side-area-logo
tttttt

Actualités

La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Les nouvelles technologies de l’information et de la communication sont en plein essor dans notre société  et imposent au droit de suivre l’évolution en élaborant un cadre juridique adéquat afin de faire face aux nouvelles problématiques juridiques. Le législateur marocain a dans ce contexte adopté  la loi relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel : la loi 09-08.
L’esprit du texte se lit dès le premier article qui dispose « L’informatique est au service du citoyen et évolue dans le cadre de la coopération internationale. Elle ne doit pas porter atteinte à l’identité, aux droits et aux libertés collectives ou individuelles de l’Homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des citoyens ».
Ainsi, l’objectif de la loi 08-09 est de doter l’arsenal juridique marocain d’un instrument juridique de protection des particuliers, contre les abus d’utilisation des données de nature à porter atteinte à leur vie privée, et d’harmoniser le système national de protection des données personnelles à celles de ses partenaires tels que définis par les instances européennes.
Un décret pour l’application de cette loi a été publié au Bulletin Officiel du 18 juin 2009. Une commission nationale du contrôle et de la protection des données personnels a été créée afin de veiller au respect et à l’exécution des dispositions de la loi précitée.
Le champ d’application de la loi doit être explicitement clarifié, avant de définir les notions clés et de déterminer les droits des citoyens et les obligations des responsables de traitement. L’apport majeur de la présente loi est la constitution de la CNDP, garant du respect des dispositions mais dont le fonctionnement et le mode de saisine demeure mystérieux.
 
1-    Le Champ d’application
·      Les données à caractère personnel 
La loi 08-09 définit les données à caractère personnel comme étant toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable dénommée par la loi  « personne concernée ». Elle s’applique aux données à caractère personnel, automatisé en tout ou en partie mais également aux données traitées permettant d’identifier une personne dans des fichiers manuels.
Une personne est identifiable par son nom, son prénom, son adresse, son numéro de Carte Nationale, sa photographie, son courriel, son empreinte digitale, son relevé d’identité bancaire, en somme par toute information qui constitue une donnée à caractère personnel. Le traitement de ses données peut constituer un danger pour les citoyens lorsque leurs données personnelles sont divulguées à une tierce personne, et afin de protéger les citoyens la loi 09-08 est entrée en vigueur et a mis en place un cadre juridique réglementant la matière.
 Est considéré comme étant un traitement à caractère personnel toute opération ou ensemble d’opération automatisées ou non servant à la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction des données à caractère personnel.
Est considéré comme un responsable du traitement non seulement les personnes physiques ou morales marocaines dont le responsable exerce une activité sur le territoire marocain, mais s’étend également aux entreprises étrangères qui entretiennent des relations d’affaires avec leurs homologues marocaines ou qui échangent des données avec leurs filiales ou leurs maisons mères marocaines, tout en utilisant des moyens situés sur le territoire marocain.
 Il s’agit ainsi de créer des conditions favorables au développement de l’offshoring et des délocalisations.
·       Les données exclues du champ d’application
Toutefois, le champ d’application de cette loi exclut les données relatives à l’exercice d’activités personnelles ou domestiques, celles obtenues au service de la Défense nationale et de la Sûreté intérieure et extérieure de l’Etat, ou encore celles obtenue dans le cadre du traitement effectué en application d’une législation particulière.
Dans le cadre des deux exclusions susvisées, la commission nationale doit recevoir la proposition de loi ou le projet portant création de fichiers de données et doit être informée de l’autorité responsable du fichier.
2-    Les droits des personnes concernées 
a)    Le consentement indubitable de la personne concernée
Tel que prévu par l’article 4 de la loi 09-08, la communication des données à caractère personnel à un tiers nécessite indubitablement le consentement préalable de la personne concernée. L’article premier de la loi définit le consentement de la personne concernée comme étant toute manifestation de la volonté, libre, spécifique et informée, par laquelle la personne concernée accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement. Cela dit la loi a émis une réserve quant à cette obligation en permettant aux responsables de divulguer certaines données, lorsque le traitement est nécessaire au respect d’une obligation légale à laquelle est soumise la personne concernée ou le responsable du traitement, ou encore lorsqu’il s’agit de l’exécution d’un contrat auquel la personne concernée est partie. Cette réserve s’étend également à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement  ou le tiers auquel les données sont communiquées. Abstraction faite de ses situations, les responsables du traitement sont tenus d’attendre que la personne concernée ait consentie à la communication de ses données personnelles, à moins que cette dernière soit dans l’impossibilité physique ou juridique, d’exprimer son consentement.
