(Aniss Lahoussine, Sécrétaire général de la Commission nationale de contrôle de protection des données à caractère personnel (CNDP))
Finances News Hebdo : Où en êtes-vous en termes de convergence de la protection des données personnelles avec l'UE ?
Anis Lahoussine : La convergence a trait aux nouvelles règles européennes adoptées. Nous y travaillons afin de voir les apports utiles au contexte marocain et de les intégrer dans une batterie d’amendements.
Du reste, la CNDP forte de son expérience étudie également la possibilité d’amender certains articles qui impactent directement son fonctionnement. Cela dit, le Maroc a été invité pour l’adhésion à la Convention 108 du Conseil de l’Europe, en cours d’amendement.
Là aussi, la CNDP attend de voir les modifications apportées afin de transposer les dispositions susceptibles d’être bénéfiques à l’arsenal juridique national.
F.N.H. : Quelles sont les implications économiques, sociales, voire sociétales de cette convergence à l'échelle nationale ?
A. L. : Le nouveau règlement européen a gardé les mêmes principes de la protection de la vie privée et des données personnelles qui existaient par le passé au niveau de la directive européenne.
La loi 09-08 dont s’est dotée le Maroc, relative à la protection des personnes physiques s’est inspirée de celle-ci. Toutefois, la nouvelle réglementation européenne précitée prend en considération l’essor des TIC. De ce fait, les deux législations ne sont pas contradictoires.
Sur le plan économique, il faut savoir que le fait de se conformer à la loi 09-08, notamment les principes universels de la protection de la vie privée et de données personnelles, permettra d’instaurer un climat de confiance entre les organismes publics et privés et leurs partenaires (clients, prospects, usagers, actionnaires etc.). Ce qui est bénéfique pour l’activité économique nationale.
Cela est d’autant plus profitable aux autres branches d’activités, qui dépendent directement de cette confiance. A ce titre, il y a lieu de citer les secteurs inhérents à l’économie numérique qui est l’avenir du monde.
"Le secteur de l’offshoring est directement concerné par la convergence et l’harmonisation avec les dispositifs juridiques européens de la protection de la vie privée et des données personnelles"
Par ailleurs, disposer d’une législation qui protège les données donne l’opportunité de créer de nouveaux métiers. Aujourd’hui, au Maroc, certains cabinets sont spécialisés dans l’accompagnement pour la conformité à la loi susmentionnée.
En outre, le secteur de l’offshoring est directement concerné par la convergence et l’harmonisation avec les dispositifs juridiques européens de la protection de la vie privée et des données personnelles. Le modèle d’affaires de ce secteur est de rapatrier au Maroc des projets européens utilisant des données personnelles par le biais de la sous-traitance.
A ce niveau, il est judicieux de préciser que la législation européenne interdit l’exportation des données privées de personnes situées dans l’espace européen envers des pays tiers qui ne garantissent pas la protection des données personnelles selon les standards européens.
La convergence permettra au Maroc d’avoir le label «Adéquation» à même de fluidifier le transfert des données. Ce qui est de bon augure pour les entreprises marocaines de l’offshoring qui doivent, à mon sens, se conformer aux nouveaux règlements européens pour ne pas perdre des parts de marché et en gagner d’autres.
D’ailleurs, la nouvelle législation européenne prévoit de lourdes sanctions pour les entreprises ne respectant pas les réglementations relatives à la protection des données personnelles (jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires annuel mondial).
Les implications sociales et sociétales mettent en relief la question des relations entre individus. Le fait d’inculquer la culture de la protection de la vie privée constitue un grand pas pour le respect de l’autre et de son intimité. Il faudra avancer dans ce vaste chantier afin de parer aux multiples dérives inhérentes à la violation de l’intimité de nos concitoyens.
F.N.H. : Quelle est votre appréciation sur le niveau de conformité des entreprises et des administrations marocaines au regard de la loi 09-08 ?
