Nous aurons ainsi œuvré pour notre insertion · ... les positions adoptées pendant les années précédentes sur la ... de la loi et qui rassemble les ... les évolutions de la

Nous aurons ainsi œuvré pour notre insertion

dans la société de l’information et du savoir, tout en veillant

à développer notre présence culturelle sur les nouveaux réseaux d’information,

présence indispensable au rayonnement international de notre pays.

Nous avons le souci, ce faisant, d’éviter à notre pays les effets pervers

qu’une telle ouverture risque d’avoir sur notre identité culturelle.

Extrait du message de S.M. le Roi Mohammed VI, adressé aux participants au symposium sur le Maroc dans la société globale de l’information et du savoir, le 26 Mars 2013.

Composition de la CNDP

Président

SaïD IhRaï

Autres membres

DRISS BElMahI

aBDElazIz BENzakouR

BRahIM BouaBID

SouaD El kohEN

aBDElMjID RhoMIja

oMaR SEghRouChNI

Secrétaire général

lahouSSINE aNISS

L’année 2014 constitue un grand moment dans la vie de la CNDP. C’est en effet pendant cette année que l’institution a lancé ses premiers contrôles. Ces opérations lui ont permis d’apprécier la manière dont lesdispositions de la loi 09/08, relative à la protection des données à caractère personnel, sont mises enapplication par les responsables de traitement des données personnelles, d’une part, et de vérifier que le secteurpublic et privé respectent les droits des personnes concernées, d’autre part.Le parachèvement du processus d’adhésion du Royaume à la Convention 108 du Conseil de l’Europe, et à son Protocole additionnel, est un autre moment dans l’histoire de la protection des données personnellesdans notre pays. Cette adhésion a permis d’éclairer le contenu de l’article 24 de la Constitution, article qui dispose que « Toute personne a droit à la protection de sa vie privée », consacrant ainsi, comme l’avaientfait les textes de l’Union européenne en la matière, la relation intrinsèque qui existe entre la notion de protection des données personnelles et celle de la vie privée.La mise en œuvre des dispositions légales à travers la loi 09/08 et constitutionnelles à travers l’article 24 est à même de renforcer l’état de droit au Maroc, d’y améliorer le climat des affaires et de raffermir la positiondu Royaume dans ses relations avec l’UE. Pour la première fois dans l’histoire des relations Maroc-UE, le Programme Indicatif National, adopté dans le cadre de la coopération entre les deux parties, évoque en bonneplace la protection des données personnelles.L’année 2014 a aussi vu s’améliorer la position de la CNDP au plan international. La présence de la Commission aux réunions internationales sur la protection des données personnelles et de la vie privée a été constante. La participation de la CNDP à la Conférence internationale des Autorités de protection des donnéespersonnelles et des Commissaires à la vie privée, aux réunions de l’Association francophone des Autorités de contrôle des données personnelles – AFAPDP –, et aux travaux de modernisation de la Convention 108entreprise par le Conseil de l’Europe, a revêtu une importance particulière. Dans ces trois espaces de coopération, la contribution de l’Autorité marocaine de protection a été remarquée car elle y a fait entendrela voix d’un pays musulman, arabe et amazigh, au sein d’un ensemble ayant le français en partage,

Le Mot du Président

d’un pays qui a été parmi les premiers à mettre en place dans sa loi et sa constitution la protection des donnéespersonnelles et de la vie privée, d’un pays africain qui a participé en 2014 aux travaux du Comité ad-hocpour la modernisation de la Convention 108 et de son Protocole additionnel – CAHDATA –.La CNDP, en 2014, a été aussi plus attentive aux évolutions internationales et aux transformationsintroduites par le développement sans précédent des nouvelles technologies de l’information et de lacommunication. Elle a, pendant cette année, consolidé à travers les avis rendus à la demande des autoritésgouvernementales, mais aussi à travers ses délibérations, les positions adoptées pendant les années précédentessur la géolocalisation, la vidéosurveillance et la biométrie.Mais la principale nouveauté réside dans le renforcement du contrôle des sites Internet et de la vente en ligne.Par toutes les actions rappelées plus haut, l’année 2014 constituera dans l’histoire de la CNDP une étapedécisive pour la consolidation de la protection des données personnelles et de la vie privée au Maroc.

Saïd IhraïPrésident de la CNDP

aCRoNYMES

aNRT agence Nationale de la Réglementation des Télécommunications

aPSB association Professionnelle des Sociétés de Bourse

aSFIM association des Sociétés de gestion de Fonds d’Investissement Marocain

BCR Binding Corporate Rule (RCE)

Bo Bulletin officiel

BPMN Business Process Model and Notation

CahDaTa Comité ad hoc sur la protection des Données

CE Commission Européenne

CEE Communauté économique Européenne

CIN Carte d’Identité Nationale

CNDP Commission Nationale de contrôle de la protection des Données à caractère Personnel

CNIl Commission Nationale de l’Informatique et des libertés

CPVP Commission de la Protection de la Vie Privée

DgSSI Direction générale de la Sécurité des Systèmes d’Information

FaQ Foire aux Questions

FTC Federal Trade Commission

gIoDo generalny Inspektor ochrony Danych osobowych (autorité polonaise de la protection des données personnelles)

gIz gesellschaft für Internationale zusammenarbeit (agence allemande de coopération)

gRh gestion des Ressources humaines

haCa haute autorité de la Communication audiovisuelle

MENa Middle East and North africa (Moyen orient et afrique du Nord)

MESRSFC Ministère de l’Enseignement Supérieur, de la Recherche Scientifique et de la Formation des Cadres

MENFP Ministère de l’éducation Nationale et de la Formation Professionnelle

NTIC Nouvelles Technologies de l’Information et de la Communication

oCDE organisation de Coopération et de Développement économiques

RCE Règles Contraignantes d’Entreprise (BCR)

RT Responsable de Traitement

SgBD Système de gestion de Base des Données

SMS Short Message Service

SNRT Société Nationale de Radiodiffusion et de Télévision

uE union Européenne

9

INTRoDuCTIoN

Chapitre 1 ~ SE DoNNER lES MoYENS D’agIR Pour un cadre juridique de référencePour une meilleure gestion des activités

Chapitre 2 ~ FoRMER ET INFoRMERau niveau nationalla CNDP au contact des usagersParticipation de la CNDP aux débats connexes aux métiers de la CNDPConseiller et accompagner les processus de conformitéÀ l’internationalla coopération, une priorité pour la CNDPPrésence de la CNDP dans l’univers digital

Chapitre 3 ~ NoTIFIER lES TRaITEMENTSTraitements notifiés : le Registre nationalIndicateurs et chiffres clésStatistiques relatives aux autorisations accordéesStatistiques relatives au Régime de l’autorisationTransferts de données personnelles à l’étranger

Chapitre 4 ~ TRaITEMENT DES PlaINTES ET DES CoNTRÔlESRéception et instruction des plaintesle lancement des contrôles

Chapitre 5 ~ BIlaN FINaNCIER ET INSTITuTIoNNEl

aNNEXES

10

121217

2223253336384347

505051555960

636366

73

76

sommaire

10

le présent Rapport que publie la CNDP vient confirmer la volonté ferme de cette institution defaire de cet exercice annuel un outil de sensibilisation et de transparence illustrant l’activité déployéeau cours de l’année écoulée.

le rapport de 2014 s’articule autour de six chapitres. Il réserve une place primordiale à la mise enœuvre de la stratégie de communication de la CNDP qui privilégie la formation et l’information avantd’envisager le recours aux sanctions.

Notre objectif est d’abord d’informer le public le plus large et de le sensibiliser à la nécessaireprotection de ses données personnelles. Selon la dernière enquête de l’aNRT, le Maroc compte prèsde 16 millions et demi d’internautes, parmi lesquels près de 80% ont entre 15 et 24 ans, et le taux de croissance de l’accès à Internet est de près de 50% par an. Ces utilisateurs doivent donc savoir queleurs données personnelles peuvent être collectées à leur insu et que leur utilisation peut leur êtrepréjudiciable ; ils doivent être informés qu’il existe une loi qui protège leurs droits et une institutionchargée de la faire appliquer.

Par ailleurs, il nous faut inciter les entreprises privées et les administrations publiques, qui utilisentdes données personnelles, à se mettre en conformité avec la loi, sensibiliser les responsables de traitement des données personnelles au nécessaire respect de la légalité, les tenir informés dessanctions en cas d’infraction et les accompagner dans la mise en œuvre des procédures.

la publicité faite aux traitements des données personnelles à travers la tenue du Registre national,établi par la CNDP en vertu de la loi et qui rassemble les traitements notifiés à la Commission, assurela transparence dans le domaine de la protection de ces données et permet à tout citoyen, à touteinstitution, d’avoir des informations sur les traitements autorisés, leurs responsables, leur finalité, etc.,et leur permet aussi, en cas de violation, de faire valoir leurs droits. le nombre d’inscriptions auRegistre national est en nette progression. Il démontre que l’approche pédagogique de la CNDPcommence à porter ses fruits.

introduCtion

11

En effet, comme le montrent les statistiques publiées dans ce rapport d’activité, les citoyenssaisissent de plus en plus souvent la CNDP pour faire respecter leurs droits. la Commission reçoit deplus en plus de plaintes et les instruit avec célérité. les responsables de traitement sont sommés demettre fin aux infractions et, dans la majorité des cas, ils obtempèrent. En 2014, la CNDP a néanmoinslancé sa première campagne de contrôle à la fois sur site Internet et sur place.

la CNDP assure aussi une veille juridique. Tout d’abord, elle est attentive aux changements en cours dans le monde, car elle tient à appliquer les standards de protection les plus efficients dansun contexte d’évolution technologique en matière de NTIC extrêmement rapide. En participant aux grandes manifestations internationales relatives à la protection des données personnelles, nonseulement elle se tient au courant des évolutions juridiques et technologiques en cours, mais ellebénéficie aussi de l’expérience des autorités de contrôle des autres pays. Elle fait aussi bénéficiercelles-ci de son expérience et donne une publicité certaine à la politique marocaine de protectiondes données personnelles et de la vie privée, dimension si importante aujourd’hui pour fairereconnaitre au Maroc son niveau “ adéquat ” en matière de protection de la vie privée et desdonnées personnelles.

En 2014, la CNDP a veillé à se donner les moyens d’agir sur le plan technique, d’abord, en sedotant d’un système d’information performant, mais aussi sur le plan financier et humain, en gérantau mieux son budget et en recrutant des cadres compétents, soumis à une formation permanente.Rien n’aurait pu être fait, d’ailleurs, sans l’investissement d’une équipe soudée et motivée.

12

l’ancrage à l’Europe n’est pas dicté uniquement par la proximitégéographique ou les intérêts économiques, mais par les valeurscommunes : respect des droits de l’homme et des libertés fondamentales,solidarité, justice sociale, pluralisme politique et démocratie, diversitésculturelles.

le Royaume du Maroc a adhéré à plusieurs conventions du Conseil del’Europe et, plus particulièrement, à la Convention 108 pour laprotection des personnes à l’égard du traitement automatisé des donnéesà caractère personnel.

la protection des données personnelles au Maroc est tout d’abordassurée par la loi 09/08. la Commission a proposé au gouvernement uncertainement nombre d’amendements à cette loi qui date de 2009 etqui nécessite donc un certain nombre d’adaptations. Elle est aussiassurée par les délibérations de la CNDP par lesquelles la Commissionveille à interpréter et compléter la loi pour accompagner les évolutionsde la société marocaine. Ce cadre juridique national est, par ailleurs,parfaitement conforme aux standards internationaux, et notammenteuropéens, de protection des données personnelles.

1

Pour un cadre juridique de référence

se donnerles moyens

d’agir

« le Maroc affiche une volonté claire de s’alignersur les standards européens de protection

des données personnelles établis par la Convention 108 du Conseil de l’Europe relative à la protection des données

à caractère personnel et à son protocole additionnel de 2001 »

Extrait du document du Programme « RéuSSIR lE STaTuT aVaNCé », p. 6.

l’adhésion aux standardsinternationaux

13

aDhéSIoN À la CoNVENTIoN 108

le Maroc a clairement exprimé sa volonté de s’aligner sur les standardseuropéens de protection des données personnelles établis par laConvention 108 du Conseil de l’Europe de 1981 et par son Protocoleadditionnel de 2001. le but de la Convention 108 est de garantir, sur leterritoire de chaque état membre, à toute personne physique, quelle quesoit sa résidence, le respect de ses droits et de ses libertés fondamentales,notamment de son droit à la vie privée lors du traitement automatisé deses données à caractère personnel.

le 30 janvier 2013, lors de la 1160e réunion des Délégués des ministres,le Maroc est invité à adhérer à la Convention (STE n° 108). Cetteadhésion à la Convention 108 du Conseil de l’Europe et à son Protocoleadditionnel constitue pour la CNDP une étape importante. le Maroc aformalisé son adhésion à cette Convention et à son Protocole additionnelpar la publication au Bulletin officiel1 des lois portant leur approbation.

PaRTICIPaTIoN auX TRaVauX DE MoDERNISaTIoN DE la CoNVENTIoN 108(CahDaTa)

la CNDP a participé aux travaux de la 2e et de la 3e réunion du comitéad hoc sur la protection des données (CahDaTa). Cette instance, établiepar le Comité des ministres en vertu de l’article 17 du Statut du Conseilde l’Europe, a approuvé le 3 décembre 2014 les propositions demodernisation de la Convention pour la protection des personnes àl’égard du traitement automatisé des données à caractère personnel(Convention 108). le projet du protocole additionnel d’amendement,préparé sur la base du texte approuvé, sera transmis au Comité desministres du Conseil de l’Europe. les amendements que le Maroccompte apporter à la loi 09-08 devraient être conformes aux nouvellesdispositions de la Convention 108 modernisée.

