et demi en
2013, soit une réduction de deux mois en
comparaison avec 2012 (5mois et demi). Ceci
est essentiellement dû à l’accroissement en
2013 des ressources humaines de la CNDP.
8. Transferts des données personnelles
à l’étranger
La CNDP a reçu 178 demandes de transfert
de données personnelles à l’étranger, dont
60% (107) ont été accordées, 17% (30)
étaient en cours d’instruction en Janvier 2014,
1% ont été annulées par les responsables
de traitement et 22% (40) ont été rejetées à
cause notamment de la non notification du
traitement de base ayant servi à la collecte
des données objet du transfert.
Fig. n° 11 : Transferts des données
personnelles à l’étranger par décision
a. La base légale du transfert
Les transferts des données personnelles ont
été autorisés par la CNDP dans 97% des
cas parce que le pays de destination figurait
sur la liste des pays assurant une protection
suffisante conformément à l’article 43 de
la loi 09-08 et dans 3% des cas parce que
les personnes concernées ont consenti au
transfert de leurs données personnelles,
conformément à l’article 44 de la loi 09-08.
60%
1%
17%
22%
Accordée Annulée
En cours Rejetée
RAPPORT D’ACTIVITE 2010-2013
61
Fig. n° 12 : La base légale de transfert
des données personnelles
b. Les transferts par pays de destination
L’analyse des transferts des données
personnelles par pays de destination, montre
que le transfert des données personnelles
partant du Maroc s’effectue principalement
vers les pays de l’Union Européenne, avec un
pourcentage de 91% du total des transferts
autorisés. La France s’accapare la part du
lion avec 61% du total des transferts autorisés
par la CNDP. Elle est suivie de l’Espagne avec
un pourcentage de 14%.
Fig. n° 13 : Transferts autorisés
par pays de destination
97%
3%
Transferts effectués sur la base du consentementdes personnes concernées
Transferts effectués vers des pays ayantune protection suffisante
61%1%
2%
2%
2%
5%
4%
4%1%
1%
14%
3%
France Irlande Pays Bas
Royaume-UNI Suisse Allemagne
Canada Danemark Egypte
Emirats Arabes Unis Espagne Etat-Unis
62
RAPPORT D’ACTIVITE 2010-2013
63
VI. Dépôt de Plaintes : Bilan et indicateurs
Points saillants :
• Plus de 50 plaintes reçues par la CNDP depuis sa création jusqu’à
fin 2013 ;
• 83% des plaintes sont déposées en ligne ;
• Évolution rapide du nombre de plaintes ;
• 53% des plaintes concernent les SMS ;
• 2 plaintes ont été déposées par des syndicats.
Depuis sa création, jusqu’à fin 2013, la CNDP a reçu une cinquantaine de plaintes, dont plus
de 40 ont été enregistrées en 2013, témoignant ainsi d’une évolution rapide de cet indicateur.
Fig. n° 14 : Évolution des plaintes entre 2011 et 2013
50454035302520151050
2011
1 7
43
2012 2013
Une évolutionde 600%
64
Cette évolution s’explique, en partie, par
la mise en service de la nouvelle version du
site web de la CNDP qui permet le dépôt en
ligne des plaintes. En effet, plus de 83% des
plaintes reçues sont parvenues à la CNDP via
le formulaire en ligne.
Fig. n° 15 : Moyens utilisés
pour le dépôt des plaintes
Toutefois, le nombre de réclamations reçues
reste limité et s’explique par le caractère
relativement récent du concept de protection
des données personnelles au Maroc et par
une grande réticence à les faire par écrit.
Le contenu des plaintes reçues par la
CNDP varie. Il concerne principalement la
réception des SMS (53%) et des SPAMS
(7%) intempestifs, l’utilisation abusive des
données biométriques (5%), l’usage intrusif
de la vidéosurveillance (7%) et bien d’autres
sujets.
Fig. n° 16 : Répartition des plaintes
par contenu
La CNDP a mis en place une procédure
pour traiter les plaintes. L’instruction des
réclamations reçues jusqu’à fin 2013, a
permis de régler environ 50% des cas. Pour
83%
10%
7%
Dépôt sur place Fax En ligne (internet)
53%
7%
7%
7%
5%
21%
SMS SPAM DP sur Internet
Vidéosurveillance Données biométriques Autres
RAPPORT D’ACTIVITE 2010-2013
65
les envois abusifs des SMS, les contacts
pris avec l’ANRT et les trois opérateurs
téléphoniques ont permis de mettre en place
une stratégie de lutte contre cette pratique.
La répartition des plaintes selon la localisation
géographique des organismes mis en cause
révèle la prédominance de l’axe Rabat-
Casablanca sur le reste du royaume.
