Protection des données personnelles : qui peut les collecter et les traiter?

L’Homme a toujours eu et a besoin d’intimité. Les sociétés à travers les âges ont eu un code social qui régit et encadre le respect de la liberté et la vie privée de chaque individu. Ce code social n’est pas universel et ne s’applique pas de la même façon partout, ce qui résulte parfois dans des dépassements, qui peuvent être légitimes et justifiés tout aussi, bien qu’illégaux, concernant la protection des données à caractère personnel des individus.

Tout individu a le droit au respect de ses droits et de ses libertés fondamentales, mais surtout d’avoir une vie privée. De nos jours, les individus sont amenés à déclarer de nombreuses informations personnelles, notamment leur nom, date de naissance, lieu de résidence, numéro de téléphone, etc., lors de la demande de certains documents légaux ou lors de la réalisation de certaines transactions.

Ces données peuvent être collectées et traitées dans un cadre légal, quoiqu’il arrive parfois que ces dernières puissent être utilisées à d’autres fins. Cela dit, les individus dont les données sont collectées ont droit au respect de leur vie privée par les organismes qui effectuent la collecte et le traitement de ces dernières.

Qui peut collecter et traiter les données personnelles ?

La collecte des données à caractère personnel peut être effectuée par des individus, le cas d’un médecin par exemple, où ce dernier collecte les données de ses patients et les classe, comme cela peut être effectué par des entreprises, le cas des opérateurs télécoms qui collectent les données de leurs clients et les fichent. Cela dit, une chose réunit les responsables de la collecte et du traitement de ces informations, c’est le fait qu’ils doivent déclarer et préciser la finalité de ces deux opérations, et doivent respecter la vie privée des individus concernés.

Obligations des responsables de la collecte et du traitement des données personnelles

Les responsables de la collecte et du traitement des données à caractère personnel sont obligé d’effectuer ces deux opérations dans un cadre 100% légal, respecter certaines obligations, notamment le respect de la vie privée des individus, prendre en considération et répondre aux plaintes et demandes des individus concernés et travailler en étroite collaboration avec les autorités de contrôle des données personnelles.

Caractéristiques de la collecte et du traitement des données personnelles

La collecte et le traitement des données personnelles doivent répondre à un certain nombre de conditions, notamment :

  • Déclarer la finalité : les responsables de la collecte doivent déterminer la raison de la collecte des données qui doit être effectuée dans un cadre légal
  • La pertinence des données : Les données personnelles doivent répondre aux objectifs établis préalablement par la collecte.
  • Stockage limité dans le temps : les données collectées ne peuvent pas être stockées indéfiniment, mais doivent être supprimées après une durée fixée.
  • Respect de la confidentialité : les données collectées ne peuvent pas être révélées ou utilisées à des fins autres que celles fixées, sans cela serait considérée comme une violation de la vie privée.
  • La transparence : les responsables de la collecte doivent informer les individus concernés lors de l’opération et les tenir informés dans le cas où ces données sont transférées à des tiers.

Toute infraction de ces conditions est passible de sanctions vis-à-vis des responsables de l’opération.

Loi n° 53-05 relative à l’échange électronique de données juridiques

Au Maroc, c’est la loi n° 53-05 relative à l’échange électronique de données juridiques qui fixe le régime applicable aux données échangées par voie électronique, à l’équivalence des documents établis sur papier et sur support électronique et à la signature électronique. Elle détermine également le cadre juridique applicable aux opérations effectuées par les prestataires de service de certification électronique, ainsi que les règles à respecter par ces derniers et les titulaires des certificats électroniques délivrés.

Est-soumis aux dispositions de cette loi, quiconque propose, à titre professionnel, par voie électronique, la fourniture de biens, la prestation de services. Pour mieux protéger les opérations, le législateur marocain a jugé comme «certificat électronique sécurisé» tout document délivré par un prestataire de services de certification électronique agréé par l’Autorité nationale d’agrément et de surveillance de la certification électronique (ANASCE).

Les prestataires de services de certification électronique sont astreints au respect du secret professionnel, sous peine des sanctions. Ils sont responsables de leur négligence, impéritie ou insuffisance professionnelle, sauf à démontrer qu’elles n’ont commis aucune faute intentionnelle ou négligence. Les personnes fournissant des prestations de cryptographie à des fins de confidentialité sont responsables du préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d’atteintes à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions.

Limites de la loi concernant la protection des données personnelles

Pour le prestataire de services de certification électronique, l’obligation de secret professionnel n’est pas applicable: à l’égard des autorités administratives habiletés; à l’égard des agents et experts de l’Autorité nationale et agents et officiers; à l’égard des autorités judiciaires, ou si le titulaire de la signature électronique a consenti à la publication ou à la communication des renseignements fournis.

Les dispositions de certains articles ne sont pas applicables à l’auteur ou au complice de l’infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés, ainsi que les conventions secrètes nécessaires au déchiffrement.

Quelles sont les parties chargées de l’application de la loi

S’agissant de la constatation des infractions, outre les officiers et agents de police judiciaire et les agents des douanes qui peuvent accéder aux locaux, terrains ou moyens de transport à usage professionnel, demander la communication de tous documents professionnels et en prendre copie, recueillir, sur convocation ou sur place, les renseignements et justifications, et qui peuvent aussi procéder à la saisie des moyens sur ordre du Procureur du Roi ou du juge d’instruction, les agents de l’autorité nationale, habilités et assermentés, peuvent rechercher et constater, par procès-verbal, les infractions aux dispositions de la présente loi. Leurs procès-verbaux doivent être transmis dans les cinq jours au Procureur du Roi.

Les sanctions prévues par la loi

En vertu de l’article 29, est puni d’une amende de 10.000 à 100.000 DH et d’un emprisonnement de trois mois à un an, quiconque aura fourni des prestations de services de certification électronique sécurisée sans être agréé. Quant à la divulgation, l’article 30 stipule qu’il est puni d’un emprisonnement d’un mois à six mois et d’une amende de 20.000 DH à 50.000 DH quiconque divulgue, incite ou participe à divulguer les informations qui lui sont confiées dans le cadre de l’exercice de ses activités ou fonctions.

L’article 32 ajoute qu’il est puni d’un an d’emprisonnement et d’une amende de 100.000 DH, quiconque aura importé, exporté, fourni, exploité ou utilisé l’un des moyens ou une prestation de cryptographie sans la déclaration ou l’autorisation de l’ANASCE.

Il est puni d’une amende de 50.000 à 500.000 DH quiconque utilise indûment, une raison sociale, une publicité et, de manière générale, toute expression faisant croire qu’il est agréé à l’exercice de toute activité de prestation de services de certification électronique.

Abdellah Ouardirhi

et Youssef Boukioud

Top