1. Voir copies des Bo en annexes.

14

À travers ses délibérations, la CNDP interprète la loi et simplifie lesprocédures. Pour l’exercice 2014, la Commission a publié deuxnouvelles délibérations relatives à la gestion des ressources humaineset à la vente en ligne. Elle a également amendé la délibération relativeaux dispositifs de géolocalisation.

la PREMIèRE DélIBéRaTIoN, n° 298-au-2014 du 11/04/2014, concernela gestion des ressources humaines dans le secteur privé. Ce texteprécise les droits des personnes concernées – employés, mais aussicandidats à l’embauche, stagiaires et apprentis – et les obligations desemployeurs en tant que responsables de traitements.

le traitement des données à caractère personnel dans le cadre de lagestion des ressources humaines étant une activité courante, la CNDPa jugé utile de simplifier sa notification en encadrant, à travers unedélibération, les modalités du traitement de ces données pour toutemployeur assujetti aux dispositions du Code du travail et à ses textesd’application.

Principaux apports de la délibération : Cette délibération couvrel’ensemble des processus de gestion des ressources humaines, depuisle recrutement et la gestion des candidats à l’embauche, jusqu’auxprocédures de gestion des carrières, de formation, des activitéssociales, etc.

Pour chacune des catégories de finalités qui rentrent dans le cadre dela gestion des ressources humaines, la CNDP a précisé les types dedonnées qui peuvent être traitées. Elle a également identifié lespersonnes ou les entités habilitées à accéder aux données traitées dansce cadre et les mesures de sécurité adéquates à mettre en place. Ellea, de ce fait, mis fin à certaines pratiques susceptibles de porteratteinte à la vie privée, voire aux libertés et droits fondamentaux despersonnes concernées.

En établissant un tel cadre, la CNDP permet à tout employeureffectuant un traitement des ressources humaines de le notifier àtravers un formulaire simplifié et de disposer de l’autorisation de samise en œuvre dans un délai réduit.

les délibérations de laCommission nationale

gestion des ressources humaines

• référence : 298-au-2014.• date de publication : 11 avril 2014. • objectif : simplification de la procédure de notification.• Formalités de notification : demande d’autorisation préalable-

type, accompagnée du modèle de support d’information et

du consentement des personnes concernées.

15

la SECoNDE DélIBéRaTIoN, n° 508-au-2014 du 14/11/2014, porte surla vente en ligne qui se développe au Maroc. Cette délibération estdestinée à tout commerçant, personne physique ou morale, proposantla vente en ligne de biens ou de services. Elle vise à définir les modalitésde traitement des données à caractère personnel dans le cadre de cetteactivité, tout en fournissant un modèle de déclaration-type poursimplifier sa notification.

Principaux apports de la délibération : après consultation des acteursconcernés, cette délibération a permis de délimiter les finalités dumétier pour lesquelles un traitement de données à caractère personnelest nécessaire. Ces traitements doivent être effectués de telle sorte queles données collectées soient proportionnelles aux finalités.

Cette délibération a ainsi mis fin au recours au numéro d’identiténationale ou du passeport pour l’identification du client, recours quela Commission juge excessif, tout en imposant aux responsables detraitement de ne pas garder certaines données relatives aux cartesbancaires de paiement après la réalisation de la transaction.

Par ailleurs, le commerçant ne peut utiliser les données de connexiondu client sans son consentement, comme il ne peut les conserver plusde six mois, période au-delà de laquelle il doit soit les supprimer, soitles rendre anonymes.

la RéVISIoN DE la DélIBéRaTIoN n°402-2013 du 12 juillet 2013 : il estapparu nécessaire à la Commission, en vue de renforcer les garantiesapportées au respect des libertés et droits fondamentaux des personnesconcernées, de préciser et de limiter la nature des données pouvant êtretraitées dans le cadre d’un système de géolocalisation. Elle a interditde manière formelle l’activation de ce système lorsque le véhicule n’estpas utilisé par les employés à des fins professionnelles, et ce de manièreà ne pas porter atteinte à leur vie privée. la CNDP a, par ailleurs,simplifié la notification de ce traitement à travers une demande dedéclaration-type.

Vente en ligne

• référence : 508-2014.• date de publication : 14/11/2014.• objectif : simplification de la procédure de notification.• Formalités de notification : déclaration-type accompagnée

du modèle de support d’information et du consentement

des personnes concernées.

géolocalisation

• référence : 17-2014.• date de publication : 10/01/2014.• objectif : encadrement des traitements mis en œuvre et

simplification de la procédure de notification.• Formalités de notification : déclaration-type.

16

En 2014, la Commission nationale a continué à suivre de près lesprojets de lois et règlements au Maroc, en procédant à une étude deleurs impacts sur la protection des données personnelles. aussiassure-t-elle le suivi des projets de lois et de règlements publiés surle site du Secrétariat général du gouvernement. la CNDP a aussipour mission d’assurer la veille juridique concernant la protectiondes données personnelles.

les observations relatives à ces projets de lois et règlements sontcommuniquées aux départements ministériels concernés.

la veille juridique

17

Pour une meilleure gestion desactivités

un système d’informationperformant

Pour accomplir les missions qui lui sont dévolues par la loi 09-08, laCNDP s’est dotée de moyens nécessaires afin de bâtir un système fiable,cohérent et suffisamment sécurisé. le système d’information est ainsi aucœur de ses activités et constitue l’outil adéquat d’une meilleuregouvernance en la matière.

Depuis sa création, la CNDP veille à optimiser l’utilisation de ses moyenset de ses ressources en fonction de l’évolution de ses activités et del’étendue de ses missions. Elle a amélioré les fonctionnalités de sonsystème d’information grâce, en particulier, à l’acquisition deséquipements et des logiciels de bureaux nécessaires ainsi qu’à la miseen place d’un minimum de services de base, notamment serveur defichier, messagerie, connexion Internet, site Web…

le nouveau système a pour objectif d’optimiser les processus métiers etde fournir des services avancés aux usagers, tout en garantissant lasécurité et la confidentialité. Ce système d’information nécessite uneinfrastructure technique capable d’assurer une bonne gestion desservices offerts, services dont le volume ne cesse d’augmenter d’uneannée à l’autre – réception des plaintes, traitement des demandesd’autorisation, contrôle, mise en œuvre des sanctions, etc.

l’année 2014 a été caractérisée par le lancement des travaux de mise àniveau de l’architecture réseau, du renforcement de la sécurité, dudéveloppement des applications métiers et de l’ancrage de la CNDPdans le monde digital.

aRChITECTuRE RéSEau ET SéCuRITé

afin de renforcer son système d’information et d’améliorer sonexploitation, la CNDP s’est investie dans la rénovation et la mise à niveaude l’infrastructure réseau et de la sécurité de son système d’information,et a procédé à la modernisation de son parc informatique.

l’objectif est d’augmenter les capacités de stockage, de renforcer lasécurité et d’encourager l’utilisation des nouvelles technologies danstoutes les activités. le nouveau système d’information sera enrichi parles solutions et composantes suivantes :

• une architecture performante basée sur des serveurs qui permettra àla CNDP non seulement de bénéficier de la puissance et de la capacitéde ces serveurs à travers la virtualisation, mais aussi de disposer d’unegrande capacité de stockage.

• un plan de continuité d’activité permettant la réduction et laminimisation des risques d’interruption de service.

• une nouvelle architecture permettant de déployer les applicationsmétiers externalisées et de développer des applications annexes

18

pour couvrir les besoins des différents départements en matièred’informatisation et d’automatisation de leurs activités.

• une sécurité renforcée et optimale fondée sur une panoplie desolutions, notamment sur la gestion unifiée des menaces, la préventioncontre les intrusions, la gestion et le suivi des alertes, une sécuritéantivirale centralisée, les pare-feu pour les applications Web, etc.

• un environnement de travail fournissant aux usagers une aide dansleurs tâches quotidiennes à travers des outils collaboratifs telles que lamessagerie interne et externe, la gestion des calendriers, lavisioconférence… Cet environnement sera élargi, incessamment, pard’autres outils de collaboration qui constitueront un véritable systèmede gestion de contenu telles que la gestion de documents, la rechercheavancée, la gestion des tâches et des flux de travail, la messagerieinstantanée, la gestion des identités et des accès…

une architecture, aussi performante soit-elle, doit être soumise à unemaintenance exigeante pour éviter toute défaillance. la CNDP a prévuà cet effet un contrat de maintenance de trois ans couvrant les différentessolutions susmentionnées. Elle a également conclu un contrat demaintenance préventive et curative avec affectation permanente d’untechnicien pour assurer à la fois le bon fonctionnement des équipementset le soutien aux utilisateurs.

RaTIoNalISaTIoN DES PRoCESSuS MéTIERS DE la CNDP

Pour informatiser les processus métier, favoriser l’utilisation desréférentiels communs et mieux gérer ses différentes tâches, la CNDP aélaboré une application informatique de gestion de l’ensemble desactivités. C’est un prérequis pour l’efficacité et la bonne gestion. À terme,la CNDP envisage de mettre en place le dépôt des demandes denotification en ligne, moyennant des services Web destinés auxresponsables de traitement afin qu’ils puissent notifier les traitements etsuivre leurs dossiers à distance. Cette gestion informatisée des activitésde la CNDP favorisera également l’optimisation de ces processus etl’évaluation de son fonctionnement, évaluation nécessaire pour uneamélioration permanente des services qu’elle assure.

Cette solution permettra donc d’automatiser et de gérer toutes lesactivités liées aux principaux métiers de la CNDP à savoir :

– la gestion des demandes d’autorisation de traitement ;

– la gestion des déclarations de traitement ;

– la gestion des demandes de transfert à l’étranger ;

– la gestion des plaintes ;

– la gestion des contrôles et des investigations ;

– la gestion du Courrier (arrivée et départ) ;

– la gestion des réunions d’accompagnement et des rendez-vous.

19

En attendant la mise en production de cette solution, prévue pourl’année 2015, et afin de permettre une évaluation fiable et continue deses activités, la CNDP a mis en place, en 2014, une base de données destatistiques et d’indicateurs permettant de générer les tableaux de bordet les graphes concernant l’ensemble de ses activités, notamment lesdossiers déposés par les responsables de traitements, les plaintes despersonnes concernées et les contrôles effectués par la CNDP. Elle a aussimis en place des outils permettant de respecter certaines règlesprimordiales de gestion, en matière de respect des délais prévus dans laloi 09-08 (durée d’instruction des dossiers, prorogation…) notamment.

DISPoSITIF DE VEIllE ET aMélIoRaTIoN CoNTINuE DES SERVICES

afin d’assurer une amélioration continue de ses services et de sesprocédures administratives, en 2014, la CNDP s’est investie dans deuxtâches d’une grande importance : la simplification des procédures et laveille technologique et juridique.

ainsi, la CNDP a-t-elle mis en place des régimes simplifiés pour lestraitements usuels et répétitifs. Elle a supprimé des documents fré-quemment exigés auparavant et simplifié, une nouvelle fois, certainesprocédures afin de permettre aux responsables de traitement une miseen conformité adaptée et dans de meilleurs délais. Elle a aussi étendules modèles de déclarations et de demandes d’autorisation uniques àd’autres domaines ou à d’autres traitements usuels et répétitifs, tels quela vente en ligne, la gestion des ressources humaines et la géolocalisationdans les véhicules utilisés par des employés.

la CNDP a aussi mis en place, en 2014, un outil simple de veillejuridique et technologique, basé sur les sources d’informationdisponibles sur le Web, et qui offre une information pertinente sur laprotection de la vie privée et des données personnelles dans lemonde. Cet outil permet à la CNDP d’identifier les différents instru-ments permettant d’améliorer ses services et de faire face, d’une part,à la masse d’informations dans le domaine de la protection desdonnées personnelles et, d’autre part, à l’évolution permanente desnouvelles technologies souvent utilisées dans les traitements desdonnées personnelles (Cloud Computing, Big Data, objets connectés,Smartphone…).

––––

20

Concernant les ambitions de la CNDP pour 2015, sur le plan desressources humaines, il est prévu le recrutement de plusieurs cadres dontles compétences soient en adéquation avec les missions dévolues à laCNDP et notamment le contrôle.

PouR uNE FoRMaTIoN CoNTINuE DES CaDRES DE la CNDP

À la CNDP, la formation continue constitue un maillon fondamentaldans la stratégie globale de l’institution. le but est d’améliorer lescompétences des cadres, notamment dans les métiers propres à laCommission afin de leur permettre de s’adapter aux nouveautésqu’imposent le progrès technologique et l’environnement juridico-économique qui en résulte. En attendant d’élaborer un plan de formationdédié, la Commission assure la formation continue de ses cadres ens’appuyant sur les partenariats établis avec d’autres autorités de contrôle,ou en encourageant la participation à des séminaires et ateliers traitantdes questions relatives à la protection des données personnelles.

uNE éQuIPE PluRIDISCIPlINaIRE éToFFéE

au cours de l’année 2014, l’équipe de la CNDP a été rejointe par desprofils variés. ont été recrutés un juriste, des ingénieurs, deséconomistes, ce qui a multiplié par deux les effectifs de 2012. ainsi lenombre total de l’effectif de la CNDP a atteint, en 2014, 27 cadres, ycompris les membres de la Commission.

