La protection de l’employé à la lumière de la loi 09-08
LAILA TAHORI:
Doctorante en droit à la FSJES Hassan 1er Settat.
laila.tahori@gmail.com
Introduction :
Le Maroc comme le reste du monde, est entrée dans l’ère du numérique. Les nouvelles technologies de l’information et de la communication (NTIC) étendent de plus en plus leur domination à l’ensemble du continent. Il est utile pour notre pays de tirer profit du développement peut générer tout en assurant la sauvegarde des principes fondamentaux des droit de l’homme.
La protection des données à caractère personnel, vise à sauvegarder toute information quelque soit son support qui va être rattaché à une personne physique, qui permettra de l’identifier directement ou indirectement (Nom, Prénom, email, téléphone, adresse,….) aussi via un enregistrement vidéo (vidéo surveillance) .
Les données sont au cœur de la chaîne de création de valeur des entreprises. Si ces données sont bien sécurisées, elles permettent à l’entreprise de gagner en efficacité et en compétitivité, de conquérir de nouveaux marchés, d’améliorer les produits et services et d’encourager la relation avec les clients.
Le traitement des données personnelles est aussi définit largement par la loi 09-08, qui prévoit qu’on parle de traitement de donnée à caractère personnel dès la collecte de ce traitement ça englobe l’utilisation, la conservation, l’enregistrement jusqu’à la destination de la donnée. Le responsable du traitement est déterminé par la loi susmentionné comme étant une personne physique ou morale, autorité publique, ou tout autre organisme qui seul ou conjointement avec d’autre, détermine les finalités et les moyens du traitement des données à caractère personnel . Au Maroc ce principe de protection de données à caractère personnel n’a vu le jour qu’en 2009 ,à travers le Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009) portant promulgation de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel .
Organisant aussi la création de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) chargée de vérifier que les traitements des données personnelles sont licites, légaux et qu’ils ne portent pas atteinte à la vie privée, et préserve la liberté et les droits fondamentaux de l’homme .
La nouvelle constitution de 2011 dans son article 24 instaure et concrétise ce principe « toute personne a droit à la protection de sa vie privée » qui est désormais un principe constitutionnel qui est venu renforcer la loi 09-08 relative à la protection des données à caractère personnel.
Le Maroc convoite assidûment sa standardisation législative auprès de l’union européenne, vu l’ensemble et les multiples investissements qui les relient.
La préservation des données personnelles de chaque individu est indispensable et demeure au centre des préoccupations de l’ensemble de la population d’où l’intérêt de ce sujet dont la problématique est la suivante :
Dans quelle mesure les garanties offertes aux employés dans le cadre de la loi 08-09 leurs permettent de se prémunir contre les abus en matière de protection des données personnelles ?
I : les mécanismes de protection des données personnelles
La commission nationale de la protection des données à caractère personnel (CNDP) est pionnière dans le monde arabe et musulman. Les règles dont se base cette institution s’inspire largement du cadre européen puisque c’est la législation de ce dernier qui est la plus développée.
1 : les obligations des responsables de traitement et droit reconnus à la personne concernée :
La CNDP vise essentiellement cinq prérogatives :
la première qui en constitue le pilier, c’est de sensibiliser et d’informer les citoyens sur leur droits ainsi que les entreprises qui traitent les données personnels sur leurs obligations, en second lieu elle conseille et effectue des propositions pour les autorités gouvernementales, du parlement et des autres administrations, sur les projets et propositions de lois et de règlements, ou au sein des instances internationales.
Elle a aussi pour mission de protéger ; de trouver un équilibre entre la protection des données personnelles et les intérêts des entreprises les traitant. La CNDP veille particulièrement sur la transparence du traitement en effectuant à la fois un contrôle et s’assurant que la réglementation est bien mise en œuvre.
L’institution déclare effectuer constamment une veille juridique et technologique pour avoir plus d’éléments sur d’éventuel menace sur les données personnelles des usagers. Certes une veille juridique est mise en place, mais aucune veille technologique n’est établie au sein de la commission (CNDP).
L’article susmentionné cite parmi les opérations de traitement la collecte, l’enregistrement, la conservation, l’utilisation ou la destruction des données personnelles.