Fig. n° 17 : Répartition des plaintes
par localisation des responsables
de traitement
72%
16%
12%
Casablanca Rabat Autres villes
33%
14%
12%
9%
5%
5%
22%
Commerce Sites web Administration
Immobilier Télécoms Secteur financier
Autres secteurs
Quant à l’analyse de la répartition des plaintes
par secteur d’activité des responsables
de traitement, elle fait apparaitre une
cartographie variée où prévalent les acteurs
exerçant une activité commerciale, laquelle
activité a suscité 33% de l’ensemble des
plaintes reçues par la CNDP. Il est à noter que
l’administration publique a été l’objet de 12%
de l’ensemble des plaintes.
Fig. n° 18 : Répartition des plaintes
par secteur d’activité du responsable
de traitement
66
RAPPORT D’ACTIVITE 2010-2013
67
VII. Contrôle et investigation
Points saillants
• Mise en place des dispositifs de
contrôle ;
• Assermentation des contrôleurs
de la CNDP.
Perspectives
• Lancement du contrôle en 2014 ;
• Renforcement du contrôle
par des ressources humaines
compétentes et motivées.
Ce contrôle est diligenté dans les cas suivants:
1. lancer une enquête sur un cas révélé par
les médias (journaux, revues, TV, internet,
etc) ;
2.mettre en œuvre une décision de la
Commission ayant pour objet
d’exécuter un programme adopté par la
Commission;
3. répondre à une plainte reçue.
Les missions de contrôle diligentées par
la CNDP se déclinent en trois catégories, à
savoir le contrôle sur documents, le contrôle
des sites web et le contrôle sur place.
Depuis son installation, la CNDP a fait le choix
de porter ses efforts essentiellement sur la
sensibilisation aux nouvelles dispositions
légales et réglementaires relatives à la
protection des données personnelles. À partir
de l’année 2013, la CNDP s’est penchée sur la
mise en place des dispositifs organisationnels
et logistiques en vue de lancer les missions
En matière de contrôle, la CNDP dispose
de pouvoirs d’investigation et d’enquête lui
permettant de contrôler et de vérifier que les
traitements des données personnelles mis en
œuvre par les organismes publics et privés
sont en conformité avec les dispositions
légales et règlementaires en vigueur.
Le contrôle a pour finalité d’examiner la
régularité des traitements mis en œuvre par
les responsables de traitement.
68
de contrôle. Dans cette perspective, les cadres de la CNDP ont prêté serment le 19/11/2013
devant le Tribunal de première instance de Rabat, étape indispensable pour mener sur le
terrain des opérations de contrôle.
En fonction essentiellement des plaintes reçues, la CNDP dresse son programme annuel de
contrôle.
En dehors du programme annuel, la CNDP peut dépêcher des missions ponctuelles de
contrôle pour traiter de cas urgents susceptibles de présenter un danger pour la vie privée des
individus ou pour permettre l’exercice de leurs libertés et droits fondamentaux: droit
d’accès, de rectification, d’opposition etc...
RAPPORT D’ACTIVITE 2010-2013
69
70
RAPPORT D’ACTIVITE 2010-2013
71
VIII. Modernisation du cadre législatif etdoctrine de la CNDP
Points saillants
• Un chantier important de projets
législatifs ;
• Des amendements à la loi 09-
08 déposés auprès du Chef du
Gouvernement;
• Une production doctrinale
importante.
• L’élaboration d’une doctrine de la CNDP
afin d’encadrer l’utilisation de certaines
technologies modernes, d’interpréter et
d’appliquer les dispositions de la loi à
certaines activités économiques;
• Les avis juridiques de la Commission sur
des questions spécifiques visant à clarifier
le sens de certaines dispositions de la loi
et ceci lorsqu’elle est sollicitée par des
instances publiques.
Amendement de la loi 09-08
L’expérience capitalisée durant les trois
années d’exercice de la CNDP ainsi que la
volonté d’adapter la législation marocaine
relative à la protection des données
personnelles aux standards internationaux
ont été à la base des projets d’amendement
de la loi 09-08.
L’activité de la CNDP se mesure aussi à
travers un chantier de projets législatifs et une
production doctrinale importante. Soucieuse
de s’aligner sur les normes internationales
et de répondre aux défis juridiques et
technologiques découlant de la pratique de
la protection des données personnelles, la
CNDP a focalisé ses efforts sur 3 volets :
• La modernisation de la législation
marocaine en matière de protection des
données personnelles ;
72
Au cours de l’année 2013, la CNDP a
remis au Chef du Gouvernement les projets
d’amendement de la loi 09-08 comme
première étape de la procédure législative.
