La révolution numérique et la protection des données personnelles : Adaptation ou inadaptation du cadre juridique marocain ?
Adib HAMDINI chercheur en droit des affaires
La révolution numérique et la protection des données personnelles :
Adaptation ou inadaptation du cadre juridique marocain ?
Introduction :
La croissance rapide des technologies de l’information et de la communication[1] et l’innovation dans les systèmes numériques sont à l’origine d’une révolution qui bouleverse radicalement nos modes de pensée, de comportement, de communication, de travail … Cette « révolution numérique » ouvre de nouvelles perspectives à la création du savoir, à l’éducation et la diffusion de l’information. Elle modifie en profondeur la façon dont les pays du monde gèrent leurs affaires commerciales et économiques, administrent la vie publique et conçoivent leur engagement politique.
La Révolution numérique se définit avant tout comme le passage de notre société à l’ère de l’information et de la communication reposant sur une immatérialité grandissante des données diffusées à l’échelle mondiale[2]. Plutôt que de parler de révolution numérique, il serait plus juste de parler de numérisation de la société.
Nous vivons aujourd’hui un passage de la société industrielle à la société informationnelle, ce passage s’incarne dans la transition de la centralisation des moyens de production à une décentralisation des tâches accompagnée d’une dématérialisation des échanges. La société informationnelle s’organise en réseaux, cellules indépendantes les unes des autres, plutôt qu’en pyramides de pouvoir. Ainsi, elle peut se comprendre comme le fonctionnement d’un cerveau qui regroupe des milliards de neurones tous connectés entre eux comme sur une grande toile. Et pour cause, la quantité d’informations échangée croît de façon exponentielle.
Dès lors, avec cette révolution numérique, les données personnelles deviennent omniprésentes et posent la question de la protection de la vie privée[3].
Notre pays dispose aujourd’hui d’un arsenal juridique[4] protecteur des données personnelles. En effet, la réforme constitutionnelle de juillet 2011 a réaffirmé l’attachement du Maroc à la construction d’un État de droit, démocratique et moderne qui protège les droits de l’Homme et les libertés individuelles et collectives. Parmi ces droits, figure le droit à la protection de la vie privée. Dans son article 24, la nouvelle Constitution souligne ce droit fondamental en prévoyant que : « Toute personne a droit à la protection de sa vie privée ».
Ainsi, la Loi n° 09-08 inspirée de la célèbre loi française Informatique et Libertés, prévoit tout un régime sur la protection des personnes physiques à l’égard du traitement des données personnelles, elle contient les principes fondamentaux et les moyens de mise en œuvre de ladite protection[5].
Il est à signaler qu’avec l’adoption de la loi n°09-08, le Maroc s’est placé parmi les premiers pays arabes et africains disposant d’un système de protection aussi complet, et se positionne parmi les destinations sûres du point de vue de la circulation des données personnelles.
Toutefois, depuis l’adoption de la loi n°09-08 jusqu’aujourd’hui plusieurs évolutions technologiques et juridiques ont eu lieu. Dès lors, plusieurs questions se posent :
- Le texte actuel répond- t-il toujours aux objectifs de la protection des données ?
- Est-il en mesure de faire face aux traitements massifs des données personnelles effectués par les nouvelles applications et réseaux sociaux ?
- Est-il toujours en harmonie et en conformité avec la législation européenne[6]?
En réponse à ces questions, nous allons analyser, en premier lieu, le régime juridique de la protection des données personnelles (I) avant de traiter, en second lieu, les limites et contraintes auxquelles doit faire face ce régime juridique (II).
- Le régime juridique de la protection des données personnelles :
Le régime juridique marocain de la protection des données personnelles veille à l’encadrement de l’utilisation de ces données, en édictant des droits et des principes généraux de protection.
- Les principes de la protection des données personnelles :
Dans l’objectif d’assurer une meilleure protection des données personnelles, la loi n°08-09 prévoit quatre principes fondamentaux.
