La cyberattaque ayant ciblé la Caisse nationale de sécurité sociale (CNSS) a entraîné une fuite massive de données personnelles de près de deux millions de salariés de 499 881 entreprises. Ces informations dont les noms complets, numéros de cartes d'identité nationale (CIN), coordonnées bancaires et autres données sensibles, circulent désormais librement sur internet, où elles sont accessibles au téléchargement et largement partagées par les internautes. Qu'est ce qu'en dit la loi ? Eclairage de Me Ahmed Amine Mehiaoui, Docteur en droit et Avocat au Barreau de Casablanca. Les données confidentielles des affiliés de la CNSS, rendues publiques à la suite d'une opération de piratage, sont désormais accessibles sur le web, à tel point qu'une simple navigation sur les réseaux sociaux permet d'en croiser au moins une publication.
Contacté par "L'Opinion", Me Ahmed Amine Mehiaoui, avocat au Barreau de Casablanca, souligne que « les données personnelles divulguées à la suite d'une cyberattaque ne peuvent en aucun cas être considérées comme des données publiques sous prétexte qu'elles sont accessibles au grand public, dès lors qu'elles n'ont pas été rendues publiques légalement ou volontairement par l'administration qui les détient ». Ces données, publiées sur des canaux non autorisés, revêtent un caractère confidentiel et, à ce titre, ne peuvent en aucun cas être rendues publiques volontairement par l'administration qui les détient, sans le consentement des personnes concernées, ajoute notre interlocuteur. Bien qu'accessibles, les données fuitées conservent leur caractère confidentiel, du moment qu'elles permettent d'identifier, directement ou indirectement, une personne, précise notre interlocuteur. Dans ce sens, la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel interdit strictement la collecte, l'enregistrement, la conservation, la consultation, la diffusion ou toute autre forme de mise à disposition de données personnelles sans le consentement de la personne concernée. Il s'agit d'actes répréhensibles en vertu de l'article 54 de ladite loi qui prévoit des sanctions pénales. Ainsi, toute personne ayant collecté des données à caractère personnel par un moyen frauduleux ou déloyal risque une peine d'emprisonnement de trois mois à un an, ainsi qu'une amende de 20 000 à 200 000 dirhams, ou l'une de ces deux peines uniquement si la victime choisit de recourir en justice. À ce sujet, la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP), en vertu de la compétence qui lui est conférée par la loi précitée, a affirmé être prête à recevoir et à traiter les plaintes de toute personne physique s'estimant victime d'une fuite ou d'une publication illicite de ses données, sans son consentement. Un recours peut être envisageable contre la CNSS À ce stade, Me Mehiaoui nous explique que la CNSS, en sa qualité de responsable du traitement des données personnelles qui lui ont été fournies, est tenue, conformément à la loi 09-08, de respecter des obligations strictes en matière de confidentialité, de sécurisation des traitements et de préservation du secret professionnel. Cette obligation, poursuit notre source, impose à l'organisme de prendre toutes les précautions nécessaires pour garantir la sécurité des données et empêcher tout accès ou usage par des tiers non autorisés, conformément à l'article 23 de ladite loi. Ainsi, toute fuite de données personnelles constitue un incident de sécurité, ouvrant droit à réparation pour toute personne ayant subi un dommage matériel ou moral. « Cela dit, toute personne s'estimant victime de cette fuite peut engager une action contre la CNSS, à condition de prouver un manquement aux obligations de surveillance et de sécurité prévues par la loi, avec à l'appui une expertise ordonnée par le tribunal pour établir la faute de la CNSS en l'occurrence une défaillance dans son système de sécurité », explique Me Mehiaoui. À ce jour, la CNDP en sa qualité d'organe garant de la protection des données à caractère personnel, n'a ni confirmé ni écarté l'éventualité d'une faute directe de la CNSS. Elle a toutefois annoncé avoir lancé une analyse technique approfondie à cet effet. Si ladite expertise venait à démontrer une responsabilité pour faute de la CNSS, cela constituerait la preuve d'un manquement de la Caisse à son devoir, sur laquelle les victimes de cette fuite pourraient se prévaloir pour engager sa responsabilité pour obtenir le préjudice subi, conclut notre source, soulignant que la Commission pourrait engager des sanctions disciplinaires à l'encontre de la CNSS en vertu de son pouvoir disciplinaire.