Pour une bonne gestion desressources humaines

Photos des deux cadres de la CNDP avec leurs homologues des autres pays francophones.

profils

Juristes

ingénieurs

Économistes

personnel administratif

nombre total

2012

6

3

2

1

12

2013

7

3

2

5

17

2014

8

10

4

5

27

21

ainsi, dans le prolongement de l’adoption à Marrakech, le 22Novembre 2013, d’un référentiel commun encadrant les transferts desdonnées personnelles au sein de l’espace francophone, l’associationFrancophone des autorités de Contrôle (aFaPDP) a organisé, le 11juillet 2014 à Paris, une journée de formation au profit des cadres desautorités membres sur les Règles Contraignantes d’Entreprises (RCE).

Il y a lieu de rappeler que l’adoption des RCE par un groupe de sociétésétabli dans un ou plusieurs pays francophones permet à ce grouped’assurer un niveau de protection des données personnelles suffisant,quelle que soit la localisation des sociétés membres. Il devient alorspossible à ce groupe de sociétés de transférer et de traiter librement lesdonnées à caractère personnel, une fois que ces RCE ont été validéespar les autorités de contrôle concernées dans le cadre d’une procédurecoordonnée.

Cette formation a été assurée, en France, par la Commission nationalede l’informatique et des libertés, compte tenu de son expérienceaccumulée dans le cadre de l’instruction des Règles Contraignantesd’Entreprises européennes (Building Corporate Rules ou BCR).

Elle a permis aux cadres de la CNDP de mieux appréhender le contenuet les modalités d’instruction des RCE de manière à en faire bénéficierles groupes marocains d’entreprises dans le cadre de leurs transferts dedonnées personnelles au sein de l’espace francophone.

Par ailleurs, les cadres de la CNDP ont saisi l’opportunité de leurvisite auprès de l’autorité française pour s’entretenir avec certainsresponsables de leur expérience en matière de gestion de la protectiondes données personnelles et de s’informer sur les réformes en coursau sein cette institution.

22

la CNDP a adopté une stratégie pédagogique visant en premier lieuà encourager les responsables de traitement des données personnelles,du secteur privé, comme ceux du secteur public, à se mettre enconformité avec la loi. Il a fallu aussi sensibiliser les individus auxrisques encourus et à la nécessité de protéger leurs donnéespersonnelles à l’ère du Big Data, tout en les informant du contenu dela loi et de la gravité des infractions. avant de mettre en œuvre unepolitique répressive, il a fallu convaincre les citoyens qu’ils doiventse montrer vigilants quant à l’usage qu’ils font de leurs donnéespersonnelles, et qu’ils ont des droits quant à leur protection, droitsque la CNDP est chargée de défendre.

C’est donc à une large campagne de sensibilisation, mais aussi deformation que s’est attelée la CNDP. Cette campagne d’information s’estbasée sur les supports les plus divers : télévision et radio, site Internet,presse écrite, brochures et plaquettes, etc. Mais la Commission a euaussi recours au contact direct avec les citoyens et les différentsopérateurs, en organisant ou en participant à de nombreuses rencontres,séminaires, colloques, etc.

une campagne d’une telle ampleur a nécessité la mise en œuvred’une véritable stratégie en matière de communication. Il a fallu, eneffet, définir les priorités, déterminer les cibles, choisir les supportsadéquats, établir un agenda des actions à mettre en œuvre en fonctiondes budgets alloués.

2Former etinFormer

23

au niveau national

le rôle des médias audiovisuels est connu dans l’information et laformation du public. le taux de pénétration de la radio et de la télévisionmarocaine2 est important et les Marocains passent de nombreuses heurespar jour à l’écoute des émissions radio ou devant leur poste de télévision.la CNDP n’a pu, dans sa campagne de communication, négliger cesrelais. Son action en ce domaine s’est articulée en trois volets : diffusionde spots publicitaires afin d’alerter l’opinion publique sur la nécessitéde protéger les données personnelles, reportages télévisuels et animationd’émissions radio pour informer et répondre aux questions des auditeurs,interviews accordés aux journaux et articles publiés dans les périodiquesles plus divers.

DIFFuSIoN DE SPoTS PuBlICITaIRES À la RaDIo ET À la TéléVISIoN

En 2014, la CNDP a lancé une campagne de sensibilisation à traversla diffusion à la télévision et à la radio de spots publicitaires en arabe,amazigh et français. Il est à noter que c’est la première fois que laCNDP s’appuie sur les médias de masse pour lancer sa campagne desensibilisation.

Cette campagne ciblait le plus large public et notamment les personnesconcernées, c’est-à-dire tous les individus dont les données personnellessont traitées, mais aussi les responsables de traitement, institutions ouorganismes publics, entreprises privées, professionnels de santé, etc.,qui sont amenés à traiter des données à caractère personnel.

À la télévision, la campagne a démarré le 20 décembre 2014 ; 75spots de 55 secondes chacun ont été diffusés, dont 27 en français, 27en arabe et 19 en amazigh. Ces messages sont passés sur les quatreprincipales chaînes nationales : al ouala, 2M, Medi 1-TV etTamazight, aux heures de grande écoute : 15 avant le journal (4 foisle soir et 11 fois en milieu de journée), 28 avant le bulletin météo dela mi-journée ou du soir.

Concernant la campagne à la radio, elle s’est déroulée du 11 au 31décembre 2014 ; 241 spots ont été diffusés, d’une durée s’éta-blissant à 30 secondes. Près de la moitié de ces messages a étédiffusée dans la matinée, l’autre en début de soirée, toujours à desheures d’écoute favorables, avant les informations ou les émissionsdédiées aux questions des droits du citoyen, comme « les experts »d’atlantic radio.

la diffusion des spots audio s’est effectuée sur la plupart des chaînesradiophoniques : al Idaa al-Wataniya (SNRT) – la chaîne nationalequi couvre tout le territoire et s’adresse à un large public, et qui adiffusé des spots en arabe et en amazigh –, les radios privées, atlanticRadio, Medi1 radio, luxe Radio, Radio aswat et hit radio. Ces stationsont été soigneusement sélectionnées pour que les spots diffuséspuissent atteindre différentes catégories d’auditeurs.

la CNDP et les médias

2. 92% des ménages sont équipés d’au moinsun poste de télévision

24

REPoRTagE TéléVISuEl SuR la CNDP

l’objectif visé par la diffusion des spots était d’alerter les individuset les responsables de traitement sur l’importance de la protectiondes données personnelles et de la vie privée. le reportage réalisépar la SNRT sur la CNDP, dans les locaux même de la Commission,et diffusé lors d’un journal télévisé en octobre 2014, visait à faireconnaître l’institution, son mode de fonctionnement et ses missions.

PaRTICIPaTIoN DE la CNDP À DES éMISSIoNS DE RaDIo ET DE TéléVISIoN

la participation régulière de la CNDP à des émissions de radio et detélévision lui permet aussi de toucher un public plus spécifique et derépondre à des questions ciblées. À travers ces émissions, la CNDPrévèle sa capacité à garantir la protection des données personnelles,aussi bien en termes de prévention, qu’en termes de contrôle.

À cet effet, les représentants de la CNDP ont participé, tout au longde l’année, à une série d’émissions diffusées sur des médias divers,notamment atlantic-Radio dans l’émission francophone « les experts »et arabophone « Houriytek sur Atlantic » (Vos libertés sur atlantic).

la CNDP s’est aussi associée avec Rabat Chaîne Inter (SNRT) pourdiffuser une émission hebdomadaire, spécialisée dans les questions quiont trait à la vie privée et à la protection des données personnelles. Cesémissions ont porté sur les thématiques suivantes : la vidéosurveillance,les droits de la personne concernée, les dispositifs de contrôle d’accèset la protection de la vie privée, l’alerte professionnelle et la protectiondes droits et des libertés de l’employé, la vente en ligne et la protectionde la vie privée et des données personnelles, etc.

la CNDP DaNS la PRESSE

la CNDP n’a pas non plus négligé la presse, en arabe et en français.ainsi une dizaine de quotidiens et d’hebdomadaires se sont faitrégulièrement l’écho de ses activités et ont sollicité des interviews desmembres de l’institution, contribuant à sensibiliser le public à la néces-sité de protéger les données personnelles. « Données personnelles :preuve et recours » titre l’économiste qui informe les différents secteursde leurs obligations : « après un accord entre la BaM et la CNDP, ce àquoi les banques devront se plier en matière de protection des donnéespersonnelles ». En septembre, Al Bayane, L’économiste, Aujourd’hui leMaroc, Al Massae, et Maroc-Hebdo le mois suivant, rendent compte desrésultats des opérations de contrôle effectuées par les agents de la CNDP.Ils déplorent la faiblesse de la protection actuelle : « les SMS indésirablesrésistent à la loi »3, mais soulignent aussi les avancées : « Des progrèsdans la perception de la sensibilité des données personnelles »4.

3. La Vie économique du 7 juillet 2014.

4. Al Sabah du 30 décembre 2014.

5. Voir ci-dessous les recommandationsrelatives à la coopération entre le Maroc et leConseil de l’Europe.

25

la CNDP au contact des usagers

la CNDP accorde une attention particulière aux entreprises privéeset aux services publics dont les activités reposent sur l’utilisationmassive de données personnelles. De ce fait, elle a mis en place lesbases d’une coopération durable avec ces institutions, en leurpermettant d’utiliser les données personnelles dans le cadre de leuractivité en toute légalité et transparence et en respectant les droits despersonnes concernées.

au cours de l’année 2014, la Commission a organisé ou participé àplus de 30 manifestations nationales et internationales axées sur desthématiques touchant la protection des données personnelles et lerespect des droits de l’homme et des libertés, comme le commerceélectronique, la gouvernance de l’Internet, la sécurité des systèmesd’information, le droit d’accès à l’information, etc.

––––

la PRoTECTIoN DES DoNNéES, ENjEuX À l’èRE NuMéRIQuE

Dans le cadre de ses efforts de sensibilisation, la CNDP et le Conseilde l’Europe ont organisé à Rabat, le 20 mars 2014, au Centre deConférences de la Fondation Mohammed VI, un séminaire5 sur lethème : « Protection des données personnelles : enjeux à l’ère dunumérique et de la transparence ».

Cet évènement a permis, notamment, de traiter des enjeux de laprotection de la vie privée face à l’essor de l’Internet et desapplications mobiles, mais aussi de débattre de l’articulation entre

Protection des donnéespersonnelles et des droits de l’homme

26

droits à la protection des données, liberté d’expression et droitsd’accès à l’information. Voici quelques-unes des recommandationsadoptées par les participants : « — la diffusion de la culture de la protection des donnéespersonnelles au sein de l’administration et parmi les acteurs du secteurprivé et ceux de la société civile, notamment par la mise en conformitéà la loi 09-08, en harmonie avec l’esprit et les dispositions de lanouvelle Constitution et dans la perspective de la convergenceréglementaire Maroc-UE […]— la constitution d’un collectif regroupant les autorités de protectiondes données personnelles au niveau international afin de mener uneaction concertée, visant à imposer aux grands acteurs d’Internet lerespect de la vie privée et des informations personnelles des individus ;— une double action, par un effort de réflexion et une démarche desensibilisation, en vue de mieux cerner les aspects de complémentaritéet les risques de chevauchement entre le droit à la protection desdonnées personnelles, le droit d’accès à l’information et le droit à laliberté d’expression. »

Seminaire sur la protection des données personnelles. Rabat, 20 mars 2014.

27

lES DRoITS DES CIToYENS À l’âgE DE la DoNNéE

En vertu de la Constitution mais aussi de la jurisprudence internationale,la protection des données personnelles et de la vie privée est un droitfondamental de l’homme, ce que la CNDP n’hésite pas à rappeler àdiverses occasions.

aussi, a-t-elle organisé pour la première fois, le 29 novembre, unatelier spécial sur le thème « les droits du citoyen à l’âge de ladonnée » en marge du Forum international des droits de l’homme,qui a eu lieu à Marrakech du 27 au 30 novembre 2014. Ce séminaire,auquel ont participé des experts nationaux et internationaux, aconstitué un espace de débat autour d’un certain nombre dethématiques concernant la protection de la vie privée et des donnéespersonnelles à l’ère numérique. les participants aux tables rondes,organisées à cette occasion, ont adopté le texte de la déclaration deMarrakech sur les droits du citoyen à l’ère numérique dont une copieest jointe en annexe de ce rapport d’activité.

lIBERTé D’EXPRESSIoN ET DRoIT À la PRoTECTIoN DE la VIE PRIVéE

D’aucuns pensent que la liberté d’expression, qui est aussi reconnuecomme un droit de l’homme, est en contradiction avec la protectiondes données personnelles et de la vie privée. la CNDP s’efforce derappeler qu’il n’y a pas de contradiction entre l’exercice de ces droits.

À ce propos, des représentants de l’institution ont participé à uneconférence organisée à Casablanca, les 30 et 31 mai 2014, par leConseil national des droits de l’homme (CNDh), et dont le thèmeétait : « les politiques publiques et la régulation du secteur de la presseau Maroc ». les intervenants souhaitaient apporter leur contribution au

Stand de la CNDP. Marrakech, Forum international des droits de l’homme. Marrakech, 27-30 novembre 2014.

28

l’éducation, la justice et la Santé : des domaines

sensibles pour la protectiondes données personnelles

débat en cours sur l’interprétation des dispositions juridiques relativesà la presse. Dans son exposé, la CNDP a insisté sur le fait que la pressedoit, comme toute entreprise, se conformer à la loi 09-08 lorsqu’elleest amenée à traiter des données personnelles. la Commission a aussiattiré l’attention sur la nécessité de concilier ces deux droits humainsfondamentaux qui sont la liberté d’expression et le droit à la protectionde la vie privée et des données personnelles.