- Consentement de la personne concernée :
Selon l’article 4 de la loi n°08-09, le traitement des données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement à l’opération ou à l’ensemble des opérations envisagées. Le consentement est une manifestation de volonté libre, spécifique et informée, par laquelle la personne concernée accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement.
Ainsi par exemple, lors d’une opération d’achat en ligne, le consommateur accepte expressément que ses données personnelles soient traitées par le vendeur pour les besoins de la transaction. Si le vendeur envisage un traitement de ces données autre que celui lié à l’opération en question, il doit requérir le consentement de la personne concernée. Il arrive ainsi qu’il soit demandé à l’acheteur de cocher une case supplémentaire indiquant qu’il accepte que ses données personnelles soient transmises à des partenaires commerciaux du vendeur pour que ceux-ci puissent promouvoir leurs produits et services. À défaut de consentement, le transfert des données personnel de la personne concernée par le vendeur à un tiers serait considéré comme illicite[7].
- Détermination de la finalité du traitement des données personnelles :
La finalité du traitement est l’objectif principal de l’utilisation de données personnelles[8]. Elle est le fil conducteur des autres principes de protection.
Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur.
Dans l’objectif d’assurer une meilleure protection des personnes physiques, le législateur a imposé aux responsables de traitement de déterminer clairement les finalités pour lesquelles les données sont collectées et leur a interdit d’opérer sur ces données des traitements qui seraient incompatibles avec ces finalités.
Ainsi, par exemple dans une opération de vente en ligne, le consentement de l’acheteur doit être requis pour deux finalités qui doivent lui être clairement exposées : la transaction envisagée et le transfert de ces données à un ou plusieurs partenaires du vendeur.
- Adéquation des données avec la finalité : principe de proportionnalité :
Aux termes des dispositions de l’article 3 de la loi n°08-09 les données personnelles collectées doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ».
On déduit de ces dispositions que le principe de proportionnalité implique que les données personnelles collectées soient en adéquation avec la finalité du traitement.
- Loyauté dans le traitement
Il s’agit là d’un principe fondamental qui doit sous-tendre toute opération de traitement portant sur les données personnelles[9]. Il faut ainsi s’assurer que les données soient collectées loyalement, c’est-à-dire que les personnes concernées soient bien informées et veiller à ce que leurs droits soient respectés. Il faut aussi veiller à ce que les données soient protégées contre toute atteinte qui pourrait venir de tiers en mettant en place les moyens humains et techniques adéquats.
- Les droits des personnes protégées :
Les principaux droits des personnes concernées sont déterminés par les articles 5, 6, 7, 8 et 9 de la loi n°08-09, ils sont au nombre de quatre :
1-Etre informé lors de la collecte des données :
Le responsable du traitement ou son représentant a l’obligation d’indiquer, de manière expresse et précise, sur le support servant à la collecte des données personnelles toutes les caractéristiques du traitement envisagé, notamment :
- L’identité du responsable du traitement ou de son représentant.
- Les finalités poursuivies par le traitement.
- Les destinataires des informations collectées.
- L’existence et les modalités d’exercice des droits des personnes concernées.
Toutefois le droit à l’information n’est pas obligatoire dans les cas suivants :
- Les fichiers relatifs à la défense nationale, la sûreté intérieure ou extérieure de l’Etat, la prévention ou la répression du crime.
- La collecte et la communication des données personnelles prévues expressément par la législation.
- L’impossibilité d’informer la personne concernée, notamment en cas de traitement des données personnelles à des fins statistiques, historiques ou scientifiques. Dans ce cas, le responsable de traitement est tenu d’aviser la CNDP en lui soumettant toutes les explications nécessaires.
- Les traitements effectués exclusivement à des fins journalistiques, artistiques ou littéraires.
2- Droit d’accès :
Ce droit est reconnu par l’article 7 de la loi n° 09-08. Il permet à toute personne d’accéder aux informations la concernant pour s’assurer de leur exactitude.
Toute personne a le droit d’obtenir du responsable de traitement, à des intervalles raisonnables, gratuitement et sans délais, la confirmation que les données la concernant font l’objet ou non d’un traitement. Elle peut également demander les caractéristiques du traitement effectué telles ses finalités, les catégories et l’origine des données utilisées et les destinataires auxquels elles sont transmises.
