Société
Partage des données personnelles sans l'accord des personnes concernées: que dit la loi?
10/04/2025 - 16:08
Meriem Khaer
Après l’attaque cybernétique ayant ciblé la CNSS et entraîné une fuite de données personnelles, l’organisme appelle l’ensemble des citoyens à faire preuve de vigilance et de responsabilité, cet incident remet au centre du débat la question du respect de la vie privée et des données personnelles des citoyens.
Tout partage de données à caractère personnel sans le consentement de la personne concernée constitue une infraction à la loi n° 09-08 qui vise à garantir le respect de la vie privée des citoyens en encadrant strictement la collecte, le traitement et la diffusion des données personnelles.
Contacté par SNRTnews le conseiller juridique Amine El Fethi souligne que la loi n° 09.08 interdit toute collecte, traitement ou communication de données personnelles sans le consentement explicite de la personne concernée et en dehors des finalités légitimes déclarées.
Selon lui l’article 4 précise que le traitement ne peut être effectué que s’il repose sur une base légale claire ou un consentement exprès. "En cas de violation, les articles 50 à 60 prévoient des sanctions allant de l’amende de 10.000 à 300.000 dirhams, voire à des peines privatives de liberté pouvant atteindre 5 ans en cas d’atteinte grave aux données dites sensibles comme opinions politiques, données biométriques, santé, etc.", poursuit-il.
Que le partage ait été fait de manière intentionnelle ou par inadvertance, le conseiller judiciaire en explique la différence, "la loi ne les assimile pas, mais engage la responsabilité dans les deux cas. Le partage volontaire implique une intention, il s’agit donc d’un acte délibéré, potentiellement frauduleux. Il est sanctionné sévèrement. En revanche, le partage accidentel résulte souvent d’une négligence ou d’un défaut de sécurité."
Mais cela n’exonère pas le responsable du traitement, le conseiller judiciaire explique que l’article 23 impose à tout responsable de mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données. À défaut, sa responsabilité civile ou pénale peut être engagée.
Mr. El Fethi souligne que pour les personnes physiques la loi prévoit des peines d’amende et des peines d’emprisonnement selon la gravité des faits. Le Code pénal marocain, notamment les articles 607-3 à 607-9, complète ce dispositif en incriminant l’accès frauduleux à un système informatique, la suppression ou l’altération des données, et le chiffrement malveillant (ransomware). Les sanctions varient entre 1 mois et 5 ans de prison et des amendes de 2.000 à 200.000 dirhams.
Dans ce contexte, le conseiller judiciaire évoque la question du consentement de la personne concernée et précise que celui-ci ne supprime en aucun cas tout risque de sanction, expliquant que le consentement ne constitue qu’un fondement légal de la collecte, mais n’exonère pas de l’obligation de sécurité, de loyauté et de limitation des finalités.
"L’article 24 de la loi oblige les responsables à encadrer contractuellement toute sous-traitance, tandis que l’article 4 rappelle que les données doivent être traitées de manière proportionnée et transparente. Ainsi, même avec consentement, une mauvaise gestion, une fuite ou un détournement de finalité peuvent être lourdement sanctionnés.", précise-t-il.
Après cette attaque cybernétique ayant visé la CNSS, il est essentiel de rappeler l’importance de protéger les données personnelles. La loi 09-08 encadre cette protection et impose des sanctions strictes en cas de violation, ce qui souligne l’importance d’une vigilance permanente pour garantir le respect de la vie privée.
Articles en relations
Société
Société
Société
Société