En 2014, la CNDP a aussi focalisé ses actions de sensibilisation surdes secteurs particuliers à cause notamment de la nature des donnéesqu’ils traitent et des populations concernées. Des rencontres ont étéainsi organisées avec les professionnels de l’éducation nationale, dela justice et de la Santé.

––––

l’éDuCaTIoN, uN lEVIER PouR la PRoTECTIoN DES DoNNéES

le ministère de l’éducation nationale et de la Formationprofessionnelle (MENFP) a organisé, en collaboration avec la CNDPet la Direction générale de la Sécurité des Systèmes d’Information(DgSSI), le 22 avril 2014 au « Centre des Formations et desRencontres Nationales », une journée de formation au profit desacteurs de l’éducation nationale. Cette journée a été consacrée à lasensibilisation aux mesures de sécurité des systèmes d’informationdes écoles.

Par ailleurs, le 25 décembre 2014, dans le cadre du partenariat entrela CNDP et le MENFP, les deux parties ont organisé, à l’académierégionale de Rabat, une rencontre sur la protection des donnéespersonnelles dans le milieu scolaire. Cette rencontre a permis auxdifférentes parties de débattre du cadre juridique de la loi 09-08,d’examiner le projet de convention entre le MENFP et la CNDP et leprojet de guide pour l’installation du système de vidéosurveillancedans les institutions scolaires relevant dudit ministère.

les 14 et 15 avril 2014, la CNDP a pris part également, à Skhirat, auxpremières assises nationales sur le projet de politique publique intégréede protection de l’enfance. organisée par le ministère de la Solidarité,de la Femme, de la Famille et du Développement social, cettemanifestation a rassemblé plusieurs acteurs concernés par la protectionde l’enfance, notamment des institutions publiques, des opérateursprivés, des membres de la société civile et des partenaires étrangers.

Invitée à participer au débat, la CNDP a mis l’accent sur la nécessitéde mettre en œuvre une stratégie nationale pour l’éducation aunumérique. Cette initiative est de nature à permettre aux enfants, enparticulier, de bénéficier des atouts du numérique et de se prémunircontre les risques et les dangers d’Internet.

la protection des données personnelles a été aussi évoquée àl’université Internationale de Casablanca (uIC).

29

la CNDP est intervenue à la conférence organisée par l’uIC sur le thème« la loi 09-08 et les principes de la protection des données personnellesau Maroc », le 1er mars, dans la salle des conférences de l’université.

la juSTICE, uN MaIlloN INDISPENSaBlE

PouR la PRoTECTIoN DES DoNNéES PERSoNNEllES

Comme précisé plus haut, la CNDP a accordé un intérêt particulieraux institutions traitant des données sensibles, comme le ministère dela justice. Celui-ci est d’ailleurs directement impliqué dans larépression des violations de la loi 09/08 puisqu’en cas d’infractiongrave, la CNDP doit saisir le Procureur du Roi.

aussi, la CNDP a-t-elle organisé, le vendredi 9 mai 2014, au siège del’Institut supérieur de la magistrature à Rabat et en collaboration avecl’Institut, un séminaire sur le thème : «Rôle de la justice dans laprotection des données personnelles».

les travaux de ce séminaire ont porté sur la présentation du cadrelégal de la protection des données à caractère personnel au Maroc etsur le rôle de l’autorité judiciaire dans la protection des libertés et desdroits fondamentaux de l’homme en rapport avec ses données àcaractère personnel.

Cette rencontre a aussi permis aux responsables du pouvoir judiciaireet aux représentants de la CNDP de jeter les bases d’une collaborationétroite, en vue d’une application efficace de la loi 09-08.

la CNDP a tenu également à participer au séminaire sur le rôle desmédias dans la réforme du système judiciaire.

30

le 23 octobre 2014, à l’Institut supérieur de la Magistrature, l’as-sociation des journalistes judiciaires en partenariat avec le ministèrede la justice et des libertés a organisé un séminaire sur le rôle desmédias dans la réforme du système judiciaire.

Cette rencontre a été présidée par M. El Mostafa Ramid, ministre dela justice et des libertés. les participants, dont des représentants dela CNDP, ont tenté de répondre à des questions principalement axéessur le rôle des médias dans la réforme de la justice, notamment aprèsl’adoption de la nouvelle constitution en 2011. ont aussi participé àce séminaire des juges, des avocats et des journalistes.

SaNTé ET DoNNéES PERSoNNEllES

la CNDP a participé à une journée de formation organisée par lelaboratoire pharmaceutique Novartis Pharma à la Faculté deMédecine et de Pharmacie de Rabat, le 16 octobre 2014, au sujet desessais cliniques au Maroc, sur le thème « Bonnes pratiques cliniquespour les essais de médicaments : éthique et qualité des données ».

Cette formation avait pour objet la sensibilisation des participants auxprincipales règles d’éthique dans le domaine de la recherchebiomédicale, et notamment aux règles relatives à la protection desdroits fondamentaux des sujets participants et de leurs données àcaractère personnel.

Séminaire sur le « Rôle du pouvoir judiciaire dans la protection des données personnelles ». Rabat, 9 mai 2014.

31

la CNDP a participé aussi, le 4 décembre 2014, au séminaire ré-gional sur les avantages de l’E-heath dans les pays de l’uE et despays sud-méditerranéens, qui a eu lieu au siège de l’école nationalede Santé publique.

au cours de son intervention, le représentant de la CNDP a insisté surla mobilisation des moyens techniques et humains pour protéger lesdonnées personnelles lors de la mise en place de systèmes d’informationou de projet de santé en ligne.

lE SECTEuR BaNCaIRE ET la PRoTECTIoN DES DoNNéES À CaRaCTèRE PERSoNNEl

Dans le prolongement des efforts déployés dans la gestion du secteurbancaire au Maroc, la Banque d’état, Bank al-Maghrib, a organisé encollaboration avec la CNDP, le 23 décembre 2014 à Rabat, ladeuxième édition du Symposium sur la protection des donnéespersonnelles dans le secteur bancaire.

Des experts nationaux et internationaux ont animé les séances de travailde cette manifestation. les travaux ont été focalisés sur l’étatd’avancement de la mise en œuvre de la loi n° 09-08 dans le secteurbancaire marocain, l’appréciation du niveau d’avancement du dispositifde protection des données personnelles et sa perception par la clientèlebancaire ainsi, que sur les interactions de ce dispositif avec les exigencesde la lutte contre la criminalité financière et la fraude transfrontalière.

une belle coopération a été inaugurée avec Bank al-Maghrib depuis2012. une Commission mixte CNDP/BaM/CgEM/aPSF s’est mise enplace et accompagne la mise en conformité avec la loi 09/08 dusecteur financier mais aussi des autres entreprises. la CNDP veille àl’application effective de la protection des données personnelles dansdes secteurs spécifiques et à la simplification des procédures. lesavantages de cette concertation entre la Commission et les milieuxd’affaires sont évidents.

32

Mais le bilan établi par la CNDP de la mise en conformité du secteurfinancier révèle que biens des efforts sont encore à prévoir pourassurer une protection efficiente des données personnelles des usagersainsi que du personnel employé dans ce domaine.

Il est important de rappeler que la cybercriminalité est un problèmeinternational qui fait fi des frontières entre les pays. le dévelop-pement rapide des technologies de l’information fait que le Marocest, au même titre que bien d’autres pays, certes, touché par cephénomène nouveau.

Conscient des multiples enjeux que cachent la cybercriminalité, leMaroc a entrepris d’adapter sa législation en conséquence. ainsi, leCode pénal du Royaume contient-il plusieurs dispositions visant àréprimer la cybercriminalité. Par ailleurs, le Maroc ayant ratifié laConvention de Budapest sur la cybercriminalité6, il sera amené àréformer ses instruments juridiques nationaux.

la cybercriminalité étant l’utilisation des systèmes informatiques –en particulier ceux connectés en réseau – pour commettre desinfractions pénales, l’adhésion à la Convention sur la Cybercri-minalité implique la répression d’un large éventail d’infractions :escroquerie en ligne, piratage des cartes bancaires, atteinte auxsystèmes informatiques, atteinte aux personnes, haine raciale,incitation au terrorisme, etc. la CNDP, en tant qu’autorité chargéede la protection des données personnelles, est de ce fait concernéepar la lutte contre la cybercriminalité.

Il est certain que la sensibilisation constitue le remède le meilleurcontre les dangers de la cybercriminalité. C’est ce que l’on appelle « l’éducation au numérique ». Cette sensibilisation implique l’éducationdu citoyen à tirer parti des NTIC et à connaître ses droits et ses devoirsdans le cyberespace.

Dans le cadre de cette action éducative, la Commission a participé,le 30 mai 2014 à Marrakech, à une journée d’information et desensibilisation sur les dangers et les menaces liés à l’utilisation desNTIC, notamment celles liées au cyberespace. Cette journée a étéorganisée en partenariat avec le Centre marocain de Recherchespolytechniques et d’Innovation, le ministère de l’Industrie, duCommerce, de l’Investissement et de l’économie numérique, l’écolenationale des Sciences appliquées, l’association internationale delutte contre la Cybercriminalité. Y ont pris part également desexperts internationaux dans le domaine de la sécurité des systèmesd’information.

Ce séminaire avait pour objectif de mettre en place un espaced’échange et de réflexion sur les enjeux de la cybercriminalité et ceuxde la sécurité des systèmes d’information.

Cette initiative témoigne de la prise de conscience des instancesdirigeantes et scientifiques du pays quant à la nécessité d’adopter uneapproche préventive face aux menaces et risques réels représentés parla cybercriminalité.

Participation de la CNDP aux débatsconnexes aux métiers de la CNDP

la cybercriminalité

6. B.o. N° 6262 du 5-6-2014.

33

34

C’est aussi dans ce cadre que la CNDP a participé à un atelier sur la« Protection des données personnelles et cybercriminalité ». aprèsavoir présenté les enjeux, les notions de base et le champd’application de la loi 09-08 relative à la protection des données àcaractère personnel, la CNDP a exposé les modalités de sonfonctionnement et les missions qui lui sont dévolues, puis a misl’accent sur l’investigation et le contrôle. En dernier lieu, l’interventiona abordé la problématique de la cybercriminalité et ses menaceséventuelles sur la vie privée des citoyens.

De même, la CNDP a participé à un débat sur le cyberespaceorganisé conjointement par l’école de gouvernance et d’économiede Rabat et l’ambassade des Pays-Bas. Cette rencontre a réuni, le 25novembre 2014, des intervenants d’horizons divers pour discuter desenjeux du cyberespace. ont été abordés en particulier les dimensionséconomique et sociale du développement des NTIC, la protectiondes données personnelles et de la vie privée dans le cyberespace etles dangers de la cybercriminalité.

Ce « Panel Discussion on Cyberspace », auquel la CNDP a pris part,a connu la participation de M. uri Rosenthal, ancien ministrenéerlandais des affaires étrangères, et Envoyé spécial de la 4e éditionde la Conférence sur le cyberespace mondial, prévue les 16 et 17 avril2015 à la haye.

35

Quelques mois auparavant, la CNDP participait à un atelier sur leprojet « gouvernement ouvert ».

Dans le cadre de ce projet, initié par le programme MENa-oCDEpour soutenir certains pays de la région – jordanie, libye, Maroc etTunisie –, le ministère de la Fonction publique et de la Modernisationde l’administration du Royaume du Maroc et le programme MENa-oCDE ont organisé :

1. le 24 mars 2014, un atelier sur le développement des capacitésdans le domaine de la planification stratégique. Cet atelier s’estachevé sur la programmation du séminaire suivant.

2. les 8 et 9 avril 2014, un séminaire pour présenter les résultatspréliminaires de l’étude réalisée par l’oCDE sur le gouvernementouvert au Maroc. Ce séminaire avait également pour objectif depréparer le Maroc à rédiger son plan d’action en s’inspirant desexpériences des pays pionniers dans ce domaine.

––––

Protéger son patrimoine numérique est une nécessité pour uneentreprise. une faille dans la sécurité peut affecter la réputation d’uneentreprise, faille dont l’impact économique pourrait être bien supérieurà la valeur même des données perdues.

afin de développer des solutions efficaces, il est recommandé auxentreprises de formaliser leur politique de sécurité et de protectiondes données, afin que cette politique puisse être prise en compte dèsla phase de conception d’un nouveau système ou projet informatique,le coût global d’un système informatique étant plus élevé lorsque laquestion de la sécurité est envisagée a posteriori.

les entreprises, en tant que responsables des données qu’ellesrecueillent, doivent en garantir la sécurité et notamment éviter qu’untiers non autorisé puisse y avoir accès. Pour l’entreprise il s’agit d’uneobligation juridique d’abord, mais aussi d’une obligation vis-à-vis deses clients et de ses employés afin de maintenir une relation deconfiance avec eux.

C’est pour ces raisons que la CNDP a pris part, du mercredi 18 auvendredi 20 juin 2014, à l’hôtel Mazagan à El-jadida, au Forum surla Sécurité des Systèmes d’Information et des Réseaux, Forum quiréunit chaque année les grands donneurs d’ordre de la sécurité dessystèmes d’Information.