La loi reconnaît également aux personnes concernées certains droits, à savoir : le droit à l’information lors de la collecte des données, le droit d’accès, le droit de rectification, le droit d’opposition.
b)     Le droit à l’information lors de la collecte des données
Le droit d’information est au cœur de la protection des données car il constitue une garantie de collecte transparente et loyale des données à caractère personnel.
L’obligation d’information lors de la collecte des données prévue par l’article 5 de la loi 09-08, concerne l’information préalable de  toute personne de manière précise, expresse et non équivoque de l’utilisation ou du stockage de données informatisées la concernant. Cette même personne doit également être informée sur l’organisme qui effectue la collecte d’information mais aussi sur les destinataires ou les catégories de destinataires. D’autant plus, lorsque la personne concernée répond à des questionnaires, il doit être porté à sa connaissance si la réponse à telle ou telle question est obligatoire ou facultative.
Toutefois, il existe des limites au droit d’information et notamment lorsque les informations sont traitées  à des fins de statistiques, historiques ou scientifiques, dans ce cas le responsable de traitement doit en informer la commission et lui présenter les motifs de l’impossibilité d’information.
Par ailleurs, le droit de l’information n’est pas applicable aux données dont la collecte est essentielle à la défense nationale, la sûreté intérieure ou extérieure de l’Etat, à la prévention ou répression du crime.
L’exclusion est également valable lorsque la législation prévoit expressément l’enregistrement ou la communication des données à caractère personnel et lorsque le traitement est destiné à des fins exclusivement journalistiques, artistiques ou littéraires.
Ce droit à l’information permettra de garantir l’exercice du droit d’accès et de rectification.
c)     Le droit d’accès
Le droit d’accès tel que reconnu à l’article 7 de la loi 09-08, est le droit qui permet à toute personne d’accéder aux informations la concernant pour s’assurer de leur exactitude. Elle a le droit d’obtenir du responsable de traitement les informations concernant les finalités du traitement, les catégories de données sur lesquelles elle porte, et les catégories ou les catégories de destinataires auxquels les données à caractère personnel sont communiquées.
Le responsable du traitement est tenu de délivrer ses informations aux personnes concernées lorsqu’elles le souhaitent, mais il peut s’opposer à ce droit d’accès lorsqu’il est exercé de manière abusive. Dans ce cas il doit en informer la Commission en apportant la preuve du caractère abusif de ces demandes.
d)     Le droit de rectification
Le droit de rectification est un droit complémentaire du droit d’accès, en effet les personnes peuvent demander la rectification des informations les concernant notamment lorsqu’elles sont inexactes ou incomplètes. Le responsable du traitement est tenu de répondre à cette demande dans un délai de dix jours, sans imposer de frais. En cas de non réponse ou de refus, la personne peut saisir la Commission nationale, laquelle charge l’un de ses membres à mener toutes investigations utiles et faire procéder aux rectifications nécessaires, dans les plus brefs délais. C’est ce qui est prévu par l’article 8 de la loi 09-08.
e)     Le droit d’opposition
Le droit d’opposition tel que reconnu à l’article 9 de la loi 09-08permet à toute personne dont les données à caractère personnel font l’objet d’un traitement de s’opposer sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale.
             f) L’interdiction de la prospection commerciale
L’article 10 de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel interdit la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique… qui utilise les coordonnées d’une personne qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.
Il est également interdit de dissimuler l’identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec la prestation ou le service proposé.

Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui à l’occasion d’une vente ou d’une prestation de services. Autre mesure apportée par la nouvelle loi, les abonnés peuvent dorénavant s’opposer à ce que des données les concernant fassent l’objet d’un traitement ou soient utilisées à des fins de prospection, notamment commerciales. La possibilité d’opposition  doit être proposée de manière expresse et dénuée d’ambiguïté et doit pouvoir s’effectuer sans frais supplémentaires pour la personne.
      g) La neutralité des effets
Le principe de neutralité des effets posé par les dispositions de l’article 11 de la loi 09-08 a pour vocation d’interdire l’utilisation du traitement des données personnelles pour fonder une décision de justice ou tout autre décision ayant des effets juridiques.
