Protection des données : la majorité des sites hors-la-loi ?

La loi 09/08, adoptée en février 2009, est censée encadrer l’utilisation des données à caractère personnel et les protéger contre toute utilisation abusive. La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), créée par la même loi, est là pour veiller au respect de cette législation. Depuis 2014, elle procède au contrôle des sites internet en vue d’évaluer leur respect de la vie privée des internautes d’une façon générale et plus particulièrement des dispositions de la loi 09-08. Quel bilan peut-on faire du travail de cette instance et du degré de conformité des sites web, marchands surtout, à la législation ?

A en croire Me Younes Anibar, avocat au barreau de Casablanca, «le dispositif de contrôle est encore à un stade embryonnaire. Etant donné la rapide évolution des nouvelles technologies de l’information ces dernières années, il est loin d’atteindre ce qui a été réalisé sous d’autres cieux… Néanmoins,  je qualifierai le travail de la CNDP de très positif». Ouadi Madih, président de l’Association de protection des consommateurs Uniconso, a un avis plus critique : «Le Maroc souffre encore du problème de la protection des données personnelles malgré la mise en place de la CNDP». Et de poursuivre : «Il ne suffit pas de mettre des structures en place ou d’adopter des lois si nous n’avons pas une volonté réelle de protéger les droits des citoyens».

Auprès de la CNDP, on précise que depuis 2014, environ 300 sites internet ont été contrôlés. Elle a en outre reçu et instruit 1 264 plaintes (dont 42 concernant l’utilisation des données personnelles sur internet), prononcé plusieurs mises en demeure et transmis 9 dossiers à la Justice pour activer les sanctions, dont un concernant un site marchand. Rappelons que le législateur a prévu des sanctions très sévères à l’égard des organismes qui ne respectent pas les dispositions de la loi 09-08. Ces sanctions peuvent être pécuniaires et atteindre jusqu’à 300 000 DH, ou privatives de liberté et atteindre jusqu’à deux ans d’emprisonnement.

En ce qui concerne le degré de conformité des sites web à la législation, la CNDP affirme que la majorité des sites contrôlés n’est pas conforme aux dispositions légales en vigueur en matière de protection des données personnelles. «Le plus souvent, les sites ne font aucune référence à la loi sur la protection des données personnelles, ne demandent pas le consentement des intéressés lors de la collecte des données, ne respectent pas le droit à l’information, n’accordent pas aux personnes les droits d’accès, de rectification et d’opposition, et n’ont pas notifié le traitement à la CNDP», précise-t-on.

Toutefois, il est à noter que de plus en plus d’organismes procèdent à la notification auprès de la CNDP des traitements de données personnelles effectués sur leurs sites Internet. «Plus de 130 traitements de ce type, dont plusieurs de sites marchands, ont obtenu les autorisations nécessaires après s’être engagés à respecter les principes de la loi 09-08», ajoute la CNDP qui précise que «Dans la pratique, on remarque que ce sont principalement les entreprises structurés qui veillent le plus à ce que leurs traitements des données personnelles soient conformes à la loi».

Mais pour Ouadie Madih, «il y a ceux qui font semblant de respecter la loi en déclarant leur activité auprès de la CNDP et d’autres qui agissent sans se soucier de la loi. La réalité, est que personne ne connaît le sort réservé aux millions de données collectées par ses sites». Pour sa part, bien que la CNDP note des progrès notables dans ce domaine, elle recommande vivement aux cybermarchands de déployer plus d’efforts pour pouvoir utiliser la protection des données personnelles en tant que levier de leurs activités tout en instaurant une relation de confiance avec leurs clients.

Notons que malgré la non-représentativité des échantillons de sites marocains contrôlés par la CNDP, il ressort que seulement 50% des sites web affichent une mention relative à la protection de la vie privée et des données personnelles mais que seulement 22% d’entre eux étaient conformes aux exigences de la CNDP. Les opérations de contrôle ont montré que les organismes exploitant des sites Internet peuvent respecter une partie des principes susmentionnés mais très rarement l’ensemble de ces principes. Par ailleurs, les plaintes reçues par la commission ont fait ressortir d’autres types de manquements tels que la non-sécurisation de données sensibles par les exploitants de certains sites, l’utilisation frauduleuse des données recueillies, l’escroquerie, l’utilisation des données collectées pour d’autres finalités telle la prospection commerciale, …

Etant donné l’ampleur du phénomène, la CNDP mène des actions préventives en sensibilisant tous les acteurs à l’importance de la protection de la vie privée et des données personnelles dans l’instauration de la confiance numérique entre les exploitants des sites Internet et leurs partenaires (clients, fournisseurs, etc). Elle s’assure également de l’équilibre entre le besoin des exploitants des sites Internet d’utiliser des données personnelles et, d’autre part, le respect de la vie privée des Internautes, et ce, lors de l’examen des notifications des sites  qu’elle reçoit. A cette même fin, la CNDP a adopté la délibération N°508-Au-2014 du 14 novembre 2014 qui encadre l’utilisation des données personnelles dans les sites de vente en ligne et elle a aussi publié des lignes  directrices relatives à la conformité des sites web à la loi 09-08 qui constituent une feuille de route en matière de la protection des données personnelles pour les organismes qui exploitent un site web utilisant des données personnelles.