Sécurité des systèmesd’information

36

Par ailleurs, la CNDP a participé au 6e Salon International desTechnologies de l’Information MED-IT qui s’est tenu au Palais desCongrès à Skhirat, les 26 et 27 novembre 2014. Elle y a installé pourla première fois son stand. Cet évènement a donné aux responsablesde la Commission l’occasion de présenter l’institution et desensibiliser les acteurs et les utilisateurs des NTIC au thème de laprotection des données personnelles et de la vie privée dans lemonde numérique.

Conseiller et accompagner lesprocessus de conformité

Consciente d’introduire une nouvelle culture dans le champ socio-économique marocain, et en vue de permettre un respect plus grandde la protection des données personnelles, la CNDP organiserégulièrement des ateliers de formation ou des séances d’accompa-gnements au profit des responsables de traitement, en vue de leurexpliquer les démarches à suivre pour se conformer à la loi 09-08.Plusieurs ateliers ont été organisés au cours de l’année 2014,notamment avec les secteurs suivants :

SECTEuR BouRSIER

la CNDP a organisé deux séminaires de sensibilisation à la loi 09-08et à la démarche de conformité au profit des entreprises du secteur etce en collaboration avec le Conseil déontologique des ValeursBoursières et les associations professionnelles du secteur à savoirl’association Professionnelle des Sociétés de Bourses (aPSB) etl’association des Sociétés de gestion et Fonds d’InvestissementMarocain (aSFIM).

SECTEuR DE l’éDuCaTIoN ET DE la FoRMaTIoN PRoFESSIoNNEllE

la CNDP a organisé un séminaire de sensibilisation à la loi 09-08 età la démarche de conformité au profit des représentants de ce secteur,comme elle a procédé à leur accompagnement pour l’identificationet la classification des traitements qu’ils mettent en œuvre. Cesmesures ont permis, d’une part, la notification par le département del’éducation nationale et de la Formation professionnelle d’un certainnombre de traitements et, d’autre part, l’élaboration d’une convention-cadre de partenariat entre la CNDP et le MENFP. la convention-cadre

37

vise à assurer la conformité de ce secteur à la loi 09-08 et à asseoirles bases de la culture de la protection de la vie privée et des donnéespersonnelles dans le milieu scolaire et de la formation professionnelle,notamment auprès des jeunes.

Dans le cadre de ce partenariat, une première action s’est illustrée parl’élaboration d’un guide sur la vidéosurveillance dans les institutionsrelevant du secteur de l’éducation nationale et de la Formationprofessionnelle, et une seconde par l’organisation d’un séminaire deprésentation de ce guide aux représentants et acteurs de ce secteur.

lES auTRES SECTEuRS

la CNDP a accompagné l’office des Changes dans la notification deses traitements à travers l’organisation d’un atelier de formation auprofit des cadres de cet office, ainsi qu’à travers la mise en place desrelais et outils d’aide à la notification de tous les traitements soumis àla loi 09-08.

la même démarche a été initiée avec le ministère de l’Industrie et duCommerce, au profit duquel la CNDP a exposé une présentation dela loi et de la démarche de conformité à l’équipe chargée de laconformité au sein de ce département. une présentation de la loi aégalement été faite au profit du Secrétaire général et des directeurs dece département.

la CNDP a organisé, par ailleurs, des réunions avec les responsablesdes départements publics des secteurs du tourisme et de la santé, envue de développer des axes de coopération à même d’assurer laconformité de ces départements et de leurs secteurs respectifs à la loi09-08. Ces axes de coopération portent notamment sur :

— la sensibilisation des acteurs et des partenaires de ces départementsà la protection des données à caractère personnel et à leursobligations dans ce domaine ;

— l’activation de la conformité de ces secteurs tout en permettant àla CNDP de mieux appréhender les contraintes des différentsresponsables de traitement par rapport à la loi 09-08 ;

— la coopération et la concertation avec les départements etreprésentants des acteurs de ces secteurs lors de la préparation desdélibérations doctrinales les intéressant.

38

À l’international

la protection de la vie privée des individus et de leurs données àcaractère personnel est une préoccupation universelle. l’émergencedu village planétaire, ou village global (Global Village), et dudéveloppement sans précèdent des NTIC imposent aux différentesnations une coopération internationale plus efficace et une mise encohérence de leurs politiques et stratégies de protection des don-nées personnelles.

Pour le Maroc, au cours de cette année, la CNDP a étendu saprésence sur la scène internationale. Son action à l’international viseà donner plus de visibilité à l’institution et donc à rassurer lesinvestisseurs étrangers quant à l’application de la protection des don-nées personnelles au Maroc. la Commission a aussi pour objectifd’informer ses partenaires internationaux sur l’expérience marocaineen la matière et de s’informer sur leurs pratiques. Elle contribueégalement à la convergence du système juridique marocain enmatière de protection des données personnelles et des standardsinternationaux. Enfin, la CNDP participe à la réflexion sur lameilleure manière d’assurer ses missions dans un monde enconstante évolution.

––––

la CNDP sur la scèneinternationale

39

Participation aux évènementsinternationaux

7. la CNDP est accréditée auprès de laConférence depuis 2011.

au cours de l’année 2014, la CNDP a participé à plusieurs mani-festations internationales d’envergure qui lui ont permis de renforcer sacoopération avec les organismes similaires. Parmi ces rendez-vousinternationaux auxquels la CNDP a pris part, citons :

la 36e CoNFéRENCE DES auToRITéS DE PRoTECTIoN DES DoNNéES PERSoNNEllES

ET DES CoMMISSaIRES À la VIE PRIVéE

la 36e Conférence internationale des autorités de protection desdonnées à caractère personnel7, principal évènement annuelréunissant les représentants de ces autorités, s’est tenue à l’île Mauricedu 13 au 16 octobre 2014 et a mis au centre de ses débats deuxthèmes importants : les objets connectés et leur impact sur la vieprivée des personnes.

la participation de la CNDP à cette conférence a été, une fois de plus,l’occasion pour le Maroc de faire connaître, au plan international, laplace qu’accorde le Royaume à la protection de la vie privée et desdonnées des personnes.

Par ailleurs, la Conférence a créé une Entente mondiale decoopération transfrontalière dans l’application des lois. « la présenteEntente a pour objet de favoriser la protection des données par lesorganisations qui traitent des données personnelles dans plusieursterritoires de leur ressort. Elle encourage et facilite la coopération entretoutes les autorités grâce à la communication d’informations, enparticulier de l’information confidentielle concernant l’application deslois en lien avec des enquêtes éventuelles ou en cours et, s’il y a lieu,l’Entente régit en outre la coordination des activités d’application dela loi par ces autorités pour leur permettre d’utiliser leurs ressourceslimitées de façon aussi efficiente et efficace que possible »8.

Photo officielle de la 36e Conférence internationale des commissaires à la protection des données et à la vie privée

8. https://www.priv.gc.ca/information/conf2014/arrangement_f.asp

40

5e éDITIoN DE la CoNFéRENCE INTERNaTIoNalE SuR la PRoTECTIoN DES

DoNNéES PERSoNNEllES À MoSCou

Pour la première fois, et à l’invitation de l’autorité russe (Roscomnadzor)de protection des données, la CNDP a pris part aux travaux de la 5e

Conférence internationale sur la protection des données personnelles,organisée à Moscou le 5 novembre 2014.

Cet événement annuel a réuni, outre les instances russes, les re-présentants de plusieurs pays – Turquie, albanie, Malte, Tadjikistan,Bosnie-herzégovine, Brésil, allemagne, kazakhstan, Vietnam… – etdes acteurs des technologies de l’information.

À cette occasion, plusieurs thèmes d’intérêt commun ont été soulevés,notamment :— l’arbitrage entre la liberté d’expression et le droit à la vie privée ;— les difficultés de la protection des données personnelles à l’échelleinternationale et sur Internet ;— la nécessité d’évoluer vers une gouvernance mondiale de l’Internet ; — l’importance de la coopération internationale dans la lutte contrela cybercriminalité et l’atteinte à la vie privée ;— les enjeux relatifs à l’hébergement national ou international desdonnées personnelles et l’intérêt d’élaborer des politiques nationalessur l’utilisation du Cloud.

la CNDP n’a pas manqué de présenter l’expérience marocaine, quia suscité beaucoup d’intérêt parmi les participants, et elle a profité del’occasion pour établir des contacts avec les autorités, notamment del’Europe de l’Est et d’asie.

––––

41

la CNDP À la CoNFéRENCE Du PRojET PhaEDRa

la CNDP a participé à la conférence finale du projet PhaEDRa, « Improving practical and helpful cooperation between data protectionAuthorities », qui s’est tenue à Cracovie, en Pologne, les 11 et 12décembre 2014.

étaient présents des représentants des autorités de protection desdonnées personnelles européennes, de la Commission fédéraleaméricaine du commerce (FTC) et de l’autorité canadienne deprotection des données personnelles.

Il est à rappeler que l’union européenne finance le projet PhaEDRadont l’objectif est d’améliorer la coopération entre les autorités deprotection et la coordination de leurs initiatives, notamment pour faireface aux différentes contraintes juridiques, institutionnelles et finan-cières qui s’imposent à elles.

Ce projet est développé par un consortium constitué de quatrepartenaires, à savoir l’autorité polonaise de protection des donnéespersonnelles (gIoDo), le cabinet de recherche et de consultingbritannique « Trilateral Research », l’université espagnole jaume I etle groupe « law, Science, Technology and Social Studies » de la Vrijeuniversity de Bruxelles qui coordonne ces travaux.

En marge de cette conférence, les organisateurs ont invité la CNDP àprésenter l’expérience marocaine en matière de coopération inter-nationale. un état des lieux de la coopération entre la CNDP et lesorganismes similaires a été présenté aux participants.

42

En 2014, la CNDP a adhéré à plusieurs groupements internationauxchargés de la protection de la vie privée et des données personnelles.le tableau suivant donne une idée claire de l’évolution de la présencede la CNDP dans ces groupements depuis sa création jusqu’en 2014.

adhésion à des groupementsinternationaux

nom du groupement

association francophone desautorités de protection desdonnées personnelles(aFapdp)

Conférence internationale desautorités de protection desdonnées personnelles et desCommissaires à la vie privée(CiCpdVp)

Convention 108

mission

groupement des autorités deprotection des donnéespersonnelles dans les paysfrancophones.

Début 2010

groupement international desautorités de protections desdonnées personnelles.

Novembre 2011

Cadre garantissant à toutepersonne physique son droit à laprotection de ses données et desa vie privée.

Septembre 2014

date d’intégrationde la Cndp

43

la coopération internationale : unepriorité pour la CNDPDans le cadre du renforcement de la coopération internationale avecles autorités de contrôle de la protection des données personnelles,la CNDP a établi des relations suivies avec de nombreuses autoritésétrangères.

––––

le Royaume a adhéré à la Convention 108 du Conseil de l’Europe etparticipe à la rénovation de ce texte au sein du CahDaTa commeprécisé plus haut.

Par ailleurs, sur la base des recommandations issues du séminaireorganisé conjointement, le 20 mars 2014, à Rabat, par la CNDP et leConseil de l’Europe, les deux parties ont décidé de coopérer en vuede renforcer la culture de la protection des données au Maroc.

Pour la mise en œuvre de leur coopération, les deux parties ontcommunément identifié trois actions majeures, déclinées comme suit :

action 1 l’organisation d’un événement annuel célébrant la journéeinternationale de protection des données personnelles.le but de cette action est d’assurer une large sensibilisation desdifférents acteurs aux principes de la protection des données àcaractère personnel.Cet événement est l’occasion idoine pour la diffusion de la culture dela protection des données personnelles au sein de l’administration etparmi les acteurs du secteur privé et de la société civile.

action 2 la transposition des principes de base de la Convention 108 dans laloi marocaine relative à la protection des données personnelles.À travers cette action le Conseil et la CNDP cherchent à favoriserl’harmonisation des textes juridiques européens et marocains enmatière de la protection des données personnelles dans le respect del’esprit et des dispositions de la Constitution et dans la perspective dela convergence réglementaire Maroc-uE.

action 3 le lancement d’un projet national visant l’éducation numérique pourtoutes les catégories de la population.les deux parties visent à travers cette action à promouvoir etdévelopper l’éducation au numérique parmi les différentes caté-gories de la population marocaine (enfants, femmes, élèves,adultes…), et ce dans un esprit de partenariat associant des acteursnationaux et internationaux.

avec le Conseil de l’Europe

44

le Maroc, qui a noué dès 1969 des relations étroites avec la CEE, puisa conclu, en 1996, un accord d’association avec l’uE avant de se voiraccorder par l’union un Statut avancé, a entamé une large coopérationavec l’institution européenne.

VERS l’aDéQuaTIoN

la CNDP s’est attelée cette année à faire avancer la demanded’adéquation soumise par le Maroc à la Commission européenne en2009. on sait que l’adéquation garantit que le pays qui en jouit assureune protection satisfaisante des données personnelles. Ce “ label ”viendra couronner les efforts de la CNDP et confirmera que, au Maroc,les données personnelles sont non seulement protégées de manièresatisfaisante, mais qu’elles pourront aussi circuler librement et en toutesécurité entre notre pays et les 28 états membres de l’uE.