Ces projets visent à introduire des mesures
susceptibles de :
• consolider l’indépendance de la CNDP ;
• renforcer l’efficience de l’action de la
Commission;
• assurer une meilleure protection des
données personnelles dans les deux
domaines cruciaux que sont l’exercice
des droits reconnus aux personnes
concernées et les obligations incombant
aux responsables de traitement ;
• simplifier les procédures administratives.
Délibérations doctrinales de la Commission
Le développement du numérique fait peser
des risques sur les libertés et l’exercice des
droits par les personnes et sur la protection
de leur vie privée. Ceci nécessite une grande
vigilance de la part de la CNDP. Celle-ci
est appelée à fixer des règles d’utilisation
conformes à l’esprit de la loi afin de tirer profit
des nouvelles technologies tout en assurant
la protection de la vie privée des personnes.
1. Vidéosurveillance : la Commission
précise le cadre légal
Les caméras de vidéosurveillance sont de
plus en plus présentes dans les rues, les
commerces, les transports en commun, les
immeubles, les lieux de travail, etc. Si l’utilité
de la vidéosurveillance pour assurer la sécurité
des personnes et des biens est unanimement
reconnue, le risque de porter atteinte à la vie
privée est de plus en plus grand. Consciente
de ces enjeux, la Commission a adopté en
RAPPORT D’ACTIVITE 2010-2013
73
2013 une délibération n° 350-2013 visant
à définir le cadre légal de l’utilisation des
systèmes de vidéosurveillance dans les lieux
de travail et dans les lieux privés communs.
Notification à la CNDP
Au regard de la loi, la vidéosurveillance est
un traitement de données personnelles.
Cette nouvelle technologie permet de
collecter et traiter les images des personnes
présentes sur les lieux surveillés. De ce fait,
la vidéosurveillance doit faire l’objet d’une
notification à la CNDP. Dans sa délibération
n° 350-2013 du 31 mai 2013, la Commission
a retenu la déclaration comme modalité de
notification simplifiée.
Les règles pour concilier sécurité et respect
de la vie privée
La Commission a fixé un certain nombre de
règles pour permettre aux professionnels et
aux particuliers qui souhaitent mettre en place
des systèmes de vidéosurveillance, d’assurer
la sécurité des lieux privés communs tout en
préservant la vie privée des personnes.
Emplacement des caméras
Les caméras peuvent être installées dans
tout emplacement permettant la sécurité des
biens et des personnes mais jamais dans
un endroit risquant de porter atteinte à la vie
privée de ces dernières.
Ainsi, les caméras peuvent être installées aux
entrées et aux sorties des bâtiments, sur
les voies de circulation, dans les entrepôts
de marchandises, dans les parkings, face à
des coffres forts, à l’entrée et à l’intérieur des
salles techniques, etc.
Elles ne doivent pas être utilisées pour
surveiller en permanence les employés,
les lieux de culte, les locaux syndicaux, les
toilettes, les salles de réunions ou les zones
de pauses, etc.
Durée de conservation des images
Les images enregistrées par un système
de vidéosurveillance ne doivent pas être
conservées plus de 3 mois. Au-delà de ce
délai, ces images doivent être détruites.
74
Droits des personnes concernées
Il est impératif d’informer, au moyen d’une
affiche ou d’un pictogramme, les personnes
présentes sur le site surveillé par des caméras.
Sécurité des images
L’utilisation de la vidéosurveillance implique
aussi l’obligation de prendre toutes les
précautions utiles pour préserver la sécurité
et la confidentialité des images enregistrées,
notamment pour empêcher qu’elles ne soient
exploitées à mauvais escient.
2. Géolocalisation : les bonnes pratiques
La géolocalisation constitue un nouveau
moyen technologique que les entreprises
utilisent en vue d’optimiser l’exploitation de
leur flotte de véhicules. Cette technologie
consiste à équiper chaque véhicule d’un
boîtier et de suivre, à tout instant, sa position
géographique à l’aide d’un terminal. Sans
remettre en cause ses avantages en terme
de maîtrise de gestion, la géolocalisation
peut constituer une menace à la vie privée
des employés qui conduisent des véhicules
dotés de cette technologie. Afin d’encadrer
son utilisation par les organismes publics et
privés et préserver les droits des employés,
la CNDP a jugé utile de se prononcer sur la
question. La décision de la Commission a fait
l’objet de la délibération n° 402-2013 du 12
juillet 2013.
Notification à la CNDP
Dans un souci de simplification des
procédures, la Commission nationale a opté
pour le régime de la déclaration préalable
comme moyen de notification du traitement
relatif à la géolocalisation.
RAPPORT D’ACTIVITE 2010-2013
75
Pourquoi utiliser la géolocalisation ?
