Données bancaires et cybersécurité : plaidoyer pour une protection juridique renforcée au Maroc – Soufyane EL HOMRANI

Données bancaires et cybersécurité : plaidoyer pour une protection juridique renforcée au Maroc

Banking Data and Cybersecurity : Advocating for Enhanced Legal Protection in Morocco

Soufyane EL HOMRANI

 Docteur en droit privé

هذا البحث منشور في مجلة القانون والأعمال الدولية الإصدار رقم 59 الخاص بشهر غشت / شتنبر 2025

رابط تسجيل الاصدار في DOI

https://doi.org/10.63585/KWIZ8576

للنشر و الاستعلام
mforki22@gmail.com
الواتساب 00212687407665

Données bancaires et cybersécurité : plaidoyer pour une protection juridique renforcée au Maroc

Banking Data and Cybersecurity : Advocating for Enhanced Legal Protection in Morocco

Soufyane EL HOMRANI

 Docteur en droit privé

Résumé

Sans prétendre à l’exhaustivité, cet article s’inscrit dans un environnement bancaire numérique marocain de plus en plus exposé aux fraudes, en revenant sur plusieurs incidents récents ainsi que sur les alertes émises par la DGSSI. Il souligne l’écart croissant entre la sophistication des cybermenaces et l’efficacité des dispositifs de sécurité existants. Dans une visée de sensibilisation, il décrit les principales techniques de fraude telles que le phishing, les malwares bancaires ou le skimming afin d’en éclairer les mécanismes. L’analyse met en évidence les limites du droit pénal marocain actuel face à ces atteintes. L’article propose deux pistes de réforme, à savoir la reconnaissance d’un statut juridique spécifique aux données bancaires dans la loi 09-08 et l’instauration d’une authentification forte pour les paiements en ligne. Il appelle enfin à une mise à jour normative urgente, portée par la CNDP et Bank Al-Maghrib.

Mots-clés : Données bancaires – Données personnelles- fraude au paiement – cybersécurité – loi 09-08- loi 07-03 – droit pénal – CNDP – Bank Al-Maghrib – authentification forte – authentification multifacteurs – confiance numérique – réforme législative.

Abstract

Without claiming to be exhaustive, this article situates itself in a Moroccan digital banking environment increasingly exposed to fraud, highlighting recent incidents and warnings issued by the DGSSI. It underlines the growing gap between the sophistication of cyber threats and the effectiveness of existing security measures. Aimed at raising awareness, it describes major fraud techniques such as phishing, banking malware and skimming, to clarify how they operate. The analysis reveals the limitations of current Moroccan criminal law in addressing such attacks. The article outlines two reform proposals: recognizing a specific legal status for banking data within Law 09-08 and implementing strong authentication for online payments. It ultimately calls for urgent regulatory adaptation, to be led by the CNDP and Bank Al-Maghrib.

Keywords : Banking data – Personal data – Payment fraud – Cybersecurity – Law 09-08 – Law 07-03 – Criminal law – CNDP – Bank Al-Maghrib – Strong authentication – Multi-factor authentication – Digital trust – Legal reform.

Introduction

Plus touché que jamais, le Maroc ne peut plus se permettre d’ignorer l’ampleur croissante des attaques ciblant les données bancaires. En effet, après la fameuse opération de piratage de (105) comptes de clients d’une banque marocaine en 2020^[1] et la récente révélation de la mise en vente sur le Dark Web de plus de (31 000) cartes bancaires marocaines^[2], les signaux d’alerte se multiplient. Dans ce sens, la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) publie sans relâche des bulletins mettant en garde contre des vulnérabilités critiques susceptibles de compromettre les données personnelles, y compris financières.

Parmi ces alertes, on relève notamment la détection du cheval de Troie BTMOB-RAT^[3], conçu pour prendre le contrôle à distance des appareils infectés, ainsi que plusieurs failles critiques affectant le navigateur Mozilla Firefox^[4] et le système Android^[5], tous deux massivement utilisés par les marocains. Ces menaces, désormais continues, illustrent une vérité alarmante démontrant clairement que les cybercriminels innovent plus vite que les mécanismes de défense, exposant, de facto, plus de consommateurs marocains à des risques de piratage, de vol d’identité, et d’exploitation illégale de leurs données péronnelles.

Cependant, les données bancaires ne sont pas des données comme les autres. L’impact de leur violation sur la vie privée du consommateur et sur son intégrité financière l’en fait l’un des vecteurs les plus sensibles de la vie numérique. Leur compromission ne menace pas seulement la sécurité informatique, mais aussi la stabilité du secteur bancaire tout entier. Leur protection constitue donc une condition fondamentale de la confiance numérique, entendue comme la capacité à interagir de façon sécurisée dans l’univers digital, et plus particulièrement dans le secteur financier.

Cependant, le droit marocain demeure insuffisamment structuré face à l’ampleur et la spécificité de ces menaces car ni la loi n° 09-08 sur la protection des données à caractère personnel, ni la loi n° 43-20 sur les services de confiance  pour les transactions électroniques, ou encore la loi 07-03 relative aux infractions aux systèmes de traitement automatisé des données ne reconnaissent explicitement le caractère sensible des données bancaires ni n’imposent l’usage de dispositifs spécifique et avancés pour leur protection comme dans d’autres systèmes juridiques.

Dès lors, il convient de s’interroger sur les leviers juridiques d’une potentielle réforme du régime juridique marocain pour lui permettre de mieux encadrer et sécuriser les données bancaires dans un environnement numérique à haut risque ?

Cette problématique présente un double intérêt, à la fois théorique et pratique. Sur le plan théorique, elle invite à repenser le régime juridique des données bancaires au Maroc, en appelant à une réforme de la loi 09-08 pour leur reconnaître un statut spécifique, et à intégrer dans l’arsenal juridique national des dispositions claires sur l’authentification forte, en phase avec les standards européens et les exigences actuelles de cybersécurité.

Sur le plan pratique, elle incite les autorités compétentes, notamment la CNDP et Bank Al-Maghrib, à adopter des mesures concrètes pour encadrer et sécuriser le traitement de ces données. Elle vise également à sensibiliser les usagers marocains aux risques croissants de fraude, en leur offrant des repères juridiques et techniques pour mieux protéger leurs informations dans les environnements numériques.

Dans cette perspective, le développement de cet article sera structuré en deux axes. Le premier mettra en évidence l’aggravation des cybermenaces qui pèsent sur les données bancaires, ainsi que les limites structurelles du cadre juridique marocain, en particulier sur le plan pénal( I). Le deuxième formulera deux pistes de réforme principales à savoir, la reconnaissance d’un statut juridique spécifique pour les données bancaires et la mise en place d’une obligation d’authentification forte, adaptée aux enjeux de sécurité des services bancaires numériques (II).

1. L’aggravation des risques numériques et les limites d’une protection juridique encore inapte à garantir la confiance

Loin de se limiter à une simple évolution technologique, la digitalisation des services financiers a radicalement modifié l’écosystème bancaire marocain et les conditions dans lesquelles les données personnelles, notamment bancaires, sont traitées et exposées. Cette mutation, bien que génératrice d’innovation, a introduit de nouvelles formes de vulnérabilités, affectant la sécurité des informations sensibles des utilisateurs et ébranlant les fondements de la confiance numérique.

En effet, la multiplication des services numériques, combinée à l’essor de l’open banking et à la diversification des canaux de paiement, a contribué à l’exposition massive des informations bancaires à des risques d’intrusion, de fraude et d’usurpation. Les cybercriminels exploitent tant les failles technologiques que les vulnérabilités humaines, à travers des techniques de plus en plus sophistiquées. Cette réalité remet en cause non seulement les dispositifs techniques de protection, mais aussi le socle juridique qui encadre ces données.

