La Loi 09-08 protège vos données personnelles au Maroc. Elle pose un principe simple : l'informatique est au service du citoyen et ne doit pas porter atteinte à votre identité, à vos droits, ni divulguer les secrets de votre vie privée (art. premier). Ce guide vous explique ce que la loi protège, quels droits vous pouvez exercer, et quel est le rôle de la Commission nationale (la CNDP).
Ce que la loi protège
Une « donnée à caractère personnel » est toute information concernant une personne physique identifiée ou identifiable, y compris le son et l'image (art. premier). Un « traitement » couvre presque toutes les opérations possibles : collecte, enregistrement, conservation, utilisation, communication, effacement, etc. (art. premier).
La loi distingue aussi les « données sensibles » : celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale ou les données de santé, y compris génétiques (art. premier). Ces données bénéficient d'une protection renforcée.
La loi s'applique au traitement automatisé comme aux fichiers manuels, dès lors que le responsable est établi au Maroc ou utilise des moyens situés sur le territoire marocain (art. 2). Elle ne s'applique pas aux activités purement personnelles ou domestiques, ni à certains traitements liés à la défense nationale et à la sécurité de l'État (art. 2).
Les règles que doit respecter celui qui traite vos données
Le « responsable du traitement » est celui qui détermine les finalités et les moyens du traitement (art. premier). Il doit veiller à ce que vos données soient :
- traitées loyalement et licitement ;
- collectées pour des finalités déterminées, explicites et légitimes ;
- adéquates, pertinentes et non excessives ;
- exactes et, si nécessaire, mises à jour ;
- conservées pendant une durée n'excédant pas celle nécessaire aux finalités (art. 3).
En principe, le traitement n'est possible que si vous avez indubitablement donné votre consentement (art. 4). Ce consentement n'est toutefois pas exigé dans certains cas, par exemple pour respecter une obligation légale, exécuter un contrat auquel vous êtes partie, ou sauvegarder vos intérêts vitaux (art. 4).
Vos droits
La Loi 09-08 vous reconnaît plusieurs droits que vous pouvez exercer directement auprès du responsable du traitement.
Le droit à l'information
Lorsqu'on collecte vos données auprès de vous, on doit vous informer de manière expresse, précise et non équivoque : identité du responsable, finalités du traitement, destinataires, caractère obligatoire ou facultatif des réponses, et existence de vos droits d'accès et de rectification (art. 5). Cette obligation connaît des limites, notamment pour la défense nationale ou les traitements à fins exclusivement journalistiques, artistiques ou littéraires (art. 6).
Le droit d'accès
En justifiant de votre identité, vous pouvez obtenir, à des intervalles raisonnables, sans délais et gratuitement : la confirmation que vos données sont traitées, leur communication sous forme intelligible, et même la connaissance de la logique qui sous-tend un traitement automatisé (art. 7).
Le droit de rectification
Vous pouvez demander l'actualisation, la rectification, l'effacement ou le verrouillage de données non conformes à la loi, notamment incomplètes ou inexactes. Le responsable doit y procéder sans frais, dans un délai franc de dix jours. En cas de refus ou d'absence de réponse, vous pouvez saisir la Commission nationale (art. 8).
Le droit d'opposition
Vous pouvez vous opposer, pour des motifs légitimes, à un traitement de vos données. Vous pouvez aussi vous opposer, sans frais, à leur utilisation à des fins de prospection, notamment commerciale (art. 9).
Prospection commerciale : un cadre strict
La prospection directe par automate d'appel, télécopieur ou courrier électronique est interdite sans votre consentement préalable (art. 10). Une exception existe pour l'e-mail si vos coordonnées ont été recueillies lors d'une vente, pour des produits analogues, et si vous pouvez vous opposer simplement et sans frais (art. 10). Dans tous les cas, l'expéditeur ne peut dissimuler son identité (art. 10).
Par ailleurs, aucune décision produisant des effets juridiques à votre égard ne peut être prise sur le seul fondement d'un traitement automatisé destiné à profiler ou évaluer votre personnalité (art. 11).
Formalités : déclaration ou autorisation
Avant de mettre en œuvre un traitement, le responsable doit accomplir des formalités auprès de la Commission nationale. Selon les cas, il s'agit :
- d'une autorisation préalable, notamment pour les données sensibles, les données génétiques, les données d'infractions, ou le numéro de carte d'identité nationale (art. 12) ;
- d'une déclaration préalable dans les autres cas (art. 12).
La déclaration comporte des éléments précis (identité du responsable, finalités, catégories de données, destinataires, durée de conservation, mesures de sécurité, etc.) (art. 15). La Commission délivre un récépissé dans un délai de 24 heures, et le traitement peut alors démarrer (art. 19). Le traitement des données sensibles, lui, est subordonné à une autorisation de la loi ou, à défaut, de la Commission nationale (art. 21).
Sécurité et confidentialité
Le responsable doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'altération ou l'accès non autorisé (art. 23). Pour les données sensibles ou de santé, des contrôles renforcés s'appliquent (contrôle de l'accès, des supports, de la transmission, etc.) (art. 24). Toute personne traitant vos données est par ailleurs tenue au secret professionnel, même après la fin de ses fonctions (art. 26).
Le rôle de la CNDP
La Commission nationale de contrôle de la protection des données à caractère personnel est instituée auprès du Premier ministre (art. 27). Elle veille au respect de la loi : elle donne des avis, reçoit les déclarations et délivre les récépissés (art. 27), instruit les autorisations (art. 28) et informe le public de ses droits (art. 29). Elle dispose de réels pouvoirs d'investigation et peut ordonner le verrouillage, l'effacement ou l'interdiction d'un traitement (art. 30).
Vous pouvez la saisir d'une plainte si vous estimez être lésé par un traitement de vos données ; elle peut ordonner des rectificatifs ou saisir le procureur du Roi (art. 28).
Transferts de données à l'étranger
Vos données ne peuvent être transférées vers un État étranger que si celui-ci assure un niveau de protection suffisant (art. 43). À défaut, le transfert reste possible dans des cas précis, par exemple avec votre consentement exprès ou sur autorisation motivée de la Commission nationale (art. 44).
Besoin de le faire vérifier pour votre situation ? Parler à un avocat inscrit au barreau au Maroc →