Données personnelles : la CNDP accélère le programme de mise en conformité

Au Maroc, la CNDP accélère le rythme des contrôles de conformité aux lois relatives à la protection des données personnelles.

Depuis quelques semaines, des entreprises issues de divers secteurs rapportent avoir reçu des courriers du régulateur les invitant à se conformer à la législation en vigueur.

Ces courriers, parfois accompagnés de feuilles de route étalées sur plusieurs mois, détaillent les exigences légales à respecter ainsi que les sanctions encourues en cas de manquement. Il s’agit de documents standardisés, avec des informations adaptées à la nature du secteur concerné.

Selon nos informations, il ne s’agit ni d’une campagne ponctuelle ni d’une réaction à un événement particulier. Nos sources écartent toute corrélation avec la récente polémique liée à la fuite massive de données de la CNSS, un dossier traité séparément.

Il est plutôt question d’une démarche de fond, initiée l’année dernière, couvrant déjà un large éventail de secteurs, et qui se poursuivra avec pour ambition de s’étendre à l’ensemble de la population. Il s’agit d’un programme qui s’inscrira dans le temps, au même titre que les efforts de sensibilisation.

La presse nationale fait partie des secteurs visés, au même titre que des professions juridiques telles que les notaires, les avocats ou encore les adouls.

Toujours selon nos sources, la CNDP a lancé ce chantier avec le secteur de la santé, qui a bénéficié d’une attention particulière en raison de la sensibilité des données traitées. À titre d’exemple, on nous précise que près de 3.000 pharmaciens ont déjà entamé les démarches de mise en conformité.

La cyberattaque contre la CNSS décryptée en 10 points clés

L’incident ne se limite pas à une simple fuite d’informations : il a entraîné de nombreux dommages collatéraux, allant de tensions au sein des entreprises touchées, jusqu’à la mise en cause possible de la responsabilité juridique de la CNSS.

Médias24 a couvert cette affaire dès ses premières heures, en croisant les regards d’experts spécialisés pour en décrypter toutes les dimensions.

Voici les faits résumés en 10 points :

1. Une fuite massive, sans précédent

Le 8 avril 2025, la CNSS a été victime d’une cyberattaque d’une ampleur inédite. Des hackers ont commencé à diffuser des fichiers contenant des données sensibles sur une chaîne Telegram nommée « JabarootDZ ».

De grandes institutions et entreprises sont touchées. L’attaque a été revendiquée par un groupe se présentant comme algérien, affirmant agir en rétorsion à un prétendu piratage du compte X (anciennement Twitter) de l’Agence de presse algérienne (APS) par des Marocains. Les motivations avancées restent floues, mais les conséquences sont tangibles et graves.

Parmi les entités touchées figurent des institutions publiques et de grandes entreprises telles que AXA, Al Barid Bank, l’Agence nationale de sécurité du médicament, l’Institut national du service public, ainsi que des banques.

Il va sans dire et ceci a été rappelé le premier jour dans le seul communiqué attribué à la CNSS -et qui a été relayé par la MAP, qu’aucun des documents diffusés n’est à l’abri d’une manipulation.

2. Quelles sont les données qui ont fuité?

Selon les vérifications de Médias24, il s’agit d’un fichier compressé contenant un dossier et deux fichiers CSV:

1 dossier ATTESTATIONS SALARIES DECLARES.
1 fichier csv.
1 autre fichier csv.

Contenu du dossier « ATTESTATIONS SALARIES DECLARES ».

Le dossier se nomme « ATTESTATIONS SALARIES DECLARES/ » et contient 53.574 fichiers PDF. Chaque fichier pdf correspond à une « attestation des salariés déclarés » par une organisation (toutes formes juridiques confondues). Ce chiffre ne comprend pas de doublons.

Ces attestations contiennent les données suivantes :

Nom/Raison sociale
Activité exercée de l’entreprise
Adresse de l’entreprise
Ville de l’entreprise
N° d’affiliation de l’entreprise
Date d’affiliation de l’entreprise
Identifiant Commun de l’Entreprise
N° Registre de commerce de l’Entreprise
N° Taxe Professionnelle de l’Entreprise
Identifiant Fiscal de l’Entreprise ICE.
Forme Juridique de l’Entreprise

Chaque attestation inclut également :

Un tableau récapitulatif représentant la masse salariale par mois et le nombre de salariés.
Une liste nominative des salariés déclarés, contenant leurs :
- Numéro d’immatriculation CNSS.
- Nom et prénom.
- Nombre de jours travaillés.
- Salaire déclaré (en dirhams).

Contenu du fichier ADHERENTS.csv

Ce fichier, d’une taille de 322 Mo, regroupe les informations détaillées de 497.653 entités affiliées à la CNSS, notamment :

Raison sociale de l’entreprise.
Numéro d’affiliation CNSS.
Dates d’adhésion et d’affiliation.
Informations sur le représentant légal :
- Nom et prénom.
- CIN.
- Adresse e-mail.
- Numéro de téléphone.
Modalités de télépaiement (virement, DAB, etc.).
RIB complet.
État du compte (actif, suspendu…).
Code banque.
Date de création du compte bancaire.
Agence CNSS de rattachement.
Nom du mandataire si l’entreprise agit par procuration.

Contenu du fichier SALARIES.csv

Ce fichier, d’une taille de 265 Mo, contient la liste de 1.945 .915 salariés affiliés à la CNSS. Pour chacun d’eux, on retrouve les informations suivantes :

CIN ou numéro de passeport.
Nom et prénom.
Numéro d’immatriculation CNSS.
Date d’affiliation.
Nom de l’employeur.
Numéro d’affiliation de l’employeur.
État de la demande (validée, en attente, rejetée…).

En 2023, la CNSS annonçait:
– 332.102 d’affiliés déclarants à la CNSS.
– 3,98 millions de salariés déclarés.

