N° 5714 – 7 rabii I 1430 (5-3-2009) BULLETIN OFFICIEL 345

Article 57 Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009) portant

Le contrôle des finances des collectivités locales et de leurs promulgation de la loi n° 09-08 relative à la protection
groupements relève de la compétence des cours régionales des des personnes physiques à l'égard du traitement des
comptes conformément à la loi n° 62-99 formant code des données à caractère personnel.
juridictions financières.
N'est pas applicable aux groupements le contrôle prévu par LOUANGE A DIEU SEUL !
la loi n° 69-00 relative au contrôle financier de l'Etat sur les
entreprises publiques et autres organismes promulguée par le
(Grand Sceau de Sa Majesté Mohammed VI)
dahir n° 1-03-195 du 16 ramadan 1424 (11 novembre 2003). Que l'on sache par les présentes – puisse Dieu en élever et
Est fixé par voie réglementaire, le régime du contrôle en fortifier la teneur !
financier applicable aux établissements publics et aux sociétés Que Notre Majesté Chérifienne,
que les collectivités locales ou leurs groupements créent ou dont
Vu la Constitution, notamment ses articles 26 et 58,
ils participent au capital, selon les conditions prévues par la loi
n° 78-00 portant charte communale telle qu'elle a été modifiée et A DÉCIDÉ CE QUI SUIT :
complétée. Demeurent applicables jusqu'à la publication dudit
décret, les dispositions législatives et réglementaires en vigueur. Est promulguée et sera publiée au Bulletin officiel, à la suite
Article 58 du présent dahir, la loi n° 09-08 relative à la protection des
Les collectivités locales, leurs groupements ainsi que les personnes physiques à l'égard du traitement des données à
personnes morales de droit public ou privé qui gèrent un service caractère personnel, telle qu'adoptée par la Chambre des
public relevant des collectivités locales, sont tenus de produire et représentants et la Chambre des conseillers.
communiquer des états de synthèse relatifs à leur gestion et à
leur situation financière. Ces états doivent être publiés au Fait à Fès, le 22 safar 1430 (18 février 2009).
« Bulletin officiel » des collectivités locales ou portés à la
Pour contreseing :
connaissance du public par voie électronique.
Le Premier ministre,
Le ministre de l'intérieur fixe par arrêté la nature des
informations et des données à produire, leur périodicité ainsi que ABBAS EL FASSI.
les formes et les conditions d'établissement et de communication
desdits états. *
Article 59
* *
Les budgets des collectivités locales et de leurs groupements
sont communiqués au ministère des finances par le ministère de Loi n° 09-08
l'intérieur dans les conditions fixées par arrêté conjoint du ministre relative à la protection des personnes physiques
de l'intérieur et le ministre chargé des finances. à l'égard du traitement des données à caractère personnel
Article 60 ––––––
Sont fixées, par arrêté du ministre de l'intérieur, toutes Chapitre premier
dispositions de nature à assurer la bonne gestion des finances des
DISPOSITIONS GENERALES
collectivités locales et de leurs groupements.
Article 61 Section première. – Définitions et champ d'application
Sont abrogées les dispositions du dahir portant loi n° 1-76-584 Article premier
du 5 chaoual 1396 (30 septembre 1976) relatif à l'organisation L'informatique est au service du citoyen et évolue dans le
des finances des collectivités locales et de leurs groupements. cadre de la coopération internationale. Elle ne doit pas porter
Toutefois, demeurent en vigueur les textes pris pour son atteinte à l'identité, aux droits et aux libertés collectives ou
application jusqu'à l'intervention des décrets prévus aux articles individuelles de l'Homme. Elle ne doit pas constituer un moyen
54 et 55 de la présente loi. de divulguer des secrets de la vie privée des citoyens.
Article 62 Pour l'application de la présente loi, on entend par :
Les références aux dispositions des textes abrogés par 1. « données à caractère personnel » : toute information, de
l'article précédent, contenues dans d'autres textes législatifs ou quelque nature qu'elle soit et indépendamment de son support, y
règlementaires en vigueur, s'appliquent aux dispositions compris le son et l'image, concernant une personne physique identifiée
correspondantes édictées par la présente loi. ou identifiable, dénommée ci-après « personne concernée ».
Article 63 Est réputée identifiable une personne qui peut être
Les dispositions de la loi n° 39-07 édictant des dispositions identifiée, directement ou indirectement, notamment par
transitoires en ce qui concerne certains taxes, droits, contributions référence à un numéro d'identification ou à un ou plusieurs
et redevances dus aux collectivités locales promulguée par le dahir éléments spécifiques de son identité physique, physiologique,
n° 1-07-209 du 16 hija 1428 (27 décembre 2007) demeurent en génétique, psychique, économique, culturelle ou sociale ;
vigueur jusqu'à la publication au « Bulletin officiel » du texte
2. « traitement de données à caractère personnel »
d'application prévu à l'article 31 ci-dessus.
(« traitement ») : toute opération ou ensemble d'opérations
______
effectuées ou non à l'aide de procédés automatisés et appliquées à
Le texte en langue arabe a été publié dans l'édition générale du des données à caractère personnel, telles que la collecte,
« Bulletin officiel » n° 5711 du 27 safar 1430 (23 février 2009). l'enregistrement, l'organisation, la conservation, l'adaptation ou la
346 BULLETIN OFFICIEL N° 5714 – 7 rabii I 1430 (5-3-2009)