Il convient donc, dans un premier temps, de mettre en lumière la montée des menaces informatiques dans un écosystème numérique en perpétuelle mutation, en mettant l’accent sur la diversité et la gravité des fraudes affectant les données bancaires (section A). Ensuite, nous intéresserons aux limites de la protection juridique actuelle, en particulier pénale, qui, bien qu’existante, reste trop générale et peu adaptée à la nature spécifique de ces données hautement exposées (section B).

A. La vulnérabilité des données bancaires à l’épreuve des nouvelles techniques de fraude

La digitalisation accélérée des services financiers a profondément transformé les modalités de gestion des opérations bancaires. Les établissements bancaires, les fintechs, les prestataires de services de paiement^[6] et les plateformes de commerce électronique participent désormais conjointement au traitement d’importants flux financiers.

En effet, d’après les statistiques du Centre Monétique Interbancaire (CMI), le Maroc a enregistré plus de (25) millions d’opérations de paiement en ligne par cartes bancaires marocaines durant les neuf premiers mois de 2023, pour un montant dépassant (9,6) milliards de dirhams^[7]. Cette progression témoigne d’une adoption massive des solutions de paiement numérique par les consommateurs marocains, qui disposent désormais d’un large choix surtout avec l’intégration des moyens de paiement innovants tels que les M-wallets émis par des établissements bancaires et de paiement marocains^[8], les solutions de monnaie électronique, ainsi que de nouvelles technologies biométriques comme « Smile to Pay^[9] » ou « Pay with Your Palm^[10] ». Parallèlement, les géants du numérique ont développé leurs propres systèmes de paiement dématérialisés, à l’image d’ « Apple Pay »^[11], « Samsung Pay »^[12] ou encore « Meta Pay »^[13].

Cette dynamique fait des banques marocaines, selon la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), des pionniers du secteur bancaire africain en matière de digitalisation. Cependant, Cette situation, bien qu’elle favorise l’innovation et l’accessibilité des services, n’est pas exempte de risques et a démultiplié les vecteurs de vulnérabilité des cyberconsommateurs marocains dont les données, particulièrement bancaires, s’exposent en permanence à des cyberattaques^[14].

De plus, la multiplicité des modes de paiement et des supports utilisés a permet une internationalisation croissante des transactions. Ce phénomène, accentué par l’essor de l’open banking^[15], qui repose sur le partage des données bancaires entre un nombre toujours plus important d’acteurs, souvent transfrontaliers, engendre, comme le souligne J. Morel-Maroger, des risques accrus pour les droits et libertés des personnes physiques^[16]. Des risques qui s’étendent bien aux systèmes bancaires qu’aux données bancaires^[17].

En effet, des rapports à portée continentale et internationale font figurer le Maroc parmi les pays africains les plus exposés aux maliciels bancaires. Dans ce sens, une étude menée par Kaspersky a révélé que (21) % des entreprises marocaines avaient déjà été victimes d’une cyberattaque essentiellement par le biais de virus qui représentant la menace informatique la plus fréquente, avec un taux de (63) %^[18]. Dans la même perspective, le rapport publié par l’Interpol en 2023, classe le Maroc comme le pays africain le plus ciblé par les cyberattaques dans le secteur bancaire avec pas moins de (18 827) tentatives de vol de données bancaires^[19]. L’Interpol souligne à cet égard que : « la population marocaine est particulièrement exposée aux chevaux de Troie bancaires, comme l’indique le grand nombre de logiciels malveillants détectés dans le pays » ^[20].

Cette expansion alarmante des risques numériques est due principalement à la diversification inédite des techniques employées par les cybercriminels pour s’attaquer aux données bancaires. En réalité, les auteurs de fraudes sont dans une quête constante de nouvelles vulnérabilités à exploiter, contrecarrant ainsi les avancées en matière de sécurité des systèmes de paiement. Bien que le recensement de toutes les techniques de fraudes utilisées s’avère une tâche difficile, voire impossible, il est néanmoins possible de distinguer plusieurs grandes catégories de fraude afin de permettre au lecteur de les connaitre et de comprendre leur fonctionnement pour se prémunir contre leur danger.

Dans ce sens, le phishing, ou hameçonnage^[21], demeure la technique la plus utilisée. Il consiste en l’envoi de courriels frauduleux imitant des communications officielles de banques ou de prestataires de services financiers, dans le but d’inciter les utilisateurs à divulguer leurs informations bancaires. L’usage de l’intelligence artificielle a permis à ces attaques de revêtir un caractère très convaincant, notamment à travers une personnalisation méticuleuse des messages.

Le malware bancaire^[22], notamment sous la forme de chevaux de Troie^[23], constitue une autre menace majeure. Ces programmes malveillants, souvent dissimulés dans des pièces jointes ou téléchargés à partir de sites compromis, permettent de capter les données bancaires saisies en ligne ou de détourner directement des transactions en cours. Les attaques dites « man-in-the-browser » modifient, à l’insu de l’utilisateur, les ordres de virement saisis sur les interfaces bancaires.

Le skimming, quant à lui, vise la captation des informations contenues sur les bandes magnétiques des cartes bancaires via des dispositifs dissimulés sur les terminaux de paiement ou les distributeurs automatiques. Cette méthode, bien que plus traditionnelle, reste redoutablement efficace, notamment dans les zones commerciales fortement fréquentées^[24].

Outre ces techniques, la fraude par ingénierie sociale via appel téléphonique consistant en l’usurpation de l’identité de personnel bancaire, constitue aujourd’hui l’un des modes d’escroquerie les plus répandus. Par ce biais, les fraudeurs parviennent à obtenir une authentification forte de la part de leurs victimes, facilitant ainsi la réalisation d’opérations frauduleuses, qu’il s’agisse de paiements par carte ou de virements bancaires^[25]. De même, l’essor de l’intelligence artificielle dans le domaine criminel, notamment par l’usage de deepfakes^[26] ou de bots conversationnels avancés, ouvre des perspectives inquiétantes. Ces outils permettent de perfectionner l’ingénierie sociale et de rendre les attaques plus ciblées, plus discrètes et plus efficaces. De plus, l’émergence et l’utilisation répandue des technologies biométriques, permettant d’identifier les individus à partir de leur caractéristiques physiques, physiologiques^[27] ou comportementales exposent les utilisateurs en cas de compromission à des risques permanents, en raison de leur particularité d’être uniques et quasi-permanentes tout au long de la vie de la personne concernée^[28].

L’analyse de ces techniques démontre que les cybercriminels exploitent à la fois les failles technologiques, les comportements humains et les insuffisances normatives. Face à cette diversification rapide des menaces, la protection juridique classique, conçue dans un environnement technologique plus stable, révèle ses limites, imposant une révision profonde des dispositifs de sécurisation et de responsabilisation.

B- La protection pénale : une réponse générale, imprécise et insuffisante

Face à la multiplication des risques numériques affectant les données bancaires, la solidité du cadre juridique national est soumise à rude épreuve. Une analyse détaillée révèle que le droit positif marocain reste insuffisant pour appréhender la spécificité et la gravité des atteintes aux informations financières. Cette carence engendre une fragilisation de la confiance numérique indispensable au développement d’une économie digitale durable.

En effet, le droit pénal marocain, a été enrichi en 2003 par l’adoption de la loi n° 07-03 relative les infractions relatives aux systèmes de traitement automatisé des données^[29], qui a intégré un ensemble d’incriminations destinées à lutter contre les infractions aux systèmes de traitement automatisé de données. Ainsi, l’accès frauduleux à un système informatique^[30], l’entrave au fonctionnement^[31] et la modification, la suppression ou l’introduction frauduleuse de données dans un tel système ont été incriminés^[32].

