La CNDP veille au respect des droits de toute personne concernée par le traitement automatique ou non automatique des données personnelles. La cyber-sécurité n'existe dans aucun pays, quels que soient son poids économique ou sa puissance militaire. Tour d'horizon avec Saïd Ihrai, président de la Commission nationale de la protection et du contrôle des données à caractère personnel (CNDP). -Finances News Hebdo : Dans quel contexte la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP) a-t-elle été créée ? -Saïd Ihrai : La CNDP a été mise en place dans un contexte interne et international particulier. Il s'agit pour le Maroc de faire face à la mondialisation et au développement sans précédent des nouvelles technologies de l'information et à l'accroissement des flux transfrontaliers de données à caractère personnel. Ces mouvements sont générés par le phénomène de la délocalisation des entreprises multinationales vers les pays où les coûts de production et la fiscalité sont de plus en plus attractifs. Le Maroc a, depuis les années soixante, développé des relations d'étroite coopération avec la Communauté économique européenne devenue l'Union européenne depuis le traité de Maastricht. Ces relations ont été couronnées par l'octroi au Maroc d'un Statut avancé qui fait de ce mode de relation plus qu'une association, mais moins qu'une adhésion. Ceci offre des avantages économiques importants mais crée un ensemble d'obligations pour le Maroc, notamment celles relatives à la mise à niveau de son économie et de sa législation. -F.N.H. : Que peut apporter l'adoption d'une loi comme la loi 09-08 au Maroc? -S. I. : L'adoption de la loi 09-08 constitue une grande avancée dans le domaine de la protection des libertés, des droits fondamentaux et des données personnelles des citoyens et permet au Maroc de créer les conditions favorables aux délocalisations ou offshoring. Ceci favorise la création de milliers d'emplois dans notre pays. La loi 09-08 s'inscrit dans la stratégie gouvernementale relative au développement de la société numérique au Maroc, après le discours royal du 23 avril 2001 à travers lequel SM le Roi relève que les NTIC jouent un rôle fondamental dans «le décollage économique, dans la maîtrise des enjeux de la compétitivité, de la modernisation, de l'afflux des investissements et de la création d'emplois». En 2009 est créé un Conseil national des technologies de l'information et de l'économie numérique. Le contexte était donc tout à fait favorable en 2009, date à laquelle la loi 09-08 a été promulguée, à la mise en place d'une institution nationale chargée d'assurer la protection des données personnelles et de la doter de larges prérogatives en la matière. -F.N.H. : Justement, quelles sont les prérogatives de la CNDP ? -S. I. : La CNDP veille au respect des droits de toute personne concernée par le traitement automatique ou non automatique des données personnelles, droit à l'information lors de la collecte des données, droit d'accès au traitement, droit de rectification et droit d'opposition. La Commission impose aux responsables du traitement des données personnelles des obligations de confidentialité et de sécurité. Elle contrôle, en outre, le transfert des données personnelles vers un pays étranger. La CNDP est aussi habilitée par la loi, dans le cadre du contrôle qu'elle exerce, à donner des avis à l'autorité gouvernementale ainsi qu'au Parlement chaque fois qu'un projet de loi ou de règlement est susceptible d'avoir des incidences sur la protection des données personnelles. La CNDP peut aussi prononcer des sanctions en cas d'infractions graves à la loi (article 51 à 66) en transmettant, après examen, le dossier au procureur du Roi. -F.N.H. : Les membres de la Commission nationale de contrôle de la protection des données personnelles sont désignés par le Premier ministre. La dépendance de cette instance de l'exécutif ne remet-elle pas sur le tapis la question de son autonomie et celle de la liberté de ses actions? -S. I. : Contrairement à ce qui est affirmé dans votre question, les membres de la CNDP sont nommés par SM le Roi, garant des droits et libertés des citoyens. Ce mode de désignation garantit l'impartialité et l'indépendance de l'Autorité marocaine de contrôle de la protection des données personnelles. Si la loi actuelle pose certaines limites à l'autonomie de la CNDP à l'égard de l'autorité gouvernementale, en revanche, elle a doté l'institution d'un large pouvoir d'appréciation et de contrôle dont peu d'institutions similaires dans le monde disposent. Des amendements ayant pour objet d'élargir et de conforter l'autonomie de l'institution sont en cours d'adoption. Nous n'épargnerons aucun effort pour élargir l'autonomie de la CNDP. -F.N.H. : Les données personnelles sont en principe protégées par la loi, une commission a été même créée dans ce dessein. Comment expliquer alors que ces données soient exploitées par les différentes entreprises? Où se situe le dysfonctionnement ? -S. I. : La loi 09-08 a été promulguée en mars 2009, mais la CNDP n'a été mise sur pied qu'en septembre 2010. Le règlement intérieur de la commission n'a été publié au Bulletin officiel qu'en avril 2011. Bien que l'aménagement des locaux de la CNDP et leur équipement ne soient pas achevés, la commission s'est mise au travail, entreprenant une action de sensibilisation des opérateurs et traitant des plaintes qui lui parviennent. A cet égard, elle a reçu l'APEBI (Association des professionnels des technologies de l'information) et l'AUSIM, (Association marocaine des utilisateurs des systèmes d'information). Certes, l'article 67 de la loi donne deux années, à partir du 15 novembre 2010, aux responsables du traitement pour se mettre en conformité avec la loi. Mais la CNDP réfléchit à la possibilité de prolonger ces délais pour tenir compte de ces retards dont elle n'est pas responsable. Pour la CNDP, il n'y a donc pas de dysfonctionnement. -F.N.H. : On a l'impression que le citoyen marocain n'est pas conscient que l'exploitation de ses données personnelles est en fait une atteinte à sa vie privée. Que fait la CNDP en matière de sensibilisation à ce sujet ? -S. I. : La CNDP reçoit énormément de demandes dans ce sens. Elle annoncera prochainement un vaste programme de communication et de sensibilisation à destination du public, des opérateurs économiques et de l'ensemble des responsables du traitement des données à caractère personnel. -F.N.H. : Est-ce que cette loi nous garantit une «cyber-sécurité» pour ce qui est de l'exploitation des données personnelles par les moteurs de recherche, les réseaux sociaux… ? -S. I. : Concernant la «cybercriminalité», il faut être conscient du fait que la cyber- sécurité n'existe dans aucun pays quels que soient son poids économique et sa puissance militaire. Les Etats tentent, dans le cadre de la protection de leurs intérêts et des données personnelles de leurs citoyens, de trouver, avec les fournisseurs d'accès, les moteurs de recherche et avec les responsables des réseaux sociaux, des solutions devant assurer une bonne protection des données personnelles. Aucune autorité nationale ou mondiale ne peut, à elle seule, assurer une protection totale de ces données. Les autorités nationales de contrôle doivent se concerter, la CNDP participe largement à cette coopération internationale en vue d'assurer une meilleure protection de ces données. Nos collègues de la Commission française informatique et liberté viennent de condamner un très puissant moteur de recherche à de lourdes peines pécuniaires. Propos recueillis par Imane Nigrou