Toutefois, ce principe ne s’applique pas lorsque les décisions sont prises dans le cadre de la conclusion ou de l’exécution d’un contrat et pour lesquelles, les personnes la personne concernée a été mise à même de présenter ses observations.
3-     Les obligations des responsables de traitement
Quelles sont les obligations du « responsable du traitement » vis-à-vis d’une « personne concernée » de laquelle il traite des données à caractère personnel ?
L’obligation primaire des responsables de traitement est de ne collecter des données à caractère personnel que pour des finalités déterminées, dont la personne concernée est explicitement informée. Ce dernier s’oblige à ne pas les traiter par la suite de manière incompatible avec ces finalités. En plus de cela la loi 09-08 impose une autorisation préalable de la personne concernée dans certains cas, et d’une déclaration préalable dans d’autres cas, et ce selon la nature des informations collectées.
L’article 3 de la loi 09-08 dispose que les données à caractère personnel doivent être traitées  loyalement et licitement. Elles ne peuvent être collectées que pour des finalités bien déterminées et ne peuvent être conservées que pendant la durée de la réalisation des finalités pour lesquelles elles ont été collectées. Ce même article impose au responsable du traitement de ces données un devoir   d’exactitude et de mise à jour, à défaut les données inexactes ou incomplètes doivent être rectifiées ou effacées
a)     Le Consentement (Cette partie est complétée au niveau des sanctions)
Toutefois, le consentement préalable n’est pas exigé si le traitement est nécessaire au respect d’une obligation légale à laquelle est soumise la personne concerné ou le responsable du traitement, à l’exécution du contrat auquel la personne est partie, à la sauvegarde d’intérêts vitaux de la personne concernée, à l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées, et à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire sous réserve de ne pas méconnaître l’intérêt ou les droits fondamentaux de la personne concernée.
b)     L’autorisation préalable
En vertu des dispositions de l’article 12 de la loi 09-08, les responsables du traitement sont soumis à une autorisation préalable de la personne concernée lorsque les traitements concernent les données sensibles visées à l’alinéa 3 de l’article premier. La loi entend par « données sensibles », « les données à caractère personnel qui révèlent l’origine racial ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données relatives à  la santé de la personne concernée ».
Ils sont également soumis à la dite autorisation lorsqu’il s’agit de données portant sur les infractions, condamnations ou mesures de sûreté, des données comportant le numéro de la carte d’identité nationale de la personne concernée.
Le traitement de ces données nécessite une autorisation préalable de la personne concernée lorsqu’elles sont utilisées pour d’autres finalités que celles pour lesquelles elles ont été collectées.
L’article 22 de la loi 09-08 impose aux responsables du traitement une déclaration à la Commission Nationale lorsqu’il s’agit d’un traitement de données relatives à la santé lorsqu’il est effectué par un praticien de la santé tenu du secret professionnel ou par toute autre personne soumise également à une obligation de secret.
Le défaut de l’autorisation et de la déclaration préalable est sanctionné par l’article  52 de la loi.
c)     la déclaration préalable
Les responsables de traitement sont tenus en vertu des dispositions de l’article 13 de la loi 09-08 de déposer leur engagement relatif au traitement des données conformément aux prescriptions de la présente loi auprès de la Commission Nationale.
Cette obligation doit être exécutée préalablement à la mise en œuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées.
La déclaration préalable doit comporter les éléments suivants :
–        le nom et adresse du responsable du traitement, et le cas échéant, de son représentant
–        la dénomination, les caractéristiques et la ou les finalités du traitement envisagé
–        une description de la ou des catégories de personnes concernées et des données ou des catégories de données à caractère personnel s’y rapportant
–        les destinataires, ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées
–        les transferts de données envisagés à destination d’Etats étrangers
–        la durée de conservation des données
–        le service auprès duquel la personne concernée pourra exercer le cas échéant, les droits qui lui sont reconnus par les dispositions de la présente loi, ainsi que les mesures prises pour faciliter l’exercice de ceux-ci
–        une description générale permettant d’apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la confidentialité et la sécurité du traitement en application des dispositions des articles 23 et 24
–        les recoupements, les interconnexions, ou toutes autres formes de rapprochement des données ainsi que leur cession, sous-traitance, sous toute forme, à des tiers à titre gratuit ou onéreux.