Ces dispositions établissent un socle juridique destiné à sanctionner les atteintes aux systèmes d’information. Toutefois, leur champ d’application demeure indifférencié car aucune de ces incriminations ne distingue la nature des données compromises. Ainsi, les données bancaires, en dépit de leur sensibilité accrue et de leur valeur économique directe, sont traitées à l’égal de toute autre information numérique.

En effet, en l’absence d’une protection renforcée spécifique aux données financières, le dispositif pénal actuel montre ses limites face à la sophistication des attaques modernes. Les formes de cyberfraude bancaire telles que le phishing, le malware bancaire ou le skimming, bien que répréhensibles sous l’angle général de l’intrusion informatique, ne font l’objet d’aucune incrimination dédiée qui tienne compte de l’impact particulier sur les patrimoines individuels et la stabilité économique.

De son côté, la loi n° 24-96 sur la poste et les télécommunications^[33] vient, à titre complémentaire, sanctionner l’interception illicite de communications électroniques^[34]. Toutefois, cette disposition vise essentiellement la confidentialité des communications en transit, et non la sécurité des bases de données bancaires stockées, lesquelles sont pourtant devenues la cible principale des cybercriminels.

Le Maroc a également adhéré à la Convention de Budapest sur la cybercriminalité, en vigueur depuis 2018^[35]. Cette convention impose la criminalisation de l’accès illégal, de l’interception illicite et de l’atteinte à l’intégrité des données. Cependant, elle laisse aux États membres une marge d’appréciation considérable dans l’adaptation de ces standards, et la transposition réalisée par le Maroc n’a pas introduit de mécanismes particuliers de protection des données bancaires.

Par ailleurs, la jurisprudence marocaine en matière de criminalité informatique demeure encore fragmentaire. Les rares décisions rendues concernent principalement des accès frauduleux ou l’entrave au bon fonctionnement des systèmes informatiques, sans prise en compte explicite des violations de données bancaires^[36]. Ce déficit de contentieux spécialisé prive les acteurs économiques de repères jurisprudentiels clairs et favorise une insécurité juridique préjudiciable à la confiance des consommateurs des services de la banque en ligne, surtout que certaines décisions ont déclaré l’irresponsabilité de la banque suite à des opérations de piratage de comptes bancaires^[37].

De plus, la difficulté probatoire constitue un autre frein majeur à l’effectivité de la protection pénale des données bancaire. Dans ce sens, l’identification des auteurs de cyberattaques, l’immatérialité et la fugacité de la preuve numérique, l’absence d’harmonisation des méthodes de recherches et la coopération transnationale effective restent des défis persistants^[38]. Aussi, les ressources techniques limitées des autorités d’enquête, combinées à l’absence d’outils juridiques de recueil rapide des preuves électroniques, réduisent l’efficacité des poursuites.

Ainsi, en dépit de l’existence d’un arsenal pénal contre la cybercriminalité, la protection effective des données bancaires reste incomplète et peu adaptée aux risques contemporains. Cette situation appelle une évolution législative en faveur d’une incrimination spécifique des atteintes aux données financières et d’un renforcement des moyens de poursuite.

II. Deux leviers de réformes proposés pour une protection efficace des données bancaires dans l’écosystème numérique

Dans un contexte où la protection des données personnelles constitue une exigence incontournable de la confiance numérique, les données bancaires appellent une vigilance particulière. Leur exploitation croissante dans les environnements numériques, conjuguée à l’intensification des cyberattaques, exige du législateur un effort d’adaptation pour répondre aux nouveaux enjeux de sécurité, de transparence et de responsabilité. Or, à ce jour, le droit marocain, bien qu’il reconnaisse certaines catégories sensibles de données, ne prend pas en compte la spécificité des informations financières, pourtant particulièrement exposées.

Le renforcement de la confiance dans les services financiers numériques ne peut dès lors faire l’économie d’un cadre juridique spécifique et actualisé. Ce chapitre plaide ainsi pour une évolution normative à double niveau. Il s’agit, d’une part, de reconnaître aux données bancaires un statut juridique particulier en raison de leur sensibilité et de leur potentiel d’intrusion dans la vie privée (section A). D’autre part, il convient de poser les fondements d’un encadrement technique renforcé en imposant juridiquement le recours à l’authentification forte dans les transactions électroniques, à l’image des standards européens (section B).

A. Vers la reconnaissance d’un statut juridique spécifique des données bancaires

La loi n° 09-08, adoptée en 2009^[39], constitue le socle général de la protection des données personnelles au Maroc. Elle établit des principes fondamentaux de licéité, de finalité déterminée, de proportionnalité, de sécurité et de confidentialité des traitements. Les données bancaires, dès lors qu’elles permettent d’identifier directement ou indirectement une personne physique telles que le numéro de compte, l’historique de transactions, les soldes ou opérations entrent pleinement dans le champ d’application de cette loi. Ainsi, les banques sont considérées des responsables de traitement et doivent comme le précise BANK ALMAGHRIB, « traiter et protéger les données caractère personnel de leurs clients, conformément aux dispositions de la loi n”09-08 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel »^[40].

Dans ce sens, elles sont soumises, conformément à l’article 23 de cette loi, à l’obligation générale de garantir la sécurité des données par la mise en œuvre de « mesures techniques et organisationnelles appropriées ». De plus, elles sont tenues de quelques obligation spéciales notamment, l’obligation de procéder à des contrôles internes pour la vérification de la fiabilité des conditions de collecte, de traitement, de diffusion des données comptables et financières et l’efficacité des systèmes d’information et de communication^[41], ainsi que l’obligation de réaliser les tests d’intrusion des systèmes d’information^[42]. De même, l’article 8 de la loi 05-20 exige de chaque entité, dès qu’elle prend connaissance d’un incident affectant la sécurité ou le fonctionnement de ses systèmes d’information, de le déclarer à l’autorité nationale^[43]. A cet fin la banque centrale a créé le centre d’alerte et de réaction chargé de gérer les incidents de sécurité informatique en relation avec BANK AL-MAGHRIB « CERT-BAM » (Computer Emergency Response Team)^[44] qui de son côté coordonne et communique les informations des cyberattaques subies par les banques au centre de veille, détection et réponse aux attaques informatiques « maCERT » (Moroccan Computer Emergency Response Team)^[45] relevant de la Direction Générale de Sécurité des Systèmes d’Information( DGSSI).

Cependant, bien que ces mesures soient importantes pour la protection et la sécurité des données bancaires, l’aspect général de la protection prévue par la loi 09-08 et l’absence d’un statut particulier pour ces données constitue une défaillance alarmante à laquelle il faut pallier en urgence^[46].

En effet, ces données, et en raison de leur lien direct avec la situation patrimoniale, les comportements de consommation et les engagements financiers des personnes, présentent une spécificité qui justifie un encadrement juridique renforcé. A vrai dire, ces données et contrairement aux simples données d’identification, révèlent des éléments particulièrement intrusifs sur la vie privée, tels que la nature et la fréquence des achats, les transferts d’argent, les emprunts contractés, ou encore les abonnements souscrits. Ainsi, leur violation engendre des impacts de grande ampleur sur les droits et libertés des individus.

Cette spécificité a été reconnue de manière croissante dans plusieurs ordres juridiques. En France par exemple, sans que cela soit consacré par un texte général, la Commission Nationale de l’Informatique et Liberté ( CNIL) a qualifié ces données, à travers sa délibération concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance^[47], comme étant hautement personnelles en précisant que : « les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par exemple) ». L’autorité de contrôle française a également précisé que la reconnaissance d’une telle qualité aux données personnelles bancaires impose de les soumettre, par conséquent, à un régime strict et une vigilance accrue^[48].