C’est dans cette volonté d’adopter des standards internationaux, etnotamment européens, de protection et dans le cadre de la coopérationMaroc-uE que s’insère la mise en œuvre de projets de jumelage.

lE PRojET DE juMElagE

le projet de jumelage “ léger ” répond à cette volonté et s’inscritdans la feuille de route du Statut avancé, notamment au niveau desactions retenues dans le domaine des technologies de l’informationet de la communication. Il contribue à la mise en œuvre du pland’action uE-Maroc à travers l’action prioritaire relative au « déve-loppement d’un environnement favorable à l’investissement directétranger, à la croissance et au développement durable ». Il s’intègreau niveau du domaine des « politiques d’entreprises » en visant, àtravers la protection des données à caractère personnel, la « miseen place d’un environnement “favorable aux entreprises“ et degaranties légales appropriées pour les investissements. » Il vise enfinà renforcer la protection des libertés et des droits fondamentaux del’homme, au Maroc.

l’objectif attendu de ce projet est le renforcement des capacités de laCNDP grâce à l’expérience et au savoir-faire d’une autorité deprotection européenne. Pour la mise en œuvre de ce projet de jumelageléger, un appel d’offres international a été lancé en 2014.

––––

C’est dans cet esprit que la coopération de la CNDP avec la gIz aété initiée. Cette coopération se développe dans le cadre duprogramme « lSoF-Fond Flexible de Consultation en Politique Struc-turelle et Réglementaire ».

Il s’agit d’une coopération qui vise à soutenir les activités de la CNDP,notamment en matière de sensibilisation du plus large public à la

avec l’union européenne

la coopération avec l’agenceallemande de coopération (gIz)

45

protection des données personnelles, mais aussi en matière technique,administrative, juridique et dans le domaine de la formation continuedes cadres.

––––

le protocole de coopération avec la Commission de la Protection dela vie privée (CPVP) de Belgique a été signé le 29 novembre 2014, enmarge du 2e Forum mondial des droits de l’homme, organisé àMarrakech du 27 au 30 novembre 2014.

Ce protocole a pour principal objet la mise en place d’un cadrecommun pour l’instruction des demandes de transfert de donnéespersonnelles entre le Maroc et la Belgique.

les axes majeurs de ce protocole se présentent comme suit :

— la communication des informations et des données à caractèrepersonnel entre les parties aux fins de la mise en œuvre de lacoopération dans le strict respect de leurs obligations de confi-dentialité et de la réglementation relative à la protection des donnéesqui s’imposent à elles ;

— la coopération aux fins d’instruire conjointement toute demanded’autorisation de transfert de données à caractère personnel qui n’estpas basée sur des RCE (Règles Contraignantes des Entreprises) ;

— la coopération aux fins d’établir des autorisations-cadres particulièresà certains secteurs d’activité transférant des données systématiquementvers un des deux pays signataires ;

— la coopération aux fins de gestion des plaintes et des contrôles ;

— la mise en place des mécanismes permettant d’évaluer le systèmede coopération instauré entre les autorités partenaires.

la coopération avec l’autoritébelge de protection des donnéespersonnelles

46

47

Présence de la CNDP dans l’universdigitalle site Web de la CNDP, dont les versions arabe et anglaise sont encours de validation, est le principal outil de communication del’institution. Il est régulièrement mis à jour et il reçoit de plus en plusde visiteurs, résidants aussi bien au Maroc qu’à l’étranger.

Depuis le lancement du site Web de la CNDP, jusqu’au 31 décembre2014, le nombre de visites a atteint 61 696, avec une moyenne de3 300 visites par mois. Durant l’année 2014, il a été visité 46 952fois avec une moyenne de 3 900 visites par mois. 41,2% de ces visitesconcernent des internautes qui ont déjà consulté le site Internet (voirschéma ci-après).

le site Web

Statistiques Web global du 01/01/2014 au 31/01/2014

Cette audience est due essentiellement à l’efficacité de la sensibilisationsuite, notamment, à la campagne publicitaire des spots radio et télévision,menée durant le mois de décembre, engendrant un pic d’audience de 13806 visites soit 29.4% de la totalité des visites en 2014.

Elle est aussi due à la mise à jour et à l’alimentation permanentes ducontenu des différentes rubriques telles que les activités, les évènements,les délibérations, les communiqués de presse, les galeries photos etvidéos… ainsi que l’ajout de nouvelles rubriques telles que la conformitédes sites Web, la sécurité des systèmes d’information, les données bio-métriques, la vidéosurveillance…

48

Par ailleurs, la ventilation des visites par pays d’origine démontre que lesite Web de la CNDP remplit parfaitement son rôle de vitrine del’institution au plan international (15,4% des visites) et d’outil desensibilisation et de communication au plan national (84,6% des visites)selon le schéma ci-dessous.

En effet, comme il apparaît sur la partie bleue du graphique ci-dessus, lesvisites du site de la CNDP proviennent de pays situés sur les cinq continents.le plus grand nombre de visites émane de France (2 764 visites), de grande-Bretagne (586 visites), d’Espagne (497 visites), des états-unis d’amérique (399visites), d’allemagne (292 visites), et du Canada (253 visites)...

En 2014, de nouveaux visiteurs originaires d’autres pays ont visité pour lapremière fois le site Web de la CNDP, notamment d’Indonésie (272 visites)et du Sénégal (222 visites).

Pays d’origine des accès au site Web de la CNDP

N.B. : L’intensité de la couleur bleue varie en fonction du nombre d’accès au site Web de la CNDP.

49

À travers sa stratégie de communication, la CNDP cherche lesmoyens les plus efficaces pour sensibiliser un plus grand nombred’individus. À cet effet, elle utilise le canal le mieux adapté à sescibles. ainsi, pour créer un canal de communication avec lagénération Y, elle a inauguré sa présence sur les réseaux sociaux encréant un compte Twitter #CNDP_Maroc en juillet 2014. le choixde Twitter a été dicté par le fait qu’il touche au Maroc une frange depopulation particulièrement concernée par la protection desdonnées personnelles, intellectuels, jeunes, étudiants, acteurs de lasociété civile… Il est, de surcroît, une source d’informations entemps réel et un outil de communication et de diffusion. la CNDPcompte bientôt intégrer d’autres réseaux sociaux parmi ses canauxde communication.

les réseaux sociaux : Twitter

50

les notifications des traitements sont la pierre angulaire de laconformité à la loi 09-08. la notification permet à la CNDP d’effectuerun contrôle a priori des traitements de données personnelles. Elle estaussi à la source de l’établissement et de la mise à jour du Registrenational des traitements.

3notiFier lestraitements

Pour permettre aux individus de faire valoir leurs droits, la CNDPassure, conformément aux dispositions de la loi 09-08, la publicationdes traitements des données personnelles autorisés dans le Registrenational.

Traitements notifiés : le registrenational

« Il est institué un registre national de la protection des données àcaractère personnel, désigné ci-après par registre national, dont la

tenue est dévolue à la Commission, qui en assure la mise àdisposition du public. »9

l’article 46 de la loi 09-08 prévoit que soient inscrits au registrenational aussi bien « les fichiers dont sont responsables du traitementles Autorités publiques » que « les fichiers dont le traitement est effectuépar des personnes privées », ainsi que les références juridiques et lesautorisations relatives à la création de ces fichiers.

Ce registre est nécessaire à l’exercice des droits puisqu’il comporte « les données relatives aux fichiers qui sont nécessaires pour permettreaux personnes concernées d’exercer les droits d’information, d’accès,de rectification, de suppression et d’opposition prévus par la présenteloi… », que ces données aient fait l’objet d’un traitement au niveaunational ou d’un transfert à l’étranger.

9. Chapitre VI de la loi 09-08 relative à laprotection des personnes physiques à l’égard du

traitement des données à caractère personnel.

51

Pour rappel, la loi donne compétence à la CNDP pour délivrer lesautorisations de traitement des données personnelles, pour recevoirles déclarations des responsables de traitement et pour statuer sur lestransferts des données personnelles à l’étranger.

En effet, en vertu de l’article 12 de la loi 09-08, une autorisationpréalable est nécessaire en cas de traitement de données sensibles(médicales, génétiques, judiciaires, etc.) ou en cas d’interconnexionde fichiers. Dans les autres cas « la déclaration préalable prévue àl’article 12 ci-dessus, qui comporte l’engagement que le traitementsera effectué conformément aux dispositions de la présente loi, estdéposée auprès de la Commission nationale […] » (art. 13), et reçuedirectement par la CNDP.

Par ailleurs, « Le responsable d’un traitement ne peut transférer desdonnées à caractère personnel vers un État étranger que si cet Étatassure un niveau de protection suffisant de la vie privée et des libertéset droits fondamentaux des personnes à l’égard du traitement dontces données font l’objet ou peuvent faire l’objet. […] » (art. 43).Cependant, « Par dérogation aux dispositions de l’article 43 ci-dessus,le responsable d’un traitement peut transférer des données à caractèrepersonnel vers un État ne répondant pas aux conditions prévues àl’article ci-dessus, si la personne à laquelle se rapportent les donnéesa consenti expressément à leur transfert », ou en respectant les autresdérogations prévues et expliquées dans la suite de l’article 44.

Il est à noter que, depuis sa création, la CNDP a reçu 2 889notifications de traitements (autorisations et déclarations) et detransferts à l’étranger, dont 903 en 2014.

––––

Indicateurs et chiffres clés

52

RéPaRTITIoN DES DéPÔTS DE NoTIFICaTIoNS PaR RégIME

le tableau ci-après, concerne le dépôt de notifications de traitementset de transferts à l’étranger. Il fait état du nombre de notificationsdéposées en 2013 et 2014, ainsi que celles cumulées depuis lacréation de la CNDP jusqu’à fin 2014.

on constate que la notification des transferts a connu une légèreaugmentation en 2014 par rapport au nombre global des notifications(21%). Cette augmentation s’explique par la fixation de la date butoirpour la conformité du secteur bancaire (fin juillet 2014)10. C’est cequi justifie l’augmentation du nombre de transferts notifiés à la CNDP,une grande partie des données relatives aux clients des banques etsociétés de service étant traitée dans des plateformes et des solutionshébergées à l’étranger. ainsi 147 transferts ont été opérés en 2013,190 en 2014. Pour les transferts banques/assurances, 15 ont étéeffectués en 2013, 46 en 2014 ; pour les transferts « vente etcommercialisation », les chiffres sont de 15 en 2013 et de 29 en 2014.

le régime de l’autorisation est le plus fréquemment demandé par lesresponsables de traitement. En effet, sur un total de 713 notificationsde traitement effectuées en 2014, 414 (45%) ont fait appel à cerégime. D’ailleurs, cette tendance est constatée depuis 2011 (1 390autorisations sur un total de 2 531 notifications soit 55%).

Statistiques relatives aux dépôtsde notifications de traitements

et de transferts

10. Cette date a été fixée par la CNDP afin demettre en œuvre les délibérations relatives au

secteur bancaire.

régime de notification

autorisations

déclarations

transferts à l’étranger

total

2013

627 51%

449 37%

147 12%

414 46%

299 33 %

190 21 %

1 390 48 %

1 141 39 %

368 13 %

1 223

2014

903

Cumul2011-2014

2 889

53

le schéma ci-dessous montre l’évolution des notifications de traitementspar année. le nombre total des notifications de traitements a atteint2 531, ce chiffre reste largement en dessous du volume des traite-ments de données personnelles mis en œuvre effectivement au Maroc.

En 2014, le nombre de notifications (713) a baissé par rapport à 2013et a atteint presque le même chiffre enregistré en 2012. l’augmen-tation enregistrée en 2013 peut s’expliquer, entre autre, par le tauxde rejet élevé en 2012 qui a eu un impact sur le résultat de l’annéesuivante 2013.

––––

le nombre moyen des notifications de traitements par mois est de 60en 2014, il était de 90 en 2013, et de 61 en 2012. Durant l’année2014, deux pics ont été enregistrés, l’un en janvier (116) et l’autre enjuillet (105). Ces moments ont coïncidé respectivement avec le lance-ment des opérations de contrôle par la CNDP et avec la date butoirpour la notification des traitements effectués par les banques, qui aété fixée par la CNDP afin de mettre en œuvre les délibérationsrelatives au secteur bancaire.

Dépôts de notifications detraitements par année

Fréquence des dépôts denotification de traitements

54

le tableau et le graphique suivants montrent les statistiques etpourcentages des décisions de la CNDP selon l’année de dépôt desnotifications.

le taux de rejet a continué de baisser. Il est passé de 15%, en 2013,à 11% en 2014. Cela s’explique, en partie, par les efforts consentispar la CNDP dans l’accompagnement des responsables de traitement.

Il est à noter que les statistiques suivantes prennent en compte l’annéeà laquelle la Commission a pris la décision d’autoriser le traitementet non pas celle à laquelle les responsables de traitement ont notifiéleurs traitements ou leurs transferts.

état des notifications detraitements par année de

décision

décision de la Cndp

accordée

en cours

annulée par le responsabledu traitement

total

2013

481 45%

401 37%

34 3%

463 65 %

130 18 %

42 6%

1 140 45%

832 33%

rejetée 160 15% 78 11% 472 19%

87 3%

1 076

2014

713

Cumul2011-2014

2 531

55

autorisations accordées selonl’activité du responsable dutraitement

Statistiques relatives auxautorisations accordéesles traitements mis en œuvre par les entreprises privées atteignent84% des autorisations de traitements accordées en 2014. Eu égard àla nature de leur activité, qui nécessite l’utilisation massive dedonnées personnelles, les centres d’appel et les banques représententplus de la moitié des autorisations de traitements accordées (56%).