modification, l'extraction, la consultation, l'utilisation, la Article 2

communication par transmission, diffusion ou toute autre forme 1. La présente loi s'applique au traitement des données à
de mise à disposition, le rapprochement ou l'interconnexion, caractère personnel, automatisé en tout ou en partie, ainsi qu'au
ainsi que le verrouillage, l'effacement ou la destruction ; traitement non automatisé de données à caractère personnel
3. « données sensibles » : données à caractère personnel qui contenues ou appelées à figurer dans des fichiers manuels ;
révèlent l'origine raciale ou ethnique, les opinions politiques, les 2. La présente loi s'applique au traitement des données
convictions religieuses ou philosophiques ou l'appartenance à caractère personnel répondant à la définition du paragraphe 1
syndicale de la personne concernée ou qui sont relatives à sa ci-dessus :
santé y compris ses données génétiques ; a) lorsqu'il est effectué par une personne physique ou
4. « fichier de données à caractère personnel » (« fichier ») : morale dont le responsable est établi sur le territoire marocain. Le
tout ensemble structuré de données à caractère personnel responsable d'un traitement qui exerce une activité sur le
accessibles selon des critères déterminés, que cet ensemble soit territoire marocain dans le cadre d'une installation, quelle que
centralisé, décentralisé ou réparti de manière fonctionnelle ou soit sa forme juridique, y est considéré comme établi ;
géographique, tels que les archives, les banques de données, les b) lorsque le responsable n'est pas établi sur le territoire
fichiers de recensement ; marocain mais recourt, à des fins de traitement des données à
5. « responsable du traitement » : la personne physique ou caractère personnel, à des moyens automatisés ou non, situés sur
morale, l'autorité publique, le service ou tout autre organisme le territoire marocain, à l'exclusion des traitements qui ne sont
qui, seul ou conjointement avec d'autres, détermine les finalités utilisés qu'à des fins de transit sur le territoire national ou sur
et les moyens du traitement de données à caractère personnel. celui d'un Etat dont la législation est reconnue équivalente à celle
Lorsque les finalités et les moyens du traitement sont déterminés du Maroc en matière de protection des données à caractère
personnel ;
par des dispositions législatives ou réglementaires, le
responsable du traitement doit être indiqué dans la loi 3. Dans le cas visé au b du paragraphe 2 ci-dessus, le
d'organisation et de fonctionnement ou dans le statut de l'entité responsable du traitement doit notifier à la Commission
légalement ou statutairement compétente pour traiter les données nationale, l'identité d'un représentant installé au Maroc qui, sans
à caractère personnel en cause ; préjudice de sa responsabilité personnelle, se substitue à lui dans
tous ses droits et obligations résultant des dispositions de la
6. « sous-traitant » : la personne physique ou morale, présente loi et des textes pris pour son application ;
l'autorité publique, le service ou tout autre organisme qui traite
des données à caractère personnel pour le compte du responsable 4. La présente loi ne s'applique pas :
du traitement ; – au traitement de données à caractère personnel effectué
par une personne physique pour l'exercice d'activités
7. « tiers » : la personne physique ou morale, l'autorité
exclusivement personnelles ou domestiques ;
publique, le service ou tout autre organisme autre que la personne
concernée, le responsable du traitement, le sous-traitant et les – aux données à caractère personnel recueillies et traitées
personnes qui, placées sous l'autorité directe du responsable du dans l'intérêt de la défense nationale et de la sécurité
traitement ou du sous-traitant, sont habilitées à traiter les données ; intérieure ou extérieure de l'Etat. Elle ne s'applique aux
données à caractère personnel recueillies et traitées à des
8. « destinataire » : la personne physique ou morale, fins de prévention et de répression des crimes et délits que
l'autorité publique, le service ou tout autre organisme qui reçoit dans les conditions fixées par la loi ou le règlement qui
communication de données, qu'il s'agisse ou non d'un tiers. Les crée le fichier en cause ; ce règlement précise le
organismes qui sont susceptibles de recevoir communication de responsable du traitement, la condition de légitimité du
données dans le cadre d'une disposition légale ne sont pas traitement, la ou les finalités du traitement, la ou les
considérées comme destinataires, notamment la Commission catégories de personnes concernées et les données ou les
nationale de contrôle de la protection des données à caractère catégories de données s'y rapportant, l'origine de ces
personnel instituée à l'article 27 ci-après et dénommée la données, les tiers ou les catégories de tiers auxquels ces
Commission nationale ; données peuvent être communiquées et les mesures à
9. « consentement de la personne concernée » : toute prendre pour assurer la sécurité du traitement. Il est
manifestation de volonté, libre, spécifique et informée, par soumis à l'avis préalable de la Commission nationale ;
laquelle la personne concernée accepte que les données à – aux données à caractère personnel recueillies en
caractère personnel la concernant fassent l'objet d'un traitement ; application d'une législation particulière. Les projets ou
propositions de loi portant création de fichiers relatifs aux
10. « cession ou communication » : toute divulgation ou
données précitées sont communiqués à la Commission
information d'une donnée portée à la connaissance d'une
nationale en précisant l'autorité responsable du fichier, la
personne autre que la personne concernée ;
ou les finalités du traitement, la ou les catégories de
11. « interconnexion de données » : forme de traitement qui personnes concernées et les données ou les catégories de
consiste à établir un rapport entre les données d'un fichier et les données s'y rapportant, l'origine de ces données, les tiers
données d'un fichier ou de plusieurs fichiers tenus par un autre ou les catégories de tiers auxquels ces données peuvent
ou par d'autres responsables, ou tenus par le même responsable être communiquées et les mesures à prendre pour assurer
mais dans un autre but. la sécurité du traitement.
N° 5714 – 7 rabii I 1430 (5-3-2009) BULLETIN OFFICIEL 347