Cette approche s’inscrit dans la ligne droite de la position du groupe de travail 29 qui, en raison de la susceptibilité de ces données d’être employées dans des paiements frauduleux, les considère comme des données hautement personnelles revêtant un caractère sensible au sens commun du terme. Ainsi, le G 29 précise que : « Au-delà des dispositions du RGPD, certaines catégories de données peuvent être considérées comme augmentant le risque possible pour les droits et libertés des personnes. Ces données à caractère personnel sont considérées comme sensibles (au sens commun du terme) dans la mesure où elles sont liées à des activités domestiques et privées (communications électroniques dont la confidentialité doit être protégée, par exemple), dans la mesure où elles ont un impact sur l’exercice d’un droit fondamental (données de localisation dont la collecte met en cause la liberté de circulation, par exemple) ou dans la mesure où leur violation aurait clairement des incidences graves dans la vie quotidienne de la personne concernée (données financières susceptibles d’être utilisées pour des paiements frauduleux, par exemple) »^[49].

L’impact de la violation de ce type de données sur la vie privée des individus et leur susceptibilité d’être utilisées dans des opérations de fraude au payement, a été pris en compte également par le législateur fédéral aux États-Unis. En effet, le fameux projet de loi connu sous le nom de « American Data Privacy and Protection Act » inspiré du California Consumer Privacy Act (CCPA)^[50], envisage expressément de classer les données financières comme des « sensitive covered data » au même titre que les données de santé ou les données biométriques en précisant que le terme données sensibles désigne les types de données couvertes telles que: «   Un numéro de compte financier, un numéro de carte de débit, un numéro de carte de crédit ou des informations qui décrivent ou révèlent le niveau de revenu ou le solde des comptes bancaires d’un individu, sauf que les quatre derniers chiffres d’un numéro de carte de débit ou de crédit ne sont pas considérés comme des données sensibles couvertes »^[51].

Cette approche témoigne d’une reconnaissance croissante, dans les systèmes juridiques comparés, de la vulnérabilité particulière de ces données face à la cybercriminalité et aux usages détournés. En effet, la protection de ces données représente un élément déterminant de la confiance numérique^[52], ce qui impose leur soumission à un régime de protection élevé par rapport aux données personnelles courantes

Dans ce contexte, le droit marocain gagnerait à suivre cette évolution en reconnaissant aux données bancaires un statut spécial dans le cadre de la réforme de la loi n° 09-08. Cette reconnaissance pourrait passer par l’adoption d’un article spécifique identifiant les données financières comme « hautement personnelles », et leur soumettant des règles renforcées de collecte, de conservation et de sécurité.

Une telle évolution contribuerait non seulement à améliorer la protection des consommateurs, mais aussi à renforcer la confiance dans les services financiers numériques, condition essentielle au développement de l’économie digitale nationale. En outre, elle permettrait d’harmoniser les obligations pesant sur les différents acteurs traitant ces données. Cependant, cette réforme ne doit pas se limiter à la reconnaissance d’un statut spécial seulement, mais pourrait également prévoir des obligations renforcées en matière de sécurisation de paiements pour les sous-traitants techniques, notamment les fintechs et les plateformes de paiement.

B. Vers une consécration légale de l’authentification forte dans le secteur bancaire marocain

Même en présence d’un statut spécial, la protection des données bancaires ne saurait se réduire à des principes abstraits. Elle implique en effet, la mise en œuvre de mécanismes concrets de sécurisation des opérations. Parmi ces outils, les procédés permettant la sécurisation des accès aux sessions et aux services de la banque en ligne occupent une place centrale. En effet, pour accéder à leurs comptes en ligne et effectuer les opérations souhaitées, les clients de la banque en ligne doivent obligatoirement s’identifier et en suite s’authentifier.

Cependant, il ne faut pas confondre ces deux techniques qui, bien qu’elles soient proches, renvoient à deux procédés différents. En effet, l’identification^[53] renvoi au processus par lequel une personne déclare ou présente son identité à travers des données personnelles, telles qu’un identifiant ou un numéro de carte^[54]. Ainsi, le client de la banque qui a accompli les formalités d’inscription en ligne ou en présentielle reçoit de sa banque des données d’identification, généralement un code en chiffre et/ou en lettres qui permette de l’identifier de manière non équivoque en établissant la liaison entre ces données et les documents d’identité reçus lors de l’opération de l’inscription. Ces données sont saisies dans la case d’identification figurant sur la session de connexion qui s’affiche quand le client ouvre l’application de la banque ou accède à ce service à travers le site de la banque.

Cependant, et puisque l’insertion des données d’identification ne suffit jamais, car elles peuvent se trouver, pour une raison ou d’autre, à la portée d’une personne de mauvaise foi, une deuxième étape est requise avant de pouvoir se connecter à son compte. Il s’agit de vérifier que cette identité est bien réelle et correspond effectivement à l’utilisateur déclaré.

C’est cette opération indispensable pour la sécurité du système de la banque en ligne^[55] qu’on appelle l’authentification. Il s’agit en effet, d’une notion récente^[56] qui permet d’imputer un acte, un fait ou une action à une personne déterminée. Autrement dit, il s’agit, comme d’aucuns, de « rendre compte de ses actes au cours de la vie sociale, spécialement dans le numérique »^[57].

Au Maroc l’authentification est encadrée par la loi 43-20 relative aux services de confiance pour les transactions électroniques qui la définie comme étant un « processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité des données sous forme électronique »^[58]. Cette définition a été inspirée du règlement communautaire concernant l’identification, l’authentification et les services de confiance de 2014 (EIDIAS 1)^[59].

En pratique, l’authentification consistait au début à la saisi d’un mot de passe communiqué souvent avec les données d’identification par la banque à son client. Cependant, les spécificités du secteur bancaire, l’ampleur des conséquences de la violation des données bancaires sur la vie privée du client et l’expansion des attaques ciblant ces données ont imposé aux différents intervenants dans ce secteur de penser à des systèmes d’authentification davantage sûr. Ainsi, sont apparu des techniques comme les codes envoyés par SMS et qui représentent un caractère non rejouable, c’est-à-dire l’utilisation d’un code à usage unique (One Time Password – OTP), valable pour une seule opération et dans un délai très court, de manière à prévenir les tentatives de réutilisation malveillante.

Ensuite, le développement de l’ingénierie informatique et le nombre exponentiel des attaques accomplies par les hackers contre les données bancaires ont poussé le législateur communautaire en Europe à imposer une authentification multi facteurs, dite aussi authentification forte^[60].

Ainsi, ce type d’authentification a été intégré par la Directive européenne sur les services de paiement de 2015 ( DSP 2) qui précise que « l’authentification forte du client est une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories «connaissance» (quelque chose que seul l’utilisateur connaît), «possession» (quelque chose que seul l’utilisateur possède) et «inhérence» (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification; »^[61]. Cette Directive impose selon l’article 97 le recours obligatoire à l’authentification forte lors de l’accès à un compte de paiement en ligne ( qui ne dépassent pas 30 euros)^[62], l’initiation d’une opération de paiement électronique ainsi que lors de toute action à distance pouvant entrainer un risque de fraude. La directive DSP2 n’exige pas seulement que l’authentification soit forte, mais impose également qu’elle intègre un lien dynamique entre l’opération, son montant et le bénéficiaire, de manière à garantir que l’autorisation donnée ne puisse être réutilisée ou détournée. Ceci signifie, par exemple, que si un client valide un paiement de 50 euros en faveur d’un commerçant déterminé, les éléments d’authentification générés, qu’il s’agisse d’un code temporaire, d’un jeton cryptographique ou d’un processus biométrique, doivent être liés spécifiquement à cette opération. Toute tentative de modification, que ce soit du montant ou de l’identité du bénéficiaire, rendrait automatiquement invalide l’autorisation initiale. Ce mécanisme renforce considérablement la sécurité des paiements électroniques en limitant les risques de fraude, notamment dans les transactions à distance.

