Nul n'est censé ignorer la loi. Et le Dahir n° 1-09-15 du 18 février 2009, portant promulgation de la loi n° 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, est clair. Son article 12 institue l'obligation d'une autorisation préalable en cas d'utilisation de données à caractère personnel à d'autres fins que celles pour lesquelles elles ont été collectées. Or, après son audition de TLSCONTACT vendredi dernier, la CNDP souligne dans son communiqué publié lundi 9 janvier sur son site webqu'il a été noté, et confirmé l'existence d'un transfert régulier (chaque 5 mn), par ce prestataire de collecte de demandes de visa pour le compte de la France, l'Italie, l'Allemagne, le Royaume-Uni et la Belgique, d'images extraites des enregistrements de vidéo surveillance vers deux institutions gouvernementales à l'étranger. Sauf s'il est dûment autorisé, un tel transfert est interdit. La loi n° 09-08 stipule dans son article 43 du chapitre V, consacré au transfert de données vers un pays étranger, que «le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat étranger que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet». L'infraction à cette disposition légale pourrait valoir, selon l'article 60 de la même loi, un emprisonnement de trois mois à un an et une amende de 20.000 à 200.000 DH ou seulement l'une de ces deux peines. En tout cas, la non notification à la CNDP du transfert de données personnelles effectué par TLSCONTACT à l'étranger «constitue en soi une infraction au regard des dispositions du chapitre VII de la loi n° 09-08 et expose son auteur aux sanctions prévues par celle-ci», rappelle l'instance en charge du contrôle du respect de cette loi. Les institutions et les pays destinataires des transferts frauduleux n'ont pas été révélés. Leurs noms sont déterminants quant aux suites pouvant être données à cette affaire. En vue de rendre son verdict et après avoir avisé les autorités compétentes concernées, la CNDP précise qu'elle poursuit l'instruction de ce dossier tout en ayant signifié au responsable de traitement l'obligation de mettre en conformité tous ses traitements de données à caractère personnel dans un délai ne dépassant pas le 28 février 2023. La Commission a aussi annoncé qu'elle mettra en place un Registre National pour le suivi des plaintes et des contrôles liées aux données personnelles, qui sera rendu public le 31 mars prochain. «En attendant, une page dédiée sur le site web de la CNDP permettra, à compter du jeudi 12 janvier 2023, aux personnes concernées de suivre les événements significatifs de contrôle», indique la Commission dans son communiqué.