Section 2. – Qualité des données et consentement préalable Chapitre Il

de la personne concernée
DES DROITS DE LA PERSONNE CONCERNEE
Article 3
Article 5
1. Les données à caractère personnel doivent être :
Droit à l'information lors de la collecte des données
a) traitées loyalement et licitement ;
1. Toute personne sollicitée directement, en vue d'une
b) collectées pour des finalités déterminées, explicites et collecte de ses données personnelles, doit être préalablement
légitimes, et ne pas être traitées ultérieurement de manière
informée de manière expresse, précise et non équivoque par le
incompatible avec ces finalités ;
responsable du traitement ou son représentant, sauf si elle en a
c) adéquates, pertinentes et non excessives au regard des déjà eu connaissance, des éléments suivants :
finalités pour lesquelles elles sont collectées et pour lesquelles
elles sont traitées ultérieurement ; a) l'identité du responsable du traitement et, le cas échéant,
de son représentant ;
d) exactes et, si nécessaire, mises à jour. Toutes les mesures
raisonnables doivent être prises pour que les données inexactes b) les finalités du traitement auquel les données sont
ou incomplètes, au regard des finalités pour lesquelles elles sont destinées ;
collectées ou pour lesquelles elles sont traitées ultérieurement, c) toutes informations supplémentaires telles que :
soient effacées ou rectifiées ;
• les destinataires ou les catégories de destinataires ;
e) conservées sous une forme permettant l'identification des
personnes concernées pendant une durée n'excédant pas celle • le fait de savoir si la réponse aux questions est obligatoire
nécessaire à la réalisation des finalités pour lesquelles elles sont ou facultative, ainsi que les conséquences éventuelles d'un
collectées et pour lesquelles elles sont traitées ultérieurement. défaut de réponse ;
2. Sur demande du responsable du traitement et, s'il existe • l'existence d'un droit d'accès aux données à caractère
un intérêt légitime, la Commission nationale peut autoriser la personnel la concernant et de rectification de ces données,
conservation de données à caractère personnel à des fins
historiques, statistiques ou scientifiques au-delà de la période dans la mesure où, compte tenu des circonstances
citée au e) du paragraphe précédent ; particulières dans lesquelles les données sont collectées, ces
informations sont nécessaires pour assurer un traitement loyal
3. Il incombe au responsable du traitement d'assurer le des données à l'égard de la personne concernée ;
respect des dispositions des paragraphes qui précèdent, sous le
contrôle de la Commission nationale. d) les caractéristiques du récépissé de la déclaration auprès
Article 4 de la Commission nationale ou de celles de l'autorisation délivrée
par ladite commission ;
Le traitement des données à caractère personnel ne peut être
effectué que si la personne concernée a indubitablement donné 2. Les documents qui servent de base à la collecte des
son consentement à l'opération ou à l'ensemble des opérations données à caractère personnel doivent contenir les informations
envisagées. visées au paragraphe précédent ;
Les données à caractère personnel objet du traitement 3. Lorsque les données à caractère personnel n'ont pas été
ne peuvent être communiquées à un tiers que pour la réalisation collectées auprès de la personne concernée, le responsable du
de fins directement liées aux fonctions du cédant et du traitement ou son représentant doit, avant l'enregistrement des
cessionnaire et sous réserve du consentement préalable de la données ou si une communication de données à un tiers est
personne concernée. envisagée, au plus tard lors de la première communication de
Toutefois, ce consentement n'est pas exigé si le traitement données, fournir à la personne concernée au moins les
est nécessaire : informations visées aux a), b) et c) ci-dessus, sauf si la personne
a) au respect d'une obligation légale à laquelle est soumis (e) en a déjà eu connaissance.
la personne concernée ou le responsable du traitement ; 4. En cas de collecte de données en réseaux ouverts, la
b) à l'exécution d'un contrat auquel la personne concernée personne concernée doit être informée, sauf si elle sait déjà que
est partie ou à l'exécution de mesures précontractuelles prises à les données à caractère personnel la concernant peuvent circuler
la demande de celle-ci ; sur les réseaux sans garanties de sécurité et qu'elles risquent
c) à la sauvegarde d'intérêts vitaux de la personne d'être lues et utilisées par des tiers non autorisés.
concernée, si elle est physiquement ou juridiquement dans Article 6
l'incapacité de donner son consentement ;
Limites au droit à l'information
d) à l'exécution d'une mission d'intérêt public ou relevant de
l'exercice de l'autorité publique, dont est investi le responsable L'obligation d'information prévue à l'article 5 ci-dessus n'est
du traitement ou le tiers auquel les données sont communiquées ; pas applicable :
e) à la réalisation de l'intérêt légitime poursuivi par le a) aux données à caractère personnel dont la collecte et le
responsable du traitement ou par le destinataire, sous réserve de traitement sont nécessaires à la défense nationale, la sûreté
ne pas méconnaître l'intérêt ou les droits et libertés intérieure ou extérieure de l'Etat, la prévention ou la répression
fondamentaux de la personne concernée. du crime ;
348 BULLETIN OFFICIEL N° 5714 – 7 rabii I 1430 (5-3-2009)
À l'ère du numérique, les nouvelles technologies de la notification aux tiers auxquels les données à caractère
personnel ont été communiquées de toute actualisation, toute
l’information et de la communication (NTIC) ont bouleversé
rectification, tout effacement ou tout verrouillage effectué
tous les aspects de la vie quotidienne, des interactions sociales
conformément au point a) ci-dessus, si cela ne s'avère pas
aux activités économiques. L’Internet, en particulier, a offert un
impossible.
espace inédit d’échange, de création et de commerce, mais a
également suscité des défis juridiques majeurs. Parmi ces défis, Article 9
la protection des données personnelles, la régulation du Droit d'opposition
commerce électronique, et la reconnaissance des droits associés La personne concernée, justifiant de son identité, a le droit
aux propriétés immatérielles, comme les noms de domaine, de s'opposer, pour des motifs légitimes, à ce que des données la
occupent une place centrale. Ces problématiques illustrent la concernant fassent l'objet d'un traitement.
nécessité d’un cadre légal qui puisse s’adapter à un
Elle a le droit de s'opposer, sans frais, à ce que les données
environnement numérique en constante évolution, tout en la concernant soient utilisées à des fins de prospection,
conciliant innovation et respect des droits fondamentaux. notamment commerciale, par le responsable actuel du traitement
b) Face à ces enjeux, une question persiste : comment le ou celui d'un traitement ultérieur.
droit peut-il répondre aux transformations induites par les NTIC Les dispositions du premier alinéa ne s'appliquent pas
tout en garantissant une protection efficace des individus et des lorsque le traitement répond à une obligation légale ou lorsque
acteurs économiques ? Pour y répondre, il est essentiel l'application de ces dispositions a été écartée par une disposition
d’examiner les bases juridiques applicables, leurs limites, et les expresse de l'acte autorisant le traitement.
évolutions nécessaires dans ce domaine. Article 10
Article 7 Interdiction de la prospection directe
1. Défis juridiques des noms de domaine :
Droit d'accès
1. Définition et importance des données personnelles : Les noms de domaine, en tant qu’adresses uniques sur
Internet, jouent un rôle stratégique dans la visibilité des
Les données personnelles sont des informations permettant entreprises. Cependant, ils posent des défis juridiques,
directement ou indirectement d’identifier une personne. Elles notamment en cas de conflits avec des marques déposées ou
incluent des éléments variés comme un numéro de sécurité d’usurpation par des pratiques de cybersquatting, où des tiers
sociale, une adresse e-mail, une empreinte génétique ou même enregistrent des noms similaires pour en tirer profit.
une adresse IP, bien que cette dernière fasse encore l’objet de
débats juridiques. Ces données sont essentielles dans un monde 2. Protection et reconnaissance des noms de domaine :
numérique où la protection de la vie privée est devenue une Bien que les noms de domaine ne soient pas
préoccupation majeure. automatiquement considérés comme des droits de propriété
2. Protection légale et principes fondamentaux : intellectuelle, ils peuvent bénéficier d’une protection lorsqu’ils
sont associés à une marque enregistrée. Les mécanismes comme
Au Maroc, la loi 09-08 encadre la protection des données l’UDRP (Uniform Domain-Name Dispute-Resolution Policy)
personnelles, définies comme toute information concernant une permettent de résoudre ces litiges rapidement à l’international.
personne identifiée ou identifiable. Cette loi impose des Par exemple, un tribunal français a reconnu en 2014 que l’usage
conditions strictes pour leur collecte et traitement, notamment le d’un nom de domaine associé à une marque constituait une
consentement préalable, le respect de la finalité de la collecte, et violation des droits de propriété intellectuelle, renforçant ainsi
une durée de conservation limitée. Toute atteinte à ces principes leur valeur juridique.
constitue une violation des droits fondamentaux des individus.
Dans tous les cas, il est interdit d'émettre, à des fins de
Article 8 prospection directe, des messages au moyen d'automates d'appel,
Droit de rectification télécopieurs et courriers électroniques, sans indiquer de coordonnées
valables auxquelles le destinataire puisse utilement transmettre une
1. Cadre juridique et obligations précontractuelles : demande tendant à obtenir que ces communications cessent sans frais
Avec l’adoption de la loi 53-05, le Maroc a établi un cadre autres que ceux liés à la transmission de celle-ci.
juridique pour l’échange électronique des données juridiques. Il est également interdit de dissimuler l'identité de la
Cette loi reconnaît la validité des contrats électroniques et personne pour le compte de laquelle la communication est émise
impose des obligations précontractuelles aux commerçants en et de mentionner un objet sans rapport avec la prestation ou le
ligne, notamment la fourniture d’informations claires sur leur service proposé.
identité, les produits ou services proposés, et les modalités de
paiement et de livraison. La loi 31-08 sur la protection des
consommateurs renforce cette transparence en imposant aux
professionnels de garantir l’accès à ces informations.
2. Formation et sécurité des contrats électroniques :
Les contrats électroniques reposent sur des mécanismes comme
le "double clic", qui permet au consommateur de confirmer son
choix après vérification. Selon l’article 65-5 de la loi 53-05,
l’acceptation doit être claire, accompagnée d’une possibilité de
corriger les erreurs avant la validation. Ce processus assure une
transparence et une sécurité accrues dans les transactions en lign
N° 5714 – 7 rabii I 1430 (5-3-2009) BULLETIN OFFICIEL 349