Toute personne physique ou morale, autorité publique, service ou tout autre organisme, selon les dispositions de l’article1 du paragraphe 5 de la loi 09-08 qui , seul ou conjointement avec des autres, détermine les finalités et les moyens du traitement de données à caractère personnel, est qualifié de responsable de traitement et se trouve assujetti alors, au respect des obligations de notification du traitement et à celles relatives à la sécurité et la confidentialité des données personnelles enregistrées, qui interviennent lors du traitement et qui figurent parmi un bon nombre d’obligations.
2-Le rôle du responsable du traitement :
En effet, le responsable de traitement, avant de procéder au traitement des données personnelles des personnes concernées, est tenu de notifier cette opération à la CNDP, en déposant, selon l’article 12 de la loi 09-08, auprès de cette commission, une autorisation préalable, et ce, lorsque les traitements concernent des données sensibles, des utilisations pour fins autres que celles pour lesquelles elles ont été collectées ou des données génétiques exception faite à celles mises en œuvre par des personnels de santé à des fins médicales.
On ce qui concerne les données sensibles, le responsable de traitement est dispensé de ladite autorisation, lorsque le traitement est mis en œuvre par une association ou tout autre groupement à but non lucratif et à caractère religieux, philosophique, politique, syndical, culturel ou sportif, sous réserve des conditions énumérées par l’article 12 de la loi 09-08.
Hormis les cas cités qui nécessitent une autorisation préalable, le responsable de traitement, dans les autres cas, est tenu de notifier à la CNDP son traitement, par le moyen d’une simple déclaration préalable.
Si le responsable du traitement envisage le transfert des données personnelles à l’étranger, il lui faut une demande de transfert à l’étranger l’autorisation à effectuer son opération dans le respect des dispositions législatives. La demande de transfert est exigée en cas d’hébergement et de stockage des données personnelles sur des serveurs situés à l’étranger.
Les obligations des responsables de traitement ne prennent pas fin avec la notification du traitement à la CNDP, mais se prolongent et se multiplient même, lors de la procédure de traitement des données personnelles.
Les obligations concernent principalement la loyauté, la légitimité et la transparence du traitement des données personnelles ; obligations qui représentent le cadre général que doit respecter le traitement. S’en suit l’obligation de respect du principe de proportionnalité des données strictement nécessaires à la réalisation des finalités du traitement poursuivies par le responsable.
Ce principe implique que le traitement doit se limiter aux données pour lesquelles il existe un rapport direct avec la finalité initiale du traitement dont le respect constitue l’une des nombreuses obligations du responsable de traitement.
S’ajoute à cela, l’obligation de veille sur la qualité des données et la sécurité et la confidentialité des données enregistrées, garanties par le stockage des données à des endroits et sur du matériel sûr, d’où le choix d’équipements techniques assurant la sécurité informatique, afin d’éviter toute éventuelle destruction, déformation, endommagement ou accessibilité des données personnelles à des tiers non autorisés.
3-Les droits reconnus à la personne concernée par le traitement des données personnelles :
Pour garantir un traitement des données personnelles conforme aux exigences législatives assurant la protection des droits individuels et de la vie privée des personnes, la reconnaissance à la personne concernée par le traitement d’un nombre de droits, allant de l’information lors de la collecte des données au dépôt de plainte, passant par le droit d’accès, de rectification et d’opposition au cours de la procédure de traitement, tend à maintenir un niveau de sécurité adéquat, face aux besoins des organismes de traiter des données dans le cadre de leurs activités.
Ainsi, l’assurance des droits de la personne concernée par le traitement passe par son information lors de la collecte de ses données. A ce titre, l’article 5 de la loi 09-08 exige du responsable de traitement de procéder généralement à une information expresse, précise et non équivoque.
Le même article pose des limites au droit d’information, notamment lorsque le traitement est effectué pour assurer la sécurité publique, s’il est prévu par la législation ou encore si le responsable du traitement y procède mais à des fins journalistiques, artistiques ou littéraires.
S’il s’avère que l’information de la personne concernée est impossible en cas de traitement pour des fins statistiques, historiques ou scientifiques, le responsable se trouve contraint d’aviser la commission chargée de la protection des données personnelles de l’impossibilité d’informer la personne concernée, et de lui présenter le motif de cette impossibilité.
Au cours de la procédure de traitement des données, la personne concernée par le traitement lui est reconnue un droit d’accès aux informations relatives au traitement, permettant la communication de ses données personnelles, ainsi que la connaissance de la logique qui sous-tend le traitement de ses données.
