Les données confidentielles des affiliés de la CNSS, rendues publiques à la suite d’une opération de piratage, sont désormais accessibles sur le web, à tel point qu’une simple navigation sur les réseaux sociaux permet d’en croiser au moins une publication.
Contacté par “L’Opinion”, Me Ahmed Amine Mehiaoui, avocat au Barreau de Casablanca, souligne que « les données personnelles divulguées à la suite d’une cyberattaque ne peuvent en aucun cas être considérées comme des données publiques sous prétexte qu’elles sont accessibles au grand public, dès lors qu’elles n’ont pas été rendues publiques légalement ou volontairement par l’administration qui les détient ».
Bien qu'accessibles, les données fuitées conservent leur caractère confidentiel, du moment qu’elles permettent d’identifier, directement ou indirectement, une personne sans son consentement, précise notre interlocuteur.
Dans ce sens, la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel interdit strictement la collecte, l’enregistrement, la conservation, la consultation, la diffusion ou toute autre forme de mise à disposition de données personnelles sans le consentement de la personne concernée.
Il s'agit d'actes répréhensibles en vertu de l’article 54 de ladite loi qui prévoit des sanctions pénales. Ainsi, toute personne ayant collecté des données à caractère personnel par un moyen frauduleux ou déloyal risque une peine d’emprisonnement de trois mois à un an, ainsi qu’une amende de 20 000 à 200 000 dirhams, ou l’une de ces deux peines uniquement si la victime choisit de recourir en justice.
À ce sujet, la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP), en vertu de la compétence qui lui est conférée par la loi précitée, a affirmé être prête à recevoir et à traiter les plaintes de toute personne physique s’estimant victime d’une fuite ou d’une publication illicite de ses données, sans son consentement.
Un recours peut être envisageable contre la CNSS
À ce stade, Me Mehiaoui nous explique que la CNSS, en sa qualité de responsable du traitement des données personnelles qui lui ont été fournies, est tenue, conformément à la loi 09-08, de respecter des obligations strictes en matière de confidentialité, de sécurisation des traitements et de préservation du secret professionnel.
Cette obligation, poursuit notre source, impose à l’organisme de prendre toutes les précautions nécessaires pour garantir la sécurité des données et empêcher tout accès ou usage par des tiers non autorisés, conformément à l’article 23 de ladite loi.
Ainsi, toute fuite de données personnelles constitue un incident de sécurité, ouvrant droit à réparation pour toute personne ayant subi un dommage matériel ou moral.
« Cela dit, toute personne s’estimant lésée par cette fuite peut engager une action en responsabilité contre la CNSS, à condition de prouver un manquement aux obligations de surveillance et de sécurité prévues par la loi, avec l’appui d’une expertise ordonnée par le tribunal pour établir la faute de la CNSS en l’occurrence une défaillance dans son système de sécurité », explique Me Mehiaoui.
Par ailleurs, la Commission en sa qualité d'organe garant de la protection des données à caractère personnel, n'a ni confirmé ni écarté l'éventualité d'une faute directe de la CNSS. Elle a toutefois annoncé avoir lancé une analyse technique approfondie à cet effet.
Si ladite expertise venait à démontrer une responsabilité pour faute de la CNSS, cela constituerait la preuve d’un manquement de la Caisse à son devoir que les victimes de cette fuite pourraient faire valoir pour engager sa responsabilité en vue de réparer le préjudice subi, conclut notre source, soulignant que la Commission pourrait engager des sanctions à l’encontre de la CNSS en vertu de son pouvoir disciplinaire.