Le nombre de fiches de salariés représente donc, théoriquement, environ la moitié des salariés déclarés. Par contre, le nombre d’entités adhérentes (entreprises sous toutes leurs formes), est nettement supérieur aux chiffres officiels.

3. Ce qu’a dit la CNSS : un appel à la responsabilité

Dans un communiqué publié le 9 avril au soir par l’agence MAP, la CNSS confirme avoir été visée par une série d’attaques visant à contourner ses dispositifs de sécurité. Elle indique qu’une fuite de données s’en est ensuivie, dont l’origine et l’étendue sont encore en cours d’évaluation.

La CNSS affirme également avoir mobilisé des moyens techniques pour identifier les données potentiellement concernées.

Rappelant que la confidentialité des informations de ses usagers est une priorité, la Caisse annonce avoir lancé une enquête administrative interne. Les autorités judiciaires compétentes ont également été saisies.

Par ailleurs, la CNSS a appelé les citoyens et les médias à la vigilance, et à éviter tout acte de diffusion ou de partage des données fuitées, qu’elles soient authentiques ou falsifiées, sous peine de poursuites judiciaires.

4. Ce qu’a dit le gouvernement : acte criminel, timing suspect

Lors de la conférence de presse du 10 avril, Mustapha Baitas, porte-parole du gouvernement, a qualifié les cyberattaques contre la CNSS et le ministère de l’Emploi d’ »actes criminels » perpétrés par des « parties hostiles ». Il a indiqué que certaines données comportaient des « erreurs et des distorsions », et que la CNSS avait saisi les autorités judiciaires.

Baitas a également fait un lien entre le timing de l’attaque et le renouvellement par les États-Unis de la reconnaissance de la souveraineté du Maroc sur le Sahara, y voyant une tentative de nuire aux avancées diplomatiques du pays. « La confiance croissante dont jouit notre pays dérange les parties hostiles au point de les pousser à recourir à ces actes agressifs ».

5. La CNDP temporise et recadre le débat

Interrogé par Médias24, Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), a refusé toute précipitation : « Pas d’appréciation à la va-vite ».

Pour Seghrouchni, la CNDP adopte une démarche institutionnelle fondée sur les faits, l’analyse juridique et l’audit technique. « La CNDP se comporte en institution de droit. Pas d’appréciation à la va-vite. Nous recueillerons les constats et rapports. Nous écouterons différents responsables. Puis, en commission, nous analyserons la situation pour prendre les décisions nécessaires ».

Par ailleurs, la CNDP rappelle que la CNSS est soumise à la loi 09-08 sur la protection des données personnelles, qui impose des obligations de sécurité juridique, technique et opérationnelle. Elle souligne que la consultation, la possession ou la diffusion des données issues de cette fuite sont illicites. Elle se tient prête à recevoir les plaintes des citoyens affectés, tout en appelant à la rationalité et à la responsabilité dans le traitement de cette affaire sensible.

6. Consulter ou partager les données fuitées est illégal

Les réseaux sociaux sont inondés d’images et de documents relatifs aux attestations de déclaration, contenant des informations personnelles de nombreuses personnes. Dès lors, une question se pose : est-il légal de consulter ou de partager ces données fuitées ? À première vue, la réponse est non.

Le traitement, le téléchargement ou la simple consultation des données issues de cette fuite sont formellement interdits. Ainsi, même si les documents sont techniquement accessibles sur le web, leur usage demeure une infraction.

« Quand on vous donne de l’argent dit sale, est-il légal de l’utiliser ? La réponse est non. Les lois contre le blanchiment sont claires. Si le moyen d’obtention ou de collecte de la donnée à caractère personnel est illégal, son utilisation et sa diffusion sont illégales », explique Omar Seghrouchni.

Ainsi, dans un communiqué, la CNDP rappelle que le traitement licite de données à caractère personnel repose sur le consentement éclairé de la personne concernée ou sur un cadre légal autorisé par la loi n° 09-08. Elle ajoute que toute information obtenue en dehors de ce cadre est illicite, et son utilisation constitue une infraction.

7. Les pistes techniques possibles de piratage

Interrogé par Médias24, l’expert en sécurité des systèmes distribués, Badr Bellaj, avance plusieurs scénarios plausibles sur les techniques employées par les assaillants. L’attaque pourrait avoir été menée via une injection SQL ou une exécution de code à distance, deux procédés permettant un accès profond aux bases de données internes.

Une autre piste évoquée est celle du phishing ciblé, où un employé, en cliquant sur un lien malveillant, aurait involontairement ouvert une brèche dans le système. Enfin, une vulnérabilité critique chez un prestataire tiers, comme Oracle, est également envisagée : une faille d’authentification publique avait été signalée en mars 2025.

Dans le même sens, consulté par Médias24, Anas Chanaa, expert en cybersécurité, indique que le phishing reste la technique la plus couramment utilisée par les hackers. « Aujourd’hui, les entreprises et les administrations sont surtout ciblées par des attaques de type phishing. Ces attaques consistent à envoyer des e-mails qui semblent venir d’un client, d’un fournisseur ou d’un service officiel, dans le but de tromper l’utilisateur. En ouvrant une pièce jointe piégée ou en cliquant sur un lien malveillant, la victime peut sans le savoir déclencher un rançongiciel (ransomware) ou permettre à un pirate de s’introduire dans le système ».

Par ailleurs, l’exfiltration des données semble avoir été réalisée de manière progressive et discrète, sur plusieurs semaines, couvrant la période novembre-décembre 2024. « L’analyse des données partagées confirme leur authenticité et indique qu’elles couvrent la période de novembre-décembre 2024. Cette extraction s’est déroulée de manière progressive, suggérant une opération prolongée et méthodique », indique Badr Bellaj.

