L’essor du digital expose les entreprises marocaines à de nouveaux risques liés à la sécurité des données personnelles. Entre obligation de vigilance, responsabilité partagée et recours pour les victimes, Maître Mehdi EZZOUATE, Avocat d’affaires au Barreau de Casablanca, livre une analyse approfondie des enjeux juridiques qui encadrent la cybersécurité au Maroc.

Avec la transformation numérique rapide des organisations au Maroc, la question de la cybersécurité n’est plus seulement technique : elle est devenue profondément juridique. Les entreprises, les administrations et même les collectivités territoriales collectent, stockent et traitent des volumes massifs de données, souvent sensibles. Dans ce contexte, que se passe-t-il lorsqu’une fuite de données survient ? Qui en est responsable, et quels sont les droits des personnes concernées ?

Une responsabilité partagée 

«La responsabilité peut être partagée entre l’institution victime et son prestataire, selon les circonstances du cas », explique Maître Mehdi EZZOUATE. L’enjeu est de taille, car une mauvaise gestion juridique de la cybersécurité peut exposer l’entreprise à de lourdes sanctions, civiles, administratives, voire pénales.

Lire aussi | Cybersécurité au Maroc. Une pénurie d’experts alarmante 

Au Maroc, le cadre légal, dominé par la loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, désigne clairement un « responsable du traitement », souvent l’entreprise elle-même, qui doit garantir la sécurité des données collectées. Mais la réalité opérationnelle est plus nuancée. « En principe, le responsable du traitement demeure tenu de garantir la sécurité des données personnelles. Toutefois, si la faille provient d’une défaillance technique ou d’un manquement contractuel du prestataire, celui-ci peut engager sa responsabilité, notamment civile, voire pénale dans certains cas de négligence grave », précise Maître EZZOUATE.

Ce flou autour de la répartition des responsabilités invite les entreprises à intégrer, dès la phase contractuelle, des clauses claires encadrant la sécurité informatique, les audits de conformité, ainsi que les obligations de notification en cas d’incident.

Quels recours pour les victimes ? 

Du point de vue des usagers ou des clients dont les données ont été compromises, plusieurs voies de recours sont envisageables. « Les victimes disposent de plusieurs voies de recours : plainte auprès de la CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel), action civile en réparation du préjudice, voire plainte pénale en cas de traitement illégal ou d’accès frauduleux à leurs données », rappelle l’avocat.

La CNDP, autorité administrative indépendante, joue un rôle essentiel dans la régulation de la protection des données au Maroc. Elle peut prononcer des sanctions, exiger la rectification des pratiques illégales et, le cas échéant, transmettre les dossiers à la justice.

Mais la mise en œuvre de ces recours n’est pas toujours aisée. « Ces démarches restent cependant complexes dans la pratique, notamment en raison des difficultés de preuve et de la lenteur des procédures », constate Maître EZZOUATE. En effet, démontrer un lien direct entre une négligence en matière de cybersécurité et un préjudice réel peut se révéler ardu, surtout en l’absence de mécanismes performants d’investigation technique.

Lire aussi | Cybersécurité. les entreprises marocaines sont-elles prêtes ?

Plus que jamais, la cybersécurité doit être pensée comme un enjeu transversal, à la croisée des considérations techniques, organisationnelles… et juridiques. La responsabilité juridique liée à la sécurité des données n’est plus une abstraction : elle peut entraîner des condamnations, nuire à l’image de l’entreprise et engendrer des pertes financières considérables.

Pour Maître EZZOUATE, « la prévention juridique passe par une bonne gouvernance des données, des contrats rigoureux avec les prestataires, des politiques internes claires, et une sensibilisation continue des collaborateurs. »

Dans les années à venir, à mesure que les incidents de cybersécurité se multiplieront, les entreprises marocaines n’auront d’autre choix que de renforcer leur conformité et leur vigilance juridique pour protéger ce qui constitue l’un de leurs actifs les plus précieux : la confiance des utilisateurs. 

3 questions A Maître Mehdi EZZOUATE / Avocat d’affaires au Barreau de Casablanca

« L’urgence est de doter les autorités de contrôle de pouvoirs effectifs et de créer un cadre normatif souple mais exigeant, capable de suivre l’évolution des menaces »

Challenge : Que prévoit le cadre juridique marocain en matière de protection de données personnelles ?
Maître Mehdi EZZOUATE : Le cadre juridique marocain s’est doté de fondations solides, notamment à travers la loi 09-08 sur la protection des données personnelles. Toutefois, il demeure perfectible. Certaines dispositions sont aujourd’hui dépassées, notamment en matière de cybersécurité proactive, de sanctions dissuasives et de responsabilité algorithmique. Une révision en profondeur serait opportune pour l’adapter aux standards internationaux et aux nouvelles réalités numériques.

Challenge : La CNDP et la loi sur la cybersécurité sont-elles à jour ?
Me M.E. : La CNDP joue un rôle fondamental mais ses moyens restent limités face à l’explosion des risques numériques. Par ailleurs, l’arsenal juridique marocain accuse un retard certain sur les enjeux de cybersécurité, d’autant plus que la future loi spécifique à la cybersécurité n’a pas encore été promulguée. L’urgence est de doter les autorités de contrôle de pouvoirs effectifs et de créer un cadre normatif souple mais exigeant, capable de suivre l’évolution des menaces.

Challenge : Faut-il imposer des audits de sécurité réguliers ?
Me M.E. : Absolument. Les audits de sécurité devraient devenir obligatoires, au moins pour les secteurs critiques tels que la banque, la santé, les télécommunications et l’administration publique. Il s’agit d’un levier de prévention indispensable pour limiter les failles techniques, renforcer la vigilance et instaurer une culture de la cybersécurité. Leur fréquence et leur périmètre pourraient être définis par voie réglementaire, avec des sanctions graduées en cas de manquements.