Article 11 a) l'interconnexion de fichiers relevant d'une ou de plusieurs

Neutralité des effets personnes morales gérant un service public et dont les finalités
d'intérêt public sont différentes ou l'interconnexion de fichiers
Aucune décision de justice impliquant une appréciation sur relevant d'autres personnes morales et dont les finalités
le comportement d'une personne ne peut avoir pour fondement principales sont différentes.
un traitement automatisé de données à caractère personnel 2. d'une déclaration préalable dans les autres cas.
destiné à évaluer certains aspects de sa personnalité.
Section première. – Déclaration préalable
Aucune autre décision produisant des effets juridiques à
Article 13
l'égard d'une personne ne peut être prise sur le seul fondement
d'un traitement automatisé de données destiné à définir le profil La déclaration préalable prévue à l'article 12 ci-dessus, qui
de l'intéressé ou à évaluer certains aspects de sa personnalité. comporte l'engagement que le traitement sera effectué
conformément aux dispositions de la présente loi, est déposée
Chapitre III auprès de la Commission nationale dans les conditions prévues à
DES OBLIGATIONS DES RESPONSABLES DU TRAITEMENT la présente section.
Article 12 Cette déclaration a pour objet de permettre à la Commission
nationale d'exercer les compétences qui lui sont dévolues par la
1. Les risques liés à la protection des données personnelles : présente loi, afin de contrôler le respect de ses dispositions et
d'assurer la publicité du traitement des données personnelles.
Avec l’expansion des plateformes numériques et des réseaux
sociaux, les atteintes aux droits des individus se multiplient. Ces Article 14
atteintes incluent le vol d’identité, la divulgation non autorisée Le responsable du traitement ou, le cas échéant, son
de données sensibles (état de santé, préférences politiques, représentant doit adresser une déclaration à la Commission
données financières) et leur exploitation commerciale sans nationale préalablement à la mise en oeuvre d'un traitement
consentement. Par exemple, des cookies installés à l’insu de entièrement ou partiellement automatisé ou d'un ensemble de tels
l’utilisateur permettent de tracer son comportement en ligne à traitements ayant une même finalité ou des finalités liées.
des fins publicitaires.
Article 15
2. Les enjeux de la régulation internationale des données : 3. Propriété intellectuelle et noms de domaine
Les flux transfrontaliers de données soulèvent des 1. La relation entre les noms de domaine et les marques
problématiques complexes. D’un côté, les entreprises commerciales :
technologiques plaident pour la libre circulation des données afin Un nom de domaine peut être considéré comme une
de stimuler l’innovation et l’économie numérique. D’un autre extension numérique d’une marque. Lorsqu’une entreprise
côté, des lois comme le RGPD européen visent à encadrer ces détient un nom de domaine correspondant à sa marque, cela
flux en garantissant des niveaux élevés de protection. Cela pose renforce sa visibilité et protège sa réputation en ligne. À
un défi pour les pays comme le Maroc, qui doivent harmoniser l’inverse, l’enregistrement d’un nom de domaine par un tiers sans
leurs cadres légaux avec des normes internationales. autorisation peut causer un préjudice important, comme dans les
cas de typosquatting (ex. : gooogle.com).
Commerce électronique
1. Les opportunités et défis économiques du commerce 2. Les nouvelles menaces liées aux noms de domaine :
électronique :
Avec la prolifération des extensions de domaine (ex. : .com,
Le commerce électronique a transformé l’économie .org, .ma, .shop), il devient plus difficile pour les entreprises de
mondiale en offrant aux entreprises la possibilité d’atteindre un protéger efficacement leur identité en ligne. De plus, les activités
public international. Cependant, cette opportunité s’accompagne illicites utilisant des noms de domaine (sites frauduleux,
de défis importants, notamment la fraude en ligne, l’insécurité contrefaçon en ligne) nécessitent une surveillance accrue et des
des transactions et les litiges transnationaux. Par exemple, un mécanismes juridiques rapides. Cela souligne l’importance de
consommateur marocain achetant un produit sur un site étranger cadres internationaux comme l’UDRP pour gérer ces conflits.
peut se retrouver sans recours si le produit est défectueux ou non Toute modification aux informations ci-dessus et toute
livré. suppression de traitement doivent être portées, sans délai, à la
2. La question de la confiance numérique : connaissance de la Commission nationale.
En cas de cession d'un fichier de données, le cessionnaire
La réussite du commerce électronique repose largement sur la est tenu de remplir les formalités de déclaration prévues par la
confiance des consommateurs. Les lois, comme la 31-08 au présente loi.
Maroc, imposent des obligations strictes aux commerçants, mais
la réalité montre que beaucoup de consommateurs hésitent
encore à effectuer des paiements en ligne par crainte d’abus ou
de piratage. Les certifications, les systèmes de cryptage et les
mécanismes de résolution de litiges en ligne (ODR) sont
essentiels pour renforcer cette confiance.
350 BULLETIN OFFICIEL N° 5714 – 7 rabii I 1430 (5-3-2009)

Les modalités de la déclaration à la Commission nationale Section 2. – Autorisation préalable

des changements affectant les informations visées à l'alinéa Article 21
ci-dessus sont fixées par le gouvernement, après avis de ladite
commission. Le En somme, les avancées technologiques ont engendré des
mutations profondes dans les relations sociales, économiques et
Article 16 juridiques. Les données personnelles, le commerce électronique,
La Commission nationale fixe la liste des catégories de et les noms de domaine représentent des enjeux cruciaux qui
traitements de données à caractère personnel qui, compte tenu nécessitent une intervention juridique adaptée et évolutive. Les
des données à traiter, ne sont pas susceptibles de porter atteinte lois existantes, telles que la loi 09-08 pour la protection des
aux droits et libertés des personnes concernées, et pour lesquelles données ou la loi 53-05 pour le commerce électronique,
la déclaration doit préciser uniquement les éléments prévus aux témoignent d’une volonté de protéger les droits fondamentaux
tout en favorisant l'innovation et le développement économique.
b), c), d), e) et f) de l'article 15 ci-dessus.
Cependant, le droit doit constamment s’adapter pour faire face
La décision de la Commission nationale est soumise à aux défis inédits posés par la mondialisation numérique, tels que
homologation du gouvernement. les cyberattaques, les conflits transfrontaliers ou encore les
Article 17 pratiques abusives comme le cybersquatting. Cela implique une
coopération internationale renforcée, une harmonisation des
La Commission nationale fixe la liste des traitements non
cadres juridiques et le développement de mécanismes de
automatisés de données à caractère personnel qui peuvent faire
résolution des litiges efficaces.
l'objet d'une déclaration simplifiée, dont elle précise les éléments
par une décision homologuée par le gouvernement. Ainsi, le droit se trouve à la croisée des chemins entre la
préservation des droits individuels et la régulation des activités
Article 18 économiques numériques. Ce défi souligne la nécessité d’un
L'obligation de déclaration ne s'applique pas aux équilibre subtil entre innovation technologique et sécurité
traitements ayant pour seul objet la tenue d'un registre qui est, en juridique, afin de garantir une justice équitable et adaptée aux
vertu de dispositions législatives ou réglementaires, destiné à réalités contemporaines.
l'information du public et ouvert à la consultation du public ou Article 22
de toute personne justifiant d'un intérêt légitime. Par dérogation aux dispositions de l'article 21 ci-dessus, le
Toutefois, dans ce cas, il doit être désigné un responsable traitement des données relatives à la santé est subordonné à une
du traitement des données dont l'identité est rendue publique et déclaration à la Commission nationale, lorsqu'il a pour seule
notifiée à la Commission nationale et qui est responsable de finalité :
l'application des dispositions du chapitre Il de la présente loi – la médecine préventive, les diagnostics médicaux,
vis-à-vis des personnes concernées. l'administration de soins ou de traitements ou la gestion
Le responsable du traitement dispensé de déclaration doit des services de santé et qu'il est effectué par un praticien
communiquer à toute personne qui en fait la demande les de la santé soumis au secret professionnel ou par toute
informations relatives à la dénomination et à la finalité du autre personne également soumise à une obligation de
traitement, à l'identité du responsable, aux données traitées, à secret ;
leurs destinataires et, le cas échéant, aux transferts envisagés à – de sélectionner les personnes susceptibles de bénéficier
destination de l'étranger. d'un droit, d'une prestation ou d'un contrat, dès lors
qu'elles n'en sont exclues par aucune disposition légale ou
La Commission nationale fixe la liste des traitements réglementaire.
répondant à la définition prévue ci-dessus par une décision
soumise à l'homologation du gouvernement. Section 3. – Des obligations de confidentialité et de sécurité
des traitements et de secret professionnel
Article 19
Article 23
La Commission nationale délivre, dans un délai de 24
heures courant à compter de la date du dépôt de la déclaration, 1. Le responsable du traitement doit mettre en oeuvre les
mesures techniques et organisationnelles appropriées pour
un récépissé de ladite déclaration, dont les caractéristiques
protéger les données à caractère personnel contre la destruction
doivent figurer dans toutes les opérations de collecte ou de
accidentelle ou illicite, la perte accidentelle, l'altération, la
transmission des données. Le responsable du traitement peut diffusion ou l'accès non autorisé, notamment lorsque le
mettre ledit traitement en œuvre dès réception dudit récépissé. traitement comporte des transmissions de données dans un
Article 20 réseau, ainsi que contre toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l'état de l'art et des
Lorsqu'il apparaît à la Commission nationale, à l'examen de
coûts liés à leur mise en œuvre, un niveau de sécurité approprié
la déclaration qui lui est fournie, que le traitement envisagé
au regard des risques présentés par le traitement et de la nature
présente des dangers manifestes pour le respect et la protection des données à protéger ;
de la vie privée et des libertés et droits fondamentaux des
personnes à l'égard du traitement dont ces données font l'objet ou 2. Le responsable du traitement, lorsque le traitement est
peuvent faire l'objet, elle décide de soumettre ledit traitement au effectué pour son compte, doit choisir un sous-traitant qui
régime d'autorisation préalable prévu ci-après. apporte des garanties suffisantes au regard des mesures de
sécurité technique et d'organisation relatives aux traitements à
Sa décision, motivée, est notifiée au déclarant dans les huit effectuer et il doit veiller au respect de ces mesures ;
jours suivant celui du dépôt de la déclaration.
N° 5714 – 7 rabii I 1430 (5-3-2009) BULLETIN OFFICIEL 351

