Données personnelles : un assureur épinglé par la justice commerciale

Un employeur n’a pas le droit de publier, sur ses réseaux sociaux, les données personnelles du salarié sans l’aval express de ce dernier. Le contrat de travail ne vaut pas autorisation. La cour d’appel de commerce a consacré cette règle dans un récent litige, condamnant une compagnie d’assurances pour avoir exploité illégalement l’image d’un de ses anciens conseillers commerciaux.

Selon cet arrêt en cours d’exécution, et dont Médias24 détient copie, l’assureur devra verser près de 40.000 DH en dédommagement à son ex-salarié. Il devra également retirer, sous astreinte journalière de 500 DH, toutes ses données de la page Facebook officielle de l’entreprise. Elles comprennent l’image, l’identité et le numéro de téléphone de l’intéressé.

Rendu fin 2024, cet arrêt confirme – tout en révisant le montant de la réparation à la hausse – une décision de première instance préalable qui avait déjà donné gain de cause au demandeur. L’intéressé avait introduit une action contre son ancien employeur (Allianz Maroc), arguant que ce dernier continuait de publier ses données malgré sa démission. Il précise qu’il n’a jamais donné son autorisation à la publication litigieuse, et ce, même durant la relation de travail.

Le salarié, qui avait rejoint une nouvelle entreprise, continuait de recevoir des appels de clients qui le contactaient via le numéro de téléphone renseigné sur Facebook. Des appels récurrents qui, selon l’intéressé, lui ont valu les remontrances du nouvel employeur, ce dernier soupçonnant son salarié de cumuler deux postes. La situation aurait même provoqué le licenciement du requérant, dit-il dans sa demande de dédommagement.

Les arguments de l’employeur

De son côté, l’ancien employeur a soutenu que la publication de l’image et des données de son ancien salarié s’inscrivait dans le cadre normal de son activité de conseiller commercial. L’assureur a expliqué que, dans le cadre de sa politique de communication sur les réseaux sociaux, il avait demandé à l’ensemble de ses conseillers de fournir leur photo et leur carte de visite afin de les présenter au public.

Selon les pièces versées au dossier, le salarié avait effectivement transmis sa photo et ses informations personnelles en réponse à cette demande, notamment par courriel daté du 16 avril 2019. Allianz ajoute qu’il n’a jamais exprimé d’opposition, et que son silence pendant près de cinq ans constitue, selon elle, une preuve de son acceptation.

L’exposition des données est en elle-même un dommage justifiant réparation

Mais la cour d’appel ne l’a pas entendu ainsi. Dans son arrêt, elle rappelle une règle fondamentale issue de la loi 09-08 relative à la protection des données à caractère personnel : l’exploitation de telles données requiert un consentement spécifique, explicite et éclairé de l’intéressé. Transmettre sa photo dans un cadre administratif ou interne ne vaut donc pas autorisation de publication publique, encore moins sur un réseau social.

La juridiction relève d’ailleurs l’absence de toute clause contractuelle permettant une telle diffusion et souligne que le contrat de travail prévoyait même, dans son article 12, une obligation de respect de la confidentialité des données.

Autre argument rejeté : celui selon lequel le salarié aurait gardé le silence pendant plusieurs années. Allianz soutenait que l’absence de protestation de l’intéressé équivalait à une acceptation tacite. La Cour balaie cette interprétation. Elle estime que le défaut de réaction ne saurait valoir approbation, surtout en matière de droits personnels sensibles comme l’image et les données privées.

Enfin, Allianz a tenté de discréditer la demande de dédommagement en contestant l’existence d’un préjudice réel. L’assureur affirmait que le salarié n’avait pas démontré avoir effectivement perdu son nouvel emploi. Mais là encore, la Cour rappelle que le simple fait d’utiliser l’image d’un individu sans autorisation constitue, en soi, un dommage justifiant réparation. Elle ajoute que le demandeur avait fourni une lettre de licenciement où son ancien employeur justifiait sa rupture par des soupçons de double emploi – suspicion née justement des informations figurant sur Facebook.

Pour la Cour, l’exploitation des données a été faite sans base légale et a généré un préjudice réel, tant moral que professionnel. L’arrêt condamne ainsi l’assureur à indemniser son ancien salarié à hauteur de 40.000 dirhams, au lieu des 30.000 DH initialement alloués en première instance. Le retrait des données est également confirmé, sous astreinte de 500 dirhams par jour de retard.

Cybersécurité : les risques et les moyens de protection après une fuite de données (avocate)

L’attaque informatique qui a récemment ciblé la Caisse nationale de sécurité sociale (CNSS) a mis en évidence la vulnérabilité des systèmes publics face à la cybercriminalité. Elle soulève également des questions cruciales sur la protection des données personnelles et les conséquences directes sur les citoyens.

Au-delà de l’atteinte à la sécurité des systèmes, la fuite de données sensibles expose les individus à des risques de fraude, d’usurpation d’identité et de manipulation financière etc. Des informations telles que les numéros de sécurité sociale, les adresses et les coordonnées bancaires peuvent être utilisées à des fins malveillantes, créant ainsi un terrain propice à des arnaques.

Les impacts ne se limitent pas uniquement à des pertes financières immédiates. L’utilisation non autorisée de ces données peut également engendrer des atteintes à la vie privée et, dans les cas les plus graves, compromettre l’intégrité des personnes concernées. Ces risques nécessitent une vigilance accrue de la part des autorités compétentes, mais aussi une prise de conscience collective sur l’importance de la cybersécurité dans la gestion des informations personnelles sensibles.

Pour comprendre les risques concrets qui pèsent sur les personnes dont les données à caractère personnel ont été compromises, Me Bouchra Bouiri, avocate aux barreaux de Casablanca et de Paris, nous livre une analyse approfondie et éclairée.

Me Bouchra Bouiri, avocate aux barreaux de Casablanca et de Paris.

La prise de conscience des risques potentiels

« Le piratage du système d’information de la Caisse nationale de sécurité sociale (CNSS) a mis en lumière, de manière brutale, la vulnérabilité structurelle des systèmes numériques publics face à la cybercriminalité », constate-t-elle. Elle souligne que « cette atteinte à la sécurité des systèmes d’information soulève des interrogations légitimes quant à l’effectivité des garanties juridiques encadrant la protection des données à caractère personnel des assurés sociaux, ainsi qu’à la rigueur des dispositifs mis en œuvre pour assurer leur traitement licite, leur sécurisation et le respect des droits fondamentaux des personnes concernées ».

Certes, il existe des lois, mais sont-elles suffisantes ? Pour Me Bouchra Bouiri, le fait « qu’il existe des lois protégeant les données personnelles est insuffisant, une prise de conscience des personnes sur la valeur de leurs données et les risques auxquels sont exposées suite à une cyberattaque est primordiale ».

Elle rappelle la définition même de la donnée à caractère personnel. « Fondamentalement, qu’est-ce qu’une donnée personnelle ? un nom, un prénom, un numéro de carte nationale, un RIB etc. Oui, mais pas seulement », souligne-t-elle.