Néanmoins, le responsable de traitement peut demander à la CNDP un délai pour répondre aux demandes d’accès légitimes. Il peut aussi s’opposer à celles qui sont manifestement abusives à cause de leur nombre ou leur fréquence. Dans ce dernier cas, le responsable de traitement doit être en mesure d’apporter la preuve justifiant sa décision.
3- Droit de rectification :
Complétant le droit d’accès, il permet aux personnes concernées d’exiger la rectification des informations la concernant, notamment lorsqu’elles sont inexactes ou incomplètes. Ce droit s’exerce au travers d’une requête adressée au responsable du traitement qui est tenu d’y répondre dans un délai de 10 jours, sans imposer de frais.
Toute personne peut exiger du responsable du traitement l’actualisation, la rectification, l’effacement ou le verrouillage des données personnelles la concernant lorsque ces dernières semblent être inexactes, incomplètes, équivoques ou périmées.
Le responsable du traitement est tenu de procéder aux rectifications demandées, gratuitement et dans un délai maximum de dix jours francs, auprès de ses services et des tiers à qui il a communiqué les données à rectifier[10]. En cas de refus ou de non réponse du responsable de traitement, la personne concernée peut saisir la CNDP qui procédera aux investigations nécessaires.
4- Droit d’opposition :
En vertu de l’article 9 de la loi n° 09-08, toute personne a la possibilité de s’opposer à tout moment, pour des motifs légitimes et sans frais, au traitement de ses données personnelles.
Durant ces dernières années, des abus ont été constatés en matière de prospection directe, notamment commerciale[11].
La loi n° 09-08 est venue encadrer ce type de pratique pour protéger la vie privée des citoyens contre les intrusions intempestives dans leur espace privé (téléphone, messagerie électronique, etc.). C’est ainsi que, l’article 9 permet à toute personne dont les données à caractère personnel font l’objet d’un traitement de s’opposer, à ce que les données la concernant soient utilisées à des fins de prospection commerciale. D’ailleurs, l’article 10 affirme ce droit en interdisant la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique ou d’un moyen employant une technologie de même nature qui utilise, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement libre et spécifique à recevoir des prospections directes par ce moyen.
- Les limites et contraintes du régime juridique actuel :
La loi n°09-08 relative à la protection des données personnelles date de 2009. Plus d’une décennie plus tard, son efficacité est l’objet d’interrogations.
A – limites dues aux évolutions technologiques :
Les interrogations sur la pertinence du cadre juridique actuel ont pour toile de fond un environnement technologique, économique et social dans lequel la circulation des données personnelles s’est généralisée sans que les individus puissent la maîtriser. Elles vont jusqu’à remettre en cause ses principes les plus fondamentaux, exemple le Big Data.
1- une difficulté de maîtrise des données personnelles :
L’environnement actuel se caractérise à la fois par la dispersion toujours plus importante des données personnelles et par la capacité croissante d’un certain nombre d’acteurs, surtout privés, à regrouper les données concernant un même individu. C’est le cumul de ces deux tendances qui cause une perte de maîtrise de leurs données par les individus et des risques dont ceux-ci ne perçoivent encore qu’imparfaitement la matérialité[12].
Auparavant, la collecte des données était principalement assurée par des institutions, administrations, entreprises ou associations. Les données collectées, par exemple l’âge, le sexe, la profession ou les revenus, étaient le plus souvent être objectives. La situation actuelle se caractérise par une diversification considérable des modes de collecte et de la nature des données traitées. Depuis le développement du Web 2.0 et du Web Squared[13], les données sont mises en ligne par les individus eux-mêmes ou par des tiers au sujet d’autres individus. Elles sont recueillies de manière automatisée (enregistrement de cookies, envoi de signaux de localisation par les terminaux mobiles, etc.) et le seront encore davantage avec l’essor des objets connectés. Elles ont trait à des caractéristiques subjectives telles que les centres d’intérêt, les opinions, les goûts, les relations personnelles ou encore les lieux visités. Dans le monde contemporain, toutes les activités de navigation en ligne mais aussi un nombre croissant d’activités hors ligne laissent des traces susceptibles d’être mises en relation[14].