Ensuite, le règlement eIDAS 2^[63], tout en définissant l’authentification forte^[64], a introduit des mécanismes susceptibles d’être mobilisés pour satisfaire aux exigences posées par la directive sur les services de paiement 2 (DSP2) en matière de sécurité des transactions, notamment à travers le portefeuille européen d’identité numérique (EUDI Wallet). Il s’agit, en effet, d’un dispositif numérique sécurisé permettant à tout citoyen européen de prouver son identité ou de fournir des justificatifs numériques officiels (identité, permis, diplômes, etc.) dans un environnement en ligne.

De même, un dispositif similaire a été mis en œuvre au Maroc à travers le système d’authentification dénommé « Tiers de confiance national », instauré par la Direction Générale de la Sûreté Nationale (DGSN). Ce mécanisme permet aux acteurs du secteur bancaire d’assurer, à distance, l’identification et l’authentification fiable de leurs clients^[65]. Parallèlement, les établissements bancaires marocains ont consenti des efforts notables dans la lutte contre la fraude liée aux paiements en ligne, en recourant à des systèmes d’authentification multifactorielle. Ces derniers sont notamment déployés tant pour la sécurisation des paiements électroniques, via des solutions telles que le 3D Secure^[66], que pour le contrôle d’accès aux comptes bancaires à distance^[67].

Cependant, à la différence du législateur français par exemple^[68], le droit marocain ne comporte à ce jour aucune disposition spécifique relative à l’authentification forte. La loi n° 43-20, comme cela a été précédemment exposé, ne traite que de l’authentification simple, laquelle apparaît aujourd’hui insuffisante au regard des exigences croissantes en matière de sécurité numérique. Cette lacune traduit un retard manifeste et préoccupant dans l’arsenal juridique national, auquel le législateur marocain se doit de remédier en urgence, afin d’assurer un niveau de protection conforme aux standards internationaux, en particulier dans le secteur des services bancaires et des transactions électroniques.

Conclusion

L’analyse menée tout au long de cette étude nous a permis de mettre en lumière les limites structurelles du cadre juridique marocain face à la montée des risques pesant sur les données bancaires dans l’environnement connecté. En effet, en raison de leur valeur considérable, ces données sont devenues particulièrement exposées aux usages frauduleux et aux intrusions malveillantes, mettant à l’épreuve la capacité du droit à assurer une protection effective des droits fondamentaux des clients de la banque en ligne.

En effet, bien qu’il se soit doté d’un cadre normatif en matière de cybersécurité et de protection des données personnelles, le droit marocain reste en retrait lorsqu’il s’agit de répondre à la gravité et à la spécificité des atteintes visant les données bancaires car ni la reconnaissance explicite de leur sensibilité particulière, ni l’imposition d’un dispositif robuste d’authentification n’y sont consacrées, laissant ainsi subsister des zones de fragilité préoccupantes au cœur de la confiance numérique.

Dans cette perspective, deux leviers majeurs de réforme doivent, à notre sens, être adoptés. Nous recommandons, en premier lieu, la reconnaissance d’un statut juridique spécifique pour les données bancaires, distinct des données personnelles ordinaires. Cette reconnaissance doit s’accompagner d’un régime de collecte, de conservation, de transfert et de sécurisation plus strict, en tenant compte de leur vulnérabilité particulière aux usages détournés.

En second lieu, nous plaidons pour l’imposition juridique de l’authentification forte en tant qu’impératif de sécurité auquel le législateur ne peut plus se soustraire pour s’aligner sur les standards internationaux, notamment ceux de la directive européenne DSP2. En effet, l’authentification simple, fondée sur un facteur unique, n’est plus adaptée au contexte numérique actuel, marqué par une recrudescence des fraudes par ingénierie sociale et par contournement technique. Seule une authentification reposant sur plusieurs facteurs indépendants peut aujourd’hui garantir un niveau de sécurité suffisant.

Ces réformes doivent également être accompagnées d’un engagement institutionnel fort. A cet effet, Bank Al-Maghrib, en tant qu’autorité prudentielle, est appelé à travers des circulaires contraignantes, à imposer aux établissements bancaires et de paiement le recours à des mécanismes d’authentification forte dans toutes les opérations en ligne, y compris l’accès aux comptes, les virements et les paiements.

De son côté, la Commission nationale de contrôle de la protection des données à caractère personnel devrait affirmer sa position sur la sensibilité particulière des données bancaires en les qualifiant de données hautement personnelles. Cette position contribuerait à orienter le débat législatif et réglementaire dans le sens d’un renforcement des obligations de vigilance, de traçabilité, de limitation de finalité, et de consentement explicite. Son rôle d’accompagnement, de régulation et de sensibilisation sera déterminant pour la réussite de cette réforme.

Enfin, nous soulignons l’importance de la sensibilisation du grand public. Dans ce sens, l’acculturation des cyberconsommateurs aux risques liés à la gestion de leurs données bancaires en ligne, aux bons réflexes d’identification, et à la compréhension des mécanismes d’authentification forte, constitue une condition sine qua non de l’effectivité de la protection. À ce titre, une campagne nationale conjointe entre Bank Al-Maghrib, la CNDP et les acteurs du secteur bancaire serait hautement souhaitable.

Ainsi, la réforme du régime juridique applicable aux données bancaires ne constitue pas une simple option d’optimisation. Elle est, au contraire, une exigence stratégique pour assurer la souveraineté numérique du Royaume, protéger les droits des usagers dans la sphère financière digitale, et asseoir durablement une confiance numérique conforme aux exigences du XXIe siècle.

 

Bibliographie

Dictionnaires

Didier FOURT, « Glossaire des termes informatiques », Version 8.18. Informatique Pratique, 2000.

Ouvrages

Robin Sharp, « An Introduction to Malware », DTU Library, 2007.

Manal BADIL, « Droit processuel en matière d’affaires cybercriminelles au Maroc: Spécificités, enjeux et horizons », Ed APPROCHES-FES, 2023.

Manal BADIL, « Administration de la preuve face aux défis de(la cybercriminalité au Maroc », Ed Imprimerie Bilal Fès 2022.

Eric A. Caprioli, « La banque en ligne et le droit », Collection. Les essentiels de la banque et de la finance, Rb éd, 05/05/2014

Articles

D. Legeais, « Open Banking : menace ou opportunité pour les banques ? », RD bancaire et fin. 2017, repère 5.

J. Morel-Maroger, « La protection des données personnelles des clients des banques : bilan et perspectives », RD bancaire et fin. 2011, étude 10.

Abir BERCHEQ, « Les déterminants d’acceptation et d’usage du e-commerce : une revue générale », Revue Organisation et Territoires n°5, Octobre 2020.

Faten FARHANI, « La sécurité de transaction comme déterminant de la satisfaction et de la confiance électronique du consommateur vis-à-vis d’un site marchand », Revue Marocaine de Recherche en Management et Marketing N°9-10, Janvier-Décembre 2014.

R. Matulionyte, « Smile to pay : le système de paiement par reconnaissance faciale de Mastercard suscite des inquiétudes », The Conversation, 10 juin 2022. Article en ligne sur : https://theconversation.com/smile-to-pay-le-systeme-de-paiement-par-reconnaissance-faciale-de-mastercard-suscite-des-inquietudes-184725.

Soufyane EL HOMRANI, « La prospection bancaire en ligne et données personnelles : quelle protection en droit marocain ? », Revue internationale du droit des affaires, n°37, 2021.