3. La réalisation de traitements en sous-traitance doit être Article 26

régie par un contrat ou un acte juridique qui lie le sous-traitant au Le responsable du traitement de données à caractère
responsable du traitement et qui prévoit notamment que le
personnel, ainsi que les personnes qui, dans l'exercice de leurs
sous-traitant n'agit que sous la seule instruction du responsable
fonctions, ont connaissance de données à caractère personnel
du traitement et que les obligations visées au paragraphe 1
ci-dessus lui incombent également ; traitées, sont tenues de respecter le secret professionnel même
après avoir cessé d'exercer leurs fonctions, dans les termes
4. Aux fins de la conservation des preuves, les éléments du prévus par la loi pénale.
contrat ou de l'acte juridique relatif à la protection des données et
les exigences portant sur les mesures visées au paragraphe 1 Les dispositions de l'alinéa premier ci-dessus n'exemptent
ci-dessus sont consignés par écrit ou sous une autre forme pas de l'obligation de fournir des informations, conformément
équivalente. aux dispositions légales applicables aux fichiers en cause ou
Article 24 conformément à la législation de droit commun.
1. Les responsables du traitement des données sensibles ou Chapitre IV
relatives à la santé doivent prendre les mesures appropriées pour : De la Commission nationale de contrôle de la protection
a) empêcher l'accès de toute personne non autorisée aux des données à caractère personnel
installations utilisées pour le traitement de ces données (contrôle Section première. – Institution, pouvoirs et attributions
de l'entrée dans les installations) ;
Article 27
b) empêcher que les supports de données puissent être lus,
copiés, modifiés ou retirés par des personnes non autorisées Il est institué auprès du Premier ministre une Commission
(contrôle des supports de données) ; nationale de contrôle de la protection des données à caractère
c) empêcher l'introduction non autorisée, ainsi que la prise personnel, chargée de mettre en œuvre et de veiller au respect des
de connaissance, la modification ou l'élimination non autorisées dispositions de la présente loi et des textes pris pour son
de données à caractère personnel introduites (contrôle de application.
l'insertion) ; A cet effet, elle est chargée de :
d) empêcher que les systèmes de traitement automatisés de A. – Donner son avis :
données puissent être utilisés par des personnes non autorisées au
moyen d'installations de transmission de données (contrôle de 1. au gouvernement ou au parlement sur les projets ou
l'utilisation) ; propositions de lois ou projets de règlements relatifs au
traitement de données à caractère personnel dont elle est saisie ;
e) garantir que seules les personnes autorisées puissent
avoir accès aux données visées par l'autorisation (contrôle de 2. à l'autorité compétente sur les projets de règlements
l'accès) ; créant des fichiers relatifs aux données à caractère personnel
f) garantir la vérification des entités auxquelles les données recueillies et traitées à des fins de prévention et de répression des
à caractère personnel peuvent être transmises par des crimes et délits, l'avis demandé, dans le cas d'espèce, vaut
installations de transmission de données (contrôle de la déclaration ;
transmission) ; 3. à l'autorité compétente sur les projets et propositions de
g) garantir qu'il soit possible de vérifier a posteriori, dans lois portant création et traitement des données relatives aux
un délai approprié en fonction de la nature du traitement à fixer enquêtes et données statistiques recueillies et traitées par des
dans la réglementation applicable à chaque secteur particulier, autorités publiques ;
quelles données à caractère personnel sont introduites, quand
4. au gouvernement sur les modalités de la déclaration
elles l'ont été et pour qui (contrôle de l'introduction) ;
prévue au paragraphe 2 de l'article 12 ci-dessus ;
h) empêcher que lors de la transmission de données à
caractère personnel et du transport des supports, les données 5. au gouvernement sur les modalités d'inscription au
puissent être lues, reproduites, modifiées ou éliminées sans registre national institué par l'article 45 de la présente loi ;
autorisation (contrôle du transport). 6. au gouvernement sur les règles de procédure et de
2. Suivant la nature des organismes responsables du protection des données des traitements de fichiers sécurité qui
traitement et du type d'installations avec lequel il est effectué, la doivent faire l'objet d'un enregistrement.
Commission nationale peut dispenser de certaines mesures de B. – Recevoir :
sécurité, à condition que le respect des droits, libertés et
garanties des personnes concernées soit assuré. 1. notification de l'identité du représentant installé au
Maroc qui se substitue au responsable du traitement résidant à
Article 25
l'étranger ;
Toute personne agissant sous l'autorité du responsable du
traitement ou de celle du sous-traitant, ainsi que le sous-traitant 2. les déclarations prévues aux articles 12 (paragraphe 2) et
lui-même qui accède à des données à caractère personnel ne peut 13 et délivrer récépissé de la déclaration ;
les traiter que sur instruction du responsable du traitement, sauf 3. l'identité du responsable du traitement des registres tenus
en vertu d'obligations légales. pour être ouverts au public, prévu à l'article 19 ci-dessus.
352 BULLETIN OFFICIEL N° 5714 – 7 rabii I 1430 (5-3-2009)

