Dans un communiqué, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) annonce avoir reçu pour audition, en ses locaux vendredi 6 janvier 2023, la société TLS Contact, prestataire de collecte de demandes de visa pour le compte des ambassades de quelques pays au Maroc (France, Italie, Allemagne, Royaume-Uni, Belgique).
La CNDP signale qu’il a été noté et confirmé par le responsable de traitement l’existence d’un transfert régulier (toutes les 5 minutes) d’images extraites des enregistrements de vidéosurveillance vers deux institutions gouvernementales à l’étranger, dont les noms n’ont pas été révélés.
La non-notification de ce transfert à la CNDP constitue en soi une infraction au regard des dispositions du chapitre VII de la loi n° 09-08 relative à la protection des données personnelles, et expose son auteur aux sanctions. Selon l’article 66 de cette loi, en cas de délit avéré, la Commission peut saisir le procureur du Roi.
Lire aussi : Données personnelles: le prestataire de visas TLS Contact épinglé par la CNDP
Contactée par Le360, Maître Lina Fassi Fihri, avocate et déléguée à la protection des données, explique que la loi n°09-08 prévoit des sanctions strictes, notamment dans le cas où un responsable de traitement met en œuvre un fichier de données à caractère personnel sans la déclaration ou l'autorisation exigée par ladite loi. La sanction consiste à ce moment-là en une amende allant de 10.000 à 100.000 dirhams.
Par ailleurs, ajoute la juriste, tout transfert de données à caractère personnel vers un Etat étranger sans le respect des dispositions légales est passible d'un emprisonnement de trois mois à un an ou d'une amende allant de 20.000 à 200.000 dirhams. Si, et même par négligence, l'auteur du délit cause ou facilite l'usage abusif ou frauduleux des données traitées ou reçues ou les communique à des tiers non habilités, il écope d'une peine d'emprisonnement allant de six mois à un an ou d'une amende de 20.000 à 300.000 dirhams.L’avocate indique que «ces peines peuvent être portées au double lorsqu'il s'agit d'une personne morale. Celle-ci peut notamment se voir sanctionnée par des peines complémentaires pouvant aller jusqu'à la fermeture».
Néanmoins, «il n'est pas possible à ce stade d'évoquer ces peines comme étant un risque avéré. Une instruction suit son cours et l'autorité de contrôle a d'ores et déjà mis un calendrier en place afin de s'assurer qu'une mise en conformité est initiée», poursuit-elle.
Lina Fassi Fihri ajoute que la CNDP «est dans son rôle de contrôle, de protection des usagers nationaux en utilisant ses pouvoirs d'investigation afin de juger au mieux de la base légale, de la finalité de ce traitement et éventuellement de la proportionnalité de cette collecte au regard des principes de protection des données personnelles».