Le gendarme de l’e-commerce au Maroc a commencé ses opérations de contrôle. La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a passé sous la loupe plusieurs catégories de sites web.
Des sites d’annonces, voyage et hôtellerie, cabinets de recrutement et emploi, vente en ligne, deals, marketing, organismes publics, organismes de prévoyance sociale, jusqu’aux concessionnaires de services publics, en passant par l’immobilier, les banques et les sociétés de financement, les assurances, le transport et logistique, la santé, les télécoms et même la location de voitures. Cette opération de contrôle a montré que seulement 22% des sites web au Maroc affichent une mention relative à la protection des données personnelles conforme aux exigences de la loi. «La mention est présente, mais incomplète dans 28% des cas», a indiqué la CNDP qui a mené cette première campagne de contrôle, précisant que 50% des sites contrôlés n’affichent pas de mention relative à la protection des données à caractère personnel.
Les résultats du contrôle, publiés en septembre dernier, démontrent que «très peu de sites web au Maroc, à peine 1%, se soucient de recueillir le consentement des internautes à collecter et traiter leurs données personnelles. Dans 80% des cas, le site web n’évoque nulle part la demande de consentement, et dans 19% des cas, la présence de la demande est aléatoire, puisqu’elle ne figure pas sur la totalité des formulaires de collecte des données», selon la CNDP. L’opération de contrôle de la CNDP montre que l’obligation d’informer les personnes concernées au moment de la collecte de leurs données personnelles dans les termes prévus par la loi est très rarement respectée avec 1%.
Une lettre, accompagnée de la fiche de synthèse et du document, a été adressée aux responsables de traitement, afin de les inviter à procéder à la mise en conformité de leur site web, selon la CNDP. Et à l’expiration du délai fixé par la Commission, les sites web seront à nouveau contrôlés afin de permettre à la CNDP de prendre les mesures légales qui s’imposent. Il s’agit notamment de la relance du responsable du traitement, la mise en demeure et, en l’absence d’une réponse positive, l’ouverture d’une procédure disciplinaire qui pourrait déboucher sur un avertissement, un avertissement public, un blâme, ou même le transfert du dossier à la justice.
Créée par la loi n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, la CNDP est chargée de vérifier que les traitements des données personnelles sont licites, légaux et qu’ils ne portent pas atteinte à la vie privée, aux libertés et droits fondamentaux de l’Homme. Cette loi a pour objectif de doter l’arsenal juridique marocain d’un instrument juridique de protection des particuliers contre les abus d’utilisation des données de nature à porter atteinte à leur vie privée, et d’harmoniser le système national de protection des données personnelles à celles de ses partenaires, tel que défini par les instances européennes.
Pour mieux protéger les internautes, la loi n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel a prévu des sanctions. Ainsi, et sans préjudice de la responsabilité civile des personnes ayant subi des dommages du fait de l’infraction, est puni d’une amende de 10.000 à 100.000 dirhams quiconque aura mis en œuvre un fichier de données à caractère personnel sans la déclaration ou l’autorisation exigée ou aura continué son activité de traitement de données à caractère personnel malgré le retrait du récépissé de la déclaration ou de l’autorisation.
Aussi, est puni d’une amende de 20.000 à 200.000 dirhams par infraction, tout responsable de traitement de données à caractère personnel refusant les droits d’accès, de rectification ou d’opposition. La loi n° 09-08 a également prévu une peine d’emprisonnement de trois mois à un an et d’une amende de 20.000 à 200.000 dirhams ou de l’une de ces deux peines seulement, quiconque effectue un transfert de données à caractère personnel vers un Etat étranger.