Il est indiqué que toute modification ou suppression de l’un quelconque des éléments susvisés doit être communiquée, sans délai, à la connaissance de la Commission.
Dans le cas de cession d’un fichier de données, le cessionnaire doit remplir les formalités de déclaration prévues par la présente loi.
Les modalités de la déclaration sont fixées par voie réglementaire.
d)     les obligations de confidentialité et de sécurité des traitements et de secret professionnel
En vertu des dispositions de l’article 23 de la loi 09-08, le responsable du traitement est tenu de mettre en œuvre toutes les mesures techniques et organisationnelles pour protéger les données à caractère personnel, afin d’empêcher qu’elles soient endommagées, modifiées, ou utilisées par un tiers non autorisé à y accéder, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute forme de traitement illicite.
D’autant plus, ce même article prévoit pour le responsable de traitement qui effectue des traitement pour son compte de choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer tout en veillant au respect de ces mesures.
4-     les sanctions 
Le législateur a prévu un certain nombre de sanctions pour accompagner ces dispositions. Ainsi toute personne qui commet une des infractions prévues par le chapitre VII de la loi, voit sa responsabilité pénale engagée, peut être exposée à des amendes ou à des peines d’emprisonnement, et ce en fonction de la gravité de l’infraction.
De la sorte, le défaut du consentement est puni par l’article 56 de la loi 09-08 qui prévoit un emprisonnement de trois mois à un an et/ou d’une amende de 20.000 à 200.000 DH.
Le législateur est bien plus sévère concernant le défaut de consentement qui porte sur le traitement des données à caractère personnel faisant apparaître les origines raciales ou ethniques, les opinions politiques, les convictions religieuses ou philosophiques  ou l’appartenance syndicale, ainsi que les données relatives à la santé de la personne concernée. Il prévoit une amende de 50.000 à 300.000 DH et/ou un emprisonnement de six mois à deux ans, à toute personne qui procède au traitement de ces données sans le consentement de la personne concernée. Les mêmes peines sont prévues pour le défaut de consentement concernant les infractions, les condamnations ou les mesures de sûreté.
Quant à l’autorisation et la déclaration préalable, L’article  52 de la loi prévoit une amende de 10.000 à 100.000 DH lorsqu’elles font défaut.
Concernant le droit d’accès, de rectification et d’opposition, l’article 53 de la loi prévoit une amende de 20.000 à 200.000 DH pour tout responsable de traitement de données à caractère personnel qui refuse un de ces droits à la personne à la quelle ils sont reconnus et d’un emprisonnement de trois mois à un an, pour toute personne qui ignore le droit d’opposition exercé par la personne concernée, et utilise les données la concernant à des fins de prospection.
Lorsqu’une collecte des données à caractère personnel est effectué par un moyen frauduleux, déloyal ou illicite, elle expose son auteur à un emprisonnement de trois mois à un an et /ou d’une amende de 20.000 à 200.000 DH. Cette même sanction est prévue pour toute personne qui met en œuvre un traitement à des fins autres que celles déclarées ou autorisées.
Enfin, L’article 64 de la loi 09-08 dispose que lorsque l’auteur de l’infraction est une personne morale, les peines sont portées au double. La personne morale peut être punie de l’une des peines suivantes :
–        la confiscation partielle de ses biens,
–        la confiscation prévue à l’article 89 du code pénal,
–        la fermeture du ou des établissements de la personne morale où l’infraction a été commise.
Le cas de récidive est prévu par l’article 65 de la loi, qui prévoit que les sanctions sont portées au double lorsque l’auteur des infractions est récidiviste dans l’année qui suit la décision de la sanction.