« Une donnée à caractère personnel est considérée par la loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme ‘toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable (…)’. Lorsqu’une compromission de données à caractère personnel intervient, les titulaires de ces informations se trouvent exposés à une pluralité de risques dont la gravité ne saurait être sous-estimée », insiste-t-elle.

Et d’expliquer : « Ces atteintes peuvent porter préjudice tant à leur intégrité morale, notamment à travers la violation de leur vie privée, qu’à leur situation juridique ou patrimoniale, en facilitant des actes tels que l’usurpation d’identité, la fraude ou l’exploitation illicite de leurs informations personnelles à des fins malveillantes ».

Parmi les risques les plus graves figure l’atteinte à la vie privée. « Le droit marocain prévoit à cet égard toutes une série de dispositions juridiques visant à protéger la vie privée des personnes ».

En effet, aux termes de l’article 24 de la constitution marocaine ‘toute personne a droit à la protection de sa vie privée’. La protection de la vie privée a ensuite été protégée et consacrée par les dispositions de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, dont l’article premier dispose dans son alinéa 1 que « l’informatique est au service du citoyen et évolue dans le cadre de la coopération internationale. Elle ne doit pas porter atteinte à l’identité, aux droits et aux libertés collectives ou individuelles de l’Homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des citoyens ».

« Dans ce cadre, la divulgation illicite ou non consentie de données personnelles, telles que l’identité, les coordonnées bancaires, les données de santé ou la situation sociale, constitue sans aucun doute une ingérence directe dans la sphère privée de l’individu, générant un préjudice souvent irréversible », affirme Me Bouiri.

Mais ce n’est pas tout. « À ce premier risque s’ajoute un risque majeur d’exploitation à des fins commerciales ou frauduleuses », avertit-elle. « Les données déorbées peuvent être détournées pour alimenter des bases de données illégales, faire l’objet de reventes à des tiers non autorisés, ou encore être utilisées à des fins de profilage, de ciblage publicitaire abusif, voire de discrimination ».

Elle alerte aussi sur la fraude et l’usurpation d’identité. « Ce détournement peut aussi ouvrir la voie à des actes de fraude et d’usurpation d’identité, particulièrement préoccupants lorsque les informations dérobées permettent à des tiers de contracter, d’accéder à des comptes bancaires ou de se prévaloir faussement de la qualité de la personne concernée ».

Les données volées deviennent des biens précieux pour les cybercriminels

L’impact peut aussi être réputationnel. « En outre, la fuite de données peut engendrer des atteintes à la réputation. La diffusion d’informations sensibles ou intimes dans l’espace public ou sur les réseaux sociaux peut porter un coup sévère à l’image sociale et professionnelle de la victime, altérant sa crédibilité, ses relations ou même ses perspectives d’emploi ». Et d’ajouter : « Ces atteintes sont d’autant plus graves qu’elles sont amplifiées par la viralité propre au numérique, rendant toute tentative de réparation souvent illusoire ».

Parfois, les conséquences peuvent aller jusqu’au harcèlement, comme le relève Me Bouiri qui rappelle que « les victimes peuvent être exposées à des formes insidieuses de harcèlement, de chantage ou d’extorsion, notamment lorsque les données dévoilées concernent des aspects sensibles de la vie privée ».

Selon elle, ce constat mène à une conclusion sans appel : « Il apparaît que la fuite de données à caractère personnel ne saurait être envisagée comme un simple incident technique : elle constitue une atteinte grave aux droits fondamentaux, dont les conséquences juridiques, morales et économiques exigent une vigilance renforcée tant de la part des responsables de traitement que des autorités compétentes ».

Des risques de blanchiment de données

Quant aux usages concrets de ces données volées, Me Bouiri explique qu’ »après une cyberattaque, les données volées deviennent des biens précieux pour les cybercriminels qui cherchent à les exploiter de manière lucrative à travers un système criminel organisé. Trois grands axes structurent cette exploitation. Il s’agit du blanchiment des données ; l’utilisation pour d’autres attaques et la fraude financière directe ».

Elle détaille d’abord le phénomène du « blanchiment des données ». Selon elle, « cette expression n’est pas encore formellement définie par le législateur ou les dictionnaires juridiques. Par analogie avec le blanchiment des capitaux, elle consiste à dissimuler l’origine criminelle des informations compromises pour les rendre exploitables sans éveiller de soupçons ».

Et d’ajouter : « Ces données, une fois blanchies, sont revendues sur des marchés noirs ou utilisées dans des transactions légitimes afin de minimiser les risques de détection par les autorités compétentes ».

« Ensuite, les données personnelles volées, telles que les coordonnées bancaires, les numéros d’identification ou les informations relatives à la sécurité sociale, constituent des instruments idéaux pour mener d’autres attaques », poursuit-elle.

Elle cite notamment le phishing. « En utilisant ces informations, les cybercriminels peuvent se livrer à des escroqueries par phishing, où ils se font passer pour des entités légitimes, banques, administrations ou entreprises, afin de soutirer de l’argent ou d’obtenir encore plus de données sensibles ».

L’usurpation d’identité est également une méthode répandue, puisque, comme l’explique Me Bouiri, « les criminels exploitent les informations volées pour se faire passer pour leurs victimes et ainsi pénétrer des systèmes ou ouvrir des comptes au nom de celles-ci ».

Enfin, Me Bouiri évoque la fraude financière directee. « En utilisant des informations telles que les coordonnées bancaires, les numéros de carte de crédit ou les identifiants en ligne, les criminels peuvent effectuer des transactions financières frauduleuses. Toutes ces opérations vont de simples achats en ligne à des transferts d’argent non autorisés ou l’ouverture de comptes bancaires fictifs au nom de la victime ».

Ces pratiques peuvent avoir de lourdes conséquences, puisqu’elles peuvent conduire à des pertes financières considérables pour les victimes, qui se retrouvent souvent à devoir contester des transactions et à engager des procédures judiciaires longues et coûteuses. Dans certains cas, des prêts à la consommation frauduleux peuvent également être obtenus en utilisant les informations volées pour créer de faux profils et solliciter des crédits.

En résumé, « l’exploitation des données volées après une cyberattaque est un processus complexe et multiforme, visant à maximiser le rendement financier des criminels tout en étendant l’impact de l’attaque ».

Une cyberattaque requiert une réaction rapide, pertinente et efficace.

Face à ces risques, que peuvent faire les victimes pour se protéger ? Me Bouiri le rappelle clairement. Selon elle, « il n’existe pas de solutions magiques pour se protéger de toute évidence. Toutefois une cyberattaque requiert une réaction rapide, pertinente et efficace ».

Elle recommande la mise en place d’une « réelle gestion de crise », ajoutant qu’il est « nécessaire que toute personne victime d’une fuite de données adopte une posture de vigilance renforcée et fasse valoir ses droits auprès du responsable de traitement, de la CNDP, ou des autorités judiciaires en cas d’exploitation frauduleuse avérée ».