Article 28 Article 29
Aux fins prévues à l'article 27 (1er alinéa) ci-dessus, la Afin de permettre une mise en application appropriée de la
Commission nationale est habilitée à : protection des données, la Commission nationale mène une
1. autoriser la conservation des données au-delà d'une mission permanente d'information du public et des personnes
durée prévue ; concernées sur les droits et obligations édictés par la présente loi
et les textes pris pour son application.
2. accorder au responsable du traitement un délai
supplémentaire pour répondre aux demandes de communication Article 30
présentée par la personne concernée ; La Commission nationale est dotée :
3. faire procéder aux rectifications justifiées lorsque le 1. des pouvoirs d'investigation et d'enquête permettant à ses
responsable du traitement refuse d'y procéder à la demande de
agents, régulièrement commissionnés à cet effet par le président,
l'intéressé ;
d'avoir accès aux données faisant l'objet de traitement, de
4. instruire et délivrer les autorisations prévues à l'article 12 requérir l'accès direct aux locaux au sein desquels le traitement
ci-dessus ; est effectué, de recueillir et de saisir toutes les informations et
5. fixer la liste des catégories de traitements bénéficiant tous documents nécessaires pour remplir les fonctions de
d'une déclaration simplifiée ; contrôle, le tout conformément aux termes de la commission
6. fixer la liste des traitements non automatisés soumis à qu'ils exécutent ;
déclaration simplifiée ; 2. du pouvoir d'ordonner que lui soient communiqués, dans
7. fixer la liste des traitements correspondant à la définition les délais et selon les modalités ou sanctions éventuelles qu'elle
de l'article 18 de la présente loi ; fixe, les documents de toute nature ou sur tous supports lui
8. délivrer récépissé de la déclaration prévue à l'article 13, permettant d'examiner les faits concernant les plaintes dont elle
en en précisant le contenu ; est saisie ;
9. délivrer les autorisations prévues à l'article 21 ci-dessus ; 3. du pouvoir d'ordonner ou de procéder ou de faire
procéder aux modificatifs nécessaires pour une tenue loyale des
10. établir la liste des pays à législation adéquate en matière
données contenues dans le fichier ;
de protection des personnes physiques à l'égard du traitement
des données à caractère personnel ; 4. du pouvoir d'ordonner le verrouillage, l'effacement ou la
11. autoriser les transferts de données dans les cas prévus à destruction de données et celui d'interdire, provisoirement ou
l'article 43 ci-dessous ; définitivement, le traitement de données à caractère personnel,
même de celles incluses dans des réseaux ouverts de transmission
12. assurer la tenue du registre national de la protection des de données à partir de serveurs situés sur le territoire national.
données prévu à l'article 45 ci-dessous ;
Article 31
13. accorder les dispenses des mesures de sécurité eu égard
à la qualité du responsable du traitement et du type d'installations L'exercice des pouvoirs visés aux paragraphes 2 et 4 de
avec lequel ce traitement est effectué ; l'article 30 ci-dessus est subordonné au respect d'une procédure
14. décider de soumettre à autorisation un traitement légalement disciplinaire garantissant les droits de la défense et, notamment,
soumis à déclaration conformément à l'article 20 ci-dessus ; le principe du contradictoire, précisé dans le règlement intérieur
de la Commission nationale et applicable à toutes les autres
15. procéder au retrait du récépissé ou de l'autorisation procédures mises en œuvre par la Commission nationale et
conformément aux dispositions de l'article 51 de la présente loi.
présentant un caractère disciplinaire.
La Commission nationale est également compétente pour :
Section 2. – Composition de la commission nationale
1. recevoir les plaintes de toute personne concernée
estimant être lésée par la publication d'un traitement de données Article 32
à caractère personnel, de les instruire et de leur donner suite en La Commission nationale de contrôle de la protection des
ordonnant la publication de rectificatifs ou/et la saisine du données à caractère personnel se compose de sept membres :
procureur du Roi aux fins de poursuites ;
– un président nommé par Sa Majesté le Roi ;
2. expertiser, à la demande des autorités publiques,
– six membres nommés également par Sa Majesté le Roi,
notamment des autorités judiciaires, les éléments soumis à leur
sur proposition :
appréciation lors des contentieux nés de l'application de la
présente loi ou des textes pris pour son application ; • du Premier ministre ;
3. assister le gouvernement dans la préparation et la • du président de la Chambre des représentants ;
définition de la position marocaine lors des négociations • du président de la Chambre des conseillers.
internationales dans le domaine de la protection des données à
caractère personnel ; La durée du mandat des membres de la Commission
nationale est de cinq ans renouvelable une seule fois.
4. coopérer avec les organismes similaires de contrôle du
traitement des données à caractère personnel dans les Etats Les modalités et les conditions de nomination des membres
étrangers. de la Commission nationale sont fixées par décret.
N° 5714 – 7 rabii I 1430 (5-3-2009) BULLETIN OFFICIEL 353

Section 3. – Organisation et fonctionnement Section 5. – Administration

de la Commission nationale
Article 40
Article 33
Le président est assisté, dans l'exercice de ses fonctions
La Commission nationale se réunit sur convocation de son administratives et financières, par un secrétaire général nommé
président, agissant de sa propre initiative ou à la demande de la par le gouvernement sur proposition du président.
moitié des membres. Le président fixe l'ordre du jour de la
réunion. Le secrétaire général, outre les pouvoirs qu'il exerce par
délégation du président, est chargé :
Article 34
– de gérer le personnel recruté ou détaché selon les
Les réunions de la Commission nationale se tiennent décisions du président ;
valablement lorsque les deux tiers au moins des membres sont
présents. Les décisions sont prises valablement à la majorité des – de préparer et d'exécuter le budget de la Commission
membres présents, la voix du président étant prépondérante en nationale dont il est sous-ordonnateur ;
cas de partage égal des voix. – de préparer et de passer les marchés de la Commission
Section 4. – Statut des membres nationale ;
Article 35 – de préparer les documents de travail des réunions de la
Les fonctions de membre de la Commission nationale sont Commission nationale et de tenir le registre de ses
incompatibles avec celles d'administrateur, de gérant, de membre décisions ;
du directoire ou de directeur général unique ou de membre du – de suivre les travaux des comités mis en place par la
conseil de surveillance d'une société de traitement de données à Commission nationale et de mettre à leur disposition les
caractère personnel. moyens matériels et humains nécessaires à
Un membre de la Commission nationale ne peut participer à l'accomplissement de leurs missions.
une délibération ou à des vérifications relatives à un organisme Article 41
au sein duquel il a détenu un intérêt, direct ou indirect, ou a
exercé un mandat ou une fonction, si un délai de cinq ans ne Le secrétaire général dispose, pour l'exercice de ses
s'est écoulé entre la date où est intervenue la cessation de attributions, d'un personnel administratif et technique composé
fonction, la fin du mandat ou de la disposition de l'intérêt et la de fonctionnaires des administrations publiques ou d'agents
date de sa nomination au sein de la Commission nationale. publics, détachés auprès de la Commission nationale, et d'un
Si l'incompatibilité édictée par l'alinéa précédent concerne personnel recruté conformément aux procédures applicables en la
le président de la Commission nationale, il désigne un membre matière, notamment par voie contractuelle.
de la Commission nationale pour exercer la plénitude de ses Article 42
compétences lorsque l'affaire concernant l'organisme en cause
La Commission nationale crée les comités permanents ou
est appelée devant la Commission nationale. La décision du
président est publiée au « Bulletin officiel ». ad hoc nécessaires à l'accomplissement de ses missions par des
dispositions du règlement intérieur.
Article 36
Elle fixe dans le même règlement les modalités de
Les membres de la Commission nationale sont tenus au fonctionnement et d'organisation de ces comités, qui doivent être
secret professionnel pour les faits, actes et informations dont ils présidés par un membre de la Commission nationale, mais
ont pu avoir connaissance à l'occasion de l'accomplissement de
peuvent être composés de personnalités choisies en dehors des
leurs fonctions. Ils sont soumis à la même obligation, même
membres de la Commission nationale ou faisant partie de son
après la fin de leur mandat.
personnel.
Les fonctionnaires, agents ou techniciens qui exercent des
fonctions au sein de la Commission nationale ou auprès de ses Chapitre V
membres sont également soumis à l'obligation de respecter le Du transfert de données vers un pays étranger
secret professionnel. Article 43
Article 37
Le responsable d'un traitement ne peut transférer des
Les membres et les fonctionnaires ou agents et techniciens données à caractère personnel vers un Etat étranger que si cet
de la Commission nationale sont protégés contre les outrages ou Etat assure un niveau de protection suffisant de la vie privée et
les atteintes à leur personne dans les termes des articles 265 et des libertés et droits fondamentaux des personnes à l'égard du
267 du code pénal. traitement dont ces données font l'objet ou peuvent faire l'objet.
Article 38 Le caractère suffisant du niveau de protection assuré par un
Lorsque la Commission nationale délibère sur une question État s'apprécie notamment en fonction des dispositions en
mettant en cause une administration, les membres représentants du vigueur dans cet Etat, des mesures de sécurité qui y sont
gouvernement participent aux délibérations avec voix consultative. appliquées, des caractéristiques propres du traitement telles que
Article 39 ses fins et sa durée, ainsi que de la nature, de l'origine et de la
destination des données traitées.
La Commission nationale élabore et approuve son
règlement intérieur, qui est soumis à l'homologation du La Commission nationale établit la liste des Etats répondant
gouvernement avant sa publication au « Bulletin officiel ». aux critères définis aux alinéas 1 et 2 ci-dessus.
354 BULLETIN OFFICIEL N° 5714 – 7 rabii I 1430 (5-3-2009)

