Show
Par Mohammed Taher Sbihi, lauréat de l’Université Mohamed V et du cycle supérieur de gestion de l’ISCAE PréambuleLa recrudescence des flux et des échanges de données personnelles sur le territoire marocain a dicté la nécessité d’assurer la protection des droits de l’homme et des libertés fondamentales, et en particulier du droit à la vie privée.Ce droit fondamental et ce souci de préservation de l’intimité de la vie privé trouvent leur fondement dans la Constitution marocaine qui énonce solennellement dans son article 24 que « toute personne a droit à la protection de sa vie privée », et que « … le droit à l’information ne peut être limité que par la loi, dans le but d’assurer la protection de tout ce qui concerne la défense nationale, la sûreté intérieure et extérieure de l’Etat, ainsi que la vie privée des personnes, de prévenir l’atteinte aux droits et libertés énoncés dans la présente Constitution … » (article 27 de ladite Constitution).Ce souci de protection s’est fait sentir notamment à l’occasion de l’évolution remarquable des NTIC et du danger que commençait à susciter l’usage malveillant de ces nouvelles technologies.Dans ce sillage, la protection des données personnelles s’est positionnée comme une priorité et une toile de fond dans le cadre des efforts de développement de l’outil informatique au Maroc et de l’usage qui en est fait.Dans ce contexte, la loi n° 09-08 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel, promulguée par le dahir n°1-09-15 du 18 février 2009, a introduit, pour la première fois, dans l’arsenal juridique marocain, un dispositif légal qui traduit clairement la préoccupation des pouvoirs publics au Maroc à se mettre en conformité avec les stipulations constitutionnelles sus-indiquées, tout en se mettant au diapason des standards internationaux en la matière.Il s’agit notamment, parmi les règles normatives en la matière, du règlement général européen sur la protection des données n° 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, désigné par RGPD en Français et GDPR en Anglais.Ce règlement est le nouveau cadre juridique qui régit la protection des données personnelles en Europe. Il remplace et abroge la Directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, en la matière.Le dispositif légal marocain précité est complété et explicité par un texte réglementaire, en l’occurrence le décret 2-09-165 du 21 mai 2009, pris pour l’application de la loi n° 09-08.A rappeler que l’institution de cette loi s’inscrit dans le cadre d’un corpus législatif apparenté, marqué notamment par l’institution de la loi n° 31-08 édictant les mesures de protection du consommateur et la loi n° 53-05 relative à l’échange électronique des données juridiques.Après rappel des principaux éléments du cadre général d’insertion de la loi n°09-08 précitée, il est proposé, dans ce qui suit, d’en donner une brève synthèse.Economie de la loi n°09-08Ce cadre légal, comportant quelques 67 articles, a d’emblée interdit, dans son premier article, pour l’informatique, de porter atteinte à l’identité, aux droits et aux libertés collectives ou individuelles de l’Homme, ni de constituer un moyen de divulguer des secrets de la vie privée des citoyens.Terminologie et champs d’applicationDans son lexique terminologique, la loi 09-08 susvisée définit en particulier, parmi 11 concepts clés cités, les données à caractère personnel comme « toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou indentifiable par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou social ».Sauf trois cas dérogatoires limitatifs, qui sortent du champ d’application de la loi, celle-ci s’applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels.La loi stipule que les données à caractère personnel doivent être : -1/ traitées loyalement et licitement ; |