T. Warren, « Amazon One lets you pay with your palm », The Verge, 29 sept. 2020. Article en ligne sur : https://www.theverge.com/2020/9/29/21493094/amazon-one-palm-recognition-hand-payments-amazon-go-store.

Guides, rapports et avis

Association des utilisateurs des systèmes d’information au Maroc (AUSIM), « Livre Blanc : Les enjeux de la cybersécurité au Maroc », 2018.

Banque de France, Observatoire de l’Epargne Réglementée « rapport annuel 2019 de la sécurité des moyens de paiement », 2022.

G29, « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 », Telles que modifiées et adoptées en dernier lieu le 4 octobre 2017.

CMI, « Rapport d’activité monétique au 30 Septembre 2023 ».

Commission nationale de l’informatique et des libertés (CNIL), « Projet de recommandation relatif à l’authentification multifacteur », mars 2024.

Européen Payement Council, « Report 2023 Payments Threats and Fraud Trends », EPC181-23 / Version 1.0, 07/11/2023.

Gouvernement de la France, « Politique de sécurité des systèmes d’information de l’Etat, N° 5725/SG », Paris, le 17 juillet 2014.

Interpol, « Rapport d’évaluation des cybermenaces en Afrique », Mars 2023.

L’Agence nationale de la sécurité des systèmes d’information en France (ANSSI), « Recommandations relatives à l’authentification multifacteur et aux mots de passe », V 2.0 du 08/10/2021.

Jurisprudence

Cour d’appel de Casablanca, 20 mars 2023, n° 2745, affaire n° 2942.

Arrêt n° 20813 du 15 février 2023 de la Cour d’appel de Casablanca.

Arrêt n° 3433 du 18 juillet 2022 de la Cour d’appel de commerce de Casablanca.

Webologie

https://www.bkam.ma/Cert-bam

https://www.cmi.co.ma/

https://www.cnil.fr/fr/

https://www.dgssi.gov.ma

1. (105) clients de la CIH banque ont été victimes d’une opération de piratage de compte bancaire en 2020 avec un montant total de (03) MDH. Voir : 255https://fr.le360.ma/societe/banque-les-hackers-ciblant-les-clients-du-cih-arretes_SXGLLO5QJFBXVOA2DWFFWXMACY/ . Consulté le 11/05/2025.

   ↑

2. Voir : https://lematin.ma/economie/fuite-des-donnees-bancaires-sur-le-dark-web/269078. Consulté le 20/04/2025.

   ↑

3. Alerte de la DGSSI n°54270505/25 du 02 mai 2025, disponible sur : https://www.dgssi.gov.ma/fr/bulletins/le-btmob-rat. Consulté le 12/05/2025. ↑

4. Alerte de la DGSSI n°54250205/25 du 06 mai 2025, disponible sur :

   https://www.dgssi.gov.ma/fr/bulletins/vulnerabilite-affectant-le-navigateur-mozilla-firefox-2. Consulté le 12/05/2025.

   ↑

5. Alerte de la DGSSI n°54290505/25 du 06 mai 2025, disponible sur :  https://www.dgssi.gov.ma/fr/bulletins/vulnerabilites-affectant-le-systeme-dexploitation-android-10. Consulté le 12/05/2025.

   ↑

6. L’article 15 de la loi n° 103-12 relative aux établissements de crédit et organismes assimiles, telle que modifiée et complétée dispose que : « Les établissements de paiement sont ceux qui offrent un ou plusieurs services de paiement visés à l’article 16 ci-après. Ils peuvent également, dans le respect des dispositions législatives et réglementaires en vigueur, exercer les opérations de change ».

   L’article 16 1) dispsoe que : « Sont considérés comme services de paiement : – les opérations de transfert de fonds ; – les dépôts et les retraits en espèces sur un compte de paiement ; – l’exécution d’opérations de paiement par tout moyen de communication à distance, à condition que l’opérateur agisse uniquement en qualité d’intermédiaire entre le payeur et le fournisseur de biens et services ; – l’exécution de prélèvements permanents ou unitaires, d’opérations de paiement par carte et l’exécution de virements, lorsque ceux–ci portent sur des fonds placés sur un compte de paiement. On entend par compte de paiement tout compte détenu au nom d’un utilisateur de services de paiement et qui est exclusivement utilisé aux fins d’opérations de paiement. 2) Ne sont pas considérés comme services de paiement, les opérations de paiement effectuées par : – un chèque tel que régi par les dispositions du code de commerce ; – une lettre de change telle que régie par les dispositions du code de commerce ; – un mandat postal émis et/ou payé en espèces ; – tout autre titre similaire sur support papier. Les modalités d’exercice des services de paiement sont fixées par circulaire du wali de Bank Al-Maghrib, après avis du comité des établissements de crédit ».

   ↑

7. CMI, « Rapport d’activité monétique au 30 Septembre 2023 », p.6.

   ↑

8. https://www.cmi.co.ma/fr/nos-solutions/paiement-mobile-maroc-pay. Consulté le 07/09/2024.

   ↑

9. R. Matulionyte, « Smile to pay : le système de paiement par reconnaissance faciale de Mastercard suscite des inquiétudes », The Conversation, 10 juin 2022. Article en ligne sur : https://theconversation.com/smile-to-pay-le-systeme-de-paiement-par-reconnaissance-faciale-de-mastercard-suscite-des-inquietudes-184725. Consulté le 07/09/2024.

   ↑

10. T. Warren, « Amazon One lets you pay with your palm », The Verge, 29 sept. 2020. Article en ligne sur : https://www.theverge.com/2020/9/29/21493094/amazon-one-palm-recognition-hand-payments-amazon-go-store. Consulté le le 07/09/2024.

    ↑

11. https://www.apple.com/fr/apple-pay/. Consulté le 10/09/2024.

    ↑

12. https://www.samsung.com/fr/apps/samsung-pay/. Consulté le 10/09/2024.

    ↑

13. https://about.meta.com/technologies/meta-pay/. Consulté le 10/09/2024.

    ↑

14. https://www.dgssi.gov.ma/fr/actualit%C3%A9s/la-cybersecurite-dans-le-secteur-bancaire. Consulté le 13/09/2024.

    ↑

15. D. Legeais, « Open Banking : menace ou opportunité pour les banques ? », RD bancaire et fin. 2017, repère 5.

    ↑

16. J. Morel-Maroger, « La protection des données personnelles des clients des banques : bilan et perspectives », RD bancaire et fin. 2011, étude 10.

    ↑

17. Les données personnelles, précisément les données bancaires sont stockées dans plusieurs endroits au monde, ce qui accroit le risque de leur divulgation suite à des cyberattaques.

    ↑

18. Association des utilisateurs des systèmes d’information au Maroc (AUSIM), « Livre Blanc : Les enjeux de la cybersécurité au Maroc », 2018, p.28.

    ↑

19. Interpol, « Rapport d’évaluation des cybermenaces en Afrique », Mars 2023, p.22.

    ↑

20. Ibid, p.23.

    ↑

21. L’hameçonnage ou phishing est « une forme d’escroquerie sur internet selon laquelle le fraudeur se fait passer pour un organisme que vous connaissez (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme. Il vous envoie un mail vous demandant généralement de “mettre à jour” ou de “confirmer vos informations suite à un incident technique”, notamment vos coordonnées bancaires (numéro de compte, codes personnels, etc.) ». Voir : https://www.cnil.fr/fr/cnildirect/question/lephishingcestquoi#:~:text=L’hame%C3%A7onnage%20ou%20phishing%20est,le%20nom%20de%20cet%20organisme. Consulté le 04/06/2025.