Quant au secteur public, il a atteint 16% en 2014, marquant ainsi unenette évolution en matière de nombre d’autorisations de traitementaccordées (près de 70% par rapport à l’année 2013). Bien que sur leplan quantitatif ce résultat reste en deçà des aspirations de la CNDP,il n’en demeure pas moins que de grandes administrations etd’importants établissements publics ont déjà lancé leur processus deconformité et commencé, en 2014, à déclarer leurs traitements11. lestraitements effectués par le secteur public sont toujours pro-portionnellement inférieurs à ceux entrepris par le secteur privé.Cependant, ce niveau de mise en conformité du secteur public à laloi 09-08 est le résultat, à la fois, de la lettre circulaire du Chef dugouvernement12 adressée à toutes les administrations et établisse-ments publics pour les inviter à se conformer à la loi 09-08, descampagnes de sensibilisation lancées par la CNDP et de l’appui quecette dernière ne cesse d’apporter aux responsables de traitement.

Ce résultat est aussi une preuve tangible de la prise de conscience dela part de l’administration publique marocaine de l’attention qu’ellese doit d’accorder à la protection des données personnelles. C’est unindicateur porteur pour l’avenir, vu qu’il s’inscrit dans le sens durespect de la loi 09-08 et instaure par là des relations de transparenceet de confiance avec les administrés.

11. Par exemple, le MENFP, l’office Chérifiendes Phosphates (oCP), Barid al-Maghrib, laCaisse de Dépôt et de gestion (CDg Capital),l’office National de l’électricité et de l’Eaupotable (oNEE), l’office des Changes, la haCa,l’office National des Chemins de Fer (oNCF),la Commune rurale Moulay abdellah…

12. Voir la copie de la lettre circulaire deMonsieur le Chef du gouvernement, sous lesannexes.

56

57

la répartition des traitements par finalité, en 2014, montre que 57,5 %des autorisations de traitement accordées concernent cinq types detraitement : la gestion des ressources humaines, la gestion de la sécurité,le contrôle d’accès, la vidéosurveillance et la gestion des clients.

En outre, l’année 2014 s’est caractérisée par l’apparition d’un nouveautype de traitement, le sondage d’opinion : une demande d’autorisationa été présentée dans ce cadre.

Traitements autorisés par finalité

––––

En 2014, 88,1% des traitements autorisés par la CNDP sont situésgéographiquement au niveau de Casablanca et Rabat.

De nouvelles localisations apparaissent pour la première fois dans larépartition géographique des traitements accordés, notamment Safi,Chtouka ait Baha, laâyoune, Marrakech et El-jadida. on constate unepropagation de la prise de conscience en matière de protection desdonnées personnelles aussi bien en milieu urbain que rural. En effet,des autorisations ont été accordées à des responsables de traitementissus d’autres régions et non pas seulement à ceux provenant de l’axeCasablanca-kenitra.

Par ailleurs, des entreprises installées à l’étranger, notamment enFrance, en Suisse, aux états-unis et au luxembourg, ont enregistré0,8% des traitements autorisés en 2014 par la CNDP.

Répartition géographique destraitements autorisés

58

59

Statistiques relatives au Régime de l’autorisation

Motifs du choix du régime desautorisations accordées

86,64 % des autorisations accordées en 2014 portent sur destraitements usuels utilisant le numéro de la CNI et/ou des donnéessensibles comme le démontre le tableau suivant :

utilisation des donnéessensibles dans les autorisationsaccordées

––––

les autorisations accordées en 2014 concernent les données sensiblesen général (51,81%) et les données de santé en particulier (40,48%),comme illustré dans le tableau suivant :

13. les responsables de traitement, notamment, ceux en charge de la gestion des ressources humaines, ne font pas souvent la différence entre lesdonnées relatives aux infractions et condamnations et celles contenues dans le casier judiciaire / fiche anthropométrique.

14. les responsables de traitement confondent assez souvent les mesures de sûreté avec celles de la sécurité technique et organisationnelle.

régime des autorisations accordées

l’utilisation de données sensibles

traitement du numéro de la Cni

interconnexions de fichiers, dont les finalités sont différentes

autres

2013

134 46,37%

251 86,85%

4 1,38%

415 86,64%

415 86,64%

3 0,63%

559 70,23%

687 86,31%

Changement de finalité 2 0,69% 2 0,42% 4 0,50%

8 1,01%

18 6,23%

2014

33 4,15%

Cumul2011-2014

53 6,66%

utilisation des données sensiblesdans les autorisations accordées

données de santé

origine raciale ou ethnique

Convictions religieuses ouphilosophiques

appartenance syndicale

2013

76 56,72%

3 2,24%

0 0%

215 51,81%

5 1,20%

1 0,24%

295 52,77%

9 1,61%

opinions politiques 0 0% 2 0,48% 3 0,54%

données génétiques

infractions et condamnations13

2 1,49%

39 29,1%

3 0,72%

168 40,48%

6 1,07%

210 37,57%

mesure de sûreté14 5 3,73% 11 2,65% 16 2,86%

données biométriques 6 4,48% 6 1,45% 12 2,15%

1 0,18%

3 2,24%

2014

4 0,96%

Cumul2011-2014

7 1,25%

Il est à rappeler que les entreprises américaines peuvent bénéficier durégime simplifié de transfert, consacré aux pays assurant uneprotection suffisante de la vie privée et des données personnelles, àcondition qu’elles adhérent au Safe Harbor15 (Délibération de laCNDP n° 465-2013 du 6 septembre 2013).

le délai moyen du traitement des demandes d’autorisation a été dedeux mois et demi en 2014, soit une réduction de plus d’un mois,en comparaison avec l’exercice 2013, et de 3 mois par rapport àl’exercice 2012. Cette réduction de la durée moyenne d’instructionenregistrée entre les années 2013 et 2014 s’explique, essentiellement,par l’effet cumulé de la simplification de la notification grâce auxdélibérations doctrinales de la Commission et du renforcementadministratif de la CNDP en ressources humaines.

Il est à rappeler que la CNDP émet son avis sur une demanded’autorisation dans un délai de deux mois qui peut être prorogé uneseule fois. Cependant, ce délai s’arrête, après information duresponsable du traitement lorsque sa demande est jugée in-complète. Pratiquement, le délai ne commence à courir qu’à partirdu moment où les informations ou les documents demandés sontprésentés à la CNDP.

la durée moyenne d’instruction des demandes

d’autorisation

Transferts accordés En 2014, les transferts des données personnelles ont été autorisés parla CNDP dans 93% des cas, parce que le pays de destination figuraitsur la liste des états assurant une protection suffisante, conformémentà l’article 43 de la loi 09-08, dans 6% des cas parce que les personnesconcernées ont consenti au transfert de leurs données personnelles,conformément à l’article 44 de la loi 09-08 et dans 1% des cas sur labase de clauses contractuelles.

transferts de données personnellesà l’étranger

15. Safe harbor est un accord précisant lesrègles minimales en matière de protection des

données personnelles. les entreprisesaméricaines s’y conformant sont considéréescomme respectant la législation de l’Espace

économique européen (EEE) et peuvent doncobtenir l’autorisation de transférer des données

personnelles vers les états-unis

60

Base légale des transferts autorisés

transferts effectués vers des pays assurant une protection suffisante

transferts effectués sur la base duconsentement des personnes concernées

total

2013

96 97%

3 3%

96 93,2%

6 5,8%

202 95,3%

9 4,2%

transferts effectués sur la base desclauses contractuelles ou BCr

0 0% 1 1% 1 0,5%

99

2014

103

Cumul2011-2014

212

61

le tableau et le graphique suivants concernent les transferts desdonnées personnelles en 2014, par pays de destination. Ils montrentque le transfert des données personnelles à partir du Maroc s’effectueprincipalement vers les pays de l’union européenne, avec unpourcentage de 80% du total des transferts autorisés dont 62,14%avaient pour destination la France. les états-unis assurent 13,5%20% des transferts restants.

Transferts autorisés par pays de destination

pays de destination des transferts autorisés

FranCe

États-unis

total

2013

62 62,63%

3 3,03%

64 62,14%

14 13,59%

131 61,79%

17 8,02%

espagne 14 14,14% 1 0,97% 16 7,55%

royaume uni 4 4,04% 3 2,91% 9 4,25%

suisse 3 3,03% 3 2,91% 8 3,77%

allemagne 1 1,01% 4 3,88% 5 2,36 %

Canada 4 4,04% 1 0,97% 5 2,36%

inde 0 0% 3 2,91% 3 1,42%

irlande 1 1,01% 2 1,94% 3 1,42%

danemarK 2 2,02% 0 0% 2 0,94%

Émirats araBes unis 2 2,02% 0 0% 2 0,94%

hongrie 0 0% 2 1,94% 2 0,94%

pays Bas 2 2,02% 0 0 2 0,94%

pologne 0 0% 2 1,94% 2 0,94%

BelgiQue 0 0% 1 0,97% 1 0,47%

BurKina Faso 0 0% 1 0,97% 1 0,47%

Égypte 1 1,01% 0 0% 1 0,47%

rÉpuBliQue tChÈQue 0 0% 1 0,97% 1 0,47%

tunisie 0 0% 1 0,97% 1 0,47%

99

2014

103

Cumul2011-2014

212

62

Siège de la Commission européenne, Bruxelles.

63

le traitement des plaintes constitue une mission essentielle de laCNDP. la Commission n’a pas cessé de perfectionner ses procéduresen vue de faire face à un volume de plaintes de plus en plus important.

4traitement des plaintes et desContrÔles

la CNDP veille au respect des droits des citoyens et des résidentsétrangers au Maroc en matière de protection de la vie privée et desdonnées personnelles. Elle reçoit et instruit les plaintes relatives à laviolation des dispositions de la législation marocaine en vigueur. onconstate une augmentation rapide du nombre de plaintes reçues, cequi, incontestablement, témoigne d’une plus grande diffusion de laculture de la protection des données personnelles au Maroc, diffusionà laquelle la Commission a largement contribué par ses campagnesde sensibilisation et de communication.

la CNDP a mis en place des procédures pour traiter avec diligenceles plaintes reçues. la procédure consiste à notifier la plainte auresponsable du traitement, lequel est tenu de répondre dans un délaide 15 jours :

• Si le responsable du traitement répond à la lettre de la CNDP, unéchange s’en suit en vue de trouver une solution au problème soulevépar la plainte ;

• Si le responsable du traitement ne répond pas dans les délais prévusaux sollicitations de la CNDP, ou que les échanges s’avèrentinfructueux, il peut être envisagé d’opter pour l’application de mesuresplus contraignantes – mise en demeure, contrôle sur place, interdictiondu traitement effectué, etc. – et, éventuellement, pour l’ouverture d’uneprocédure judiciaire.

Réception et instruction des plaintes

64

au cours des quatre dernières années, le nombre de plaintes n’a pascessé d’augmenter, comme en témoigne le graphique ci-dessous.

Par ailleurs, la majorité des plaintes concerne des établissementsprivés ou publics installés à Casablanca et, dans une moindre mesure,à Rabat, principaux pôles économiques et administratifs du Royaume.

Ces plaintes concernent essentiellement la réception de messagespublicitaires indésirables sur les téléphones mobiles (SMS) et despams. la moitié des plaintes concernent les SMS, problème quirequiert une attention particulière de la part de la CNDP.

En effet, la pratique de la prospection par voie téléphonique et parInternet ne respecte pas suffisamment les règles régissant la protectiondes données personnelles.

En 2014, en vue d’endiguer le phénomène des SMS indésirables, laCNDP a décidé d’exiger des entreprises faisant l’objet de plaintes derévéler l’origine des bases de données utilisées au cours descampagnes de prospection directe. Ceci a permis à la Commissiond’identifier les acteurs intervenant dans le processus de la prospectiondirecte et d’élaborer les actions à mener en vue de concilier l’activitéde marketing et le droit des personnes au respect de la vie privée.

Évolution des plaintes reçues par la CNDP.

Plaintes reçues par la CNDP en 2014.

Indicateurs

65

l’augmentation significative des plaintes en 2014, par rapport à 2013(+ 400%), est dûe à un élargissement de l’éventail des activités danslesquelles sont impliqués les responsables de traitement concernés.le graphique suivant illustre cette tendance.

Répartition des plaintes en 2014 par origine géographique du responsable de traitement

Répartition des plaintes en 2014 en fonction des secteurs d’activité.

66

Conformément aux attributions qui lui sont assignées par la loi, laCommission a diligenté – pour la première fois depuis sa création –des missions de contrôle. la CNDP a ainsi inauguré, en 2014, lecontrôle de sites Web et le contrôle sur place.

––––

Préalablement au lancement de la campagne de contrôle de sitesWeb, la CNDP a jugé utile de rédiger et de publier un guide àl’usage des responsables des sites. Ce document, disponible sur lesite de la Commission et intitulé « lignes directrices relatives à laconformité des sites Web à la loi 09-08 », fixe les critères deconformité des sites Web à la législation marocaine en matière deprotection des données personnelles.

la première campagne de contrôle de sites Web a visé des secteursd’activité divers, comme détaillé dans le tableau ci-contre.

le lancement des contrôles

les contrôles de sites Internet

Répartition des plaintes reçues en 2014 en fonction des canaux de communication.

l’analyse des canaux de communication, utilisés par le public pouradresser des plaintes à la CNDP, confirme les chiffres obtenusl’année précédente. En effet, le formulaire de plainte en ligne,disponible sur le site Web de la Commission, demeure le moyenprivilégié par les plaignants.

67

le choix des sites qui ont fait l’objet d’un contrôle a été dicté parplusieurs critères, notamment le degré d’utilisation des donnéespersonnelles, l’audience du site Web, l’importance de l’organismeresponsable du site et, enfin, le souci de toucher le plus grand nombrede secteurs d’activités.

la campagne de contrôle s’est déroulée en deux phases. D’abord,une opération pilote a permis d’expérimenter la méthode decontrôle et d’examiner la conformité d’un nombre limité de sitesWeb. une deuxième opération, de plus grande envergure, s’estdéroulée dans une seconde phase. au total, ce sont 104 sites qui ontfait l’objet de contrôle.