Article 44 Article 47
Par dérogation aux dispositions de l'article 43 ci-dessus, le Les fichiers dont le traitement a pour seul objet la tenue
responsable d'un traitement peut transférer des données à caractère d'un registre qui, en vertu de dispositions législatives ou
personnel vers un Etat ne répondant pas aux conditions prévues à réglementaires, est destiné à l'information du public et est ouvert
l'article ci-dessus, si la personne à laquelle se rapportent les à la consultation du public sont dispensés de l'inscription au
données a consenti expressément à leur transfert ou : registre national.
1. Si le transfert est nécessaire : Toutefois, doit figurer audit registre national l'identité de la
personne responsable du traitement aux fins d'exercice par les
a) à la sauvegarde de la vie de cette personne ; personnes concernées des droits prévus au chapitre II de la présente
b) à la préservation de l'intérêt public ; loi.
Article 48
c) au respect d'obligations permettant d'assurer la
constatation, l'exercice ou la défense d'un droit en justice ; Les modalités d'inscription des données prévues à l'article 46
ci-dessus au registre national et celles de sa tenue à jour sont
d) à l'exécution d'un contrat entre le responsable du fixées par le gouvernement, après avis de la Commission
traitement et l'intéressé, ou de mesures précontractuelles prises à nationale.
la demande de celui-ci ;
Article 49
e) à la conclusion ou à l'exécution d'un contrat conclu ou à
Les traitements de données à caractère personnel relatives
conclure, dans l'intérêt de la personne concernée, entre le
aux infractions, condamnations et mesures de sûreté ne peuvent
responsable du traitement et un tiers ; être mis en œuvre que par :
f) à l'exécution d'une mesure d'entraide judiciaire – les juridictions, les autorités publiques et les personnes
internationale ; morales gérant un service public, agissant dans le cadre de
g) à la prévention, le diagnostic ou le traitement d'affections leurs attributions légales ;
médicales. – les auxiliaires de justice, pour les stricts besoins de
2. Si le transfert s'effectue en application d'un accord l'exercice des missions qui leur sont confiées par la loi ;
bilatéral ou multilatéral auquel le Royaume du Maroc est partie ; – l'organisme chargé de la protection des droits d'auteur et
3. Sur autorisation expresse et motivée de la Commission des droits voisins visé à l'article 11 (2e alinéa) de la loi
nationale lorsque le traitement garantit un niveau de protection n° 34-05 modifiant et complétant la loi n° 2-00 relative
suffisant de la vie privée ainsi que des libertés et droits aux droits d'auteur et droits voisins.
fondamentaux des personnes, notamment en raison des clauses Article 50
contractuelles ou règles internes dont il fait l'objet. La création, la tenue et le traitement de registres centraux
Chapitre VI concernant les personnes soupçonnées d'activités illicites, de
délits et d'infractions administratives et les décisions prévoyant
Du registre national de la protection des données des peines, des mesures de sûreté, des amendes et des sanctions
à caractère personnel et des limites à la création accessoires relèvent des seuls services publics qui ont une
ou à l'usage de registres centraux et de fichiers compétence expresse en vertu de la loi d'organisation et de
Article 45 fonctionnement et qui doivent respecter les règles de procédure et
de protection des données prévues par la loi, après avis de la
Il est institué un registre national de la protection des Commission nationale.
données à caractère personnel, désigné ci-après par registre
national, dont la tenue est dévolue à la commission, qui en assure Chapitre VII
la mise à disposition du public. Des sanctions
Article 46 Article 51
Sont inscrits au registre national : Sans préjudice des sanctions pénales, lorsqu'il apparaît, à la
suite de la mise en œuvre du traitement objet de la déclaration ou
a) les fichiers dont sont responsables du traitement les de l'autorisation prévue à l'article 12 de la présente loi, que ce
autorités publiques ; traitement porte atteinte à la sûreté ou à l'ordre public ou est
b) les fichiers dont le traitement est effectué par des contraire à la morale et aux bonnes mœurs, la Commission
personnes privées ; nationale peut, sans délais, retirer, selon le cas, le récépissé de la
déclaration ou l'autorisation.
c) les références aux lois ou règlements publiés portant
création de fichiers publics ; Article 52
d) les autorisations délivrées en application de la présente Sans préjudice de la responsabilité civile à l'égard des
loi et des textes pris pour son application ; personnes ayant subi des dommages du fait de l'infraction, est
puni d'une amende de 10.000 à 100.000 DH, quiconque aura mis
e) les données relatives aux fichiers qui sont nécessaires pour en œuvre un fichier de données à caractère personnel sans la
permettre aux personnes concernées d'exercer les droits d'information, déclaration ou l'autorisation exigée à l'article 12 ci-dessus ou aura
d'accès, de rectification, de suppression et d'opposition prévus par la continué son activité de traitement de données à caractère
présente loi, notamment les précisions que comporte la déclaration, personnel malgré le retrait du récépissé de la déclaration ou de
fixées aux a) à e) de l'article 15 ci-dessus. l'autorisation.
N° 5714 – 7 rabii I 1430 (5-3-2009) BULLETIN OFFICIEL 355