Des mesures concrètes à adopter

Selon l’avocate, il existe des mesures concrètes à mettre en place. « La victime doit procéder sans délai à un chagnemnt des mots de passe associés aux comptes en ligne, et ce, pour tous les services ayant pu être compromis par la fuite des données, à savoir les comptes bancaires, messageries électroniques, plateformes administratives, etc. ». Elle insiste aussi sur le fait qu’il est essentiel que ces nouveaux mots de passe soient « complexes, uniques et qu’ils soient systématiquement protégés par un système d’authentification à deux facteurs (2FA), afin de renforcer la sécurité des accès ».

Ensuite, « la surveillance régulière des comptes bancaires et des transactions financières » est primordiale. « Toute activité inhabituelle doit être immédiatement signalée à l’établissement bancaire, qui pourra alors prendre des mesures telles que le blocage temporaire des moyens de paiement ou la refonte des données sensibles, numéros de cartes bancaires, RIB, etc. ».

D’un point de vue légal, Me Bouiri recommande d’exercer son droit d’accès aux données auprès de l’organisme responsable du traitement des données personnelles, en vertu de l’article 7 de la loi 09-08. Sachant que « si les obligations de sécurité n’ont pas été respectées, la personne concernée peut déposer une plainte auprès de la CNDP, conformément à l’article 28 de la loi n° 09-08 ».

LIRE AUSSI :

https://medias24.com/2023/11/02/arnaque-en-ligne-que-faire-en-tant-que-victime-que-risquent-les-auteurs/

Cyberattaque contre la CNSS : l’éclairage préliminaire de Badr Bellaj, expert en sécurité des systèmes distribués

Le spectre d’une violation de données d’une ampleur inédite plane sur le Maroc. Des informations personnelles concernant des centaines de milliers d’entreprises et de leurs employés, issues de la CNSS, se retrouvent exposées sur le Web.

À ce stade, nos vérifications ont permis de constater que ces données, encore disponibles sur Telegram, recensent les informations de 499.881 entreprises. Plus de 53.000 fichiers PDF contiennent les listes d’employés avec leurs salaires déclarés. Près de 2 millions de salariés sont concernés par cette fuite d’informations personnelles.

À l’heure actuelle, aucune réaction officielle n’a été enregistrée. L’opinion publique attend des éclaircissements sur l’ampleur de l’incident. La réponse des autorités face à cette attaque de grande envergure est également scrutée. Qui en sont les responsables ? Quelles méthodes ont-ils employées ? Quelles failles ont été exploitées ? Surtout, qui assumera la responsabilité de ce grave assaut contre les données personnelles ? Pour répondre à ces questions, Médias24 a interrogé à chaud Badr Bellaj, expert en sécurité des systèmes distribués.

Médias24 : Quelles sont, à ce stade, les premières informations dont nous disposons concernant cette attaque ? Pouvez-vous dresser un diagnostic préliminaire de la situation ?

Badr Bellaj : La fuite de données révèle que l’attaquant a pu, pendant une période indéterminée, collecter des informations depuis le système de la CNSS. L’accès au système aurait été obtenu via une faille d’injection SQL ou une exécution de code à distance.

L’analyse des données partagées confirme leur authenticité et indique qu’elles couvrent la période de novembre-décembre 2024. Cette extraction s’est déroulée de manière progressive, suggérant une opération prolongée et méthodique.

Parmi les données compromises figurent des informations sensibles telles que les numéros d’identification, les CIN, les coordonnées téléphoniques, les numéros de comptes bancaires, les adresses e-mail, les RIB, ainsi que les salaires des employés. Ces éléments, notamment les rémunérations, ne relèvent pas du domaine public et leur divulgation représente une grave atteinte à la vie privée. Les données relatives à la caisse, aux entreprises affiliées et à leurs salariés n’ont manifestement pas bénéficié des protections requises.

La CNSS, institution au patrimoine administratif et technique ancien, a vu ses systèmes évoluer progressivement. Consciente des enjeux actuels, elle a récemment lancé un projet de refonte de sa gouvernance des données. Cette initiative vise à aligner ses pratiques avec les standards de sécurité et les réglementations en vigueur, notamment la loi 09-08 sur la protection des données, la loi 05-20 relative à la cybersécurité, et la Directive Nationale de Sécurité des Systèmes d’Information (DNSSI).

Cet incident souligne un avertissement crucial : malgré les efforts pour sécuriser les infrastructures et corriger les vulnérabilités ponctuelles, des failles résiduelles peuvent encore conduire à des compromissions majeures.

– Quels sont les procédés utilisés dans cette attaque ?

-La méthode utilisée pour cette intrusion reste une question ouverte. À ce stade, nous n’avons aucune information précise sur le déroulement de l’attaque. Une telle opération peut emprunter de multiples voies.

C’est comparable à un cambriolage. Plusieurs scénarios sont possibles. L’attaquant a-t-il utilisé le phishing ? A-t-il mené une attaque directe contre le système ? Nous manquons réellement d’indices. A-t-il exploité une vulnérabilité connue ? Y a-t-il eu une fuite via un prestataire tiers ?

Nous n’avons pas d’informations concrètes. C’est là qu’un travail de forensique numérique est indispensable pour identifier la source ou la vulnérabilité à l’origine de cette faille.

Il est important de noter, et c’est une information préliminaire, que la CNSS vient de déployer un nouveau système de gouvernance des données. Ce système a nécessité un travail conséquent, en principe conforme aux lois et aux standards en vigueur. Un travail de forensique est donc nécessaire pour déterminer l’origine exacte de cette attaque.

Les principales pistes sur les failles exploitées

– Pouvez-vous nous éclairer sur les failles exploitées par les assaillants ?

-Une réponse précise reste difficile à ce stade. Une analyse approfondie de l’infrastructure et des logs serait nécessaire. Cependant, plusieurs pistes peuvent être envisagées.

Généralement, des vulnérabilités peuvent être exploitées par une attaque directe. Cela signifie que le système lui-même pourrait être vulnérable. Par exemple, les bases de données ou les systèmes de protection de la CNSS pourraient présenter des failles, ne pas être à jour. Un attaquant pourrait alors utiliser une de ces vulnérabilités pour contourner toutes les mesures de sécurité en place.

Une autre possibilité est de passer par une partie tierce, un prestataire de services. Oracle, par exemple, a récemment connu un problème d’authentification, annoncé en mars, si je ne m’abuse. Une porte d’entrée pourrait donc se situer au niveau d’un de ces partenaires. On peut même imaginer une attaque simple, mais efficace : un e-mail de phishing ciblant un responsable de la CNSS. Un clic malheureux et l’accès de cette personne pourrait être compromis. Il est donc vraiment délicat de préciser une méthode unique sans une analyse technique poussée.

– Certains experts pointent une faille chez Oracle, et non précisément la CNSS…

-Des éléments suggèrent une possible implication d’Oracle. Récemment, une faille très critique concernant les systèmes Oracle a été annoncée sur le même forum. Ces annonces sont publiques et notoires.

