Protection des données personnelles : La Justice quasiment inutile
En 5 ans, seulement 13 cas liés à la violation de la vie privée ont été traités par les juridictions. Les procureurs refusent de donner suite aux dossiers déférés par la CNDP, considérant qu’elle «outrepasse» ses missions. L’arsenal juridique marocain toujours considéré comme «insuffisant» en Europe : un geste «politique» selon la CNDP.
Depuis 2009 et la création de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), le législateur n’a cessé d’affiner son arsenal réglementaire en se conformant aux directives européennes, avec notamment l’adhésion à la convention 108, mais cette nouvelle législation n’arrive toujours pas à intégrer les mœurs. En effet, cette dernière a reçu, en cinq ans, 1.600 plaintes et effectué 638 opérations de contrôle. Seulement 13 cas liés à la violation de la vie privée ont été déférés devant les juridictions du royaume. La CNDP a adressé, en outre, 54 avertissements durant les trois dernières années et reçu 6.000 avis concernant le traitement des données personnelles dont une grande partie émanant des secteurs structurés et des entreprises actives dans l’offshoring ainsi que de la part des établissements du secteur public.
Elle a également organisé 215 réunions d’accompagnement et reçoit quotidiennement 20 appels téléphoniques demandant des informations relatives aux dispositions de la loi 09-08. 75% des cas concernés portent sur les SMS et les emails intempestifs suivis par ceux des caméras installées à l’entrée et sortie des habitats et l’usage frauduleux des données personnelles sur les réseaux sociaux. C’est le manque de moyens et de capacités de contrôle dont dispose la CNDP qui pose clairement problème. Pour les membres de la Commission, l’absence de l’audit préalable, qui est pourtant un maillon inaliénable du mécanisme, «est dû à un déficit en ressources humaines» et aussi et surtout au fait que «la CNDP est pour l’heure dans une logique de sensibilisation plutôt que de répression» mais pourtant les juridictions censées être le bras répressif de la CNDP ne jouent toujours pas leur rôle. La saisine de la justice n’est pas automatique. Plusieurs opérateurs commettent des infractions sans intention de nuire ou par simple ignorance des dispositions législatives. C’est pourquoi les dossiers ne sont déférés devant la justice qu’après enquête, ceci d’autant plus que la CNDP a réussi à résoudre plusieurs affaires à l’amiable. Pour l’universitaire Driss Belmahi, la commission souffre «d’un vide juridique et de son incapacité à répondre à des problématiques nouvelles». Selon lui, les prérogatives de la CNDP sont très limitées. «La mission de la CNDP est d’abord administrative et c’est pourquoi plusieurs procureurs du roi refusent d’accepter les dossiers déférés au motif que la CNDP outrepasse sa mission», conclut-il.
Mauvais signal venant de l’Europe
D’ailleurs, la législation marocaine en matière de protection de données personnelles n’arrive pas à convaincre au nord de la Méditerranée. La Commission nationale de l’informatique et des libertés (CNIL), l’équivalent français de la CNDP, a infligé, fin 2016, une sanction administrative de 30.000 Euros à l’encontre du site «BrandAlley.fr». La société propriétaire de ce site de ventes en ligne est épinglée pour plusieurs indélicatesses à l’égard de la loi française de protection des données personnelles avec parmi les chefs d’accusation le fait qu’elle ait transféré vers le Maroc les données personnelles de ses clients via l’un de ses sous-traitants. «Or, en principe, de telles opérations ne sont possibles que si le pays de destination offre un niveau de protection comparable à celui en vigueur en Europe, ce qui n’était pas le cas ici», conclut sèchement la décision de la CNIL.
Le rapport 2016 des autorités françaises chargées de la protection des données personnelles apporte une solution claire en rappelant que «l’arsenal juridique n’est qu’un premier pas à l’effectivité du système», et que les réels indicateurs demeurent «d’une part, l’application des règles par les opérateurs, d’autre part le pouvoir coercitif des instances nationales». Or, ce sont bien là les deux points faibles du système marocain, puisque même les organes de l’État sont encore hors la loi. Il convient d’ailleurs de rappeler que, hormis les traitements mis en œuvre dans l’intérêt de la défense nationale ou la sécurité intérieure et extérieure de l’État, tous les autres traitements mis en œuvre par l’administration publique sont soumis à la loi 09-08. Selon Lahoussine Aniss, secrétaire général de la CNDP, «des tractations politiques apparaissent en filigrane», il estime que «la sous-traitance au Maroc de certaines activités, notamment celles de l’externalisation n’est pas très bien vue pour des raisons économiques, du côté européen, il ne faut donc pas s’étonner qu’il y ait des condamnations en Europe pour la moindre faille dans un système de traitement d’informations à caractère personnel».