Plusieurs types d’acteurs développent cette capacité de regroupement des données concernant un même individu. La nature même de l’activité de certaines grandes entreprises de l’économie numérique, comme les moteurs de recherche ou les réseaux sociaux[15], les conduit à être dépositaires de pans entiers de notre vie personnelle. La valeur économique des données personnelles, associée aux possibilités d’envoi de publicités ciblées, de personnalisation du service, de cession ou de partage avec des tiers, les incitent à étendre leur collecte par la diversification des services proposés ou le rachat d’autres acteurs.
Ainsi, par exemple le développement par Google de nombreux services autres que le moteur de recherche (cartes, réseau social, partage de vidéos, stockage de documents, etc.) ou le rachat par Facebook du site de messagerie WhatsApp en sont des illustrations.
Moins connus du grand public, les data brokers ou courtiers en données personnelles jouent aussi un rôle majeur dans le regroupement, puisque leur objet est de collecter (à partir des fichiers gouvernementaux publics, d’achats et d’échanges de données avec d’autres sociétés, de questionnaires auprès des consommateurs et des réseaux sociaux) et de revendre les données (à des fins de marketing mais aussi de recherche d’informations sur un candidat à un emploi ou sur un emprunteur). Les data brokers ont fait l’objet aux États-Unis de rapports du Sénat critiquant leurs pratiques, leur manque de transparence, et les risques qu’elles font courir à la vie privée des personnes concernées[16].
2- L’exemple du Big data et les interrogations qui portent sur les principes fondamentaux de la protection des données personnelles :
L’expression de « Big Data » désigne à la fois l’explosion du volume des données transitant sur les réseaux et les progrès de la capacité à les exploiter, notamment pour identifier des corrélations jusqu’alors indétectables. Les applications en sont multiples et couvrent par exemple l’optimisation des processus industriels, la lutte contre la fraude, la réalisation d’économies d’énergie grâce à l’exploitation des données fournies par les futurs compteurs communicants, la veille épidémiologique ou la recherche scientifique[17]. Le développement des applications du Big Data est devenu l’une des inquiétudes des pouvoirs publics au Maroc[18].
Selon les spécialistes[19], le Big Data impliquerait de pouvoir collecter un volume de données aussi important que possible, sans nécessairement définir au départ les finalités de leur traitement, de nouveaux usages pouvant être imaginés à tout moment. Dès lors, les principes de détermination des finalités, de proportionnalité à ces finalités et de limitation de la durée de conservation seraient autant d’obstacles à la libre réutilisation des données. D’après le Forum économique mondial de Davos, « à l’ère du Big Data, la collecte des données pour des fins déterminées représente une part décroissante de la collecte totale de données »[20]. On comprend aisément qu’entre l’idée de Big Data et celle de proportionnalité de la collecte, parfois dénommé « principe de minimisation », il existe une certaine tension. Même le principe d’exactitude, dont on pouvait penser qu’il protégeait les intérêts du responsable du traitement autant que ceux de la personne protégée, perdrait de sa pertinence : selon le journaliste K. Cukier et le professeur V. Mayer- Schönberger, l’augmentation du volume des données permettrait d’accepter une moindre exactitude sans altérer la fiabilité des résultats ; cette thèse est cependant controversée[21].
Le principe de recueil du consentement fait quant à lui l’objet d’un scepticisme croissant qui, de manière significative, émane aussi bien de milieux d’affaires favorables au développement de l’économie numérique que d’observateurs plus critiques, comme la professeure de droit américaine Helen Nissenbaum[22]. Tous soulignent que le recueil du consentement revêt le plus souvent un caractère purement formel, les internautes étant seulement invités à adhérer à des conditions d’utilisation à la lecture fastidieuse et qu’ils ne peuvent négocier. En outre, selon Helen Nissenbaum, même la liberté de ne pas adhérer au service est fictive, car il est très difficile de ne pas utiliser les services numériques dans la société contemporaine et leurs conditions d’utilisation sont toutes très semblables.