La CNDP reconnait le droit de recourir à la
géolocalisation dans le but d’optimiser et
rationaliser l’utilisation du parc automobile,
d’assurer la sécurité des employés, des
marchandises et des véhicules en cas de vol ,
et d’évaluer le rendement des conducteurs,
lorsque cela ne peut être effectué par d’autres
moyens.
Le devoir d’informer
Par souci de transparence et d’équité, la
CNDP exige que le conducteur soit informé
par écrit de l’utilisation de la géolocalisation
à bord du véhicule mis à sa disposition. De
même qu’elle préconise d’informer également
les instances représentatives du personnel.
Sécurité et confidentialité des données
Le recours à la géolocalisation implique aussi
l’obligation de prendre toutes les mesures et
les précautions nécessaires pour préserver
la sécurité et la confidentialité des données,
notamment pour empêcher un accès non
autorisé à ces données. Ainsi la Commission
limite à un an la durée de conservation des
données de géolocalisation.
3. Utilisation des données
biométriques pour le contrôle
d’accès
La technologie biométrique est une
technique qui se développe au rythme
effréné des innovations technologiques et
des besoins en sécurité et en confort. Les
données biométriques permettent d’identifier
automatiquement une personne à partir de
ses caractéristiques physiques propres :
empreintes digitales, iris, ADN, etc. Ces
données sont qualifiées par la loi de données
sensibles. Elles nécessitent certaines
précautions pour éviter toute utilisation
abusive. Constatant un recours de plus en
plus fréquent aux dispositifs biométriques
dans le monde du travail, la CNDP a voulu
prendre acte de cette évolution en encadrant
cet usage par une décision ad hoc. C’est
l’objet de la délibération n° 478-2013 du 1er
novembre 2013 portant sur les conditions
nécessaires à l’utilisation des dispositifs
biométriques pour le contrôle d’accès.
76
Autorisation de la CNDP
Pour la formalité de notification du traitement,
la Commission a décidé que l’installation
d’un dispositif biométrique dans le monde
du travail doit faire l’objet d’une demande
d’autorisation auprès de la CNDP.
Des règles strictes
Un organisme qui projette d’installer un
dispositif biométrique pour le contrôle
d’accès ne peut être autorisé que si ses
locaux et installations représentent un enjeu
majeur de sécurité dépassant l’intérêt strict de
l’organisme. Cependant d’autres conditions
doivent être réunies :
1. L’organisme doit justifier que les
méthodes alternatives de contrôle
d’accès ne sont pas suffisamment fiables
pour sécuriser son site ;
2. La CNDP exige que seules peuvent être
traitées les données biométriques d’un
nombre limité de personnes, dont la
mission nécessite une présence régulière
ou temporaire dans le site sécurisé ;
3. Une donnée biométrique ne peut
être utilisée à l’état brut. Il incombe à
l’organisme concerné de procéder à une
extraction partielle de la donnée sous
forme d’un nombre limité d’éléments
caractéristiques, par exemple pour
l’empreinte digitale, extraire un nombre
limité de points caractéristiques;
4. L’organisme responsable du traitement
ne doit pas constituer une base de
données pour stocker les données
biométriques collectées, sauf dans
des circonstances très particulières.
En règle générale, les données doivent
être enregistrées sur un support mobile
exclusivement détenu par la personne
concernée ;
5. Le dispositif biométrique doit être utilisé
à des fins d’authentification et non pas
d’identification, c’est-à-dire qu’il doit
autoriser l’accès sans identifier les
individus.
RAPPORT D’ACTIVITE 2010-2013
77
Une garantie supplémentaire dans le monde
du travail
Fidèle à sa mission de préserver les droits
et les libertés fondamentales des individus,
en particulier dans le monde du travail, la
Commission a estimé que les données
biométriques ne peuvent être utilisées pour la
gestion du temps de présence sur les lieux
du travail des fonctionnaires et des employés.
Délibérations thématiques de la Commission
Un bilan en progression
Au cours de l’année 2013, la Commission
a adopté plusieurs délibérations traitant de
thèmes divers. Elles ont concerné des sujets
à forte incidence sur la vie privée des individus
et qui sont le résultat des pratiques et usages
opérés au quotidien par les entreprises et les
administrations. A travers ces délibérations
la Commission vise à établir un cadre
juridique respectueux des impératifs de la
protection des données personnelles, et ce,
en conformité avec les normes et les usages
reconnus au niveau international.
Le secteur financier à l’heure de la protection
des données personnelles
En concertation avec Bank Al-Maghrib, le
Groupement Professionnel des Banques du
Maroc et l’Association Professionnelle des
Sociétés de Financement, la CNDP a élaboré
en 2013 trois délibérations qui couvrent
l’essentiel des métiers de la banque et des
sociétés de financement en rapport avec
leurs clients.