Cependant, en tant qu’experts, nous ne pouvons pas affirmer catégoriquement quelle est la source de l’attaque. D’où l’impérative nécessité d’un travail de forensique numérique pour déterminer s’il s’agit d’une attaque directe contre le système de la CNSS, d’une compromission via une partie tierce comme Oracle, ou d’une autre voie.

Toutes les possibilités sont ouvertes et nécessitent une investigation approfondie. Il est vrai qu’une faille a été rendue publique concernant Oracle. Si elle n’a pas été corrigée à temps, la question de la responsabilité se pose. De plus, il est important de noter que la CNSS n’est pas la seule cible. Ces derniers mois, voire l’année dernière, on a observé une multiplication d’attaques directes visant diverses plateformes, notamment les services d’aide en ligne.

Affirmer avec certitude si la responsabilité incombe à Oracle ou à la CNSS me semble prématuré. Il y a clairement une tentative de jouer sur la question de la responsabilité. Pour trancher définitivement, une analyse par une tierce partie indépendante est indispensable. Elle seule pourra établir clairement les responsabilités et les causes de cette faille de sécurité.

– En se référant à des cas similaires, quelles sont les failles typiquement exploitées dans ce genre de situation ?

-Les failles couramment exploitées se situent au niveau des systèmes eux-mêmes. Il y a un travail préalable d’identification des systèmes utilisés par la cible. Ensuite, on recherche les vulnérabilités spécifiques à ces systèmes. Il faut savoir qu’il existe un véritable marché des vulnérabilités. Il n’y a pas de solution miracle en matière de sécurité. Si vous me donnez les noms des composants de protection utilisés par un organisme, je peux facilement rechercher les failles existantes, voire les acheter sur ce marché et les utiliser pour attaquer ces systèmes.

Nous avons vu cela même avec de grands noms de la sécurité comme Juniper ou Palo Alto. Leurs propres matériels de sécurité font l’objet de découvertes de vulnérabilités qui peuvent être achetées pour contourner leurs mécanismes de protection.

– Quel est le niveau de responsabilité de la CNSS dans cette affaire ?

-Pour déterminer le degré de responsabilité de la CNSS, une analyse approfondie ou une enquête forensique est indispensable. Une étude technique permettrait d’identifier la vulnérabilité exploitée et de déterminer qui est responsable : la CNSS elle-même, une partie tierce ? L’histoire récente nous montre des exemples de failles majeures, même aux États-Unis, où la responsabilité a été attribuée à un fournisseur de services externe. Le cas de SolarWinds en est une illustration.

Ce qui est stupéfiant, c’est que les données n’étaient pas cryptées

Concernant la CNSS, il est prématuré de désigner un responsable sans connaître la nature de l’attaque : était-ce une intrusion directe ou une compromission via un partenaire ? La CNSS porte une responsabilité inhérente, car elle doit sécuriser son propre système. Elle a également la charge d’assurer la sécurité, ou au moins de veiller à la sécurité de ses partenaires et de ses prestataires.

La question de la responsabilité est donc posée. Reste à définir son étendue : responsabilité directe, partielle, indirecte ? Seule une enquête technique rigoureuse pourra apporter des réponses précises.

– Comment prévenir ce type d’incidents à l’avenir ?

-Personnellement, une chose m’a stupéfié : les documents, comme les attestations de salariés, n’étaient pas cryptés. Ils étaient en clair. Même une personne en interne aurait pu facilement y accéder. Si un tiers, un partenaire par exemple, avait obtenu un accès illégitime, l’information était directement lisible. Le manque de cryptage des informations à la base est une observation frappante de cette faille.

De plus, on peut s’interroger sur la nécessité de stocker ces attestations sur un serveur. Elles devraient idéalement être gérées et générées à la volée, et vérifiées de la même manière. Générer, supprimer l’information…

L’information dans les bases de données n’était pas non plus cryptée, d’après les éléments disponibles. Il y a donc des questions légitimes sur la protection des données. Étaient-elles cryptées et l’attaquant a-t-il réussi à les décrypter ? Nous ne le savons pas avec certitude. Mais en analysant les informations partagées, il apparaît que les données étaient en clair. Il n’y avait pas de mesure de protection des données en soi. Or, le système de la CNSS est soumis à la loi 09-08 et à la loi 05-20 sur la cybersécurité, qui exigent la protection des informations, d’autant plus qu’il s’agit de données sensibles. Le salaire, par exemple, n’est pas une information publique.

Les informations relatives à la caisse, à l’entreprise, aux salariés et à leurs salaires sont des données sensibles qui, malheureusement, n’ont pas été protégées avec les mécanismes appropriés.

Il est important de souligner que la CNSS est une institution avec un héritage. Ses systèmes ont évolué sur une longue période. Ce ne sont pas des systèmes nouvellement mis en place. Ce sont généralement des systèmes anciens, et même avec des mises à jour récentes, un travail considérable reste à faire. On peut comprendre que les équipes en charge doivent parfois faire des compromis pour assurer la fluidité du service. Souvent, lorsqu’on cherche à fluidifier les services, on sacrifie un peu la sécurité. C’est une théorie que j’avance.

– Quel cadre légal s’applique à cette situation ?

-Sur le plan légal, deux lois principales encadrent ces aspects : la loi 09-08 relative à la protection des données personnelles et la loi 05-20 relative à la cybersécurité. L’objectif de la seconde est de renforcer la sécurité et la résilience des systèmes d’information des administrations de l’État, ce qui inclut la CNSS dans ce cas précis. Ces lois protègent effectivement les utilisateurs et imposent des obligations strictes à ces instances.

Des sanctions sont même prévues en cas de négligence avérée ou de défaut de notification à la CNDP. Une exonération partielle de responsabilité pour la CNSS est possible si elle parvient à prouver qu’il s’agissait d’une attaque sophistiquée, capable de déjouer toutes les mesures de sécurité raisonnables mises en place.

Cependant, je le répète, il est prématuré de tirer des conclusions hâtives. Il est impératif d’attendre les résultats d’une analyse forensique approfondie pour déterminer les articles de loi applicables et les éventuelles sanctions. La responsabilité de la CNSS demeure. Elle a l’obligation de sécuriser les données. Reste à établir si des erreurs ou des négligences ont été commises.

– Les victimes de ces fuites de données ont-elles des recours légaux ?

-Sur cette question, il est important de recueillir l’avis d’un avocat. Cependant, des voies existent. Il est possible de porter plainte auprès de la CNDP (Commission nationale de contrôle de la protection des données à caractère personnel) et de demander une enquête indépendante. Une action en justice civile pour obtenir des dommages et intérêts est également envisageable en cas de préjudice avéré. Par exemple, si une entreprise dont les informations ont été divulguées subit une perte financière directe à cause de cette fuite, elle pourrait potentiellement poursuivre la CNSS.

Néanmoins, comme je l’ai souligné, cela dépendra du degré de responsabilité de la CNSS. La responsabilité est-elle directe ? Implique-t-elle un acteur tiers ? S’agit-il d’une attaque « zéro-day » contre laquelle aucune protection n’était possible, car il s’agit d’une vulnérabilité totalement nouvelle ? Autant de questions qui influencent la possibilité de recours.