Une donnée cruciale interpelle les spécialistes : les fichiers n’étaient pas cryptés. Ils étaient sockés et accessibles en clair, sans chiffrement ni mesure de protection spécifique, même pour des informations aussi sensibles que les CIN, RIB, salaires, adresses e-mail, numéros de comptes bancaires, etc.

8. Les efforts de cybersécurité de la CNSS : investissements et limites

Depuis 2024, la CNSS a lancé au moins treize marchés publics en lien avec la cybersécurité dans le cadre de la refonte de son système d’information. Plusieurs de ces marchés ont déjà été attribués, avec des délais d’exécution variant de deux mois à plus d’un an. Toutefois, il n’est pas établi que ces systèmes soient entièrement opérationnels à ce jour.

Parmi les marchés attribués :

Une solution de cybersurveillance attribuée en décembre 2024 à la société HTBS, pour un déploiement sur un an. Cette solution devait permettre à la CNSS d’avoir une vision 360° sur les menaces, notamment via la recherche sur le dark web, la détection de comptes d’usurpation sur les réseaux sociaux comme Telegram, et l’envoi d’alertes contextualisées.
Une solution de prévention des intrusions attribuée à Modcoc en juillet 2024 pour 1,6 MDH, avec maintenance annuelle de 448.800 DH. Cette solution intègre des technologies de Machine Learning et de détection des attaques Zero-Day. La solution est censée être opérationnelle.
Une solution de détection des cybermenaces et de réponse rapide attribuée en mai 2024 à Netcom Technologies pour 2,85 MDH (maintenance annuelle de 887.611 DH), permettant une visibilité en temps réel sur les incidents.
Un système de cyberrésilience attribué à Forum international pour 4,33 MDH, ainsi qu’un projet de création d’un Data Lake confié à Admiral Digital Consulting (8,79 MDH).

Malgré ces investissements, l’attaque a révélé l’existence de failles persistantes.

9. Responsabilité juridique de la CNSS : les entreprises touchées peuvent déposer plainte

La CNSS pourrait être tenue juridiquement responsable de la fuite de données si l’enquête démontre des manquements à ses obligations légales. En tant qu’institution publique traitant des données sensibles, elle est soumise à la loi 09-08 sur la protection des données personnelles, ainsi qu’à la loi 05-20 sur la cybersécurité.

Ces textes exigent la mise en place de mesures de sécurité techniques, juridiques et organisationnelles, y compris chez les prestataires de services. Ainsi, il y a lieu de se demander si la CNSS peut être tenue pour responsable et, par ricochet, si les personnes estimant que la fuite de leurs données personnelles leur a causé un préjudice peuvent déposer plainte contre elle.

Selon Me Khadija Zoulali, avocate au barreau de Casablanca, les lois précitées (09-08 et 05-20) « instaurent, en effet, une obligation de sécurité ».

« La loi ne prévoit pas d’exonération de responsabilité en cas de cyberattaque. L’évaluation de la responsabilité de la CNSS repose donc sur le niveau de diligence qu’elle a effectivement mis en œuvre avant l’incident. Ainsi, la responsabilité de la CNSS dépendra étroitement de la qualité des mesures mises en place par elle pour prévenir le risque d’intrusion »,précise-t-elle.

Dans tous les cas, la CNSS reste responsable de la protection des données qu’elle gère. La loi prévoit également des sanctions en cas de manquement à l’obligation de sécurité ou de notification à la CNDP.

Même son de cloche chez Omar Seghrouchni. « Quand un fou tamponne votre voiture, si vous n’avez pas d’assurance, vous avez une part de responsabilité », souligne-t-il.

10. Les ressources humaines mises à l’épreuve : choc des salaires et climat interne

La fuite de données a entraîné des réactions vives dans plusieurs entreprises. En accédant aux salaires de leurs collègues, certains employés ont découvert des écarts considérables. Cette transparence brutale a provoqué des tensions internes, mettant à rude épreuve les services RH.

La gestion de cette crise interpelle sur les pratiques de communication salariale, la transparence interne et la capacité des entreprises à prévenir les effets d’une divulgation massive et non contrôlée d’informations sensibles.

Attaque cybernétique contre la CNSS : la CNDP met en garde contre l’utilisation des données personnelles obtenues illégalement

Dans un communiqué, la CNDP rappelle que le traitement licite de données à caractère personnel repose sur le consentement éclairé de la personne concernée ou sur un cadre légal autorisé par la loi n° 09-08, ajoutant que toute information obtenue en dehors de ce cadre est illicite, et son utilisation constitue une infraction.

À cet égard, la CNDP souligne qu’elle est, en particulier, investie de prérogatives d’investigation et d’enquête, en vertu de l’article 30 de la loi n° 09-08, lui permettant de s’assurer que les responsables du traitement des données à caractère personnel, d’une part, effectuent ce traitement en conformité avec la loi n° 09-08, et, d’autre part, que les données à caractère personnel traitées sont protégées d’une manière conforme aux dispositions de l’article 24 de la même loi.

À ce titre, et conformément à sa mission, précise le communiqué, la CNDP se tient prête à recevoir et traiter les plaintes de toute personne physique estimant être victime de fuites ou de publication illicite de données personnelles et diligentera une enquête pour vérifier la conformité du traitement desdites données aux dispositions de la loi n° 09-08 et de ses textes d’application, notamment à la lumière des premières vérifications réalisées par certains acteurs qui ont permis de relever que certains documents fuités, attribués à cette attaque cybernétique, se sont avérés faux, inexacts ou tronqués.

Chambre des représentants. La reconnaissance faciale pour lutter contre l’absentéisme des députés

Avec les membres de la Chambre des représentants, toutes les solutions possibles ont été testées pour amener les élus de la Nation à plus d’assiduité. Les demandes d’explication aux députés absentéistes n’ont servi à rien. De même que les menaces de ponction sur les indemnités des concernés qui n’ont jamais été mises à exécution.