Ces délibérations constituent des modèles
de demande d’autorisation qui fixent des
normes spécifiques en matière de traitement
des données personnelles dans le secteur
financier et auxquels les organismes
concernés peuvent souscrire pour assurer
leur conformité à la loi. Elles concernent :
• la tenue des comptes de la clientèle et
la gestion des opérations s’y rapportant
(Délibération n° 479-AU-2013 du 1er
novembre 2013) ;
• la gestion des crédits et des garanties
(Délibération n° 480-AU-2013 du 1er
novembre 2013) ;
78
• la gestion des clients de passage
(Délibération n° 481-AU-2013 du 1er
novembre 2013).
Le secteur des assurances
Grâce au travail effectué en concertation
avec la Fédération Marocaine des Sociétés
d’Assurances et de Réassurance (FMSAR), la
CNDP a émis sept délibérations qui couvrent
l’essentiel des métiers de l’assurance au
Maroc.
Ces délibérations constituent des modèles
de demande d’autorisation qui fixent des
normes spécifiques en matière de traitement
des données personnelles dans le secteur
des assurances et auxquelles les organismes
concernés peuvent souscrire pour assurer
leur conformité à la loi. Elles concernent :
• la gestion des souscriptions et sinistres
de l’assurance «accidents du travail et
maladies professionnelles» (Délibération
n° 39-AU-2012 du 04 Janvier 2013),
• la gestion des souscriptions et sinistres
de l’assurance «Décès Invalidité Maladie»,
(Délibération n° 40-AU-2012 du 04 Janvier
2013),
• la gestion des souscriptions et sinistres
de l’assurance «Individuel Accidents»
(Délibération n° 41-AU-2012 du 04 Janvier
2013),
• la gestion des souscriptions et sinistres
de l’assurance « multirisques habitation »
(Délibération n° 42-AU-2012 du 04 Janvier
2013),
• la gestion des souscriptions à l’assurance
«responsabilité civile automobile»
(Délibération n° 30-AU-2012 du 09
Novembre 2012),
• la gestion des souscriptions et sinistres
de l’assurance «Vie et Capitalisation»
(Délibération n° 43-AU-2012 du 04 Janvier
2013),
• la gestion des souscriptions et sinistres de
«l’Assistance» (Délibération n° 403-AU-
2013 du 12 Juillet 2013).
RAPPORT D’ACTIVITE 2010-2013
79
L’alerte professionnelle à la lumière des
dispositions de la loi 09-08
Un dispositif d’alerte professionnelle
(« whistleblowing » en anglais) est un système
qui permet aux employés d’un organisme de
dénoncer les comportements inappropriés
de leurs collègues. Au vu des particularités
de ce système et des risques inhérents à son
utilisation, la CNDP a décidé de réglementer
l’utilisation de ce dispositif au moyen de sa
délibération n° 351-2013 du 31 mai 2013.
Cette délibération définit les domaines
d’application du dispositif d’alerte
professionnelle au Maroc. Elle fixe les
conditions de sa mise en œuvre et énumère
les mesures à même de garantir les droits
des personnes mises en cause.
La CNDP dévoile la liste des pays garantissant
une protection suffisante des données
personnelles
Pour la première fois, et conformément aux
attributions fixées à la Commission par la loi
09-08, en particulier l’article 28, la CNDP a
établi, dans sa Délibération n° 465-2013
du 06 septembre 2013, la liste des Etats
assurant une protection suffisante de la vie
privée et des libertés et droits fondamentaux
des personnes à l’égard du traitement des
données à caractère personnel.
Tant attendue par les opérateurs qui sont
amenés de par leurs activités à échanger
régulièrement des données personnelles avec
l’étranger, cette liste, qui regroupe 33 pays,
contribuera à fluidifier et sécuriser davantage
les échanges à l’international.
Sur le droit de l’administration à se faire
communiquer des données personnelles
En réponse aux interrogations de certains
organismes saisis par des administrations
publiques en vue de la communication de
données personnelles, la Commission a
jugé utile de délibérer sur la question et de
prendre une décision qui fixe son cadre
juridique. En effet, la Délibération n° 464-
2013, du 06 septembre 2013, portant sur
les conditions de l’exercice du droit de se
faire communiquer des données à caractère
personnel exige plusieurs critères :
80
1. le destinataire (administration) doit
adresser au propriétaire du fichier une
demande écrite en précisant la base
légale du droit de communication
invoqué,
2. la demande de communication doit viser
des personnes nommément identifiées
ou identifiables. Elle ne peut en aucun
cas porter sur l’intégralité du fichier,
3. la demande doit être ponctuelle et non
systématique,
4. la demande doit préciser les catégories
de données sollicitées. Ces dernières
doivent-être adéquates, pertinentes
et non excessives au regard de la
finalité pour laquelle elles peuvent être
communiquées,
5.. le traitement envisagé par le destinataire
doit être conforme aux dispositions
de la loi 09-08, notamment en ce qui
concerne sa notification à la CNDP,
6. la transmission doit être autorisée par la
CNDP.