A. L. : Au risque de surprendre et contrairement aux préjugés, le secteur public n’est pas dans une mauvaise situation en termes de conformité à la loi susmentionnée. Depuis sa création, la CNDP a reçu au total près de 6.000 notifications.
"Certaines branches doivent faire des efforts en la matière. Il s’agit, notamment des établissements hôteliers, hospitaliers (cliniques) et scolaires, qui regroupent parfois des données sensibles"
La répartition sectorielle montre que les secteurs structurés se taillent la part du lion, suivis des organismes publics. Arrivent ensuite les centres d’appels et les sociétés d’offshoring.
En revanche, certaines branches doivent faire des efforts en la matière. Il s’agit, notamment des établissements hôteliers, hospitaliers (cliniques) et scolaires, qui regroupent parfois des données sensibles.
Notons que certaines entités ignorent encore l’existence de la loi en matière de protection des données personnelles, malgré l’entrée en vigueur du dispositif juridique précité depuis un certain nombre d’années maintenant.
Globalement, les indicateurs sont positifs dans l’ensemble, mais du chemin reste encore à faire dans les secteurs susmentionnés.
Il est toutefois encourageant de constater que les branches d’activité qui ont opté pour la conformité, sont celles ayant pour modèle d’affaires l’utilisation des données personnelles (banques, assurances, opérateurs télécoms, etc.). De ce point de vue, la loi Pareto pourrait s’appliquer, puisqu’il n’est pas exclu que 20% des entreprises traitent 80% des données personnelles.
Cependant, dans l’absolu, il reste beaucoup d’entreprises au Maroc qui doivent se conformer à l’arsenal juridique national.
Toutefois, le respect de la loi ne se limite pas uniquement à la notification des traitements à la CNDP. Les entités publiques et privées doivent également répondre aux autres exigences de la loi, telle la mise en place des process (personnes habilitées, méthodes d’extraction des données, etc.) afin de faciliter aux personnes qui le souhaitent l’exercice de leurs droits, la sécurité des traitements, le respect de la finalité des traitements et la proportionnalité des données utilisées, etc.
"Chaque année, nous contrôlons une centaine de sites Internet"
A ce titre, nous menons des contrôles sur place, des contrôles documentaires et au niveau des sites Internet afin de s’assurer de la bonne application de la loi. Les plaintes des citoyens aident également la CNDP dans sa mission, celle d’amener les organismes privés et publics à respecter la loi.
Par ailleurs, le premier contrôle de sites Internet a eu lieu en 2014. Chaque année, nous contrôlons une centaine de sites Internet. La CNDP participe également au Sweep Day, qui est une opération internationale regroupant une trentaine d’autorités de contrôle.
En effet, chaque année, ces autorités décident d’un secteur à contrôler où opèrent les sites Internet. Dans ce cadre, les manquements constatés sont communiqués aux principaux intéressés et le suivi requis est effectué. La CNDP ne clôture pas le dossier tant que l’exploitant du site n’apporte pas les ajustements nécessaires.
F.N.H. : Quels sont les leviers activés par la CNDP pour amener les entreprises et les administrations à appliquer le dispositif législatif précité ?
A. L. : Il s’agit de deux leviers qui vont de pair, notamment la persuasion et la sanction. La CNDP a toujours été consciente du fait que la protection de la vie privée est une nouvelle culture et l’utilisation des données personnelles est une nécessité. A ce titre, notre rôle n’est pas d’interdire ou de bousculer le paysage économique du pays mais de réguler.
"Les sanctions pour manquement à la loi peuvent être très sévères. Il s’agit entre autres, de l’interdiction d’effectuer un traitement, la saisie du matériel et les amendes pécuniaires"
Nous avons mis l’accent sur la sensibilisation. Depuis 2012, près de 112 campagnes de sensibilisation ont été menées au profit des organismes qui traitent les données personnelles. Notons tout même que les actions de la CNDP se sont faites de façon graduelle. Les contrôles n’ont commencé qu’en 2014 et la première mise en demeure a eu lieu en 2015. En 2016, nous avons procédé à la première saisie de matériels utilisés pour le traitement des données personnelles. Treize dossiers ont été transmis à la justice.
