19/09/2014
Communiqué de la CNDP sur l’opération de contrôle de sites web
Dans le cadre de l’exercice de sa mission de protéger les personnes physiques à l’égard du traitement de leurs données personnelles, la Commission nationale de protection des données à caractère personnel (CNDP) du Maroc a réalisé sa première campagne de contrôle en 2014. Cette campagne qui a visé 104 sites web s’est déroulée en 2 phases : une opération pilote qui a permis d’expérimenter la méthode de contrôle et d’examiner la conformité d’un nombre limité de sites web ; ensuite une deuxième opération de plus grande envergure.
Secteurs d’activités
Le contrôle a porté sur plusieurs catégories de sites web : sites d’annonces, voyage et hôtellerie, cabinets de recrutement et emploi, vente en ligne, deals, marketing, organismes publics, organismes de prévoyance sociale, concessionnaires de services publics, immobilier, banques et sociétés de financement, assurances, transport et logistique, santé, télécoms et location de voitures.
Méthodologie
Publication d’un document sur la conformité des sites web
A la lumière des résultats de la première phase de contrôle qui a visé une vingtaine de sites web, il a été jugé utile de rédiger et publier un guide à l’usage des responsables des sites. Ce document, intitulé « Lignes directrices relatives à la conformité des sites web à la loi 09-08 » fixe les critères de conformité par rapport à la législation marocaine en matière de protection des données personnelles.
Choix des sites web
Le choix des sites qui ont fait l’objet du contrôle est dicté par plusieurs critères, notamment le degré d’utilisation des données personnelles, l’importance de l’organisme responsable du site et enfin le souci de toucher un plus grand nombre de secteurs d’activités.
Procédure de contrôle
Afin d’évaluer le degré de conformité par rapport aux exigences de la loi 09-08, chaque site web a fait l’objet d’un contrôle au moyen d’une grille d’évaluation standard. Le contrôle vise à vérifier un certain nombre d’éléments : les droits des personnes concernées, la notification des traitements à la CNDP, le principe de proportionnalité, l’utilisation des cookies, etc.
Sur la base de l’évaluation effectuée, une fiche de synthèse est élaborée reprenant l’essentiel des résultats du contrôle et détaillant les manquements et les irrégularités constatés.
Résultats du contrôle
Cette première opération de contrôle des sites web a révélé un grand nombre d’irrégularités, dont les principaux indicateurs sont les suivants :
- Mention relative à la protection des données personnelles
Les chiffres obtenus montrent que 22% des sites web affichent une mention conforme aux exigences de la loi. La mention est présente mais incomplète dans 28% des cas. Par contre, 50% des sites contrôlés n’affichent pas de mention relative à la protection des données à caractère personnel. - Consentement des personnes concernées
Il est constaté que très peu de sites web au Maroc (1%) se soucient de recueillir le consentement des internautes à collecter et traiter leurs données personnelles. Dans 80% des cas, le site web n’évoque nulle part la demande de consentement, et dans 19% des cas, la présence de la demande est aléatoire, puisqu’elle ne figure pas sur la totalité des formulaires de collecte des données. - Information des personnes concernées
L’opération de contrôle de la CNDP montre que l’obligation d’informer les personnes concernées au moment de la collecte de leurs données personnelles dans les termes prévus par la loi est très rarement respectée (1%). Les informations sur l’identité du responsable du site web, les finalités du traitement, les destinataires des données collectées et autres renseignements ne sont que partiellement communiquées dans 28% des cas. Ces informations sont totalement absentes dans 71% des sites web. - Exercice des droits d’accès, de rectification et d’opposition
Les résultats obtenus montrent que les internautes sont privés de l’exercice de leurs droits d’accès, de rectification et d’opposition auxquels la loi accorde pourtant une importance particulière. En effet, ces droits ne sont malheureusement pas assurés par l’écrasante majorité des sites web au Maroc (95%). - Notification des traitements et des transferts à la CNDP
Sur l’ensemble des sites contrôlés, à peine 7% des sites web ont accompli la formalité de notification du traitement à la Commission.
En ce qui concerne l’hébergement des sites à l’étranger (transfert de données personnelles à l’étranger), il est constaté qu’aucun des sites concernés n’a obtenu l’autorisation requise auprès de la CNDP. - Autres thèmes
Le contrôle a révélé d’autres irrégularités par rapport à la loi. Elles concernent le principe de proportionnalité (collecte excessive de certaines données et injustifiée par le traitement), les règles de la prospection directe et l’utilisation des cookies.
Suites du contrôle
Une lettre, accompagnée de la fiche de synthèse et du document « Lignes directrices relatives à la conformité des sites web à la loi 09-08 », sera adressée aux responsables de traitement afin de les inviter à procéder à la mise en conformité de leur site web.
A l’expiration du délai fixé par la Commission, les sites web seront à nouveau contrôlés afin de permettre à la CNDP de prendre les mesures légales qui s’imposent : relance du responsable du traitement, mise en demeure et, en l’absence d’une réponse positive, l’ouverture d’une procédure disciplinaire. Cette dernière pourrait déboucher sur un avertissement, un avertissement public, un blâme, ou même le transfert du dossier à la justice.
Dans la presse:
Données personnelles : Protection incomplète sur les sites web marocains, aufait.ma, 19/09/2014
CNDP: Les internautes marocains ne sont pas protégés, lematin.ma, 19/09/2014