 
5-     La Commission nationale de contrôle de la protection des données à caractère personnel
Suite à la promulgation de La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, une Commission Nationale de contrôle de la Protection des Données à caractère personnel a été créé le 30 août 2010.
a)     Composition de la CNDP :
Instituée auprès du premier ministre, elle est chargée de mettre en œuvre et de veiller au respect des dispositions de la loi 09-08 et des textes pris pour son application. Elle se compose de 7 membres dont un président nommé par le Roi. Les six autres membres sont également nommés par le Roi, dont deux sur proposition du premier ministre, deux sur proposition du président de la Chambre des représentants, et deux sur proposition du président de la Chambre des conseillers. La durée du mandant des membres de la CNDP est de cinq ans, renouvelable une seule fois. Les membres de la Commission sont choisis parmi des personnalités du secteur public ou privé, qualifiés pour leur compétence dans le domaine juridique et judiciaire, des personnalités justifiant d’une grande expertise en matière informatique, ainsi que des personnalités reconnues pour leur connaissance des questions touchant aux libertés individuelles. La Commission est composée de cinq départements.
b)     Pouvoirs de la CNDP :
La Commission veille à ce que l’informatique ne porte pas atteinte à l’identité, aux droits et aux libertés collectives ou individuelles de l’Homme et au respect des secrets de la vie privée des citoyens. Elle exerce ses missions conformément à la loi 09-08 et au décret pris pour l’application de cette loi publié au Bulletin Officiel du 18 juin 2009.
Elle est dotée de plusieurs pouvoirs qui lui ont été confié par la loi. Elle exerce un pouvoir de contrôle, de sanction, de conseil, de sensibilisation.
o   la veille au respect des droits des personnes concernées :
La commission veille au respect des droits de toute personne concernée par le traitement automatique ou non des données à caractère personnel, à savoir le droit d’information, d’accès, de rectification et d’opposition. Ainsi lorsque le droit de rectification n’est pas respecté par le responsable du traitement, la Commission ordonne au responsable du traitement de procéder aux rectifications nécessaires dans un délai qui ne peut excéder sept jours à compter de la date d’envoi de la décision rendue par la Commission.
Elle contrôle les paramètres institués par les responsables des traitements pour répondre à l’obligation de confidentialité et de sécurité. A cet égard, elle contrôle le transfert des données personnelles vers un pays étranger.
o   La saisine de la Commission :
La Commission peut être saisie par toute personne physique dont les données à caractère personnel font l’objet d’un traitement à travers le dépôt d’une plainte, lorsque cette dernière se sent lésée par la publication d’un traitement. Est considérée comme plainte toute dénonciation d’agissements contraire à la loi 09-08 et à ses textes d’application. La plainte peut être adressée par voie postale ou par voie électronique, ou déposée au secrétariat général. Elle doit indiquer le nom, l’adresse et la signature de son autre, et toutes indications à même de permettre d’identifier l’entité contre laquelle elle est déposée, ainsi que tous les éléments concernant les faits reprochés. La plainte est enregistrée. Un reçu portant le numéro d’enregistrement, en est délivré. Les plaintes sont examinées par le service en charge, et dans la mesure où elles relèvent de la compétence de la Commission, elles sont notifiées contre accusé de réception à l’entité à l’encontre de laquelle elles ont été faite, en vue de formuler dans un délai de 15 jours, toute observation qu’elle jugera utile. C’est ce qui ressort de l’article 37 du règlement intérieur de la Commission. La Commission est compétente pour instruire les plaintes et leur donner suite en ordonnant la publication de rectificatifs. Cette mission est confiée au département juridique de la Commission. A cet effet, elle est en mesure d’ordonner que lui soient communiqués, dans les délais et selon les modalités ou sanctions éventuelles qu’elle fixe, les documents de toute nature ou sur tous supports lui permettant d’examiner les faits concernant les plaintes dont elle est saisie. La commission peut également jouer un rôle de concertation entre les parties. Elle peut faire procéder à une mission de contrôle ou de vérification sur place, et lorsque le traitement porte atteinte à la sûreté ou à l’ordre public ou est contraire à la morale ou aux bonnes mœurs, elle se voit dans l’obligation de retirer le récépissé de la déclaration ou de l’autorisation. Lorsqu’elle estime l’intervention de la justice nécessaire, la Commission peut saisir le procureur du Roi aux fins de poursuites. Bien entendu, le plaignant est tenu informé des suites données à sa plainte.
Lorsque la Commission décide de donner une suite judiciaire à la plainte, elle doit saisir le procureur du Roi territorialement compétent.
