Said Ihrai: Veiller à ce que Internet soit un environnement sûr, sécurisé et sans danger pour la vie privée

Veiller au respect des 

libertés et droits 

fondamentaux des 

personnes physiques à l'égard des traitements de données à caractère personnel, tel est 

l’objectif principal de la Commission nationale de contrôle de la 

protection des données 

à caractère personnel (CNDP) créée en 2009 et qui fait autorité en matière de protection des données personnelles.

C’est en continuité 

de sa politique de 

sensibilisation auprès des entreprises que la CNDP a lancé 

récemment une série d’actions en 

collaboration avec 

des opérateurs 

publics et privés. 

Mise en place à 

l’occasion de la Journée internationale de la 

protection des données personnelles (célébrée 

les 28 janvier de chaque année), la première phase de cette campagne porte sur les sites marchands. Elle vise, selon 

le président de la CNDP, Said Ihrai, «à s’assurer que le traitement des données personnelles 

par les sites web est loyal et transparent».

 

: Vous êtes le président de la CNDP, une institution créée en février 2009 et officiellement installée en août 2010. Pouvez-vous nous présenter brièvement cette institution et nous préciser ses principales missions ? 

La CNDP est une jeune institution dont la mise en place effective a pris un peu de temps comme toute nouvelle entité qui démarre son activité. La Commission, qui constitue l’autorité nationale en matière de protection des données personnelles, est composée du président et de six membres nommés par Sa Majesté le Roi. Pour mener à bien sa mission, la Commission est assistée par des services administratifs.

La loi dote la Commission d’attributions et de pouvoirs en vue de faire valoir le droit des personnes à protéger leurs données personnelles et leur vie privée. A cet effet, la CNDP mise d’abord sur un effort de sensibilisation qui cible le public, mais aussi les organismes publics et privés qui sont tenus de respecter les obligations fixées par la loi quand ils traitent des données personnelles. La CNDP possède également un pouvoir de contrôle et d’investigation qui lui permet de vérifier la conformité des traitements mis en place et d’instruire les plaintes relatives aux atteintes aux droits des personnes et à leur vie privée. Aussi, la Commission peut être sollicitée par le gouvernement, le Parlement ou les autorités compétentes pour donner son avis sur des projets de loi, de règlements ou toute autre question qui touche aux données personnelles.

La CNDP a lancé récemment une série d’opérations à l’occasion de la Journée internationale de la protection des données personnelles. De quoi s’agit-il ? Êtes-vous satisfait du déroulement de ces opérations ?
 

A l’occasion de la Journée internationale de la protection des données personnelles, la Commission a décidé de mettre en œuvre plusieurs actions en collaboration avec des opérateurs publics et privés, en continuité de sa politique de sensibilisation. 

D’autre part, elle est dotée par la loi du pouvoir de contrôle en matière de protection des données personnelles. Afin d’accomplir cette mission, la CNDP a fait un grand effort pour préparer les moyens humains, techniques et matériels nécessaires. Ainsi, la CNDP dispose maintenant de contrôleurs assermentés qui répondent aux exigences de compétence et de probité  pour mener à bien la mission de contrôle. 

Pour marquer son engagement pour  la protection des données personnelles et la vie privée des personnes, la Commission a estimé opportun de lancer une opération de contrôle de sites web à l’occasion de la Journée internationale de la protection des données personnelles.

Cette campagne vise à s’assurer que le traitement des données personnelles par les sites web est loyal et transparent. Le développement des technologies de l’information présente de grandes opportunités, mais engendre aussi de vrais risques pour la vie privée. Il est de notre devoir  de veiller à ce que cet outil moderne indispensable soit un environnement sûr, sécurisé et sans danger pour la vie privée et les droits et libertés fondamentales de l’Homme. La CNDP se réjouit du lancement de cette initiative et ne manquera pas de communiquer prochainement sur le bilan de cette première campagne de contrôle.

La première opération porte sur les sites marchands. L’idée principale est de s’assurer que ces derniers appliquent effectivement les dispositions de la loi 09-08.  Que disent celles-ci ?
 