Avis de la CNDP
Dans le cadre des attributions qui lui sont
reconnues par la loi 09-08, la CNDP a
reçu plusieurs demandes d’avis émanant
d’instances publiques. Ci-après le récapitulatif
des demandes d’avis soumises à la CNDP
depuis sa création jusqu’à fin 2013 :
• Demande d’avis du 4 Octobre 2010 du
Ministère du Commerce, de l’Industrie
et des nouvelles technologies relative au
projet de convention de partenariat pour
l’échange d’informations statistiques
entre ce Ministère et la Direction Générale
des Impôts.
• Demande d’avis du 02 Avril 2012 de l’Unité
de traitement de Renseignement Financier
(UTRF) relative à l’annexe sur le traitement
des données à caractère personnel dans
le cadre d’une Convention de Coopération
avec une autorité étrangère.
• Demande d’avis en date du 15 Novembre
2012, émanant du Ministère du
Commerce, de l’Industrie et des Nouvelles
RAPPORT D’ACTIVITE 2010-2013
81
Technologies, relative à la réponse du « Groupe de travail de l’article 29» (G29), à l’autorité
de régulation de l’Internet (ICANN). Elle concerne la vérification annuelle des données
personnelles des « gestionnaires techniques des noms de domaines » ainsi que la durée de
conservation desdites données.
• Demande d’avis du 14 janvier 2013 de l’UTRF relative à des questions du Groupe d’Action
financière sur les exigences de la protection des données personnelles au Maroc.
• Demande d’avis du 27 Février 2013 du Ministère du Commerce, de l’Industrie et des
nouvelles technologies relative au projet de loi formant le code numérique.
• Demande d’avis du 28 Octobre 2013 du Ministère de l’Economie et des Finances relative au
projet d’échange d’information entre la Direction générale des impôts et quatre organismes
publics dans le cadre de la loi de finances 2014.
• Demande d’avis du Ministère de la Fonction Publique et de la Modernisation de l’Administration
relative au projet de loi sur le droit d’accès à l’information.
82
RAPPORT D’ACTIVITE 2010-2013
83
IX. Coopération et partenariat
Au niveau national
1. Secteur Privé
Les actions de coopération lancées avec le secteur privé visaient principalement :1) la
sensibilisation au sujet des dispositions de la loi 09-08, 2) l’accompagnement des entreprises
durant le processus de conformité à la loi 3) la simplification des procédures de notification des
traitements à la CNDP et 4) la concertation au sujet de l’encadrement de certains traitements
affectant la vie privée. Le tableau suivant résume les axes de coopération et les réalisations
enregistrées avec les différents partenaires du secteur privé :
Partenaire Axe : Réalisation
APEBI
1) Sensibilisation :- Présentation au profit des membres de l’association à Rabat.- Participation aux débats-ftour de l’APEBI
2) Concertation :- Cloud Computing (en cours)
AUSIM
1) Sensibilisation :- Présentation en marge des assises de l’AUSIM à Marrakech.- Animation d’un atelier sur la loi au profit des membres de l’association à
Casablanca2) Concertation :
- Cloud Computing (en cours)
GPBM
1) Sensibilisation :- Organisation de séminaires sur la protection des données personnelles dans le secteur bancaire.
2) Simplification des procédures de notification :- Modèle de demande d’autorisation pour la tenue du compte et la gestion des
opérations s’y rapportant,- Modèle de demande d’autorisation pour la gestion des clients de passage,- Modèle de demande d’autorisation pour la gestion des crédits et des garanties,
84
Partenaire Axe : Réalisation
CFCIM1) Sensibilisation :
- Journée d’information à Marrakech- Journée d’information à Tanger
FMSAR
1) Sensibilisation :- Présentation en marge du Forum International des assurances.
2) Simplification des procédures de notification :Modèle de demande d’autorisation pour :
- la gestion des souscriptions et sinistres de l’Assistance,- la gestion des souscriptions et sinistres de l’assurance «accidents du travail et
maladies professionnelles»,- la gestion des souscriptions et sinistres de l’assurance « Décès Invalidité
Maladie »,- la gestion des souscriptions et sinistres de l’assurance «Individuel Accidents»,- la gestion des souscriptions et sinistres de «’assurance «Multirisques Habitation»,- la gestion des souscriptions à l’assurance «responsabilité civile automobile»,- la gestion des souscriptions et sinistres de l’assurance «Vie et Capitalisation».