Le bureau de la chambre en est finalement arrivé à la méthode « name and shame » : donner lecture au début de la première séance plénière (généralement les lundis) de la liste des élus qui s’étaient absentés la semaine précédente sans avoir fourni de justification. Or cela a donné lieu à une grande levée de boucliers.

Certains élus avaient protesté, attestant qu’ils étaient bien présents lors de la précédente séance, d’autres ont argué avoir été en mission ou qu’ils avaient envoyé des courriers justifiant leur absence.

« Il ne faut jamais sous-estimer la capacité de résistance dont peuvent faire preuve certains députés pour contourner tous les mécanismes de contrôle. Quand l’intention de base est de se soustraire à toute forme de reddition des comptes, il n’y a rien à faire », commente un haut cadre du Parlement.

Cette résistance dont parle notre interlocuteur s’est manifestée de manière très flagrante à l’occasion du vote définitif du projet de loi organique portant sur la grève.

Nous sommes le 5 février et ledit texte était soumis à l’adoption, en plénière et en deuxième lecture, à la Chambre des représentants. Sur les 395 membres que compte cette chambre, seulement 104 ont répondu présent. Autrement dit, 3 sur 4 ont estimé que ce projet de loi, qui a suscité tant de passions et de polémiques, n’était pas une priorité.

De report en ajournement

La reconnaissance faciale pour contrôler la présence des députés devait, selon nos sources, démarrer en janvier dernier, mais cela a été reporté pour des raisons techniques : la Chambre des représentants n’avait pas encore réceptionné le matériel nécessaire, notamment des caméras dernier cri. C’est désormais chose faite, indiquent nos sources sans être en mesure de donner plus de précisions.

« À notre connaissance, aucun appel d’offres n’a été lancé dans ce sens. Cette acquisition a sûrement été faite via des bons de commande, et le marché n’aurait pas coûté plus de 500.000 dirhams« , admet un élu de la majorité.

Pour la mise en œuvre de ce nouveau mécanisme en avril prochain, la plupart des parlementaires interrogés par Médias24 sont encore dans le flou. Mais une chose est sûre : les préparatifs ont bien démarré.

« On nous a demandé de prendre contact avec les services administratifs de la chambre pour nous faire prendre en photo. Les photos vont servir à constituer une base de données pour les besoins de la reconnaissance faciale », affirme un parlementaire de la majorité.

Du côté du bureau de la Chambre des représentants, la décision a été prise d’installer ces caméras aux multiples entrées de l’Hémicycle. Mais tout le monde ignore encore le mode opératoire de ce système.

« Dans un premier temps, tout le processus sera supervisé par les services de la Chambre des représentants. Le recours à un prestataire externe pourrait être également envisagé en cas de besoin », affirme une source informée, interrogée par Médias24.

Et ce ne sont pas les exemples qui manquent, surtout de pays qui nous ont toujours servi de modèle dans le travail législatif. En France, par exemple, la reconnaissance faciale est utilisée par le Sénat aussi bien pour le « pointage » que lors du vote de divers textes ou motions. Avant de valider son vote, chaque sénateur est soumis à la reconnaissance faciale.

Au-delà du benchmarking, un tel chantier ne saurait être mené à bien sans l’adhésion des premiers concernés. « La technologie à elle seule ne suffit pas. La balle est dans le camp des partis politiques qui doivent imposer une stricte discipline à leurs élus. Et c’est une autre paire de manches, selon un cadre du Parlement qui suit, de très près et depuis de longues années, les efforts (pas toujours concluants) de moderniser et de moraliser l’action de l’institution législative.

Vidéosurveillance, reconnaissance faciale : la CNDP va auditionner toutes les parties concernées

Dans un communiqué diffusé vendredi 21 mars, la CNDP explique que cette décision intervient afin de veiller à ce que la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel soit communément interprétée par les différents acteurs impliqués dans les problématiques liées à ce sujet.

« Le recours à la vidéosurveillance est, de nos jours, une question importante qui a trait à des sujets aussi variés que la protection des lieux publics, la protection des lieux privés, la constatation ou la conservation d’états de fait en vue d’études, de recherches scientifiques ou de prévention de risques divers et variés », relève la même source.

Cette problématique n’est pas traitée de la même manière dans les différentes régions du monde. Son traitement dépend des dispositions constitutionnelles et juridiques en vigueur dans les pays concernés et des traits culturels et sociologiques des populations concernées.

Il dépend enfin des procédés techniques mis en œuvre et des considérations et des contraintes liées à la sauvegarde et au maintien de la tranquillité publique, ajoute-t-on.

À titre d’exemple, en matière de vidéosurveillance avec reconnaissance faciale sur la voie publique, les frontières entre ce qui est nécessaire, ce qui est acceptable et ce qui est possible sont par nature appelées à une évaluation et à une appréciation permanentes, rendues encore plus nécessaires à l’occasion du recours à toute technologie nouvelle, dont l’utilité et l’intérêt appellent une appréciation au regard des risques qu’elle pourrait éventuellement receler du point de vue de la protection des données personnelles.

À cet égard, une réflexion éclairée et apaisée est souhaitable afin de prendre en compte les valeurs portées par la Constitution, l’attachement des citoyens à ces valeurs, mais aussi l’intérêt public légitime, souligne la CNDP.

Encadrement de l’IA : la CNDP auditionne experts et institutions

Ces traitements, qui exigent une attention particulière en matière d’intégrité, de transparence, de loyauté et de lisibilité, doivent garantir aux citoyens l’accès à des voies de recours, a indiqué la CNDP dans un communiqué, notant que la Commission veille ainsi à leur conformité avec les dispositions légales en vigueur, notamment la loi 09-08.