Je pense qu’en théorie, les victimes ont la possibilité de poursuivre la CNSS. Cependant, je doute que cela se produise à grande échelle. Nous avons vu des cas de fuites d’informations plus sensibles par le passé, comme des cartes d’identité ou des diplômes, et cela n’a pas entraîné de vagues de poursuites. Le type d’informations divulguées dans ce cas précis pourrait influencer la décision des victimes d’engager des actions légales.

Encadrement de l’IA : la CNDP auditionne experts et institutions

Ces traitements, qui exigent une attention particulière en matière d’intégrité, de transparence, de loyauté et de lisibilité, doivent garantir aux citoyens l’accès à des voies de recours, a indiqué la CNDP dans un communiqué, notant que la Commission veille ainsi à leur conformité avec les dispositions légales en vigueur, notamment la loi 09-08.

Dans ce contexte, un benchmark international a été réalisé et des consultations ont été menées auprès d’autorités et d’instances de protection des données à l’échelle internationale, ajoute la même source.

Ainsi, la CNDP prévoit d’auditionner une diversité d’acteurs, incluant des experts nationaux et internationaux, des organisations scientifiques et professionnelles, des institutions, des associations de la société civile, ainsi que toute personne ou entité capable d’apporter un éclairage sur le sujet.

Les acteurs intéressés sont invités à manifester leur intérêt en adressant un message à l’adresse suivante : auditions-ia@cndp.ma, conclut le communiqué.

Le site de la CNDP piraté, « les informations sécurisées n’ont pas été impactées »

La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) affirme rester vigilante et engagée pour maintenir un site internet conforme aux standards de sécurité, après que des personnes malveillantes ont inséré, il y a quelques semaines, des commentaires inadéquats sur le site internet de la Commission.

Dans un communiqué, la CNDP explique qu’une recherche sur Google du site internet de la Commission « retourne des commentaires de vente dans une langue d’Extrême-Orient ».

« Le site internet de la CNDP est sans relation avec le système d’information interne de l’institution« , précise la même source, assurant que les informations sécurisées de la CNDP n’ont pas été impactées à la suite de l’insertion par des personnes malveillantes de commentaires inadéquats sur le site internet.

Aujourd’hui, le référencement du moteur de recherche de Google présente encore l’image de l’ancienne version, note la CNDP, soulignant avoir demandé à Google de réindexer son référencement.

Une autre attaque est en cours, ciblant plusieurs sites sur internet sans viser directement la CNDP, fait savoir le communiqué, assurant que les différents acteurs sont en train de mettre en place les mesures nécessaires.

Six nominations à la CNDP

Il s’agit de :

Deux membres sur proposition du chef du gouvernement

– Abdelaziz Amraoui ;
– Majid Lahlou.

Deux membres sur proposition du président de la Chambre des représentants :

– Zakaria Oulad ;
– Fatima Saadi.

Deux membres sur proposition du président de la Chambre des conseillers :

– Lahcen Madi ;
– Mohamed Bouden.

Pour rappel, le président de la CNDP, Omar Seghrouchni, a été nommé le 17 novembre 2018 par le Roi Mohammed VI, avant d’être renouvelé pour un deuxième mandat.

Protéger les données personnelles : l’autre défi du Mondial 2030

Pour le Maroc, l’organisation (conjointe) de la Coupe du monde 2030 recèle des défis qui ne se limitent pas uniquement à la qualité des infrastructures. La validation du dossier marocain s’est jouée sur d’autres critères, parfois méconnus du grand public. La protection des données personnelles fait partie de ces enjeux sur lesquels le Maroc sera fortement sollicité et scruté.

Comment garantir la sécurité des données liées aux énormes flux de personnes attendues pour l’un des plus grands événements mondiaux ?

« La protection des données à caractère personnel est une valeur importante liée aux citoyens et aux spectateurs », nous avait lancé, en octobre, Omar Seghrouchni, président de la CNDP. « Nous avons répondu aux informations qui nous ont été demandées par la Fédération royale marocaine de football (FRMF) », a-t-il ajouté pudiquement dans la même interview.

En réalité, la question a fait l’objet d’un traitement spécifique, visant à renforcer l’offre marocaine auprès de la FIFA. « La FRMF a procédé à des déclarations et demandes d’autorisation auprès de la CNDP, ce qui a permis au Royaume d’être jugé positivement sur ce volet dans le dossier de candidature », rapporte une source.

Dans ces démarches, le département de Fouzi Lekjaa a été accompagné par la branche marocaine de Fidaroc Grant Thornton, une multinationale spécialisée dans l’audit, le conseil et la fiscalité. Cette information a été révélée par cette même firme via sa page LinkedIn. L’équipe juridique était dirigée par l’avocat Moulay El Amine El Hammoumi Idrissi (anciennement chez Allen & Overy), assisté de Othmane Tazi.

« Toutes les personnes qui viendront en 2023 doivent être assurées que leurs données seront bien protégées. Il était donc nécessaire que le dossier de candidature soit en conformité avec la réglementation applicable en la matière », explique ce spécialiste sollicité par Médias24.

Concrètement, la FIFA devait notamment examiner la conformité de la fédération avec le traitement des données personnelles des membres du comité de candidature d’une part, pour le BID et, d’autre part, les engagements futurs en relation avec l’événement. Sur ce deuxième point, il s’agit précisément des données du public, des joueurs, des fédérations, des membres des différents staffs, des officiels, etc.

« La protection des données prendra tout son sens si le Maroc venait à développer une application similaire à ‘Hayya’, utilisée lors du Mondial 2022 au Qatar, notamment au regard des exigences du Règlement général sur la protection des données qui s’applique en Europe de manière extra-territoriale.

Cela inclut les visiteurs en Espagne et au Portugal, ainsi que les visiteurs européens dans le Royaume », préconise notre spécialiste.

Selon nos informations, les organisateurs examinent effectivement la possibilité de déployer une version marocaine de cette application. Mais, pour l’heure, elle n’a ni été développée ni validée.

En 2022, l’application ‘Hayya’ a été un élément clé de l’organisation logistique et de la gestion des spectateurs tout au long de la Coupe du monde au Qatar. Elle a servi de plateforme centrale pour les spectateurs et les participants, offrant des fonctionnalités telles que l’achat de billets, la gestion des transports, l’accès aux stades, ainsi que des informations sur la santé et la sécurité.

Elle a également permis de collecter et de gérer les données personnelles des utilisateurs, dans le respect des protocoles sanitaires et des exigences de sécurité liées à l’événement.

Données personnelles : des « imposteurs » sévissent à nouveau, avertit la CNSS

« La Caisse nationale de sécurité sociale désavoue les imposteurs qui ont contacté plusieurs citoyens en usurpant l’identité de représentants de la CNSS, afin de leur demander leurs coordonnées bancaires », a averti la CNSS dans un communiqué publié lundi.

