La question a été abordée hier en conseil de gouvernement et un projet de loi devrait être soumis au Parlement après validation. Projet de loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Ainsi est intitulé ce texte novateur. Pour sa mise en pratique qui devrait survenir après un sursis de deux années, de nombreux mécanismes et garde-fous juridiques vont être mis en place.
Déclaration et autorisation préalables pour tout organisme chargé de collecter et gérer ce genre de données et sanctions à la fois pécuniaires et privatives de liberté en cas d’infraction. Et pour mettre de l’ordre dans le domaine, une commission de contrôle et des missions permanentes. Un registre national de protection de données est également prévu. Pour commencer, la loi s’applique au « traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels », stipule le deuxième des 67 articles que compte ce texte. Et le traitement des données à caractère personnel ne peut être effectué que «si la personne concernée a indubitablement donné son consentement à l’opération ou à l’ensemble des opérations envisagées ».
Une autorisation préalable est donc indispensable sous peine de sanctions pénales et dommages et intérêts à verser à la personne lésée. En effet, précise le texte, toute personne sollicitée directement, en vue d’une collecte de ses données personnelles, doit être préalablement informée de manière expresse, précise et non équivoque par «le responsable du traitement». Dans tous les cas, la personne concernée, dispose toujours du droit de s’opposer, «pour des motifs légitimes», souligne le texte, à ce que des données la concernant fassent l’objet d’un traitement. Elle a donc le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
La collecte est, elle-même, soumise à une déclaration préalable à soumettre à un organisme créé ad hoc en vue d’une autorisation émise par le même organisme. Il s’agit, en effet, de la « Commission de contrôle de la protection des données à caractère personnel ». Institution créée auprès du Premier ministre et chargée notamment de mettre en œuvre et de veiller au respect des dispositions de ladite loi et des textes élaborés pour son application. Elle est dotée d’un pouvoir consultatif, aussi bien auprès du gouvernement que du Parlement, mais également de recevoir notifications et réclamations, instruire les dossiers et délivrer les autorisations nécessaires à cette activité.
Outre ce côté réglementaire et consultatif, la commission est également dotée des pouvoirs d’investigation et d’enquête permettant à ses agents, régulièrement commissionnés à cet effet, d’avoir accès aux données faisant l’objet de traitement. Elle peut, de même, ordonner que lui soient communiqués les documents de toute nature ou tous supports lui permettant d’examiner les faits concernant les plaintes dont elle est saisie.
En plus, la commission peut ordonner le verrouillage, l’effacement ou la destruction de données et celui d’interdire, provisoirement ou définitivement, le traitement de données à caractère personnel. A noter que cette commission sera composée de six membres et d’un président, tous nommés. Par ailleurs, et dans ce même cadre organisationnel, il sera institué un Registre national de la protection des données à caractère personnel qui en assurera la mise à disposition du public. Le côté pénal du texte prévoit des sanctions pécuniaires allant de 10.000 à 300.000 DH d’amende selon le degré de la sanction commise par l’organisme chargé de collecte et du traitement des données personnelles.
Des peines d’emprisonnement, allant de trois mois à deux ans de réclusion sont également prévues à l’encontre des dirigeants de ces entreprises. Cela n’exclut pas pour autant d’autres condamnations à verser des dédommagements aux personnes qui se plaindraient auprès des autorités compétentes d’un mauvais usage des données les concernant.
————————————————
Le texte désigne par «données à caractère personnel», toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable.
Par «traitement de données», le projet de loi se réfère à toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion…
De même, par «données sensibles», le texte renvoie aux données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques.
Source : http://www.lematin.ma du 16 Mai 2008