Pour assurer la sécurité des données personnelles des individus, le nouveau règlement adopté par le parlement européen en Avril 2016, sur la protection des données personnelles « RGPD », qui est entré en vigueur le 25 mai 2018, reconnait désormais à la personne concernée, le droit d’introduire une réclamation auprès d’une autorité de contrôle, de former un recours juridictionnel et le droit de soumettre à la juridiction nationale toute décision de l’autorité chargée de la protection des données personnelles dont elles relèvent, quelque soit l’état membre dans lequel le responsable du traitement est établi.
le RGPD a étendu aux sous-traitants, les entreprises marocaines opérant dans le secteur de l’offshoring, ont une large partie des obligations réservées auparavant aux responsables de traitement, installés sur le territoire européen ,des traitements effectués par des acteurs non établis sur le territoire de l’UE dès lors qu’ils visent des personnes se trouvant sur le territoire de l’UE pour Offre de biens et services où Suivi de comportements au sein de l’union européenne.
Dans cette même perspective, le Cigref (Club Informatique des grandes entreprises Françaises) envisage la possibilité de l’usage du self Data ou VRM , afin de permettre au client de devenir lui-même trader de ses données ou gérer les usages qu’il souhaite en faire.
Innovation qui va engendrer des avantages pour l’entreprise, dans la mesure où elle va favoriser la qualité des bases de données marketing, des clients étant incités à mettre à jour eux-mêmes leurs données puisqu’ils en font usage, et conduire l’entreprise à créer de nouveaux services en matière de gestion de données, qui seraient autant d’opportunités de croissance pour les entreprises.
Le droit d’accès ouvre pour la personne concernée par le traitement, la possibilité d’actualiser, d’effacer ou de verrouiller les données personnelles la concernant, ce droit est reconnu par l’article 8 de la loi 09-08, sous le nom de droit de rectification. A la demande de l’intéressé, le responsable de traitement est tenu dans un délai de dix jours et sans frais pour le demandeur, de procéder aux rectifications nécessaires.
La personne concernée dispose d’une option lui permettant de saisir la CNDP en cas de refus ou de non réponse du responsable de traitement, pour demander la rectification des données personnelles.
Outre le droit de rectification, existe un droit d’opposition au traitement des données personnelles, recevable uniquement pour des motifs légitimes. Toutefois, lorsque le traitement répond à une obligation légale ou lorsqu’une disposition expresse figure dans l’acte autorisant le traitement, l’opposition faite par la personne concernée perd toute sa valeur. En effet, l’accord prime sur l’obligation prévue par la loi 09-08 de garantir le droit d’accès et de rectification de chacun à ses données personnelles.
Le droit d’opposition, conséquence de l’exercice du droit d’accès connaîtra logiquement le même sort.
II : l’étendue du pouvoir de sanctions de la CNDP :
La commission nationale de protection de données à caractères personnels ne vise pas spécialement de sanctionner, mais plutôt de protéger. Si l’entreprise est en bonne foi et ignorait les dispositions de la loi 09-08, la commission ne lui inflige pas automatiquement des sanctions mais l’incite à mettre en place cette conformité et lui octroie un délai pour régulariser la situation.
Toutefois la CNDP prévoit un ensemble de sanctions aux entreprises qui ne cherchent pas à collaborer et d’effectuer le traitement des données personnelles selon les dispositions légales et réglementaires prévues par la loi 09-08.
Le législateur a prévu un certain nombre de sanctions pour accompagner ces dispositions. Ainsi toute personne qui commet une des infractions mentionnées dans le chapitre VII de la loi 09-08, voit sa responsabilité pénale engagée, et exposer à des amendes ou à des peines d’emprisonnement, et ce en fonction de la gravité de l’infraction.
1-L’apparition d’une culture d’entreprise intégrant l’exigence de protection des données personnelles :
L’entreprise dispose de divers moyens techniques pour surveiller l’activité des salariés : cyber surveillance (contrôle des connexions internet et de la messagerie électronique), vidéosurveillance, autocommutateur téléphonique, contrôle d’accès par badge ou biométrie, système d’alertes professionnelles, etc.
Ces dispositifs sont autant de traitements de données personnelles, dès lors qu’ils enregistrent de nombreuses informations sur les salariés visés.
Vidéo surveillance :
L’installation d’un système de vidéosurveillance dans les lieux de travail doit être notifiée à la CNDP à travers une déclaration préalable. Cette déclaration doit être accompagnée d’un engagement du responsable de traitement, qui atteste que le système installé respecte les dispositions de la loi 09-08.
