La Commission nationale pour le contrôle de la protection des données à caractère personnelles (CNDP), a annoncé avoir effectué 111 contrôles auprès d’entreprises privées et publiques en 2015, dont 45 sur place et 66 sur le web, et ce en marge de la 38e conférence internationale des commissaires à la protection des données et à la vie privée, qui se tenait à Marrakech du 17 au 20 octobre derniers. Le constat est alarmant, selon Nouzha Mhandez, chef de division de contrôle à la CNDP  : «99% des contrôles révèlent une méconnaissance de la loi et pas un acte frauduleux». Depuis 2014, la CNDP a effectué plus de 300 contrôles auprès de différents sites web ainsi que des sociétés publiques et privées. La CNDP a mis l’accent sur deux nouvelles thématiques en 2015 : la gestion des dossiers médicaux et les bases de données.

Sept établissements médicaux (5 cliniques et 2 hôpitaux) ont été contrôlés à Casablanca et à Rabat. Là aussi, les résultats sont plutôt décevants, explique Lahoussine Aniss, secrétaire général de la CNDP : «Les traitements de données, comme les bilans médicaux, les radios, les analyses biologiques ne sont quasiment jamais notifiés auprès de la commission».

En ce qui concerne les bases de données, 3 établissements ont été contrôlés (2 centres d’appels et 1 agence de voyages). Si les deux centres d’appels étaient conformes à la loi, ce n’était pas le cas de l’agence de voyage, selon le secrétaire général qui affirme que l’établissement n’avait pas fait de demande de notification auprès de la commission. «Les bases de données touchent directement le secteur de l’offshoring, très important au sein de l’économie marocaine, explique-t-il, l’idée est de s’assurer que les bases de données importées et constituées localement sont protégées».

En parallèle, la commission a continué sa campagne de contrôle sur le web. Selon les agents assermentés, la majorité des sites web au Maroc n’est pas conforme à la loi, c’est-à-dire que la plupart du temps les sites web ne demandent pas le consentement des internautes avant de collecter leurs données et ne respectent pas le droit d’accès et de modification de ces données.

Le président de la CNDP, Said Ihrai, s’étonne que ces manquements persistent : «La procédure de demande d’autorisation est pourtant très simple. Il suffit de retirer le formulaire sur notre site, le remplir et nous la retourner ! », explique-t-il. Entre 2011 et 2015, la CNDP a reçu 3404 demandes de notifications, dont 30% ont été rejetées, majoritairement en raison de dossiers incomplets (62% des cas).

Pour Richard Bertrand, fondateur et gérant d’ActeCil, un groupe français qui aide notamment les entreprises marocaines à se conformer à la gestion des données personnelles, le problème vient surtout du fait que la commission n’a pas de pouvoir coercitif : «Par certains aspects, la mise en conformité avec la loi peut être coûteuse pour les entreprises. Donc certaines entreprises se disent que puisqu’elles ne seront pas punies l’adaptation ne vaut pas le coup financièrement ».

Depuis sa création en 2011, la CNDP a transféré seulement 7 dossiers au procureur, 3 résultants d’une plainte et 4 d’un contrôle. On retrouve quatre types de dossiers : commerce électronique, vidéosurveillance dans la copropriété, vidéosurveillance et voisinage, obstruction à l’enquête des contrôleurs de la CNDP.

Par ailleurs, la CNDP a reçu 396 plaintes en 2015. Un nombre en constante évolution depuis la création de la commission en 2011 ou seulement une plainte avait été déposée contre 7 en 2012, 43 en 2013 et 162 en 2014. «Cela montre que les gens sont de plus en plus sensibilisés à leurs droits et à l’existence de la CNDP», commente la chef de division de contrôle à la CNDP Nouzha Mhandez.