B- Ecart entre le cadre juridique actuel et la législation européenne :
La loi n° 09-08 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel a été inspirée de la célèbre loi française du 6 janvier 1978, dite « Loi Informatique et Libertés ».
Toutefois, depuis l’adoption de la loi n°08-09 en 2009, plusieurs évolutions ont eu lieu à l’échelle internationale concernant la protection des données personnelles notamment, l’adoption par la commission européenne d’un nouveau règlement sur la protection des données à caractère personnelle (le RGPD).
Il s’agit du plus grand changement aux règles européennes relatives à la protection des données opéré au cours de ces vingt dernières années et plus. Non seulement le RGPD donne aux citoyens plus de contrôle sur la manière dont leurs données à caractère personnel sont utilisées, mais il rationalise également de manière considérable l’environnement réglementaire pour les entreprises. Pour ce faire, il instaure un cadre uniforme pour la législation en matière de protection des données dans l’ensemble de l’UE. En d’autres termes, au lieu d’avoir une législation en matière de protection des données par pays, une seule réglementation régit désormais l’ensemble de l’UE. Ainsi, une entreprise qui exerce des activités dans différents pays ne doit plus se conformer à plusieurs réglementations, souvent divergentes, mais uniquement au RGPD si elle souhaite proposer ses services au sein de l’UE. Le RGPD se caractérise également par son caractère extraterritorial, puisqu’il peut s’appliquer à des entités qui ne sont pas installées en Europe, lorsqu’elles traitent les données personnelles de personnes qui se trouvent au sein de l’UE, dans le cadre de l’offre d’un produit ou d’un service ou afin de suivre les comportements des résidents européens.
Sur ce point, il convient de signaler que le Maroc dispose, à titre d’exemple, de plusieurs sociétés offshoring qui traitent quotidiennement des données des citoyens européens[23] d’où la nécessité pour le législateur marocain de revoir le texte régissant la protection des données à caractère personnelle afin d’adapter et de renforcer le rapprochement législatif et réglementaire avec l’UE considérer comme premier partenaire économique de notre pays[24].
Ainsi, les principaux apports de ce nouveau règlement peuvent être regroupés en trois aspects :
- Consentement de l’utilisateur :
Les entreprises considèrent parfois que le silence de l’utilisateur vaut consentement au traitement des données, ou cachent une demande de consentement dans un long texte juridique contenant des conditions d’utilisation que personne ne lit. Avec ce nouveau règlement les données de l’utilisateur ne pourront être utilisées par une entreprise que si celui-ci y a consenti de manière affirmative. Le silence ne vaut pas consentement.
- renforcement de la clarté :
Les entreprises exposent souvent leurs politiques de confidentialité en des termes longs et compliqués, dorénavant les politiques de confidentialité devront être rédigées dans un langage clair et simple.
- renforcement de la transparence :
Avant l’adoption du nouveau règlement, l’utilisateur n’été pas toujours informé lorsque ses données sont transférées en dehors de l’UE. Aujourd’hui, les entreprises devront informer clairement l’utilisateur de ces transferts. De même, les entreprises collectent et traitent parfois des données à des fins différentes de celles initialement annoncées sans en informer l’utilisateur, désormais les entreprises ne pourront collecter et traiter des données que dans un but bien défini. Elles devront informer l’utilisateur de toute nouvelle finalité du traitement des données.
Conclusion :
En guise de conclusion, on peut dire que la croissance exponentielle des données numériques, appelle une évolution du droit. Le défi auquel est confronté le législateur marocain consiste à encadrer l’usage des données de façon à concilier, d’une part, le développement de leur exploitation en raison de leur potentiel indéniable et, d’autre part, le respect des droits individuels et de l’intérêt général.