Les sanctions pour manquement à la loi peuvent être très sévères. Il s’agit entre autres, de l’interdiction d’effectuer un traitement, la saisie du matériel et les amendes pécuniaires (jusqu’à 300.000 DH et le double en cas de récidive). A cela s’ajoutent les peines privatives de liberté (jusqu’à 2 ans).
Jusqu’ici, la CNDP a mis l’accent sur le principe de gradualité des actions. Or, certains organismes estiment à tort qu’ils peuvent profiter des délais nécessaires pour la prise de sanctions, pour porter atteinte à la vie privée des citoyens, et ce dans l’impunité. D’où, l’importance de la réunion avec les magistrats qui s’est déroulée récemment à Casablanca.
Il est important de rappeler que la protection des données personnelles est l’affaire de tous (entreprises, société civile, justice, etc.) et bien sûr notre institution a un important rôle à jouer. Des ateliers d’échanges d’informations avec l’appareil judiciaire se dérouleront dans les villes du Royaume. Cette initiative vise à développer la coordination entre la CNDP et le corps judiciaire pour une application plus efficiente de la loi, notamment le chapitre VII afférent aux sanctions.
F.N.H. : Enfin, votre institution dispose-t-elle de moyens suffisants (humains, matériels et financiers) pour accomplir ses missions ?
A. L. : Cette question est récurrente et légitime. Au plan financier, nous n’avons pas beaucoup de difficultés. Pour preuve, tout le budget annuel alloué n’est pas dépensé. La CNDP utilise uniquement ce dont elle a besoin. En revanche, les problèmes se situent au niveau des procédures qui régissent les dépenses de l’Etat, ce qui relève d’un autre débat.
"Les contrôles sont ciblés et davantage orientés vers les secteurs qui ont un grand impact sur la vie privée et la protection des données personnelles"
Toutefois, des améliorations sont souhaitables à ce niveau. Il est clair que la protection de données personnelles de 34 millions de Marocains et de plusieurs organismes nécessite beaucoup de ressources humaines, mais cette contrainte n’est pas propre à notre institution. Nous essayons de travailler intelligemment afin de surmonter la problématique inhérente à l’insuffisance des ressources humaines qu’il faudra revoir à la hausse.
En conséquence, la CNDP s’inscrit dans une démarche de priorisation. De ce fait, les contrôles sont ciblés et davantage orientés vers les secteurs qui ont un grand impact sur la vie privée et la protection des données personnelles.
Cela dit, notre autorité de contrôle est épaulée dans sa mission par des relais assez représentatifs de secteurs bien déterminés (GPBM, FMSAR, etc.). Un écosystème autour de la CNDP est en train de prendre forme. A titre illustratif, un appel public à manifestation a été lancé l’année dernière afin de sélectionner une ONG chargée de la sensibilisation dans des zones reculées.
Par ailleurs, au regard de l’évolution des plaintes (1 en 2011 contre plus de 400 à novembre 2017), il est encourageant de constater que nos concitoyens sont de plus en plus sensibilisés à la question de la protection des données personnelles. Cette prise de conscience croissante nous aide à identifier les manquements à la loi. D’un autre côté, des campagnes de sensibilisation ont été menées à l’endroit des avocats. Ces actions commencent à porter leurs fruits.
En définitive, le chantier de la protection des données personnelles avance au Maroc, même si nous sommes parfaitement conscients qu’il faudra accélérer le rythme. Certes, la CNDP est soutenue par les pouvoirs publics, mais elle pourrait l’être davantage, eu égard aux multiples enjeux et implications abordés précédemment. ■
Propos recueillis par Momar Diao
A lire sur le même thème : Protection des données personnelles : bilan mitigé après 5 ans d’activité de la CNDP