Standardisation de la clause type relative aux données personnelles à insérer dans les contrats d’assurance
2. Secteur public
La coopération avec le secteur public est essentielle pour rendre effective la protection des
données personnelles au Maroc. C’est pourquoi la CNDP accorde une grande importance à la
concertation et à la collaboration avec les départements ministériels et les différents régulateurs.
La coopération dans ce domaine s’est concrétisée par des réunions de sensibilisation avec
plusieurs ministres, par la signature d’une convention d’entente avec Bank Al Maghreb (BAM)
et par la notification à la CNDP de plusieurs traitements effectués par des organismes publics.
RAPPORT D’ACTIVITE 2010-2013
85
Les partenaires du secteur public sont, d’une part, des organismes soumis aux dispositions
de la loi 09-08, censés donner l’exemple aux entreprises privées en ce qui a trait au respect
des lois, et d’autre part, des acteurs économiques, responsables de la supervision, de
l’encadrement et de la bonne marche des secteurs économiques qu’ils supervisent.
L’adhésion du secteur public à ce projet national, concernant la protection effective des
données personnelles, permettra une meilleure articulation entre le respect de vie privée et les
traitements des données personnelles, traitements nécessaires au fonctionnement normal de
toute entreprise publique.
Le tableau suivant résume les axes de coopération et les réalisations enregistrées avec les
différents partenaires du secteur public :
Partenaire Axe
Ministère de l’Industrie, du Commerce, de l’Investissement et de l’Economie Numérique
1) Sensibilisation :- Rencontre avec M. le Ministre - Journée d’information au profit des responsables du
Ministère, l’OMPIC, l’AMDI et l’ANPME. 2) Concertation :
- Code numérique.
Ministère de l’Economie et des Finances
1) Sensibilisation :- Rencontre d’information avec les responsables de la Direction
du Système d’Information 2) Concertation :
- Avis au sujet du projet de loi des Finances 2014
Ministère chargé de l’Administration de la Défense Nationale, Direction Générale de la Sécurité des Systèmes d’Information (DGSSI)
1) Sensibilisation :- Rencontre avec M. le Ministre- Formation en marge du séminaire-formation organisé au profit des RSSI.
2) Concertation :- Cloud Computing (en cours)
86
Partenaire Axe
Ministère chargé de la Fonction Publique et de la Modernisation de l’Administration
1) Sensibilisation :- Rencontre avec M. le Ministre.
2) Concertation :- Droit d’accès à l’information
Agence Nationale de Réglementation des Télécommunications (ANRT)
1) Concertation : - SMS intempestifs
Bank Al-Maghrib (BAM)
1) Sensibilisation :- Organisation d’un symposium au profit des secteurs bancaire et financier.
2) Concertation :- Conformité du secteur bancaire à la loi 09-08
Haut-Commissariat au Plan (HCP)
1) Sensibilisation :- Journée d’information au profit des services du HCP.
Unité de Traitement du Renseignement Financier.(UTRF)
2) Concertation :- Cohérence entre les recommandation du GAFI et les
exigences de la protection des données personnelles au Maroc.
Au niveau international
Depuis sa création, la CNDP a veillé à représenter le Royaume dans les manifestations
importantes touchant la protection des données personnelles. Elle est devenue, en peu de
temps, un interlocuteur crédible pour les instances internationales opérant dans ce domaine.
RAPPORT D’ACTIVITE 2010-2013
87
Grâce aux efforts déployés, la CNDP peut inscrire à son actif:
• L’accréditation de la CNDP lors de la 33éme Conférence internationale des commissaires
à la protection des données et à la vie privée, qui s’est réunie en Novembre 2011 à Mexico
City.
• L’adoption, par le conseil des Ministres, du projet de loi n° 46-13 relatif à l’adhésion du
Maroc à la convention 108. Il est à noter qu’en adhérant à cette convention et à son
protocole additionnel, le Royaume du Maroc assurera la convergence et le rapprochement
réglementaire que lui impose le statut avancé qui lui est accordé par l’Union Européenne.
• La coprésidence avec l’autorité belge du groupe de travail mis en place par l’association
francophone des autorités de contrôle (AFAPDP) en vue de l’adoption d’un référentiel
encadrant les transferts des données personnelles au sein de l’espace francophone. Ce qui
fut fait à Marrakech le 22 Novembre 2013.
• L’identification, en concertation avec les partenaires nationaux et européens, des actions
à mener en vue d’accélérer le processus d’adéquation. La CNDP est consciente que
l’obtention d’un statut d’adéquation aux normes de l’UE passe à la fois par des actions
de persuasion à mener auprès de Bruxelles en vue de démontrer que son dispositif de
protection des données personnelles est opérationnel et qu’il est conforme aux exigences
européennes en la matière. Il y a lieu de signaler, par ailleurs, que les autorités européennes
sont entrain de réviser leurs instruments de protection des données personnelles à savoir la
directive 95/46 et la convention 108 du Conseil de l’Europe.
