Ironie du calendrier, c’est alors que l’Union internationale des télécommunications (UIT) vient de faire perdre 4 places au Maroc dans son classement mondial de l’indice de développement des technologies de l’information que se tient du 26 au 27 novembre au palais des congrès de Skhirat le salon Med-IT, salon international des technologies de l’information. Alors que l’accès à ces technologies se généralise, selon l’UIT, leur maîtrise et les compétences qu’elle requiert ne suivent pas toujours.
La CNDP, un gendarme conciliant
La lente et discrète naissance de la Commission nationale de protection des données à caractère personnel (CNDP), issue de la loi 09-08 sur la protection des données personnelles du 23 février 2009, en donne une illustration. En effet, cette organisme est chargé d’obliger tout opérateur collectant des données personnelles d’en informer les personnes concernées et de leur donner le droit de modifier ou de supprimer leurs données sur les fichiers en question. Afin qu’elles ne soient pas utilisées pour spammer les utilisateurs.
Venu présenter la CNDP, Rachid Haddouchane, responsable du département des systèmes d’information de la commission, en a certes montré les muscles, rappelant que la CNDP peut saisir la justice pénale, avec à la clé des peines allant jusqu’à 300 000 dirhams et deux ans de prison, mais il a assuré que le gendarme des données personnelles préférait d’abord aider les entreprises à se mettre en conformité avant de sanctionner.
Pourtant depuis novembre 2012, et l’expiration de son « ultimatum » de mise en conformité avec la loi, la CNDP peut poursuivre en justice les contrevenants. La souplesse reste donc le mot d’ordre, pour une instance qui sait que sa principale mission reste la sensibilisation. Car dans une enquête réalisée sur 104 sites du web marocain, la CNDP avait constaté en septembre dernier que seuls 22 % respectaient pleinement la loi sur la protection des données personnelles.
Plus emblématique encore, à l’entrée du palais des congrès abritant ces interventions, les visiteurs se voyaient délivrer un badge… après qu’ils aient rempli un formulaire leur demandant des données personnelles (numéro de téléphone, fixe et mobile, ainsi que l’adresse email), sans la mention pourtant obligatoire sur l’usage réservé à ces données et sur leur droit d’accès, de rectification et d’opposition à ces informations.
« Vous êtes en droit de les poursuivre en justice », ont confirmé à Telquel.ma les membres de la CNDP présents sur place.
Les SMS publicitaires dans le viseur
Si la CNDP ne joue pas la carte du tout-répressif, elle a tout de même pu présenter son bilan à une audience comptant de nombreux professionnels du secteur des nouvelles technologies mais aussi des responsables de services informatiques d’entreprises ou d’administrations diverses. C’est donc en présentant les risques liés à la collecte des données personnelles, mais aussi en montrant son fonctionnement, son jargon et ses délibérations internes que la Commission a tendu une main pédagogue à l’attention de l’auditoire.
On y a ainsi appris que sur l’exercice 2014, la CNDP a reçu 1231 demandes d’autorisation et 1063 déclarations relatives à des fichages de données personnelles. La Commission a opéré 110 contrôles, rendu 19 délibérations doctrinales, et, surtout, reçu 104 plaintes.
50 % de ces plaintes concernaient les SMS indésirables. De quoi suggérer qu’à l’ère du numérique, les bons vieux listings de numéros de téléphone restent la marchandise la plus en vue. « On peut même trouver des bases de données en vente sur Internet ! », souligne M. Haddouchane.
Les numéros de téléphones qu’on inscrit dans un formulaire, sur papier ou en ligne, sans forcément y porter d’attention sur le moment, alimentent bien souvent ces listings avec le plein consentement de l’intéressé.
Le cloud reste à maîtriser
Si le téléphone reste le canal privilégié pour les spams divers, à l’image du taux d’équipement général de la société, encore plutôt tourné vers l’ère de la téléphonie que celui d’Internet, les atteintes à nos données personnelles s’y déplaceront avec l’évolution des comportements.
Les autres plaintes concernent d’ailleurs la vidéosurveillance, les données biométriques, ou les données personnelles sur Internet. Une source proche de la CNDP confie que les préoccupations à venir pour l’instance seront liées « au cloud (stockage de données en ligne, ndlr) et à l’interconnexion des objets ».
Et le cloud, qui consiste pour une entreprise à stocker ses données sur des serveurs en ligne, commence à poser un risque pour les entreprises marocaines. D’ores et déjà, « ce sont 32 % des entreprises marocaines qui disent utiliser le cloud » selon Charaf Hamzaoui, directeur des ventes et commercial pour la région Afrique du Nord chez Sage Software, citant une étude de cette société britannique éditrice de logiciels. Si c’est encore loin des 65 % des entreprises européennes, « 50 % disent toutefois envisager d’utiliser le cloud », note C. Hamzaoui, qui rajoute que « beaucoup d’entreprises font en fait du cloud sans le savoir, en utilisant par exemple Gmail, que ce soit pour stocker des documents ou pour leur besoins de messagerie ».
Mais si mettre ses données en ligne est une pratique amenée à se répandre, cela peut aussi se retourner contre l’entreprise. Le 2 novembre, des hackers ont publié la base de données des clients s’étant créé un compte sur le site de Domino’s Pizza, après que l’entreprise a refusé de payer la rançon qu’ils exigaient.
La sécurité, argument compétitif
Ces menaces sont loin d’être réservées aux pays occidentaux : si le phénomène est encore récent, ces extorsions de données comment à frapper le tissu des sociétés IT marocaines, comme en atteste Mohamed Amine Mahdi, ingénieur commercial à Adines, société française de sécurité informatique :
On commence à voir des incidents, même si ça reste passé sous silence bien sûr, mais du coup on vient nous voir. Depuis 2013, on a de plus en plus de demandes pour des tests de vulnérabilité, maintenant on en reçoit une par mois, alors que ce n’était qu’une à deux par an avant.
Face à ces attaques et au risque stratégique que cela représente pour la société, la loi 09-08 rajoute certes une obligation procédurale aux opérateurs travaillant avec une base de données personnelles, mais cela « offre un avantage concurrentiel sur les autres sociétés », argumente Sihaame Asraoui, responsable développement chez Actecil El Maghreb, filiale marocaine d’une société française de mise en conformité aux données personnelles, qui assure qu’ « il y a 5 ans, le marché tunisien était plus compétitif que le marocain pour l’offshoring depuis la France, alors que c’est désormais le contraire ».
Le marché se structure, et la CNDP compte faire savoir qu’elle a prévu d’accompagner le mouvement, voire de l’initier.
Lire aussi : Sécurité informatique: le marché marocain à la traîne
Vous devez être enregistré pour commenter. Si vous avez un compte, identifiez-vous
Si vous n'avez pas de compte, cliquez ici pour le créer