Cette première opération de contrôle des sites a révélé un grandnombre d’irrégularités, dont les principaux indicateurs sont lessuivants :

MENTIoN RElaTIVE À la PRoTECTIoN DES DoNNéES PERSoNNEllES

les chiffres obtenus montrent que seulement 22% des sites affichentune mention conforme aux exigences de la loi. la mention estprésente, mais incomplète dans 28% des cas. Par contre, 50% dessites contrôlés n’affichent pas de mention relative à la protection desdonnées à caractère personnel.

secteur d’activité

sites d’annonces

Voyage et hôtellerie

Cabinets de recrutement et d’emploi

Vente en ligne

deals

nombre de sites en %

8,04

15,18

8,04

4,46

8,04

marketing

organismes publics

organismes de prévoyance sociale

Concessionnaires de services publics

0.89

2,68

2,68

immobilier

Banques et sociétés de financement

assurances

transport et logistique

6,25

12,50

8,04

4,46

santé

télécoms

location de voitures

8,93

2,68

4,46

2,68

68

INFoRMaTIoN DES PERSoNNES CoNCERNéES

l’opération de contrôle de la CNDP montre que l’obligationd’informer les personnes concernées au moment de la collecte deleurs données personnelles dans les termes prévus par la loi est trèsrarement respectée (1%). les informations sur l’identité duresponsable du site Web, les finalités du traitement, les destinatairesdes données collectées et d’autres renseignements ne sont quepartiellement communiqués dans 28% des cas. Ces informationssont totalement absentes de 71% des sites.

CoNSENTEMENT DES PERSoNNES CoNCERNéES

Très peu de sites Internet au Maroc (1%) se soucient de recueillir leconsentement des internautes avant de collecter et de traiter leursdonnées personnelles. Dans 80% des cas, le site n’évoque nulle partla demande de consentement, qui n’existe que dans 19% desformulaires de collecte de données.

État de la mention relative à la protection des données personnelles sur les sites Web.

Demande de consentement au traitement des données personnelles sur les sites Web.

69

EXERCICE DES DRoITS D’aCCèS, DE RECTIFICaTIoN ET D’oPPoSITIoN

les résultats obtenus montrent que les internautes sont le plus souventprivés de l’exercice de leurs droits d’accès, de rectification etd’opposition, droits auxquels la loi accorde pourtant une importanceparticulière. au Maroc, ces droits ne sont malheureusement pasrespectés par l’écrasante majorité des sites Web (95%).

NoTIFICaTIoN DES TRaITEMENTS ET DES TRaNSFERTS À la CNDP

Sur l’ensemble des sites contrôlés, à peine 7% ont accompli lesformalités de notification du traitement à la Commission.

En ce qui concerne l’hébergement de sites à l’étranger (transfert dedonnées personnelles à l’étranger), il a été constaté qu’aucun des sitesconcernés n’a obtenu l’autorisation de la CNDP.

auTRES INFRaCTIoNS

les contrôles ont révélé d’autres irrégularités concernant le nonrespect du principe de proportionnalité (collecte excessive etinjustifiée de certaines données), des règles de la prospection directeet de l’utilisation des cookies.

À l’issue des contrôles effectués, les responsables de traitementconcernés ont été invités à se mettre en conformité avec la loi.

État de la notification à la CNDP des sites Web.

Information des personnes concernées sur les caractéristiques du traitement.

70

En vertu des dispositions de la loi 09-08 qui dotent la CNDP depouvoirs d’investigation et d’enquête, la Commission a diligenté – pourla première fois depuis sa création – des missions de contrôle sur place.ainsi, entre le 17 novembre et le 30 décembre 2014, la Commission amené 30 missions de contrôle qui ont visé des organismes publics etdes entreprises privées.

les contrôles effectués par les équipes de la CNDP en 2014 ontconcerné trois traitements susceptibles de porter atteinte aux donnéespersonnelles et à la vie privée. Il s’agit de la vidéosurveillance (20contrôles), de la prospection commerciale (8 contrôles) et desdispositifs biométriques destinés au contrôle d’accès (2 contrôles).

le choix des domaines est dicté par la nature des plaintes reçuespar la CNDP (27% des contrôles), par des faits rapportés dans lecadre de la mission de veille de la Commission, par l’intérêt portépar celle-ci à des questions d’actualité qui touchent à la protectiondes données personnelles et par la priorité accordée à certainssecteurs et activités spécifiques.

le recours à la vidéosurveillance, de plus en plus répandu au Maroc, aincité la Commission à mener 20 missions de contrôle, en 2014, pourexaminer les risques que cette technologie représente pour la vie privée.

Par ailleurs, le nombre important de plaintes relatives aux SMS et auxspams (60% des plaintes) a amené la Commission à accorder un intérêtparticulier à la prospection commerciale. Cela explique que la CNDPait organisé 8 opérations de contrôle visant ce traitement.

De même, les dispositifs biométriques de contrôle d’accès ont faitl’objet de réclamations adressées à la CNDP. Des syndicats ont portéplainte en contestant la mise en place de dispositifs biométriques. Dansle cadre de l’instruction de ces plaintes, la CNDP a jugé utile de menerdes opérations de contrôle sur place.

Domaines concernés par le contrôle.

les Contrôles sur place

71

l’analyse sectorielle des entités contrôlées montre que, en 2014, lacampagne de contrôle de la CNDP a touché plusieurs secteursd’activité, comme indiqué par le graphique suivant :

la première campagne de contrôle menée par la CNDP a révélé que,dans 75% des cas, l’organisme contrôlé n’a pas notifié le traitement àla Commission.

D’autres infractions à la loi sur la protection des données à caractèrepersonnel ont été constatées :

CoNCERNaNT la VIDéoSuRVEIllaNCE

— absence dans la plupart des cas de l’affiche informant les personnesque le site est sous vidéosurveillance ;

— Non-conformité de l’affiche aux dispositions de la loi ;

— Insuffisance des mesures de sécurité relatives aux enregistrements ;

— Durée excessive de conservation des enregistrements ;

— atteinte à la vie privée (voisinage, surveillance permanente desalariés, surveillance de la voie publique, surveillance de piscine ou deplage privée…)

CoNCERNaNT la PRoSPECTIoN CoMMERCIalE

De façon générale les dispositions de la loi qui encadrent la prospectiondirecte ne sont pas respectées, notamment la loyauté de la base dedonnées utilisée, le consentement des prospects à recevoir desmessages de publicité, l’information des prospects lors de la collectede leurs données, le droit des prospects à s’opposer à la réception desmessages publicitaires…

Activité des responsables de traitement contrôlés

72

CoNCERNaNT lES DISPoSITIFS BIoMéTRIQuES

Certains organismes mettent en place des dispositifs biométriques baséssur les empreintes digitales pour le contrôle d’accès ou de présence dessalariés sans respecter les dispositions légales en vigueur.

on peut conclure qu’à l’issue de cette première campagne, qui s’estdéroulée dans l’ensemble dans de bonnes conditions, la CNDP afranchi un nouveau pas. En effet, cette expérience de terrain a permis àla Commission de mieux appréhender la réalité et les enjeux de laprotection des données personnelles au Maroc.

73

le département administratif et financier est un département desupport. Il a pour mission principale d’assurer à la Commissionnationale les ressources humaines et financières ainsi que les moyenslogistiques nécessaires au bon fonctionnement de l’institution. Ilveille à l’exploitation efficace et efficiente de ces ressources.

la mission de ce département s’articule autour des axes suivants :

• la préparation du budget ;

• la préparation et l’exécution des dépenses ;

• la mise en œuvre de la politique des ressources humaines ;

• la gestion du patrimoine immobilier, du mobilier, du matériel etdes équipements ;

• la gestion des stocks ;

• la mise en œuvre de toutes les mesures susceptibles d’optimiser lagestion des ressources humaines, financières et matérielles.

l’année 2014 est marquée par la reconduction de la mêmeenveloppe budgétaire que celle des deux années précédentes. Elles’élève à 15 000 000,00 Dhs et permet à l’institution de réaliser lesactions programmées en matière de communication, de sensibi-lisation et de renforcement de son système d’information.

l’exécution du budget de la CNDP peut être résumée par le tableauà la page suivante.

Bilan FinanCier etinstitutionnel

5

74

À travers ce tableau on remarque une nette amélioration du tauxd’engagement des dépenses enregistrées en 2013 par rapport à 2012.Cette tendance s’est consolidée en 2014 avec une augmentationconsidérable par rapport à l’année 2013.

Quant à la valeur des émissions, elle aussi a enregistré une netteamélioration en 201,3 par rapport à l’année 2012. l’année 2014 estnettement marquée par une augmentation importante des émissionspar rapport à l’exercice précédent.

Cette dernière augmentation des dépenses s’explique par les effortsdéployés en 2014 par la CNDP en matière, notamment, de commu-nication, sensibilisation et renforcement du système d’information.

En effet, en 2014, la CNDP a lancé d’importants projets. Ils ontconcerné particulièrement :

• l’acquisition de matériels et solutions informatiques pour la miseà niveau de son Data Center ;

• la conception et diffusion des spots Télé et Radio ;

• l’organisation de séminaires sur la protection des données person-nelles et, surtout, la mise en œuvre de la stratégie de la Commissionrelative à la communication et à la sensibilisation à la protection dela vie privée et des données personnelles.

année

Crédits ouverts

engagements

Émissions

taux des engagements

taux des émissions

2012

15 000 000,00

2 679 114, 04

544 342, 80

18%

3,60%

2013

15 000 000,00

5 133 440, 856

3 442 694, 34

33%

23%

2014

15 000 000,00

9 604 595, 73

4 899 305, 97

63%

33%

76

annexes

77

78

79

80

81

Concernant le sujet de notre rencontre, vous n’êtes pas sans savoir que le Maroc s’apprête à adhérer la

Convention de Budapest du 23 novembre 2001 sur la cybercriminalité. Il est à noter, que cette

convention, est le premier accord international qui traite des crimes informatiques et des crimes sur

Internet en invitant les États parties à transposer les normes contenues dans la convention dans leurs

lois nationales, en améliorant les techniques d’enquêtes, et en veillant au droit à la protection des

données personnelles, tel que spécifié, dans la convention 108 du Conseil de l’Europe, convention

pour laquelle le Maroc est en train de finaliser les formalités d’adhésion .

La convention de Budapest, insiste sur les mesures de sécurité à mettre en place pour se prémunir

contre d’éventuelles infractions (accès non autorisés, destruction des données, interception illégale,

atteinte à l’intégrité des données, atteinte à l’intégrité des systèmes..). Ces dispositions sont

parfaitement conformes aux normes inscrites dans la loi 09-08, relative au contrôle de la protection

des données à caractère personnel.

Permettez-moi, mes dames et messieurs, de vous rappeler que la protection des données personnelles et

de la vie privée des personnes est une question qui nous concerne tous en tant que citoyen, en tant que

consommateur et en tant qu’utilisateur des nouvelles technologies de l’information et de la

communication.

Ainsi, à la CNDP, tous les sujets qui ont attrait à la protection des données privées nous tiennent

particulièrement à cœur et nous gardons toujours à l’esprit la nécessité de garantir un équilibre

adéquat entre les intérêts de l’action répressive et le respect des droits fondamentaux de l’homme, tels

que garantis dans la Constitution de 2011.

CéRéMoNIE DE laNCEMENT DE la CaMPagNE DE luTTE CoNTRE la CYBERCRIMINalITé, CNlCC2014, lE 6 MaI 2014.

EXTRaIT Du MESSagE DE MoNSIEuR SaïD IhRaï, PRéSIDENT DE la CNDP.

82

83

84

85

86

Fait à _____, le __/__/___ m / mme / mlle nom prenom adresse Ville, PaYS Tél Email

Àl’attention de Monsieur le Président

de la Commission Nationale de contrôle de la protection des Données Personnelles.

objet : Plainte concernant le traitement d e mes données personnelles par l’organisme _________________________

Monsieur le Président,

j’ai l’honneur de vous adresser une plainte relative au traitement de mes données personnelleseffectué par l’entreprise ________________________, inscrite au registre de commercede_______ sous le numéro_______ et dont le siège est à________________________.

[Décrivez ici les motifs de votre plainte et les démarches entreprises auprès du responsable detraitement. Ex : « En effet, l’entreprise susmentionnée n’a mis à ma disposition aucun moyenme permettant de consulter mes données personnelles en sa possession et ce en dépit descorrespondances que je lui ai adressées, dont des copies sont jointes à cette lettre. »]

je vous saurai gré de bien vouloir donner à vos services les instructions nécessaires afind’obliger l’entreprise à se conformer aux dispositions de la loi 09-08.….

Pièces jointes : - copies des correspondances adressées à l’entreprise.

87

MoDèlE DE PlaINTE

© CNDP, Rabat.Dépôt légal : 2015Mo2648ISBN : 978-9954-35-944-0Conception et réalisation : Senso unico éditions, Mohammedia.

Cette publication ne peut être reproduite entièrement ou en partie, sous quelque forme que ce soit, sans l’accord préalablede la CNDP.

achevé d’imprimer à Rabat, sur les presses de kawtar Print,

au mois d’août 2015.

Documents

Nous aurons ainsi œuvré pour notre insertion · ... les positions adoptées pendant les années précédentes sur la ... de la loi et qui rassemble les ... les évolutions de la