Afin de protéger ses assurés, ajoute la même source, « la CNSS attire leur attention au risque lié à la communication des données et informations à caractère personnel à des tiers non fiables, qui peut être une forme d’escroquerie et d’utilisation malveillante de leurs données personnelles« .

À cet effet, « la CNSS procédera à la poursuite de toute personne impliquée dans cette affaire, et prendra toutes les mesures judiciaires nécessaires à son encontre », souligne le communiqué.

La CNSS appelle tous ses assurés à vérifier la crédibilité des informations la concernant, ou relatives à sa relation avec eux, en suivant son site officiel www.cnss.ma et ses pages officielles sur les médias sociaux, conclut le texte.

(Avec MAP)

Omar Seghrouchi (CNDP) : « L’investissement n’absout pas les violations des données personnelles »

Le Maroc engage sa transition numérique et, de ce fait, la question de la protection des données personnelles s’impose comme une priorité. Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), nous explique comment l’institution s’adapte à ce contexte en plein essor.

Engagements du Royaume à l’international, enquête en cours sur les agissements de TLS Contact, augmentation des escroqueries via WhatsApp… Dans cette interview, notre interlocuteur évoque certains sujets sensibles, tout en détaillant les chantiers prioritaires pour 2024-2025. Il insiste sur la nécessité d’une culture de la protection des données personnelles au Maroc, essentielle pour garantir la confiance des citoyens dans un monde numérique en constante évolution.

Médias24 : Quels sont les principaux chantiers de la CNDP pour cette la période 2024-2025 ?

Omar Seghrouchni : Nous avons plusieurs chantiers importants. Mais nous pouvons en citer les principaux :

renforcer nos opérations de contrôle ;
élargir les secteurs qui se mettent en conformité ;
continuer à améliorer notre réactivité avec les responsables de traitement et les citoyens ;
renforcer nos équipes en nombre et en qualité afin de rester en phase avec les dernières évolutions technologiques et sociétales ;
aménager notre siège à la suite de notre déménagement en assurant le confort et le bien-être pour le travail de nos collaborateurs et l’accueil des citoyens.

– Lors de notre dernier entretien, vous nous annonciez une action basée essentiellement sur un durcissement des contrôles et une systématisation des sanctions. Est-ce toujours le cas ?

– C’est toujours le cas. La mise en œuvre est moins immédiate que prévu. Mais c’est l’un de nos principaux chantiers. Nous renforçons nos contrôles et quand le responsable de traitement ne se met pas en conformité, nous saisissons le procureur du Roi territorialement compétent. Nous veillons à ce que nos dossiers soient les plus complets possibles.

– La CNDP nous avait habitués à des rapports annuels où elle exposait notamment le bilan des plaintes instruites, la nature des dossiers, les faits traités et les parties mises en cause…

– Oui, nous sommes très en retard sur ce chantier. Nous avons dû affronter la pandémie, la croissance des opérations de terrain entre les instructions, les plaintes et les contrôles, entre autres, en plus de nos actions à l’international, la mise en place du registre national de la protection des données… Cela a fortement mobilisé nos ressources. J’en profite pour les remercier car elles sont mobilisées de façon sérieuse. Ne tiennent chez nous que les ressources prêtes à se mobiliser.

Cependant, nous sommes conscients que la publication du rapport doit se faire, même si la loi ne l’impose pas. Nous sommes en train d’y remédier en travaillant sur un rapport de 5 ans qui sera prêt dans quelques semaines.

Le reproche est fondé et légitime. Vous avez raison. Cela fait partie des choses que nous essayons de corriger.

– On a appris que les pays organisateurs de la Coupe du monde 2030, dont le Maroc, ont été sollicités sur la question de la protection des données personnelles dans leurs dossiers respectifs… Pourquoi cet intérêt pour cette question ?

– Oui, à cet effet, nous avons répondu aux informations qui nous ont été demandées par la Fédération royale marocaine de football. La protection des données à caractère personnel est une valeur importante liée aux citoyens et aux spectateurs.

– Le Maroc est signataire de la Convention 108+, mais a-t-il ratifié le traité ?

– L’approbation de la Convention 108+ s’est faite devant le Conseil des ministres en juin 2021 et, quelques mois plus tard, soit début 2022, devant chacune des chambres du Parlement. Le processus de ratification est en cours.

– Quelles sont les conséquences de l’adhésion du Maroc à la Convention 108+ ? Qui est touché par cette convention et comment ?

– Il n’y a pas de conséquences négatives. La mise à niveau internationale de notre dispositif rassure sur le plan humain et sur le plan économique. Nous appartenons à une communauté internationale, et les échanges économiques et autres vont être facilités.

– Le Maroc est-il en phase, du point de vue de son arsenal légal, avec ses engagements internationaux en matière de protection des données personnelles ? Que reste-t-il à faire pour une mise en adéquation complète ?

– Nous avons beaucoup avancé. Il nous reste à conforter l’indépendance de la Commission pour renforcer son pouvoir dissuasif lié aux sanctions. Je dis bien dissuasif, car l’objectif est de faire respecter la protection des données à caractère personnel, et non pas de sanctionner. Mais cela sera fait à chaque fois que nous y serons obligés.

– La refonte programmée de la loi sur la protection des données personnelles semble marquer le pas. Où en est ce projet ?

– Nous sommes en train d’avancer sur ce sujet avec les services du chef de gouvernement, le ministère de la Justice et tous les autres partenaires. Nous avancerons avec le ministère de la Transformation numérique et de la réforme de l’administration, le ministère de l’Intérieur, le ministère des Affaires étrangères, de la coopération africaine et des Marocains résidant à l’étranger ainsi qu’avec tous les acteurs concernés. Nous espérons une nouvelle loi présentée au Parlement, au plus tard en 2025.

– Quels seront les principaux apports de la refonte ?

– Comme je vous disais, expliciter l’indépendance de la Commission (qui est déjà, de par son fonctionnement, indépendante), reformuler le système des sanctions et mieux nous rapprocher des évolutions technologiques et sociétales de ce monde nouveau mondialisé.

– Il y a la loi sur la protection des données personnelles, la pratique de la protection de ces données, et il y a également la culture en lien avec cette protection… Où en sommes-nous sur ce dernier point ?

– Nous avons beaucoup avancé, mais nous ne déploierons aucun discours de satisfaction ou d’autosatisfaction. Car dans ce domaine, plus on avance, plus il nous reste à faire. Le chantier culturel est important et immense. À titre d’exemple, des nouveautés sont initiées avec le ministère de la Jeunesse, de la culture et de la communication. Nous visons les maisons des jeunes, les colonies de vacances et tout l’écosystème. Par ailleurs, et toujours à titre d’exemple, nous allons initier des initiatives avec certaines universités et d’autres acteurs.

– Il y a quelques mois, vous aviez enclenché des procédures à caractère disciplinaire concernant TLS Contact Maroc, VFS GCC Morocco et BLSMOR Services. Où en sont ces dossiers ?

– La procédure est toujours en cours. Nous ne manquerons pas de conclure sur ce sujet. Certains pensent qu’au nom de l’investissement, ou grâce au témoignage de quelques ambassadeurs, l’infraction enregistrée sera oubliée. Ils se trompent, car le Maroc est un Etat de droit.