Dans ce contexte, un benchmark international a été réalisé et des consultations ont été menées auprès d’autorités et d’instances de protection des données à l’échelle internationale, ajoute la même source.

Ainsi, la CNDP prévoit d’auditionner une diversité d’acteurs, incluant des experts nationaux et internationaux, des organisations scientifiques et professionnelles, des institutions, des associations de la société civile, ainsi que toute personne ou entité capable d’apporter un éclairage sur le sujet.

Les acteurs intéressés sont invités à manifester leur intérêt en adressant un message à l’adresse suivante : auditions-ia@cndp.ma, conclut le communiqué.

Le site de la CNDP piraté, « les informations sécurisées n’ont pas été impactées »

La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) affirme rester vigilante et engagée pour maintenir un site internet conforme aux standards de sécurité, après que des personnes malveillantes ont inséré, il y a quelques semaines, des commentaires inadéquats sur le site internet de la Commission.

Dans un communiqué, la CNDP explique qu’une recherche sur Google du site internet de la Commission « retourne des commentaires de vente dans une langue d’Extrême-Orient ».

« Le site internet de la CNDP est sans relation avec le système d’information interne de l’institution« , précise la même source, assurant que les informations sécurisées de la CNDP n’ont pas été impactées à la suite de l’insertion par des personnes malveillantes de commentaires inadéquats sur le site internet.

Aujourd’hui, le référencement du moteur de recherche de Google présente encore l’image de l’ancienne version, note la CNDP, soulignant avoir demandé à Google de réindexer son référencement.

Une autre attaque est en cours, ciblant plusieurs sites sur internet sans viser directement la CNDP, fait savoir le communiqué, assurant que les différents acteurs sont en train de mettre en place les mesures nécessaires.

Six nominations à la CNDP

Il s’agit de :

Deux membres sur proposition du chef du gouvernement

– Abdelaziz Amraoui ;
– Majid Lahlou.

Deux membres sur proposition du président de la Chambre des représentants :

– Zakaria Oulad ;
– Fatima Saadi.

Deux membres sur proposition du président de la Chambre des conseillers :

– Lahcen Madi ;
– Mohamed Bouden.

Pour rappel, le président de la CNDP, Omar Seghrouchni, a été nommé le 17 novembre 2018 par le Roi Mohammed VI, avant d’être renouvelé pour un deuxième mandat.

Le portail de la transparence transféré à la CDAI

Cette initiative marque un « jalon majeur » dans la mise en œuvre des dispositions de la loi n°31.13 sur le droit d’accès à l’information pour toutes les institutions indiquées par l’article 2 de cette loi, indique un communiqué du ministère de la Transition numérique et de la réforme de l’administration (MTNRA).

La convention définit les modalités techniques et organisationnelles pour assurer un transfert optimal de cette plateforme de référence du MTNRA vers la CDAI. Ce transfert inclut les fonctionnalités existantes, les spécificités techniques ainsi qu’un accompagnement et une assistance technique garantis par le MTNRA pour une durée de six mois.

Le portail www.chafafiya.ma a pour vocation d’être une interface interactive entre plusieurs institutions, à savoir, la Chambre des représentants, la Chambre des conseillers, les administrations publiques, les tribunaux, les collectivités territoriales, les établissements publics ou toute personne morale de droit public, ainsi que toute autre institution ou organisme de droit public ou privé investi de mission de service public et les institutions et instances prévues au Titre XII de la Constitution, et les citoyens, à travers la réception et le traitement des demandes d’accès à l’information, ajoute-t-on de même source.

Ainsi, la CDAI, entité en charge du suivi de la bonne application du droit d’accès à l’information sur le plan national, mettra à disposition de ces institutions ce portail à vocation nationale.

Ce partenariat s’inscrit dans une vision plus large ne s’arrêtant pas aux administrations publiques, mais étant à la disposition de toutes les institutions citées.

La plateforme www.chafafiya.ma deviendra ainsi un outil central pour encourager la participation citoyenne et promouvoir une culture d’ouverture au sein des institutions publiques, conclut le communiqué.

Données personnelles : des « imposteurs » sévissent à nouveau, avertit la CNSS

« La Caisse nationale de sécurité sociale désavoue les imposteurs qui ont contacté plusieurs citoyens en usurpant l’identité de représentants de la CNSS, afin de leur demander leurs coordonnées bancaires », a averti la CNSS dans un communiqué publié lundi.

Afin de protéger ses assurés, ajoute la même source, « la CNSS attire leur attention au risque lié à la communication des données et informations à caractère personnel à des tiers non fiables, qui peut être une forme d’escroquerie et d’utilisation malveillante de leurs données personnelles« .

À cet effet, « la CNSS procédera à la poursuite de toute personne impliquée dans cette affaire, et prendra toutes les mesures judiciaires nécessaires à son encontre », souligne le communiqué.

La CNSS appelle tous ses assurés à vérifier la crédibilité des informations la concernant, ou relatives à sa relation avec eux, en suivant son site officiel www.cnss.ma et ses pages officielles sur les médias sociaux, conclut le texte.

(Avec MAP)

Omar Seghrouchi (CNDP) : « L’investissement n’absout pas les violations des données personnelles »

Le Maroc engage sa transition numérique et, de ce fait, la question de la protection des données personnelles s’impose comme une priorité. Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), nous explique comment l’institution s’adapte à ce contexte en plein essor.

Engagements du Royaume à l’international, enquête en cours sur les agissements de TLS Contact, augmentation des escroqueries via WhatsApp… Dans cette interview, notre interlocuteur évoque certains sujets sensibles, tout en détaillant les chantiers prioritaires pour 2024-2025. Il insiste sur la nécessité d’une culture de la protection des données personnelles au Maroc, essentielle pour garantir la confiance des citoyens dans un monde numérique en constante évolution.

