Autres articles
-
Le “SAREX Détroit 2024” met en exergue les capacités du Maroc à assurer la sécurité de la navigation dans le détroit de Gibraltar
-
Incendies de forêt. L'ANEF entame la publication quotidienne de cartes précises des zones à risque
-
Le SG de l'ONU honore deux Casques bleus des Forces Armées Royales décédés au service de la paix
-
Remise de Wissams Royaux à des responsables militaires américains
-
La Finlande tentée par le sous-traitement des demandes d'asile
Un quotidien économique de la place a rapporté récemment que Bank Al-Maghrib (BAM) aurait dressé la « cartographie » des traitements des données personnelles (entendre « les fichiers ») exploitées par les banques : contrôl des employés (systèmes de pointage, de vidéosurveillance, de contrôle de navigations des employés, de leurs emails, etc.) et contrôle aussi des clients (contrôle d’accès et enregistrement des visites; traçabilité des transferts de fonds, fichiers des incidents de paiements , fichiers des porteurs des cartes de paiement, etc).
BAM aurait, toujours selon la même source, analysé les règles de traitement et d’exploitation des fichiers des données personnelles, et apprécié leur degré de conformité aux dispositions de la loi 09-08 et aux standards internationaux. On parle d’un gentleman agreement passé avec la Commission nationale de protection des données personnelles (CNDP) ayant abouti à l’exclusion du champ de compétence de la CNDP (donc de tout droit de regard) de plusieurs fichiers des banques et organismes de crédit (fichier des incidents de paiements, des porteurs de cartes, de non remboursement des prêts, des études et relations internationales, de traçabilité des mouvements de fonds, etc.). La liste des fichiers mis hors contrôle de la CNDP a été arrêtée, dit-on, sur la base de la nature des départements qui les exploitent et non selon la nature des données traitées comme l’exige la loi 09-08. Tout cela nous donne des soucis quant au respect de la vie privée comme droit fondamental du citoyen.
En effet, de l’avis unanime des instances internationales de défense des droits de l’Homme, la multiplication des traitements des données personnelles des clients des banques, leurs exploitations et leurs interconnexions sans aucun contrôle peuvent constituer un danger pour la vie privée des citoyens qui constitue un droit fondamental de l’Homme (inscrit dans la nouvelle Constitution marocaine). De ce fait, et pour prévenir tout abus, l’exploitation de ces fichiers est partout dans le monde contrôlée de très près par des autorités indépendante de protection des données personnelles (au Maroc, et en principe, c’est la CNDP). Cependant, ici comme par ailleurs (fichiers de police), le Maroc veut faire figure de pays d’exception. Ne pas oublier qu’il a fallu qu’il soit rappelé à l’ordre par ses partenaires européens (menace sur l’offshoring) pour que le Maroc vote une loi laconique pour protéger les données personnelles. Comme à propos de l’élection du bureau de la FRMFB, la loi à peine votée (à la hâte) et l’organe de contrôle créé (en catimini), tout le dispositif fut jugé non conforme (le transfert des données vers le Maroc continue à être soumis à autorisation. Le Maroc continue à être mis à l’index comme pays n’offrant pas une protection suffisante en matière de protection des données personnelles.
Dans le domaine des fichiers des banques, comme auparavant dans ceux des services de sécurité nationale et de moult autres fichiers administratifs (des impôts, des douanes, de sécurité sociale, etc.), on veut faire figure de pays d’exception. La CNDP a été une fois de plus mise hors jeu.
A notre avis d’expert, comme les fichiers des banques sont réalisés séparément par les organismes bancaires, c’est aux responsables de ces dernières (dits « Responsable de traitement » selon la loi 09-08) qu’il appartient de faire la déclaration et non à BAM de le faire en bloc au nom de toutes les banques (il a même été question un moment de charger le GPBM de la faire). Les outils de protection du citoyen prévus par la loi (droit d’accès, de mise à jour, de réclamation, etc.) ne doivent pas être éloignés du citoyen, ce qui risque de fragiliser la protection et de diluer les responsabilités. Car BAM n’est ni « un sous-traitant », ni « un tiers » au sens de la loi 09-08. En effet, et en vertu des textes définissant les pouvoirs de régulation de BAM, notamment la loi n° 76-03 du 23 novembre 2005 et la loi n° 34-03 relative aux établissements de crédit et organismes assimilés, et comme organe de régulation des professionnels des banques, BAM doit se contenter en premier lieu de déclarer les fichiers qu’elle exploite (le SCIP) et en second lieu de normaliser ceux exploités (en secret) par les banques, les organismes de crédit (fichiers des incidents de remboursements crédits exploités par l’Association APSF), de paiement en ligne (CMI, MTC).