De même, les évolutions juridiques à l’échelle internationale notamment, dans l’Union Européenne appelle le législateur marocain à revoir son texte régissant la protection des données personnelles. Certes, l’Union Européenne a commencé le travail sur la question, il y a plus de quatre décennies, ce qui n’est pas le cas au Maroc. C’est pourquoi, nous ne pouvons pas s’attendre à avoir un niveau équivalent en termes de protection des données personnelles, mais au moins un texte modernisé et en conformité avec ce partenaire économique important.
[1]Internet, e-mails, réseaux sociaux : aujourd’hui, les nouvelles technologies occupent de plus en plus de place dans notre vie. Un véritable tsunami d’informations nous assaille chaque jour.
[2] Article scientifique publier dans la revue électronique « Implications philosophiques » espace de recherche et de diffusion ( www.implications-philosophiques.org )
[3] La protection des données personnelles sur internet est actuellement au cœur des débats, puisque les sites web, les réseaux sociaux et applications mobiles incitent les internautes à dévoiler leur vie privée de la publication d’une photo à un simple clic sur la fonction « j’aime ».
[4] Il s’agit de la loi n° 07-03 modifiant et complétant le Code pénal; la loi n° 53-05 relative à l’échange électronique de données juridiques; la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel; la loi n° 31-08 édictant des mesures de protection des consommateurs ; la loi n° 132-13 portant approbation du protocole additionnel à la convention européenne pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; la loi n° 88-13 relative à la presse et à l’édition.
[5] Cette loi a créé une Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), dont le rôle est similaire à celui de la CNIL française, et qui dispose de pouvoirs importants.
[6] Selon une déclaration de Mr. Aniss Lahoussine SG de CNDP « Le Maroc a fait le choix d’arrimer son dispositif législatif et réglementaire à l’acquis communautaire, et ce en vue de créer un climat propice à l’intégration de son économie avec celle de son premier partenaire économique » Revue Finance News hebdo, 01 Juin 2018.
[7] Client brief rédigé par Mehdi Kettani, Associé, DLA Piper Casablanca.
[8] Exemples de finalité : gestion des recrutements, gestion des paies, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.
[9] V. article Client brief rédigé par Mehdi Kettani, Associé, DLA Piper Casablanca.
[10] Article 8 de la loi n°08-09.
[11] Chacun de nous reçoit fréquemment des messages et emails publicitaires de prospections, alors que la règle est pas de prospection directe sans le consentement préalable de la personne concernée.
[12]Lurent CYTERMAN ; La loi Informatique et libertés est-elle dépassée ? Revue Française de Droit Administratif (RFDA), n°1 du 01/01/2015 p. 99-106.
[13] Dans le domaine informatique le Web Squared est une étape intermédiaire entre le web 2.0 et le futur web 3.0.
[14] Aux traces telles que celles laissées par l’utilisation d’une carte bancaire ou le passage devant des dispositifs de vidéo protection s’ajoutent depuis quelques années les signaux de localisation envoyés par les smartphones.
[15] Tells que Facebook, Watsap, Twitter, LinkedIn, Instagram, Snapchat, Viadeo …
[16] Lurent CYTERMAN ; La loi Informatique et libertés est-elle dépassée ? Revue Française de Droit Administratif (RFDA), n°1 du 01/01/2015 p. 99-106.
[17] Lurent CYTERMAN. Art. précité.
[18] Actuellement le développement des applications du Big Data est identifié comme une priorité économique par les pouvoirs publics français et européens.
[19] Notamment, Lurent CYTERMAN Rapporteur public au Conseil d’État français.
[20] Le 43ème Forum économique mondial de Davos tenu en janvier 2013.
[21] V. par ex., T. Harford, « Big Data : are we making a big mistake ? », Financial Times Magazine, 28 mars 2014.
[22] Laurent CYTERMANN ; art. Précité.
[23] Le RGPD s’applique même si l’entreprise est établie en dehors de l’UE mais qu’elle propose des biens ou des services à des citoyens au sein de l’UE ou qu’elle surveille le comportement de personnes au sein de l’UE (article 3 du règlement : Champ d’application territorial).
[24] Du point de vue économique, la convergence permettra aux entreprises marocaines, notamment en offshore, de rassurer les entreprises européennes en matière de la protection des données personnelles.