Médias24 : Quels sont les principaux chantiers de la CNDP pour cette la période 2024-2025 ?

Omar Seghrouchni : Nous avons plusieurs chantiers importants. Mais nous pouvons en citer les principaux :

renforcer nos opérations de contrôle ;
élargir les secteurs qui se mettent en conformité ;
continuer à améliorer notre réactivité avec les responsables de traitement et les citoyens ;
renforcer nos équipes en nombre et en qualité afin de rester en phase avec les dernières évolutions technologiques et sociétales ;
aménager notre siège à la suite de notre déménagement en assurant le confort et le bien-être pour le travail de nos collaborateurs et l’accueil des citoyens.

– Lors de notre dernier entretien, vous nous annonciez une action basée essentiellement sur un durcissement des contrôles et une systématisation des sanctions. Est-ce toujours le cas ?

– C’est toujours le cas. La mise en œuvre est moins immédiate que prévu. Mais c’est l’un de nos principaux chantiers. Nous renforçons nos contrôles et quand le responsable de traitement ne se met pas en conformité, nous saisissons le procureur du Roi territorialement compétent. Nous veillons à ce que nos dossiers soient les plus complets possibles.

– La CNDP nous avait habitués à des rapports annuels où elle exposait notamment le bilan des plaintes instruites, la nature des dossiers, les faits traités et les parties mises en cause…

– Oui, nous sommes très en retard sur ce chantier. Nous avons dû affronter la pandémie, la croissance des opérations de terrain entre les instructions, les plaintes et les contrôles, entre autres, en plus de nos actions à l’international, la mise en place du registre national de la protection des données… Cela a fortement mobilisé nos ressources. J’en profite pour les remercier car elles sont mobilisées de façon sérieuse. Ne tiennent chez nous que les ressources prêtes à se mobiliser.

Cependant, nous sommes conscients que la publication du rapport doit se faire, même si la loi ne l’impose pas. Nous sommes en train d’y remédier en travaillant sur un rapport de 5 ans qui sera prêt dans quelques semaines.

Le reproche est fondé et légitime. Vous avez raison. Cela fait partie des choses que nous essayons de corriger.

– On a appris que les pays organisateurs de la Coupe du monde 2030, dont le Maroc, ont été sollicités sur la question de la protection des données personnelles dans leurs dossiers respectifs… Pourquoi cet intérêt pour cette question ?

– Oui, à cet effet, nous avons répondu aux informations qui nous ont été demandées par la Fédération royale marocaine de football. La protection des données à caractère personnel est une valeur importante liée aux citoyens et aux spectateurs.

– Le Maroc est signataire de la Convention 108+, mais a-t-il ratifié le traité ?

– L’approbation de la Convention 108+ s’est faite devant le Conseil des ministres en juin 2021 et, quelques mois plus tard, soit début 2022, devant chacune des chambres du Parlement. Le processus de ratification est en cours.

– Quelles sont les conséquences de l’adhésion du Maroc à la Convention 108+ ? Qui est touché par cette convention et comment ?

– Il n’y a pas de conséquences négatives. La mise à niveau internationale de notre dispositif rassure sur le plan humain et sur le plan économique. Nous appartenons à une communauté internationale, et les échanges économiques et autres vont être facilités.

– Le Maroc est-il en phase, du point de vue de son arsenal légal, avec ses engagements internationaux en matière de protection des données personnelles ? Que reste-t-il à faire pour une mise en adéquation complète ?

– Nous avons beaucoup avancé. Il nous reste à conforter l’indépendance de la Commission pour renforcer son pouvoir dissuasif lié aux sanctions. Je dis bien dissuasif, car l’objectif est de faire respecter la protection des données à caractère personnel, et non pas de sanctionner. Mais cela sera fait à chaque fois que nous y serons obligés.

– La refonte programmée de la loi sur la protection des données personnelles semble marquer le pas. Où en est ce projet ?

– Nous sommes en train d’avancer sur ce sujet avec les services du chef de gouvernement, le ministère de la Justice et tous les autres partenaires. Nous avancerons avec le ministère de la Transformation numérique et de la réforme de l’administration, le ministère de l’Intérieur, le ministère des Affaires étrangères, de la coopération africaine et des Marocains résidant à l’étranger ainsi qu’avec tous les acteurs concernés. Nous espérons une nouvelle loi présentée au Parlement, au plus tard en 2025.

– Quels seront les principaux apports de la refonte ?

– Comme je vous disais, expliciter l’indépendance de la Commission (qui est déjà, de par son fonctionnement, indépendante), reformuler le système des sanctions et mieux nous rapprocher des évolutions technologiques et sociétales de ce monde nouveau mondialisé.

– Il y a la loi sur la protection des données personnelles, la pratique de la protection de ces données, et il y a également la culture en lien avec cette protection… Où en sommes-nous sur ce dernier point ?

– Nous avons beaucoup avancé, mais nous ne déploierons aucun discours de satisfaction ou d’autosatisfaction. Car dans ce domaine, plus on avance, plus il nous reste à faire. Le chantier culturel est important et immense. À titre d’exemple, des nouveautés sont initiées avec le ministère de la Jeunesse, de la culture et de la communication. Nous visons les maisons des jeunes, les colonies de vacances et tout l’écosystème. Par ailleurs, et toujours à titre d’exemple, nous allons initier des initiatives avec certaines universités et d’autres acteurs.

– Il y a quelques mois, vous aviez enclenché des procédures à caractère disciplinaire concernant TLS Contact Maroc, VFS GCC Morocco et BLSMOR Services. Où en sont ces dossiers ?

– La procédure est toujours en cours. Nous ne manquerons pas de conclure sur ce sujet. Certains pensent qu’au nom de l’investissement, ou grâce au témoignage de quelques ambassadeurs, l’infraction enregistrée sera oubliée. Ils se trompent, car le Maroc est un Etat de droit.

