La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a publié un communiqué de presse suite à l’absence de notification d’un transfert de données opéré par une société prestataire de collecte de demandes de visa pour le compte des ambassades de quelques pays au Maroc vers deux institutions gouvernementales à l’étranger.
Le 6 janvier 2023, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a auditionné au sein de ses locaux, la société TLSCONTACT.
Cette société agit en tant que prestataire de collecte de demandes de visa pour le compte des ambassades de plusieurs pays au Maroc (dont la France, l’Italie, l’Allemagne, le Royaume-Uni et la Belgique).
La société TLSCONTACT, qui agit en tant que responsable de traitement au sens de la loi n° 09-08, a indiqué transférer de manière continue (toutes les 5 minutes) des images de vidéosurveillance à des institutions gouvernementales situées en-dehors du Maroc.
Dans le cadre de ce traitement de données à caractère personnel, la société TLSCONTACT n’a pas respecté son obligation de notification auprès de la CNDP du transfert de ces données personnelles à l’étranger.
Ce manquement constitue une infraction aux exigences du chapitre VII de la loi n° 09-08.
La CNDP pourrait donc sanctionner la société TLSCONTACT en application de la loi n° 09-08 (notamment de ses articles 52 et 60).
À ce jour, la CNDP a signifié à TLSCONTACT de mettre en conformité l’ensemble de ses traitements de données à caractère personnel en tant que responsable de traitement (et ce, au plus tard le 28 février 2023).
En parallèle, la CNDP poursuit l’instruction de ce dossier et a avisé les autorités compétentes concernées.
La CNDP a également décidé de mettre en place un registre national pour le suivi des plaintes et des contrôles qui sera rendu public à compter du 31 mars 2023 afin d’instaurer un climat de confiance sur le territoire et un meilleur niveau de transparence vis-à-vis des personnes concernées.
En attendant, une page dédiée sur le site web de la CNDP permet, depuis le jeudi 12 janvier 2023, aux personnes concernées de suivre les événements significatifs de contrôle.
- Pour aller plus loin
Les possibles sanctions encourues par TLSCONTACT sont les suivantes :
- traitement de données à caractère personnel réalisé sans l’obtention d’une autorisation ou déclaration de la CNDP : en application de l’article 52 de la loi n° 09-08, « est puni d’une amende de 10 000 à 100 000 dirhams, quiconque aura mis en œuvre un fichier de données à caractère personnel sans la déclaration ou l’autorisation exigée (par la loi) » ;
- transfert de données à caractère personnel à l’étranger sans le respect des dispositions légales : en application de l’article 60 de la loi n° 09-08, « est puni d’un emprisonnement de trois mois à un an et d’une amende de 20 000 à 200 000 dirhams ou de l’une de ces deux peines seulement, quiconque effectue un transfert de données à caractère personnel vers un État étranger, en violation des dispositions des articles 43 et 44 de la présente loi ».
Source : CNDP, Communiqué de presse, Infraction à la loi 09-08 suite à absence de notification à la CNDP, 9 janv. 2023 : https://www.cndp.ma/fr/actualite/866-infraction-loi-09-08-suite-absence-notification-cndp-2.html
Consulter ici le communiqué de presse dans son intégralité.
Pas encore utilisateur Lexis®MA ? Réservez immédiatement votre démonstration sur Demande de démo LexisMA
Pour découvrir davantage d’actualités et d’autres contenus juridiques disponibles, rendez-vous sur LexisMA.com
Ajouter un commentaire