La loi 09-08 fixe un certain nombre d’obligations auxquelles doivent se soumettre les entités qui traitent des données personnelles. Avant sa mise en place, un traitement de données personnelles doit d’abord être notifié à la CNDP. Cette formalité est nécessaire mais doit être accompagnée de plusieurs engagements pour que le traitement soit conforme à la loi :

- La collecte et le traitement des données personnelles doit s’opérer de façon légitime, loyale et transparente ;

- Un traitement doit avoir une finalité précise que le responsable est tenu de communiquer aux personnes concernées au moment de la collecte de leurs données personnelles ;

- Respecter le principe de proportionnalité qui exige de ne collecter et traiter que les données strictement nécessaires pour atteindre la finalité du traitement ;

- Veiller sur la qualité des données traitées pour qu’elles soient exactes, fiables, complètes et mises à jour ;

- Assurer la confidentialité et la sécurité des données ;

- Respecter la durée de conservation des données ;

- Informer les personnes concernées des caractéristiques du traitement envisagé et leur permettre l’exercice de leurs droits, en particulier les droits d’accès, de rectification et d’opposition.

Cette opération se déroule dans un domaine assez complexe. Quels sont les moyens dont vous disposez pour mener à bien cette mission ?
 

Malgré les difficultés inhérentes au lancement d’un nouvel organisme, La CNDP a su mobiliser des ressources humaines hautement qualifiées, compétentes et motivées. Outre son capital humain, la CNDP dispose des moyens matériels et logistiques qui lui permettront d’assumer sa mission. Cependant, ces moyens sont appelés à évoluer pour accompagner l’augmentation progressive de l’activité de la Commission.

Par ailleurs, il est important de retenir que la réussite de notre pays à asseoir une culture et une pratique respectueuses des droits et libertés fondamentales de l’Homme et de la vie privée repose autant sur l’action de la CNDP que sur la prise de conscience de l’opinion publique de l’importance de ces nouveaux droits humains rattachés aux données personnelles. 

Comment prévoyez-vous de réagir en cas de non-respect des règles ? Les sites fautifs seront-ils sanctionnés ? Qu’en sera-t-il des sites non répertoriés par la Commission ?
 

Consciente que la protection des données personnelles et la vie privée constitue une nouvelle culture dans notre pays, la Commission favorise une approche basée sur le partenariat et la sensibilisation. La campagne de contrôle des sites web en cours n’échappe pas à cette vision des choses. 

Cependant, il convient de rappeler que la Commission possède des prérogatives qui lui permettent de sévir si des infractions graves sont constatées. 

Quant au choix des sites à contrôler, il n’a rien de fortuit ou d’aléatoire puisque la démarche repose sur des critères objectifs.

Plusieurs organismes publics et privés ont recours aux données personnelles dans le cadre de leurs activités. Quelles sont les dispositions prises pour obliger ces derniers à respecter la loi ? 
 

Comme expliqué avant, la Commission pense sa mission d’abord en termes de partenariat et de sensibilisation. Dans ce cadre, la CNDP a fait une avancée importante pour amener plusieurs secteurs de l’économie nationale à se conformer à la loi sur les données personnelles. Je cite en particulier le secteur bancaire, les assurances et les télécommunications. La CNDP a également entamé des processus visant à assurer la conformité du secteur public. Des rencontres, des échanges et des mesures ont concerné plusieurs ministères et organismes publics. Il est à préciser qu’à ce jour, la CNDP a traité plus de 2000 notifications de  traitement et instruit environ  60 plaintes. 

Ceci dit, il y a certes encore du chemin à faire, mais les observateurs constateront bientôt une évolution positive en faveur de la protection des données personnelles au Maroc.

Tout le monde sait actuellement que les données personnelles sont mises en vente directe par certaines entreprises qui ont pignon sur rue. Que comptez-vous faire pour mettre fin à ce commerce illicite ?
 

La vente de bases de données personnelles constitue un thème qui préoccupe la CNDP. Nous avons reçu plusieurs plaintes à ce sujet et avons pris certaines mesures, mais le problème est loin d’être réglé. 

La Commission pense que cette question mérite une action à différents niveaux. Il y a d’abord la sensibilisation des entreprises qui se procurent ces bases de données pour lancer des campagnes marketing. Convaincre celles-ci des risques juridiques encourus amènera à terme à tarir la source de ce commerce illicite. 

Sur un autre registre, il est question d’inviter les entités qui pratiquent la vente des bases de données personnelles à se conformer à la loi et exercer leurs activités dans les limites tolérées par les textes en vigueur.

Enfin, un dernier recours consiste à prendre des mesures dissuasives qui peuvent aller jusqu’à soumettre le dossier au tribunal.