– Avez-vous enclenché d’autres procédures de cette ampleur ?

– Oui, d’autres acteurs sont concernés. Si vous permettez, pour l’instant, nous avons décidé d’avancer discrètement sur certains sujets.

– Au cours des derniers mois, les utilisateurs de WhatsApp au Maroc ont reçu des messages d’interlocuteurs anonymes promettant des rémunération en échange de l’accomplissement de certaines tâches sur le Web. Ces pratiques ont fait l’objet de plusieurs plaintes pour escroquerie qui sont en cours de traitement par les autorités judiciaires. La CNDP s’est-elle penchée sur le sujet ?

– La CNDP est interpellée par le sujet. D’autant plus que WhatsApp et Meta ne se conforment pas aux lois nationales. Plusieurs autorités, dans le monde, ont émis des sanctions. Par ailleurs, certains acteurs économiques veulent faire un usage conséquent de WhatsApp.

Certains pensent qu’au nom de l’investissement, ou grâce au témoignage de quelques ambassadeurs, l’infraction enregistrée sera oubliée. Ils se trompent, car le Maroc est un État de droit

Le sujet est à l’étude chez nous. Nous ne manquerons pas de communiquer lorsque les choses seront fixées.

– Au -delà de l’escroquerie en tant que qualification pénale, quelle est la qualification de ces comportements au regard de la loi sur la protection des données personnelles ?

– Non-respect des données à caractère personnel des citoyens.

– Quelles sont les sanctions encourues ?

– Celles prévues par la loi : administratives, pénales et financières.

– Avez-vous une idée de l’ampleur du phénomène au Maroc ?

– De façon formelle, pas encore, car beaucoup de citoyens subissent sans formaliser le désagrément. De façon intuitive, important.

– Les auteurs de ces pratiques approchent leurs victimes via WhatsApp. À votre avis, pourquoi ce canal est-il privilégié ?

– Car direct, sans témoin, et où l’oral est possible. Mais si les Marocains étaient plus sur Signal, Telegram ou autre… ce serait aussi le cas. C’est pour cela que nous devons réfléchir à une meilleure approche au niveau des réseaux sociaux. Il n’est pas possible de subir ces incivilités.

– Avez-vous des contacts avec les développeurs de cette application ? Avez-vous pris des mesures à leur égard ?

– Nous sommes en contact avec Meta, mais aussi avec d’autres réseaux sociaux qui nous aident à gérer les plaintes. Mais pour renforcer notre position, il faut que les citoyens nous fassent parvenir leurs plaintes de la façon la plus fidèle possible.

– Comment se prémunir contre ces pratiques ?

– En étant attentif à l’usage et en faisant fonctionner la loi. Naturellement, au Maroc, comme ailleurs, nous avons besoin de la vigilance de nos concitoyens et de l’anticipation alerte de nos responsables de traitement.

– En tant que président de la CNDP, si vous deviez vous fixer un objectif pour l’année 2024, lequel serait-il ?

– L’objectif est toujours le même : faire respecter la protection des données à caractère personnel. Cela a été l’objectif des années passées, c’est l’objectif 2024.

Données personnelles : avec le concours de la CNDP, les professions de santé se préparent à la conformité

En vue d’amener les différentes entités de la profession de santé à se conformer à la loi relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, la CNDP a lancé, depuis début juillet 2024, une série de réunions avec le Conseil des pharmaciens biologiste et l’Ordre national des médecins dentistes, lesquelles se poursuivront encore dans les prochains jours. Selon nos informations, l’Ordre national des médecins est également concerné par cette démarche.

Ces réunions interviennent à la suite de courriers de mise en conformité adressés par la CNDP à certains laboratoires d’analyses médicales et médecins dentistes notamment.

C’est enfin le tour de la profession médicale

Cette démarche est motivée par le développement rapide des nouvelles technologies de l’information et de la communication dans notre société, nécessitant une adaptation du droit pour créer un cadre juridique approprié, à même de répondre aux nouvelles problématiques juridiques.

Dans ce contexte, le législateur marocain a adopté, en 2009, la loi 09-08 relative à la protection des personnes physiques contre les traitements des données à caractère personnel. Cette loi vise à protéger la vie privée des individus contre les atteintes potentielles liées aux traitements, notamment automatisés, des données personnelles les concernant.

Ainsi, depuis novembre 2012, toute personne morale réalisant des traitements de données personnelles dans le cadre de son activité doit se conformer aux obligations imposées par ladite loi.

La CNDP a déjà accompagné de nombreux organismes pour les aider dans cette conformité, et c’est enfin le tour de la profession de santé. Différentes sources sondées par nos soins expliquent ce retard par les nombreux dossiers que la commission est en charge de traiter. Si la loi 09-08 a été élaborée et publiée en 2009, son actuel président, responsable de son application effective, n’a été nommé qu’en novembre 2018 par le Roi Mohammed VI. S’en est ensuivie la constitution de la Commission dans sa totalité, l’installation de son siège, etc.

L’actuel président, Omar Seghrouchni, a donc attaqué les nombreux dossiers qui se trouvaient sur sa table, dont celui de la profession médicale.

« Nous avons l’obligation du secret professionnel »

La première réunion dans ce sens s’est tenue le 2 juillet dernier avec le Conseil des pharmaciens biologistes et la Chambre syndicale des biologistes, tandis que la deuxième a eu lieu le 9 juillet.

Durant ces deux rencontres, il a été convenu d’accompagner les directeurs de laboratoires d’analyses médicales dans leurs démarches de conformité à la loi 09-08, de produire dans le cadre d’un groupe de travail commun un guide de conformité à cette loi spécifique à la biologie médicale du secteur privé, et de réaliser un suivi commun des actions de mise en conformité identifiées en généralisant cette démarche à tous les biologistes du secteur privé.