BAM doit par conséquent, à la lumière de la loi 09-08, définir d’une manière transparente les règles d’exploitation de ces multiples fichiers des banques, à l’instar par exemple de ce qui est fait en France avec les fichiers FICOBA, Le FICP, FCC, FNCI, contrôlés de près par la CNIL. Mais c’est aux banques elles-mêmes d’être le vis-à-vis direct de la CNDP ou par des correspondants de cette dernière. A rappeler que suite au scandale des écoutes de la NSA, et après l’avoir fait pour le PRISM, le Parlement européen demande même la suppression de l’Accord SWIFT avec les USA.
*Juriste expert en droit des TIC
Expert auprès du PNUD et de l’OMPI (Arbitre des conflits des noms de domaine)
BAM aurait, toujours selon la même source, analysé les règles de traitement et d’exploitation des fichiers des données personnelles, et apprécié leur degré de conformité aux dispositions de la loi 09-08 et aux standards internationaux. On parle d’un gentleman agreement passé avec la Commission nationale de protection des données personnelles (CNDP) ayant abouti à l’exclusion du champ de compétence de la CNDP (donc de tout droit de regard) de plusieurs fichiers des banques et organismes de crédit (fichier des incidents de paiements, des porteurs de cartes, de non remboursement des prêts, des études et relations internationales, de traçabilité des mouvements de fonds, etc.). La liste des fichiers mis hors contrôle de la CNDP a été arrêtée, dit-on, sur la base de la nature des départements qui les exploitent et non selon la nature des données traitées comme l’exige la loi 09-08. Tout cela nous donne des soucis quant au respect de la vie privée comme droit fondamental du citoyen.
En effet, de l’avis unanime des instances internationales de défense des droits de l’Homme, la multiplication des traitements des données personnelles des clients des banques, leurs exploitations et leurs interconnexions sans aucun contrôle peuvent constituer un danger pour la vie privée des citoyens qui constitue un droit fondamental de l’Homme (inscrit dans la nouvelle Constitution marocaine). De ce fait, et pour prévenir tout abus, l’exploitation de ces fichiers est partout dans le monde contrôlée de très près par des autorités indépendante de protection des données personnelles (au Maroc, et en principe, c’est la CNDP). Cependant, ici comme par ailleurs (fichiers de police), le Maroc veut faire figure de pays d’exception. Ne pas oublier qu’il a fallu qu’il soit rappelé à l’ordre par ses partenaires européens (menace sur l’offshoring) pour que le Maroc vote une loi laconique pour protéger les données personnelles. Comme à propos de l’élection du bureau de la FRMFB, la loi à peine votée (à la hâte) et l’organe de contrôle créé (en catimini), tout le dispositif fut jugé non conforme (le transfert des données vers le Maroc continue à être soumis à autorisation. Le Maroc continue à être mis à l’index comme pays n’offrant pas une protection suffisante en matière de protection des données personnelles.
Dans le domaine des fichiers des banques, comme auparavant dans ceux des services de sécurité nationale et de moult autres fichiers administratifs (des impôts, des douanes, de sécurité sociale, etc.), on veut faire figure de pays d’exception. La CNDP a été une fois de plus mise hors jeu.
A notre avis d’expert, comme les fichiers des banques sont réalisés séparément par les organismes bancaires, c’est aux responsables de ces dernières (dits « Responsable de traitement » selon la loi 09-08) qu’il appartient de faire la déclaration et non à BAM de le faire en bloc au nom de toutes les banques (il a même été question un moment de charger le GPBM de la faire). Les outils de protection du citoyen prévus par la loi (droit d’accès, de mise à jour, de réclamation, etc.) ne doivent pas être éloignés du citoyen, ce qui risque de fragiliser la protection et de diluer les responsabilités. Car BAM n’est ni « un sous-traitant », ni « un tiers » au sens de la loi 09-08. En effet, et en vertu des textes définissant les pouvoirs de régulation de BAM, notamment la loi n° 76-03 du 23 novembre 2005 et la loi n° 34-03 relative aux établissements de crédit et organismes assimilés, et comme organe de régulation des professionnels des banques, BAM doit se contenter en premier lieu de déclarer les fichiers qu’elle exploite (le SCIP) et en second lieu de normaliser ceux exploités (en secret) par les banques, les organismes de crédit (fichiers des incidents de remboursements crédits exploités par l’Association APSF), de paiement en ligne (CMI, MTC).
BAM doit par conséquent, à la lumière de la loi 09-08, définir d’une manière transparente les règles d’exploitation de ces multiples fichiers des banques, à l’instar par exemple de ce qui est fait en France avec les fichiers FICOBA, Le FICP, FCC, FNCI, contrôlés de près par la CNIL. Mais c’est aux banques elles-mêmes d’être le vis-à-vis direct de la CNDP ou par des correspondants de cette dernière. A rappeler que suite au scandale des écoutes de la NSA, et après l’avoir fait pour le PRISM, le Parlement européen demande même la suppression de l’Accord SWIFT avec les USA.
*Juriste expert en droit des TIC
Expert auprès du PNUD et de l’OMPI (Arbitre des conflits des noms de domaine)