– Avez-vous enclenché d’autres procédures de cette ampleur ?

– Oui, d’autres acteurs sont concernés. Si vous permettez, pour l’instant, nous avons décidé d’avancer discrètement sur certains sujets.

– Au cours des derniers mois, les utilisateurs de WhatsApp au Maroc ont reçu des messages d’interlocuteurs anonymes promettant des rémunération en échange de l’accomplissement de certaines tâches sur le Web. Ces pratiques ont fait l’objet de plusieurs plaintes pour escroquerie qui sont en cours de traitement par les autorités judiciaires. La CNDP s’est-elle penchée sur le sujet ?

– La CNDP est interpellée par le sujet. D’autant plus que WhatsApp et Meta ne se conforment pas aux lois nationales. Plusieurs autorités, dans le monde, ont émis des sanctions. Par ailleurs, certains acteurs économiques veulent faire un usage conséquent de WhatsApp.

Certains pensent qu’au nom de l’investissement, ou grâce au témoignage de quelques ambassadeurs, l’infraction enregistrée sera oubliée. Ils se trompent, car le Maroc est un État de droit

Le sujet est à l’étude chez nous. Nous ne manquerons pas de communiquer lorsque les choses seront fixées.

– Au -delà de l’escroquerie en tant que qualification pénale, quelle est la qualification de ces comportements au regard de la loi sur la protection des données personnelles ?

– Non-respect des données à caractère personnel des citoyens.

– Quelles sont les sanctions encourues ?

– Celles prévues par la loi : administratives, pénales et financières.

– Avez-vous une idée de l’ampleur du phénomène au Maroc ?

– De façon formelle, pas encore, car beaucoup de citoyens subissent sans formaliser le désagrément. De façon intuitive, important.

– Les auteurs de ces pratiques approchent leurs victimes via WhatsApp. À votre avis, pourquoi ce canal est-il privilégié ?

– Car direct, sans témoin, et où l’oral est possible. Mais si les Marocains étaient plus sur Signal, Telegram ou autre… ce serait aussi le cas. C’est pour cela que nous devons réfléchir à une meilleure approche au niveau des réseaux sociaux. Il n’est pas possible de subir ces incivilités.

– Avez-vous des contacts avec les développeurs de cette application ? Avez-vous pris des mesures à leur égard ?

– Nous sommes en contact avec Meta, mais aussi avec d’autres réseaux sociaux qui nous aident à gérer les plaintes. Mais pour renforcer notre position, il faut que les citoyens nous fassent parvenir leurs plaintes de la façon la plus fidèle possible.

– Comment se prémunir contre ces pratiques ?

– En étant attentif à l’usage et en faisant fonctionner la loi. Naturellement, au Maroc, comme ailleurs, nous avons besoin de la vigilance de nos concitoyens et de l’anticipation alerte de nos responsables de traitement.

– En tant que président de la CNDP, si vous deviez vous fixer un objectif pour l’année 2024, lequel serait-il ?

– L’objectif est toujours le même : faire respecter la protection des données à caractère personnel. Cela a été l’objectif des années passées, c’est l’objectif 2024.

Données personnelles : avec le concours de la CNDP, les professions de santé se préparent à la conformité

En vue d’amener les différentes entités de la profession de santé à se conformer à la loi relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, la CNDP a lancé, depuis début juillet 2024, une série de réunions avec le Conseil des pharmaciens biologiste et l’Ordre national des médecins dentistes, lesquelles se poursuivront encore dans les prochains jours. Selon nos informations, l’Ordre national des médecins est également concerné par cette démarche.

Ces réunions interviennent à la suite de courriers de mise en conformité adressés par la CNDP à certains laboratoires d’analyses médicales et médecins dentistes notamment.

C’est enfin le tour de la profession médicale

Cette démarche est motivée par le développement rapide des nouvelles technologies de l’information et de la communication dans notre société, nécessitant une adaptation du droit pour créer un cadre juridique approprié, à même de répondre aux nouvelles problématiques juridiques.

Dans ce contexte, le législateur marocain a adopté, en 2009, la loi 09-08 relative à la protection des personnes physiques contre les traitements des données à caractère personnel. Cette loi vise à protéger la vie privée des individus contre les atteintes potentielles liées aux traitements, notamment automatisés, des données personnelles les concernant.

Ainsi, depuis novembre 2012, toute personne morale réalisant des traitements de données personnelles dans le cadre de son activité doit se conformer aux obligations imposées par ladite loi.

La CNDP a déjà accompagné de nombreux organismes pour les aider dans cette conformité, et c’est enfin le tour de la profession de santé. Différentes sources sondées par nos soins expliquent ce retard par les nombreux dossiers que la commission est en charge de traiter. Si la loi 09-08 a été élaborée et publiée en 2009, son actuel président, responsable de son application effective, n’a été nommé qu’en novembre 2018 par le Roi Mohammed VI. S’en est ensuivie la constitution de la Commission dans sa totalité, l’installation de son siège, etc.

L’actuel président, Omar Seghrouchni, a donc attaqué les nombreux dossiers qui se trouvaient sur sa table, dont celui de la profession médicale.

« Nous avons l’obligation du secret professionnel »

La première réunion dans ce sens s’est tenue le 2 juillet dernier avec le Conseil des pharmaciens biologistes et la Chambre syndicale des biologistes, tandis que la deuxième a eu lieu le 9 juillet.

Durant ces deux rencontres, il a été convenu d’accompagner les directeurs de laboratoires d’analyses médicales dans leurs démarches de conformité à la loi 09-08, de produire dans le cadre d’un groupe de travail commun un guide de conformité à cette loi spécifique à la biologie médicale du secteur privé, et de réaliser un suivi commun des actions de mise en conformité identifiées en généralisant cette démarche à tous les biologistes du secteur privé.

Contactée par Médias24, la présidente du Conseil des pharmaciens biologistes, le Dr Zineb Zniber, nous explique que « dans le cas des laboratoires, nous sommes obligés de connaître l’identité des personnes qui viennent chez nous, leur âge et leur sexe… Ce sont des données indispensables pour la réalisation de leurs analyses ».

« Toutefois, ces données ne doivent pas être à la portée de n’importe qui. Nous avons l’obligation du secret professionnel, et c’est quelque chose que l’on respecte déjà dans notre métier. Les lois en vigueur relatives aux laboratoires insistent sur ce point, mais la CNDP veut qu’on se conforme également à la loi 09-08″.

Et d’ajouter : « Nous avons alors été contactés, au même titre que d’autres ordres, pour prendre connaissance de toutes les dispositions de ladite loi. Celle-ci est très générale, et parfois, elle dispose de certains points qui sont en contradiction avec notre métier, notamment en termes d’archivage des données et de leur destruction… »

« L’objectif de ces réunions est donc de comprendre comment nous devons traiter toutes les données dont on dispose. Avec le développement des technologies, il est devenu difficile de savoir si les sites que l’on utilise dans notre métier sont sécurisés ou pas ».