Contactée par Médias24, la présidente du Conseil des pharmaciens biologistes, le Dr Zineb Zniber, nous explique que « dans le cas des laboratoires, nous sommes obligés de connaître l’identité des personnes qui viennent chez nous, leur âge et leur sexe… Ce sont des données indispensables pour la réalisation de leurs analyses ».

« Toutefois, ces données ne doivent pas être à la portée de n’importe qui. Nous avons l’obligation du secret professionnel, et c’est quelque chose que l’on respecte déjà dans notre métier. Les lois en vigueur relatives aux laboratoires insistent sur ce point, mais la CNDP veut qu’on se conforme également à la loi 09-08″.

Et d’ajouter : « Nous avons alors été contactés, au même titre que d’autres ordres, pour prendre connaissance de toutes les dispositions de ladite loi. Celle-ci est très générale, et parfois, elle dispose de certains points qui sont en contradiction avec notre métier, notamment en termes d’archivage des données et de leur destruction… »

« L’objectif de ces réunions est donc de comprendre comment nous devons traiter toutes les données dont on dispose. Avec le développement des technologies, il est devenu difficile de savoir si les sites que l’on utilise dans notre métier sont sécurisés ou pas ».

« L’objectif à terme est de connaître les limites d’usage des données dont on dispose«

En ce qui concerne l’Ordre des médecins dentistes, la première réunion avec la CNDP s’est tenue le 10 juillet 2024, suivie d’une deuxième le 17 juillet. Durant ces deux rencontres, comme pour les biologistes, il a été convenu d’accompagner les médecins dentistes dans leurs démarches de conformité à la loi 09-08, et de produire dans le cadre d’un groupe de travail commun un guide de conformité à cette loi spécifique aux médecins dentistes du secteur privé.

Joint par nos soins, le Dr Mohamed Sdira, président de l’Ordre des médecins dentistes, nous explique que les dentistes disposent d’une large base de données de leurs patients, de caméras de surveillance, et utilisent différents logiciels sur lesquels ces données sont hébergées. Pour éviter d’éventuelles sanctions infligées à la suite du mauvais usage de ces informations, nous devons nous conformer à la loi 09-08, comme stipulé par la CNDP ».

« Les médecins dentistes doivent ainsi se conformer à la loi concernant chaque acte en relation avec les données personnelles, notamment des patients. Par exemple, lorsqu’on utilise un logiciel, on doit s’assurer que ce dernier est sécurisé. Nous devons également nous assurer que les données ne sont pas hébergées par ce dernier à l’étranger. Les choses doivent rentrer dans l’ordre, et c’est notre responsabilité en tant qu’Ordre des médecins dentistes d’accompagner les professionnels dans ce chantier ».

« L’objectif est d’être conscient, à terme, des limites d’usage de toutes les données personnelles dont on dispose« , poursuit notre source, soulignant qu’avant que la CNDP n’adresse des courriers aux médecins dentistes, l’Ordre des médecins dentistes avait déjà déposé, il y a plusieurs mois, une demande d’audience auprès de la commission à ce sujet. Ce n’est donc que maintenant que leur tour est arrivé.

Dans un communiqué publié à l’issue de sa seconde réunion avec la CNDP, l’Ordre des médecins dentistes explique que l’objectif de cette mise en conformité est d’être au courant de la responsabilité des médecins dentistes dans le traitement des données dont ils disposent dans le cadre de l’exercice de leur activité professionnelle, mais aussi dans la collecte, l’enregistrement, l’organisation, le stockage et l’échange de ces données.

Quand on parle de données personnelles, on fait référence à une multitude d’informations, notamment le numéro de la carte d’identité nationale (CIN) des patients, leurs photos, les données des salariés, les données ou images enregistrées par les caméras de surveillance au sein du cabinet, les données échangées avec les laboratoires, et celles stockées.

Des guides spécifiques pour chaque métier

Dans les prochaines séances de travail, les différents ordres et la CNDP travailleront ensemble à l’élaboration et la validation des guides de conformité pour chaque métier.

« La CNDP va élaborer un guide pour les biologistes marocains, sur la base des dispositions de la loi 09-08″, nous explique le Dr Zniber. « Ce guide sera plus pratique pour nous pour comprendre comment on pourrait utiliser chacune des données dont on dispose ».

« À titre d’exemple, si la loi exige la déclaration de chaque patient que l’on reçoit, notre métier ne nous le permet pas. Nous avons alors répertorié tous les points importants dans notre métier qui sont en contradiction avec les termes de la loi 09-08, tels que l’archivage, la déclaration, la sous-traitance et autres, pour voir avec la CNDP comment nous pouvons les adapter aux exigences de la loi. Ce guide nous montrera également comment on pourra utiliser les caméras de surveillance, et comment les données enregistrées par celles-ci doivent être déclarées. Tout cela est encore flou pour nous ».

« Nous avons alors remis à la CNDP les grandes lignes propres à notre profession, pour qu’elle nous propose un guide qu’on validera ensemble. L’objectif final est d’éviter les sanctions par méconnaissance de la réglementation en vigueur », conclut le Dr Zineb Zniber.

« Lors des prochaines séances de travail, la CNDP nous fera une proposition d’un guide de traitement des données personnelles destiné aux médecins dentistes », confirme le Dr Sdira. « Nous allons ensuite créer une commission conjointe pour examiner ce document, afin de déterminer nos limites et nos responsabilités envers ces données ».

« L’étape suivante aura trait à l’accompagnement de tous les médecins dentistes dans la conformité à la loi. Les choses se feront progressivement, et nous commenceront d’abord par la sensibilisation des professionnels », conclut le président de l’Ordre des médecins dentistes.

La CNDP prendra aussi contact avec le ministère de la Santé pour faire assurer cette conformité aux biologistes du secteur public.