LOI N° 09-08 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU
TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Cette loi vise à assurer une protection efficace des particuliers contre les abus d’utilisation
des données à caractère personnel qui ont été définis comme étant toute information de
quelque nature qu’elle soit et indépendamment de son support, concernant une personne
physique identifiée ou identifiable dénommée « personne concernée »
Son objectif est de doter le Maroc d’un instrument juridique sur la protection de ces
données en vue de protéger la vie privée des individus à travers la régulation de l’utilisation
de leurs données par les organismes publics et privés.
Le chapitre premier: Dispositions générales
Dans ce chapitre la loi d’abord souligne la nécessité du respect des droits et libertés
collectives ou individuelles de l’homme dans l’utilisation de l’informatique.
Elle précise le champ d'application de la loi en matière de traitement des données
personnelles à savoir tout traitement automatisé ou non automatisé de ces données,
effectué par une entité établie sur le territoire marocain ou utilisant des moyens situés sur
ce territoire, sauf exceptions. Ces exceptions incluent les activités purement personnelles ou
domestiques, ainsi que certains traitements liés à la défense nationale ou à des législations
particulières.
Elle établit ensuite les principes fondamentaux de traitement des données à caractère
personnel, en insistant sur la nécessité de les traiter de manière éthique, transparente et
conforme aux finalités pour lesquelles elles ont été collectées. Ce traitement requiert le
consentement explicite de la personne concernée, sauf exceptions telles que les obligations
légales, les contrats ou les intérêts vitaux. C’est-à-dire que les données ne peuvent être
communiquées à un tiers sans consentement préalable.
Chapitre 2 : Les droits de la personne concernée :
Ce chapitre fixe les droits de la personne concernée par la collecte des données qui sont tout
d’abord exprimer son consentement, être informé lors de la collecte des données, Exercer
son droit d’accès (Toute personne a le droit d’obtenir à tout moment et gratuitement la
confirmation que les données la concernant font l’objet ou non d’un traitement, et
demander les caractéristiques du traitement effectué, ses finalités…), son droit de
rectification (toute personne peut exiger l’actualisation, l’effacement, ou le verrouillage des
données personnelles la concernant lorsque ces dernières s’avèrent inexactes, incomplètes,
périmées…) et le droit d’opposition (Les personnes peuvent s'opposer au traitement de leurs
données pour des motifs légitimes, sauf si le traitement répond à une obligation légale).
Et enfin il donne une protection contre les messages publicitaires en interdisant la
prospection directe sauf consentement du destinataire.
Chapitre 3 : Les obligations des responsables du traitement :
�Ce chapitre définit les obligations auxquelles sont soumis les responsables de traitement.
Ces derniers doivent s’assurer que les données personnelles sont collectées et traitées d’une
façon loyale, légitime et transparente pour cela ils doivent respecter la finalité du traitement
précise et légitime qui est communiquée aux personnes concernées lors de la collecte de
leurs données et à la commission nationale de protection des données personnelles lors de
la notification du traitement, s’assurer de la qualité des données, c’est-à-dire que le
responsable du traitement doit veiller à ce que les données traitées soient exactes, fiables,
complètes et mises à jour, le respect de la durée de leurs conservation qui ne doit pas
excéder la durée nécessaire à l’accomplissement de la finalité du traitement pour laquelle
elles ont été collectées, assurer la sécurité et la confidentialité des traitements.
Et avant de mettre en œuvre le traitement, le responsable doit le notifier à la CNDP en
accomplissant une procédure appropriée à savoir
- Une demande d’autorisation dans certains cas précis par exemple dans le cas
d’utilisation des données sensibles, détournement de finalité…
- Une déclaration préalable dans les autres cas
- Une demande de transfert de données à l’étranger si des données personnelles
seront hébergées ou transmises à l’étranger
- La désignation du responsable de traitement en cas de tenus d’un registre public.
Chapitre 4 : La Commission Nationale de protection des données à caractère
personnel :
Ce chapitre a été consacré à CNDP qui est une autorité chargée de la protection et le
contrôle des données à caractère personnel au Maroc. A ce titre elle vise à l’instauration
d’une meilleure transparence dans l’utilisation des données personnelles par les
organismes publics et privés. En vue d’assurer ce rôle, elle se charge de la réception des
plaintes des individus, des déclarations et des demandes d’autorisation des responsables
de traitement, les demandes d’avis présentées par le gouvernement, et la tenue d’un
registre public.
La loi donne d’autres fonctions de cette commission par exemple informer les personnes
concernées sur leurs droits et les responsables de traitement sur leurs obligations et sur
les modalités de mise en conformité avec la loi, donner son avis au gouvernement, au
parlement et aux autorités compétentes au sujet des projets ou propositions de lois, ou
projet de règlement touchant les données à caractère personnel.
Elle est dotée aussi de pouvoirs d’investigation et d’enquête lui permettant de contrôler
et de vérifier que les traitements des données sont effectués conformément aux
dispositions de la loi. Ces contrôles peuvent donner lieu à des sanctions administratives,
pécuniaires, ou pénales.
La loi détaille sa composition, son organisation et les modalités de son fonctionnement.
Chapitre 5 : le transfert de données vers un pays étranger :
�La loi conditionne transfert des données à caractère personnel vers un Etat étranger à la
protection de la vie privée et les droits fondamentaux et libertés publiques par cet Etat,
et donne les critères d’appréciation du niveau de protection assuré par un Etat tel que
les dispositions en vigueur, les mesures de sécurité appliqués…
Chapitre 6 : Le registre national de la protection des données à caractère personnel et
des limites à la création ou à l’usage de registres centraux et de fichiers :
Ce registre vise à informer le public sur les entreprises et les organisations qui ont reçu
l'autorisation de la CNDP pour les traitements de données à caractère personnel, tels
que la vidéosurveillance, la collecte d'informations et la biométrie. En fournissant ces
informations, le registre renforce la transparence et la confiance envers les responsables
de traitement des données.
Chapitre 7 : les sanctions
Exemple en cas de traitement préjudiciable à la sécurité ou à l’ordre public, la création e
fichier de données personnelles sans autorisations, refus du responsable du traitement
des droits d’accès…
Chapitre 8 : dispositions transitoires : donne un délai de deux ans pour les personnes
dont l’activité consistait avant la date de la publication de la loi le traitement des
données à caractère personnel pour régulariser leur situation en conformité avec les
dispositions de la présente loi