« L’objectif à terme est de connaître les limites d’usage des données dont on dispose«

En ce qui concerne l’Ordre des médecins dentistes, la première réunion avec la CNDP s’est tenue le 10 juillet 2024, suivie d’une deuxième le 17 juillet. Durant ces deux rencontres, comme pour les biologistes, il a été convenu d’accompagner les médecins dentistes dans leurs démarches de conformité à la loi 09-08, et de produire dans le cadre d’un groupe de travail commun un guide de conformité à cette loi spécifique aux médecins dentistes du secteur privé.

Joint par nos soins, le Dr Mohamed Sdira, président de l’Ordre des médecins dentistes, nous explique que les dentistes disposent d’une large base de données de leurs patients, de caméras de surveillance, et utilisent différents logiciels sur lesquels ces données sont hébergées. Pour éviter d’éventuelles sanctions infligées à la suite du mauvais usage de ces informations, nous devons nous conformer à la loi 09-08, comme stipulé par la CNDP ».

« Les médecins dentistes doivent ainsi se conformer à la loi concernant chaque acte en relation avec les données personnelles, notamment des patients. Par exemple, lorsqu’on utilise un logiciel, on doit s’assurer que ce dernier est sécurisé. Nous devons également nous assurer que les données ne sont pas hébergées par ce dernier à l’étranger. Les choses doivent rentrer dans l’ordre, et c’est notre responsabilité en tant qu’Ordre des médecins dentistes d’accompagner les professionnels dans ce chantier ».

« L’objectif est d’être conscient, à terme, des limites d’usage de toutes les données personnelles dont on dispose« , poursuit notre source, soulignant qu’avant que la CNDP n’adresse des courriers aux médecins dentistes, l’Ordre des médecins dentistes avait déjà déposé, il y a plusieurs mois, une demande d’audience auprès de la commission à ce sujet. Ce n’est donc que maintenant que leur tour est arrivé.

Dans un communiqué publié à l’issue de sa seconde réunion avec la CNDP, l’Ordre des médecins dentistes explique que l’objectif de cette mise en conformité est d’être au courant de la responsabilité des médecins dentistes dans le traitement des données dont ils disposent dans le cadre de l’exercice de leur activité professionnelle, mais aussi dans la collecte, l’enregistrement, l’organisation, le stockage et l’échange de ces données.

Quand on parle de données personnelles, on fait référence à une multitude d’informations, notamment le numéro de la carte d’identité nationale (CIN) des patients, leurs photos, les données des salariés, les données ou images enregistrées par les caméras de surveillance au sein du cabinet, les données échangées avec les laboratoires, et celles stockées.

Des guides spécifiques pour chaque métier

Dans les prochaines séances de travail, les différents ordres et la CNDP travailleront ensemble à l’élaboration et la validation des guides de conformité pour chaque métier.

« La CNDP va élaborer un guide pour les biologistes marocains, sur la base des dispositions de la loi 09-08″, nous explique le Dr Zniber. « Ce guide sera plus pratique pour nous pour comprendre comment on pourrait utiliser chacune des données dont on dispose ».

« À titre d’exemple, si la loi exige la déclaration de chaque patient que l’on reçoit, notre métier ne nous le permet pas. Nous avons alors répertorié tous les points importants dans notre métier qui sont en contradiction avec les termes de la loi 09-08, tels que l’archivage, la déclaration, la sous-traitance et autres, pour voir avec la CNDP comment nous pouvons les adapter aux exigences de la loi. Ce guide nous montrera également comment on pourra utiliser les caméras de surveillance, et comment les données enregistrées par celles-ci doivent être déclarées. Tout cela est encore flou pour nous ».

« Nous avons alors remis à la CNDP les grandes lignes propres à notre profession, pour qu’elle nous propose un guide qu’on validera ensemble. L’objectif final est d’éviter les sanctions par méconnaissance de la réglementation en vigueur », conclut le Dr Zineb Zniber.

« Lors des prochaines séances de travail, la CNDP nous fera une proposition d’un guide de traitement des données personnelles destiné aux médecins dentistes », confirme le Dr Sdira. « Nous allons ensuite créer une commission conjointe pour examiner ce document, afin de déterminer nos limites et nos responsabilités envers ces données ».

« L’étape suivante aura trait à l’accompagnement de tous les médecins dentistes dans la conformité à la loi. Les choses se feront progressivement, et nous commenceront d’abord par la sensibilisation des professionnels », conclut le président de l’Ordre des médecins dentistes.

La CNDP prendra aussi contact avec le ministère de la Santé pour faire assurer cette conformité aux biologistes du secteur public.

Données personnelles : après les biologistes, la CNDP reçoit les dentistes

Lors d’une deuxième réunion tenue le mercredi 17 juillet, il a été convenu d’accompagner les médecins dentistes dans leurs démarches de conformité à la loi n° 09-08 et de produire dans le cadre d’un groupe de travail commun un guide de conformité à cette loi spécifique aux médecins dentistes du secteur privé, indique un communiqué de la CNDP et de l’Ordre.

Aussi, il a été question de faire un suivi commun des actions de mise en conformité identifiées en généralisant cette démarche à tous les médecins dentistes du secteur privé, ajoute le communiqué.

Les médecins dentistes ayant déjà reçu un courrier de mise en conformité sont encouragés à prendre contact avec la CNDP, précise-t-on.

La CNDP prendra contact avec le ministère de la Santé et de la protection sociale pour faire assurer cette conformité aux médecins dentistes du secteur public, conclut le communiqué.

LIRE AUSSI

https://medias24.com/2024/07/16/donnees-personnelles-la-cndp-se-reunit-avec-les-biologistes/

Inwi obtient la certification HDS pour l’hébergement et l’infogérance des données de santé

Cette nouvelle certification vient consolider l’engagement continu de inwi envers la sécurité, la confidentialité et l’intégrité des données, positionnant ainsi l’opérateur en tant que partenaire hébergeur et infogéreur privilégié des acteurs et établissements de santé, souligne un communiqué de inwi.

Alignée sur la norme internationale ISO 27001, la certification Hébergeur des données de santé (HDS) fournit des garanties essentielles en matière de sécurité de l’information pour les entreprises qui choisissent d’externaliser l’hébergement des données de santé des citoyens dans le Cloud ou dans des Datacenters.

Avec la certification HDS, inwi démontre son engagement ferme envers l’excellence en matière de sécurité des données sensibles de santé. Cette accréditation atteste de la conformité de inwi aux normes les plus strictes en matière de protection des données, garantissant à ses clients et partenaires un niveau de confiance inégalé dans la gestion sécurisée de leurs informations les plus sensibles, ajoute la même source.

La certification HDS, qui s’ajoute aux certifications ISO 27001, TIER III et PCI-DSS précédemment obtenues, vient consolider les efforts de inwi pour doter le Maroc d’infrastructures technologiques souveraines de pointe, renforçant ainsi sa réputation d’excellence et de fiabilité dans le marché marocain, rappelle le communiqué.