CNDP et la garantie de la protection des données personnelles

Par Yassine Andaloussi

La Commission Nationale de Contrôle de la Protection des Données à caractère Personnel, communément désignée sous l’acronyme CNDP, constitue l’autorité administrative indépendante chargée de veiller au respect de la loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Sa mission essentielle consiste à garantir le respect des droits des citoyens en matière de vie privée et à assurer la conformité des traitements de données opérés par les organismes publics et privés. Dans l’exercice de ses prérogatives, la CNDP déploie des actions de sensibilisation, de contrôle et de sanction. Elle informe le public de ses droits et obligations, organise des campagnes de formation et édicte des recommandations à l’intention des acteurs économiques et institutionnels afin de prévenir toute violation de la législation. La CNDP dispose de marges de manœuvre juridiques étendues ; elle peut exiger la mise en conformité d’un organisme, prononcer des sanctions financières conformément aux dispositions de la loi n°09-08, suspendre temporairement des traitements de données illicites et ordonner la rectification ou la suppression de données collectées irrégulièrement.

Dans la vie quotidienne, certaines entreprises privées procèdent à l’envoi de SMS promotionnels ou commerciaux à des citoyens marocains sans leur consentement préalable, ce qui constitue une atteinte au droit fondamental à la protection des données personnelles. La CNDP est habilitée à intervenir dans de telles situations afin de contraindre les responsables de traitement à cesser ces pratiques et à régulariser leurs procédures de collecte et de traitement. Un exemple probant de l’exercice effectif de ses prérogatives remonte à l’année 2023, concernant la société TLScontact, prestataire de collecte de demandes de visa pour plusieurs ambassades au Maroc. La CNDP a constaté que cette société avait procédé au transfert d’images de vidéosurveillance vers des institutions situées à l’étranger sans notification préalable, en violation des dispositions légales applicables. En conséquence, la CNDP a exigé la mise en conformité des traitements concernés dans un délai précis, sous peine d’application d’amendes pouvant aller de 20 000 à 200 000 dirhams. Cette intervention illustre la capacité de la commission à exercer un contrôle effectif et coercitif, garantissant le respect de la loi et la protection des droits des citoyens.

Au-delà des interventions coercitives, la CNDP agit également de manière préventive, en organisant des campagnes de sensibilisation aux risques liés aux fuites de données, en publiant des recommandations à l’intention des institutions publiques et privées, et en communiquant publiquement sur les bonnes pratiques en matière de cybersécurité et de protection des informations personnelles. Ces actions visent à renforcer la confiance des citoyens dans la gestion de leurs données personnelles, qu’il s’agisse de transferts internationaux ou de démarches commerciales domestiques. Ainsi, la CNDP constitue un garant fondamental de la protection des données personnelles au Maroc, conciliant la prévention des risques liés aux traitements illicites et l’application de sanctions dissuasives, afin d’assurer le respect des droits fondamentaux des individus.