88
Partenaire Actions :
Association Francophone des Autorités de Protection des Données Personnelles AFAPDP
- Participation aux assemblées générales tenues à Paris en 2010, à Dakar en 2011 et à Monaco en 2012.
- Organisation de la 7ème Conférence de l’AFAPDP à Marrakech en Novembre 2013
Autorité de contrôle Belge- Coprésidence du groupe de travail chargé de l’élaboration d’un
référentiel encadrant le transfert des données personnelles au sein des pays de l’espace francophone.
Autorité Espagnole - Organisation d’un séminaire à Rabat en Novembre 2010.
Autorité Tunisienne
- Présentation de l’expérience marocaine en matière de transfert des données personnelles à l’occasion du séminaire organisé par l’Instance Nationale tunisienne de Protection des données à caractère Personnel (INPDP) et l’UE (Tunis, Juin 2012).
Commission Nationale de l’Informatique et des Libertés (CNIL, France)
- Visites d’études de représentants de la CNDP.
Commission Européenne- Suivi de l’état d’avancement de la demande d’adéquation
marocaine.
Conseil de l’Europe- Adhésion du Maroc à la convention 108 et son protocole
additionnel.
Conférence Internationale des Autorités de Contrôle
- Représentation du Maroc aux conférences tenues au Mexique (Mexico City 2011), en Uruguay (Punta del este 2012) et en Pologne (Varsovie 2013).
Organisation Internationale de la Francophone (OIF)
- Présentation de l’expérience marocaine en matière de protection des données personnelles en marge du Forum Africain sur la Gouvernance de l’Internet (Nairobi, Septembre 2013).
RAPPORT D’ACTIVITE 2010-2013
89
Photo des participants à la 7ème conférence de l’AFAPDP à
Marrakech le 21 novembre 2013
90
RAPPORT D’ACTIVITE 2010-2013
91
X. Conclusion et Perspectives A la lumière du bilan des actions entreprises par la CNDP tel qu’il est décliné dans ce rapport
d’activité, et après deux années réellement consacrées à la mise en application des dispositions
de la loi 09-08, la CNDP est parvenue aux huit conclusions suivantes :
1. La protection des données à caractère personnel dans un pays en voie de développement n’est
pas plus difficile à assurer que dans un pays développé. Comme pour tout accomplissement
d’une mission, la patience et la ténacité sont nécessaires et, avec le temps et beaucoup
d’efforts de sensibilisation, les peuples s’éveillent à la protection de la vie privée et des
données à caractère personnel ;
2. Les procédures d’amendement des textes de loi sont toujours complexes et longues et il
faut toujours plus de temps pour amender les textes que pour les élaborer.
3. Les lois ne valent que par l’application qui en est faite et c’est sur le terrain économique,
social et culturel que les dispositions législatives et règlementaires acquièrent leur réelle
signification.
4. Le respect de la loi par les responsables de traitement auxquels elle est censée s’appliquer,
n’est souvent obtenu, même après l’utilisation des meilleures techniques de sensibilisation,
que par le recours ou la menace du recours aux sanctions prévues. Les contrôles lancés par
la CNDP dernièrement s’inscrivent dans cette logique.
5. L’exercice de leurs droits par les personnes concernées par le traitement des données
personnelles ne peut, en revanche, se faire que par la sensibilisation et de manière
pédagogique.
92
6. La coopération internationale entre les Autorités de protection doit être diversifiée et
approfondie. Elle permet des gains énormes de temps, et, lorsqu’elle est bien pensée, elle
peut faire accéder, dans un court laps de temps, les jeunes Autorités aux pratiques les plus
avancées de la protection. La CNDP a tiré de son expérience dans ce domaine des leçons
éminemment utiles pour améliorer les missions qui lui sont attribuées.
7. Tout doit être fait pour installer un climat de confiance au sein des Autorités de protection,
d’une part, et avec les responsables de traitement et les personnes concernées, d’autre
part.
8. L’indépendance de l’institution doit être préservée à tout prix, car elle est absolument
nécessaire pour rendre la Commission nationale plus crédible auprès des responsables de
traitement, mais aussi auprès des personnes concernées. Il ne faut jamais oublier que la
protection de la vie privée et des données à caractère personnel est d’abord et avant tout un
droit fondamental de l’homme.
Le programme d’action de la CNDP pour l’avenir sera directement inspiré des deux années de
pratique intense de la protection des données personnelles au Maroc.
RAPPORT D’ACTIVITE 2010-2013
93
94
Dépôt légal : 2014 PE 0094ISSN : 2351 – 9029Date d’attribution : 23 septembre 2014Conception : CNDPRéalisation graphique : azdi’s com