    ↑

22. Un logiciel malveillant (ou malware) est un terme générique désignant tout type de logiciel nuisible. Il s’agit d’une cyberattaque visant à dérober des informations personnelles, financières ou commerciales. Pour plus d’information sur cette technique, voir : Sharp, Robin Sharp, « An Introduction to Malware », DTU Library, 2007.

    ↑

23. Selon Didier FOURT, le cheval de Troie est un « Programme ou données qui semblent inoffensives lorsqu’elles sont chargées dans un système ou un réseau mais qui facilitent ensuite une attaque par un pirate ou un virus ». Voir Didier FOURT, « Glossaire des termes informatiques », Version 8.18. Informatique Pratique, 2000, p. 24.

    ↑

24. Voir dans ce sens, Européen Payement Council, « Report 2023 Payments Threats and Fraud Trends », EPC181-23 / Version 1.0, 07/11/2023

    ↑

25. Banque de France, Observatoire de l’Epargne Réglementée « rapport annuel 2019 de la sécurité des moyens de paiement », 2022, p.6.

    ↑

26. Selon l’article 3-60 du règlement sur l’IA [règlement (UE) 2024/1689 établissant des règles harmonisées en matière d’intelligence artificielle, le « deep fake » renvoi à tout contenu image, audio ou vidéo généré ou manipulé par l’IA qui ressemble à des personnes, des objets, des lieux, des entités ou des événements existants et qui semblerait faussement authentique ou véridique aux yeux d’une personne ;

    ↑

27. Nous avons utilisé le terme physiologique adopté par le RGPD et l’AI ACT au lieu de biologique adopté par la Commission Nationale de contrôle de la protection des Données à caractère Personnel dans la fiche thématique : Traitement des données biométriques soumis à autorisation préalable, janvier 2023, par ce que ce dernier englobe en plus des données physiologiques collectées en temps réel par des capteurs numériques ( caméra, scanner, etc.) afin de permettre le verrouillage d’une porte ou d’un téléphone par exemple, les données génétiques comme l’ADN, en principe utilisées pour d’autres finalités que l’identification biométrique (filiation par exemple) et qui sont collectées par des échantillons et nécessitant un temps d’analyse pour avoir le résultat.

    ↑

28. Ibid.

    ↑

29. Dahir n° 1-03-197 du 11 novembre 2003 portant promulgation de la loi n° 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données. B.O n° 5184- 14 hija 1424 (5-2-2004).

    ↑

30. Article 607-3 du Code pénal marocain, modifié par la loi n° 07-03.

    ↑

31. Article 607-4 du Code pénal marocain, modifié par la loi n° 07-03.

    ↑

32. Article 607-5 du Code pénal marocain, modifié par la loi n° 07-03.

    ↑

33. La loi n°24-96 relative à la poste et aux télécommunications promulguée par le dahir n°1-97-162 du 2 rabii II 1418 (7 août 1997), amendée et modifiée par les lois n°79-99, n°55-01, n°29-06, n°59-10, n°93-12 et n°121-12, respectivement des 2001, 2004, 2007, 2011, 2013 et 2019.

    ↑

34. L’article 92 de la loi n° 24-96 dispose que : « Sera puni d’une peine d’emprisonnement de 3 mois à 5 ans et d’une amende de 5.000 à 100.000 dirhams toute personne autorisée à fournir un service de poste rapide internationale ou tout agent employé par elle, qui dans le cadre de l’exercice de ses fonctions ouvre, détourne ou détruit le courrier, viole le secret de correspondance ou qui aide à accomplir ces actes. Sera passible des mêmes peines, toute personne autorisée à fournir un service de télécommunications et tout employé par des exploitants de réseaux des télécommunications ou fournisseurs de services des télécommunications, qui dans le cadre de l’exercice de ses fonctions et en dehors des cas prévus par la loi, viole de quelque manière que ce soit, le secret des correspondances émises, transmises ou reçues par voie de télécommunications ou qui en a donné l’ordre ou qui a aidé à l’accomplissement de ces actes. Sera puni d’une peine d’emprisonnement d’un mois à un an et d’une amende de 5.000 à 100.000 dirhams ou par l’une de ces deux peines seulement, toute personne autre que celles mentionnées dans les deux alinéas précédents qui a commis un des faits punis par lesdits alinéas ».

    ↑

35. Le 18 octobre 2015, le Royaume du Maroc a annoncé son adhésion à la Convention du Conseil de l’Europe sur la cybercriminalité signée à Budapest le 23 novembre 2001 et à son protocole additionnel signé à Strasbourg le 28 janvier 2003. Il a également parachevé les procédures constitutionnelles d’adhésion à ladite Convention et à son Protocole additionnel en déposant les instruments de ratification de ladite convention au sein du Secrétariat du Conseil de l’Europe en date du 29 juin 2018, ensuite la convention est entrée en vigueur le 1er octobre 2018.

    ↑

36. Cour d’appel de Casablanca, 20 mars 2023, n° 2745, affaire n° 2942, concernant la condamnation de trois individus pour avoir commis les infractions de l’accès frauduleux à des systèmes informatiques, la suppression et la modification non autorisées de données, le vol d’informations confidentielles ainsi que l’entrave au bon fonctionnement des infrastructures numériques de l’entreprise victime;

    Arrêt n° 20813 du 15 février 2023 de la Cour d’appel de Casablanca, publié sur Jurisprudence.ma, concernant l’atteinte au fonctionnement normal du système automatisé de traitement des données, en interceptant des correspondances électroniques destinées à la banque.

    Voir aussi les décisions de la justice marocaine en matière de cybersécurité citées par Manal BADIL, « Droit processuel en matière d’affaires cybercriminelles au Maroc: Spécificités, enjeux et horizons », Ed APPROCHES-FES, 2023, pp.354 à 364. ↑

37. Arrêt n° 3433 du 18 juillet 2022 de la Cour d’appel de commerce de Casablanca, publié sur Jurisprudence.ma, concernant la non-responsabilité de la banque en cas de piratage d’un compte accessible en ligne, en l’absence de faute prouvée dans son système de sécurité.

    ↑

38. Manal BADIL, « Administration de la preuve face aux défis de(la cybercriminalité au Maroc », Ed Imprimerie Bilal Fès 2022, pp 145 et ss.

    ↑

39. Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009) portant promulgation de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

    ↑

40. L’article 12 de la Directive de Bank Al-Maghrib n° 6/W/16 du 10 juin 2016, relative aux établissements de payement.

    ↑

41. L’article 2 de la Circulaire de Bank Al-Maghrib n°4/W/2014 du 30 Octobre 2014 relative au contrôle interne des établissement de crédit dispose que : « Le système de contrôle interne consiste en un ensemble de dispositifs visant à assurer en permanence, notamment : la vérification des opérations et des procédures internes ; la mesure, la maîtrise la surveillance des risques ; la fiabilité des conditions de collecte, de traitement, de diffusion et de conservation des données comptables et financières ; l’efficacité des systèmes d’information et de communication ».

    ↑

42. Directive de Bank ALMAGHRIB n°3/W/16 du 10 juin 2016, fixant les règles minimales à observer par les établissements de crédit pour réaliser les tests d’intrusion des systèmes d’information.

    ↑

43. Conformément à l’article 1 décret n°2-21-406 relatif à l’application de la loi 05-20 sur la cybersécurité, l’autorité nationale de cybersécurité désigne la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), créée par le Décret n°2-11-509 du 22 chaoual 1432 (21 septembre 2011) complétant le décret n° 2-82-673 du 28 rabii i 1403 (13 janvier 1983) relatif à l’organisation de l’ADN et portant création de la DGSSI.

    ↑

44. https://www.bkam.ma/Cert-bam. Consulté le 24/09/2024.