Article 53 Article 59
Est puni d'une amende de 20.000 à 200.000 DH par Est puni d'un emprisonnement de trois mois à un an et d'une
infraction, tout responsable de traitement de données à caractère
amende de 20.000 à 200.000 DH ou de l'une de ces deux peines
personnel refusant les droits d'accès, de rectification ou
d'opposition prévus aux articles 7, 8 et 9 ci-dessus. seulement, quiconque procède à un traitement de données à
caractère personnel concernant une personne physique malgré
Article 54
l'opposition de cette personne, lorsque cette opposition est fondée
Est puni d'un emprisonnement de trois mois à un an et d'une
amende de 20.000 à 200.000 DH ou de l'une de ces deux peines sur des motifs légitimes ou lorsque ce traitement répond à des
seulement quiconque, en violation des a), b) et c) de l'article 3 de fins de prospection, notamment commerciale, tel que mentionné
la présente loi, collecte des données à caractère personnel par un à l'article 9 ou par voie électronique tel que prévu à l'article 10
moyen frauduleux, déloyal ou illicite, met en oeuvre un de la présente loi.
traitement à des fins autres que celles déclarées ou autorisées ou
soumet les données précitées à un traitement ultérieur Article 60
incompatible avec les finalités déclarées ou autorisées. Est puni d'un emprisonnement de trois mois à un an et
Article 55 d'une amende de 20.000 à 200.000 DH ou de l'une de ces deux
Est puni d'un emprisonnement de trois mois à un an et d'une peines seulement, quiconque effectue un transfert de données à
amende de 20.000 à 200.000 DH ou de l'une de ces deux peines caractère personnel vers un Etat étranger, en violation des
seulement quiconque :
dispositions des articles 43 et 44 de la présente loi.
– conserve des données à caractère personnel au-delà de la
durée prévue par la législation en vigueur ou celle prévue Article 61
dans la déclaration ou l'autorisation ; Est puni d'un emprisonnement de six mois à un an et d'une
– conserve les données précitées en violation des amende de 20.000 à 300.000 DH ou de l'une de ces deux peines
dispositions du e) de l'article 3 de la présente loi.
seulement, tout responsable de traitement, tout sous-traitant et
Est puni des mêmes peines le fait de traiter à des fins autres toute personne qui, en raison de ses fonctions, est chargé (e) de
qu'historiques, statistiques ou scientifiques des données à
traiter des données à caractère personnel et qui, même par
caractère personnel conservées au-delà de la durée mentionnée
au premier alinéa ci-dessus. négligence, cause ou facilite l'usage abusif ou frauduleux des
Article 56 données traitées ou reçues ou les communique à des tiers non
habilités.
Est puni d'un emprisonnement de trois mois à un an et d'une
amende de 20.000 à 200.000 DH ou de l'une de ces deux peines Le tribunal pourra, en outre, prononcer la saisie du matériel
seulement quiconque procède à un traitement de données à ayant servi à commettre l'infraction ainsi que l'effacement de tout
caractère personnel en violation des dispositions de l'article 4
ou partie des données à caractère personnel faisant l'objet du
ci-dessus.
traitement ayant donné lieu à l'infraction.
Article 57
Est puni d'un emprisonnement de six mois à deux ans et Article 62
d'une amende de 50.000 à 300.000 DH ou de l'une de ces deux Est puni d'un emprisonnement de trois à six mois et d'une
peines seulement quiconque procède, sans le consentement amende de 10.000 à 50.000 DH ou de l'une de ces deux peines
exprès des personnes intéressées, au traitement des données à
caractère personnel qui, directement ou indirectement, font seulement, quiconque :
apparaître les origines raciales ou ethniques, les opinions – entrave l'exercice des missions de contrôle de la
politiques, philosophiques ou religieuses, les appartenances Commission nationale ;
syndicales des personnes ou qui sont relatives à la santé de
celles-ci. – refuse de recevoir les contrôleurs et de les laisser remplir
Est puni des mêmes peines quiconque procède au leurs commissions ;
traitement des données à caractère personnel concernant des – refuse d'envoyer les documents ou informations demandé (e) s ;
infractions, des condamnations ou des mesures de sûreté.
– refuse de transmettre les documents prévus par la loi.
Article 58
Est puni d'un emprisonnement de trois mois à un an et d'une Article 63
amende de 20.000 à 200.000 DH ou de l'une de ces deux peines Tout responsable qui refuse d'appliquer les décisions de la
seulement, quiconque aura procédé ou fait procéder à un
Commission nationale est passible d'un emprisonnement de trois
traitement de données à caractère personnel sans mettre en œuvre
les mesures visant à préserver la sécurité des données prévues mois à un an et d'une amende de 10.000 à 100.000 DH ou de
aux articles 23 et 24 ci-dessus. l'une de ces deux peines seulement.
356 BULLETIN OFFICIEL N° 5714 – 7 rabii I 1430 (5-3-2009)

Article 64 Dahir n° 1-09-16 du 22 safar 1430 (18 février 2009) portant

Lorsque l'auteur de l'une des infractions prévues et promulgation de la loi n° 42-08 portant création de
sanctionnées au titre du présent chapitre est une personne morale l'Agence pour le développement agricole.
__________
et sans préjudice des peines qui peuvent être appliquées à ses
dirigeants auteurs de l'une des infractions prévues ci-dessus, les LOUANGE A DIEU SEUL !
peines d'amende sont portées au double.
(Grand Sceau de Sa Majesté Mohammed VI)
En outre, la personne morale peut être punie de l'une des
peines suivantes : Que l'on sache par les présentes – puisse Dieu en élever et
en fortifier la teneur !
– la confiscation partielle de ses biens ;
Que Notre Majesté Chérifienne,
– la confiscation prévue à l'article 89 du code pénal ;
Vu la Constitution, notamment ses articles 26 et 58,
– la fermeture du ou des établissements de la personne
morale où l'infraction a été commise. A DÉCIDÉ CE QUI SUIT :
Article 65
Est promulguée et sera publiée au Bulletin officiel, à la suite
En cas de récidive, les sanctions prévues au présent chapitre du présent dahir, la loi n° 42-08, portant création de l'Agence
sont portées au double.
pour le développement agricole, telle qu'adoptée par la Chambre
Est en état de récidive, toute personne ayant été condamnée des représentants et la Chambre des conseillers.
par décision de justice devenue irrévocable pour l'une des
infractions prévues au présent chapitre a commis une infraction Fait à Fès, le 22 safar 1430 (18 février 2009).
de même nature dans l'année qui suit le prononcé d'une telle
décision. Pour contreseing :
Le Premier ministre,
Article 66
ABBAS EL FASSI.
Outre les officiers de police judiciaire, les agents de la
*
Commission nationale spécialement commissionnés à cet effet
par le président et assermentés dans les formes du droit commun * *
peuvent rechercher et constater, par procès-verbal, les infractions Loi n° 42-08
aux dispositions de la présente loi et des textes pris pour son portant création
application. Leurs procès-verbaux sont adressés au procureur du de l'Agence pour le développement agricole
Roi dans les cinq jours suivant les opérations de recherche et de –––––––––
constatation.
Chapitre premier
Chapitre VIII
Dénomination et objet
Dispositions transitoires
Article premier
Article 67
Il est créé, sous la dénomination « Agence pour le
Les personnes physiques ou morales dont l'activité développement agricole (ADA) », un établissement public doté
consistait, avant la date de publication de la présente loi au de la personnalité morale et de l'autonomie financière, ci-après
Bulletin officiel à effectuer, à titre principal ou accessoire, des désigné par l'Agence.
traitements de données à caractère personnel répondant à la
L'Agence est placée sous la tutelle de l'Etat, laquelle a pour
définition prévue à l'article premier ci-dessus, disposent d'un
objet de faire respecter, par les organes compétents de l'Agence,
délai maximum de deux ans, courant à compter de la date
les dispositions de la présente loi, en particulier celles relatives
d'installation de la Commission nationale qui sera constatée par
aux missions qui lui sont imparties et, de manière générale, de
un acte administratif publié au Bulletin officiel, pour régulariser
veiller à l'application de la législation et de la réglementation
leur situation en conformité avec les dispositions de la présente
concernant les établissements publics.
loi.
L'Agence est également soumise au contrôle financier de
A défaut de cette régularisation dans le délai précité, leurs
l'Etat applicable aux établissements publics et autres organismes
activités sont réputées être exercées sans déclaration ou sans
conformément à la législation en vigueur.
autorisation. Le contrevenant s'expose, dans ce cas, aux sanctions
prévues par la présente loi. Article 2
L'Agence a pour mission de participer à la mise en œuvre de
Le texte en langue arabe a été publié dans l'édition générale du la stratégie adoptée par le gouvernement en matière de
« Bulletin officiel » n° 5711 du 27 safar 1430 (23 février 2009). développement agricole.