La Commission a également la possibilité de s’autosaisir  en cas de violation des dispositions de la loi 09-08. Elle exerce à cet effet un pouvoir d’investigation et d’enquête permettant à ses agents, régulièrement commissionnés à cet effet par le président, d’avoir accès aux données faisant l’objet de traitement, de requérir l’accès direct aux locaux au sein desquels le traitement est effectué, de recueillir et de saisir toutes les informations et tous les documents nécessaire pour remplir les fonctions de contrôle, le tout conformément à la commission à laquelle ils exécutent (article 30 de la loi 09-08). Le but du contrôle sur place est de vérifier la régularité du traitement avec les dispositions de la loi n°09-08, des textes pris pour son application et du règlement intérieur de la Commission.
o   Les enquêtes et investigations :
Des agents chargés du contrôle sont désignés pour effectuer les enquêtes et investigations sur place, après avoir justifié de leur commissionnement auprès de l’organisme chargé du traitement qui va subir ce contrôle. Est rédigé à la suite de chaque enquête, un procès verbal qui doit être signé par les agents chargés du contrôle, ainsi que par le représentant du responsable du traitement, ou par toute personne chargée des opérations par le représentant. Ce procès doit comprendre la nature, le jour, l’heure et le lieu des opérations de contrôle effectuées, l’objet du contrôle, les membres de la commission ayant participé au contrôle, les personnes rencontrées et le cas échéant leurs déclarations, les demandes exprimées par les agents chargés du contrôle ainsi que les éventuels difficultés rencontrées. C’est ce qui ressort de l’article 43 du règlement intérieur de la Commission.
Cela dit la Commission est tenu d’informer le procureur du Roi territorialement compétent de l’opération de contrôle qui sera effectuée au moins vingt-quatre heures auparavant.
 A cet effet, l’article 62 de ladite loi, prévoit un emprisonnement de trois à six mois et/ou une amende allant de 10.000 à 50.000 DH à l’encontre de quiconque qui entrave l’exercice des missions de contrôle de la Commission nationale, ou qui refuse de recevoir les contrôleurs et de les laisser remplir leurs commissions, ou qui refuse d’envoyer les documents ou informations demandé(e)s, ou refuse de transmettre les documents prévus par la loi.
o    Le pouvoir de sanction :
La Commission est également investie d’un pouvoir de sanction, qui lui a été confié par la loi 09-08. Dans une déclaration du président de la commission à un quotidien national, ce dernier s’exprime sur les violations avérées par les organismes détenant les données, et parle de la possibilité de la Commission d’adopter des mesures disciplinaires à leur encontre. Cela dit la procédure disciplinaire doit garantir le droit de la défense en respectant le principe du contradictoire. En effet le législateur a prévu un certain nombre de sanction pour accompagner les dispositions de la loi précitée. Ainsi toute personne qui commet une des infractions prévues par le chapitre VII de la loi, voit sa responsabilité pénale engagée, et se voit exposée à des sanctions dissuasives allant de la simple amende à l’emprisonnement, et ce en fonction de la gravité de l’infraction. Ces sanctions peuvent aller jusqu’à 300.000 DH et jusqu’à cinq ans d’emprisonnement.
o   L’émission des avis :   
La Commission peut émettre des avis au gouvernement ou au parlement sur les projets ou propositions de lois ou projets de règlements relatifs au traitement de données à caractère personnel dont elle est saisie, à l’autorité compétente sur les projets de règlements créant des fichiers relatifs aux données à caractère personnel recueillies et traitées à des fins de prévention et de répression des crimes et délits, sur les projets et propositions de lois portant création et traitement des données relatives aux enquêtes et données statistiques recueillies et traitées par des autorités publiques, au gouvernement sur les modalités de la déclaration, sur les modalités d’inscription au registre national institué par l’article 45 de la loi 09-08, sur les règles de procédure et de protection des données des traitements de fichiers sécurité qui doivent faire l’objet d’un enregistrement (article 27 de la loi 09-08).
o   la sensibilisation :
La commission entreprend des actions de sensibilisations à destination du public, des opérateurs économiques et à l’ensemble des responsables du traitement des données à caractère personnel. A cet effet, après une réunion avec les trois opérateurs téléphoniques, ces derniers se sont engagés à limiter l’harcèlement dont ils ont fait preuve via les SMS. Dans ce cadre, la commission s’est alliée aux opérateurs téléphoniques afin de mener une campagne de sensibilisation destinée aux opérateurs du marketing électronique.