    ↑

45. La Direction de gestion de ce centre qui fait partie des quatre directions de la DGSSI est chargée de la mise en œuvre, en relation avec les autres administrations, de systèmes de veille, de détection, d’alerte des événements susceptibles d’affecter la sécurité des systèmes d’information de l’Etat et de la coordination de la réaction à ces événements. Voir https://www.dgssi.gov.ma/fr/macert. Consulté le 26/09/2024.

    ↑

46. Nous avons déjà soulevé cette question dans l’article : Soufyane EL HOMRANI, « La prospection bancaire en ligne et données personnelles : quelle protection en droit marocain ? », Revue internationale du droit des affaires, n°37, 2021, p 558.

    ↑

47. CNIL, Délibération n° 2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017 NOR : CNIL1827236X JORF n°0233 du 9 octobre 2018 Texte n° 155.

    ↑

48. Ibid, pts. 224 : « La formation restreinte note, ensuite, que certains manquements concernent des catégories particulières de données soumises à un régime juridique strict (données de santé, informations sur l’orientation sexuelle) et des données hautement personnelles (données bancaires) devant faire l’objet d’une vigilance accrue compte tenu du risque de fraude. ».

    ↑

49. G29, « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 », Telles que modifiées et adoptées en dernier lieu le 4 octobre 2017, p.11.

    ↑

50. California Consumer Privacy Act of 2018, 1798.140.(ae)- 1-B, dispose que : « Sensitive personal information” means: (B) A consumer’s account log-in, financial account, debit card, or credit card number in combination with any required security or access code, password, or credentials allowing access to an account ».

    ↑

51. ADPPA, SEC. 2-28-A-iii dispose que : « (iii) A financial account number, debit card number, credit card number, or information that describes or reveals the income level or bank account balances of an individual, except that the last four digits of a debit or credit card number shall not be deemed sensitive covered data. ».

    ↑

52. Abir BERCHEQ, « Les déterminants d’acceptation et d’usage du e-commerce : une revue générale », Revue Organisation et Territoires n°5, Octobre 2020. Voir aussi : Faten FARHANI, « La sécurité de transaction comme déterminant de la satisfaction et de la confiance électronique du consommateur vis-à-vis d’un site marchand », Revue Marocaine de Recherche en Management et Marketing N°9-10, Janvier-Décembre 2014.

    ↑

53. Au Maroc, l’article 2 de la loi n° 43-20 relative aux services de confiance pour les transactions électroniques définit l’identification électronique comme le « processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale ». ↑

54. Selon le CCPA, les identifiants peuvent être un nom réel, un alias, une adresse postale, un identifiant personnel unique, un identifiant en ligne, une adresse de protocole Internet, une adresse électronique, un nom de compte, un numéro de sécurité sociale, un numéro de permis de conduire, un numéro de passeport ou d’autres identifiants similaires. Voir California Consumer Privacy Act of 2018, Sect 1798.140.V-1-A qui dispose que : «   Identifiers such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver’s license number, passport number, or other similar identifiers ».

    ↑

55. Arrêté du 6 mai 2010, JORF n° 0113 du 18 mai 2010, portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques en France, p.9152.

    ↑

56. La première définition juridique de cette notion a été introduite par le Règlement communautaire n°460/2004, du 10 mars 2004, qui l’a définie dans son article 4-e comme « la conformation de l’identité prétendue d’entités ou d’utilisateurs ».

    ↑

57. Eric A. Caprioli, « La banque en ligne et le droit », Collection. Les essentiels de la banque et de la finance, Rb éd, 05/05/2014, p.38.

    ↑

58. L’article 2 de la loi 43-20 relative aux services de confiance pour les transactions électroniques.

    ↑

59. L’article 3 du Règlement (UE) No 910/2014 du Parlement Européen et du Conseil du 23 juillet, confirmé par l’article 1-3-b-5 du Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024, avec le seul changement du verbe ‘confirmer ’ par ‘valider’ : « un processus électronique qui permet de valider l’identification électronique une personne physique ou morale, ou l’origine et l’intégrité d’une donnée électronique ».

    ↑

60. la notion d’authentification forte et multi-facteur peuvent désigne souvent la même chose comme dans le projet de la CNIL concernant la recommandation relatif à l’authentification multi-facteur et La politique de sécurité des systèmes d’information de l’État en France, dénommée PSSI-E, Cependant certaines travaux tels que la recommandation de l’Agence Nationale de la Sécurité des Systèmes d’Information Française (ANSSI), défini l’authentification forte comme étant une authentification reposant sur un mécanisme cryptographique jugé robuste, pouvant dans certains cas se limiter à un seul facteur. Voir : Commission nationale de l’informatique et des libertés (CNIL), « Projet de recommandation relatif à l’authentification multifacteur », mars 2024- Gouvernement de la France, « Politique de sécurité des systèmes d’information de l’Etat, N° 5725/SG », Paris, le 17 juillet 2014, et L’Agence nationale de la sécurité des systèmes d’information en France (ANSSI), « Recommandations relatives à l’authentification multifacteur et aux mots de passe », V 2.0 du 08/10/2021, p.15.

    ↑

61. L’article 4-30 de la Directive (UE) 2015/2366 du parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE.

    ↑

62. Ce seuil est fixé par l’article 16 du Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication qui dispose que « Les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client lorsque le payeur initie une opération de paiement électronique à distance, pour autant que les conditions suivantes soient remplies: a) le montant de l’opération de paiement électronique à distance ne dépasse pas 30 EUR; et b) le montant cumulé des précédentes opérations de paiement électronique à distance initiées par le payeur depuis la dernière authentification forte du client ne dépasse pas 100 EUR; ou c) le nombre des précédentes opérations de paiement électronique à distance initiées par le payeur depuis la dernière authentification forte du client ne dépasse pas cinq opérations de paiement électronique à distance individuelles consécutives ».

    ↑

63. L’article 1-J- point 51 du Règlement (UE) 2024/1183 Du Parlement Européen et du Conseil du 11 avril 2024.

    ↑

64. Il s’agit selon l’article 1-J- point 51 de « l’utilisation d’au moins deux facteurs d’authentification de différentes catégories relevant soit de la connaissance, à savoir quelque chose que seul l’utilisateur connaît, soit de la possession, à savoir quelque chose que seul l’utilisateur possède ou de l’inhérence, à savoir quelque chose que l’utilisateur est, qui sont indépendants en ce sens que l’atteinte portée à l’un ne compromet pas la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

    ↑

65. Un Protocole d’Accord pour l’habilitation de Bank Al-Maghrib à l’exploitation des fonctionnalités techniques de la CNIE, a été signé entre la DGSN et la banque centrale le 7 octobre 2024. Voir : BAM, communiqué de presse, « Signature de deux accords de partenariat entre la DGSN et Bank Al-Maghrib », le 7 Octobre 2024 à Rabat.

    ↑

66. CMI, « Le 3D SECURE ou Système d’authentification forte » à consulter sur : https://www.cmi.co.ma/sites/default/files/3_d_secure.pdf. Consulté le 15/09/2024.

    ↑

67. Par exemple, la banque populaire exige un code pin, un appareil de confiance, et un code de validation.

    ↑

68. En droit français, l’article L. 133-44, I, du Code monétaire et financier impose le recours à une authentification forte dès lors que le payeur accède à son compte de paiement, initie une opération de paiement électronique ou effectue une transaction à distance susceptible de présenter un risque de fraude. Cette exigence s’accompagne d’un régime de responsabilité stricte en faveur du client : en l’absence d’authentification forte, toute perte financière résultant d’une opération non autorisée est imputée au prestataire de services de paiement, sauf en cas de fraude caractérisée ou de négligence grave imputable au client.

    ↑