La mise en place d’un système de vidéosurveillance doit permettre l’assurance de la sécurité des biens et des personnes.
Le responsable du traitement est tenu d’informer les personnes concernées, au moyen d’une affiche ou d’un pictogramme, placé à l’entrée des établissements surveillés.
Biométrie :
Les données biométriques sont, de ce fait, des données personnelles, dont le traitement est soumis aux dispositions de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
La biométrie regroupe l’ensemble des techniques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques et comportementales.
La CNDP peut autoriser le recours aux données biométriques pour le contrôle d’accès aux locaux et aux installations sensibles faisant l’objet d’une restriction de circulation et représentant un enjeu majeur de sécurité dépassant l’intérêt strict de l’organisme sous des conditions spécifiques.
2-Sanctions disciplinaires et administratives : article 30 paragraphe 2 et 4 de la loi 09-08 :
« Pouvoir d’ordonner que lui soient communiqués, dans les délais et selon les modalités ou sanctions éventuelles qu’elle fixe, les documents de toute nature ou sur tous supports lui permettant d’examiner les faits concernant les plaintes dont elle est saisie ;
-Ordonner le verrouillage, l’effacement ou la destruction de données et celui d’interdire provisoirement ou définitivement, le traitement de données à caractère personnel, même de celles inclues dans des réseaux ouverts de transmission de données à partir de serveurs situés sur le territoire national ».
La CNDP retire l’autorisation ou le récépissé de déclaration octroyé à l’entreprise responsable des traitements des données personnels si une infraction ou une entorse à la loi 09-08 à été signaler ou perçus par l’organisme.
3-Sanctions pénales : après épuisement de tous les sanctions précités, la commission demande une autorisation au prés du procureur du roi afin de procéder à une saisie de l’entreprise concernées par le traitement non réglementé des données personnels des usagers par une confiscation de ses biens prévue par l’article 89 du code pénal.
Les amendes peuvent allées de 10.000 jusqu’à 300.000 DH et accompagnées ou non d’un emprisonnement allant de 3mois à 2ans selon la gravité de l’infraction commise.
Enfin, L’article 64 de la loi 09-08 dispose que lorsque l’auteur de l’infraction est une personne morale, les peines sont portées au double. La personne morale peut être punie de l’une des peines suivantes :
– la confiscation partielle de ses biens,
– la confiscation prévue à l’article 89 du code pénal, la fermeture du ou des établissements de la personne morale où l’infraction a été commise.
Le cas de récidive est prévu par l’article 65 de la loi, qui prévoit que les sanctions sont portées au double lorsque l’auteur des infractions est récidiviste dans l’année qui suit la décision de la sanction.
Les sanctions sont prononcées sur la base d’un rapport établi par l’un des membres de la CNDP, qualifié de rapporteur et désigné par son président.
Conclusion :
Les données à caractère personnel peuvent constituer une part non négligeable du patrimoine d’une entreprise. Il existe dès lors un véritable marché des données personnelles, lesquelles se monnaient entre les différents acteurs de la vie économique. Corollaire de cette valorisation économique des données personnelles, il s’est créé un marché noir des données personnelles obtenues grâce à des activités illicites sur les réseaux informatiques, notamment des intrusions frauduleuses dans les systèmes informatiques d’entreprises insuffisamment protégées.
Malgré l’amélioration des politiques de sécurité des systèmes et réseaux d’informations, les entreprises sont régulièrement victimes de vols de données, qui sont ensuite revendues à d’autres, concurrents ou non.
De telles évolutions impliquent une adaptation permanente des acteurs économiques, adaptation indispensable pour prévenir les failles de sécurité .De fait, l’entreprise constitue aujourd’hui un levier fondamental de l’effectivité de la politique de protection des données personnelles, un rôle qui est imposé par les pouvoirs publics mais que l’entreprise a su s’approprier, en intégrant progressivement l’impératif de protection des données personnelles à la culture d’entreprise, jusqu’à en faire une arme concurrentielle.
Ainsi, les opérateurs économiques sont dans l’obligation de prendre part aux débats et défendre leurs intérêts dans la redéfinition du cadre juridique et politique de la protection des données à caractère personnel.
Revue Almanara pour les études juridiques et Administratives Numéro Spécial / Avril2020________________