Depuis quelques jours, l’ampleur d’une cyberattaque contre la Caisse Nationale de Sécurité Sociale (CNSS) alarme l’opinion publique. Des données sensibles, appartenant à des salariés et des entreprises, ont potentiellement été compromises, posant avec acuité la question du respect de la vie privée et de la sécurité des systèmes d’information. Dans ce contexte, les Directeurs des Ressources Humaines se retrouvent en première ligne pour défendre les droits de leurs collaborateurs, tout en veillant à la préservation de l’image de leurs entreprises.
Pour mieux cerner les enjeux juridiques liés à cette affaire, nous avons sollicité l’éclairage de Maître Lina FASSI FIHRI, avocate spécialisée en matière de protection des données personnelles, qui a accepté de répondre à nos questions :
Sur le plan légal, quelles sont les obligations de la CNSS en matière de protection des données, et comment peuvent-elles être invoquées par les DRH pour défendre les intérêts de leurs collaborateurs ?
Lina FASSI FIHRI : La CNSS, en tant que responsable de traitement ou sous-traitant, est tenue de mettre en œuvre des mesures de sécurité adaptées à la sensibilité des données traitées, conformément à l’article 23 de la loi n° 09-08. Plus les informations sont sensibles (par exemple, des données de santé ou financières), plus les standards de protection doivent être élevés. Une enquête interne de la CNSS, voire une investigation menée par l’autorité de contrôle, devra déterminer si ces mesures étaient adéquates. Les DRH pourront ensuite s’appuyer sur les conclusions de ces investigations pour défendre leurs collaborateurs. En outre, la CNSS est soumise à la loi n° 05-20 relative à la cybersécurité, qui impose notamment de déclarer les incidents à la DGSSI.
Face à la fuite massive de données personnelles, quelles actions concrètes un DRH peut-il engager contre la CNSS, notamment si l’institution n’a pas pris les mesures adéquates de cybersécurité ?
Lina FASSI FIHRI : Les personnes concernées — ici, les collaborateurs — peuvent d’abord déposer une plainte auprès de la CNDP, via la plateforme en ligne mise à disposition à cet effet. Les DRH peuvent les accompagner dans cette démarche. Si, à l’issue de l’enquête, il est établi que des manquements graves en matière de sécurité ont eu lieu, il est alors envisageable d’engager une action en responsabilité contre la CNSS.
En cas de diffusion d’informations sensibles dans la presse, quels recours juridiques sont à la disposition des DRH et des entreprises pour faire valoir leurs droits ou obtenir réparation ?
Lina FASSI FIHRI : Dans un communiqué du 10 avril, la CNDP a souligné que la diffusion d’informations sensibles constitue un traitement illégal de données personnelles, réprimé par la loi. Les sanctions peuvent aller jusqu’à un an de prison et/ou une amende de 20.000 à 200.000 dirhams pour toute collecte de données illicite. L’article 56 de la loi n° 09-08 vise également les traitements effectués sans consentement. Par ailleurs, publier ou partager ces informations constitue une atteinte à la vie privée (punie par les articles 447-1 à 447-3 du Code pénal) et peut, si les informations sont fausses, relever de la diffamation.
Si certains collaborateurs relaient ou publient des informations, avérées ou erronées, concernant leurs collègues, quelles sanctions ou procédures disciplinaires peuvent être envisagées ?
Lina FASSI FIHRI : La loi prévoit des sanctions pénales pour ce type de diffusion, pouvant aller jusqu’à l’emprisonnement. Sur le plan professionnel, relayer de telles données peut être considéré comme une faute grave, sanctionnable par l’employeur. Il ne faut pas oublier que les salariés sont soumis à un devoir de réserve et à une obligation de loyauté envers leur entreprise.
Quelles responsabilités incombent aux DRH en cas de fuite de données, et comment doivent-ils s’organiser pour limiter les risques juridiques et financiers ?
Lina FASSI FIHRI : Au Maroc, la loi n° 09-08 ne prévoit pas l’obligation de notifier l’autorité de contrôle ou les personnes concernées en cas de faille, contrairement à d’autres législations comme le RGPD. Néanmoins, pour protéger leurs salariés, les DRH doivent veiller, en amont, au respect des normes légales et informatiques, et réagir promptement en cas de fuite. Cela implique de contrôler la transmission des données à des partenaires ou sous-traitants et de s’assurer que ceux-ci se conforment également aux standards requis. Le tout doit être signalé, a minima, au responsable data ou compliance de l’entreprise.
Quels sont les risques encourus par les entreprises si elles ne prennent pas, à l’avenir, les précautions nécessaires pour assurer la sécurité des données de leurs salariés ?
Lina FASSI FIHRI : Le premier risque est de subir une cyberattaque, assortie d’une demande de rançon menaçant de divulguer publiquement les données. Une telle situation peut sérieusement entamer la confiance placée dans l’entreprise. Sur le plan légal, la CNDP peut prononcer des sanctions, surtout si les collaborateurs déposent une plainte en ligne mettant en évidence des failles de sécurité.
Dans quelle mesure la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (ou équivalent) peut-elle intervenir pour protéger les personnes concernées et sanctionner les manquements constatés ?
Lina FASSI FIHRI : La CNDP offre la possibilité aux personnes lésées de porter plainte, en ligne ou par courrier. Dès réception, elle adresse une demande d’explication au responsable de traitement, qui dispose d’un délai pour répondre. Si la réponse est jugée insuffisante ou insatisfaisante, la CNDP peut procéder à des contrôles et infliger des sanctions en cas de manquements avérés.
Quelles bonnes pratiques recommanderiez-vous aux DRH pour renforcer leur dispositif de protection des données et éviter de nouveaux incidents similaires ?
Lina FASSI FIHRI : Étant donné que les DRH manipulent fréquemment des informations hautement sensibles, ils doivent impérativement collaborer avec le responsable data et insister sur la conformité légale, organisationnelle et technique. Ces précautions permettent de réduire les risques de violation de données et les conséquences qui pourraient en découler.
Plus globalement, cette cyberattaque remet-elle en cause la fiabilité des infrastructures publiques et, selon vous, quelles évolutions législatives ou réglementaires seraient nécessaires pour mieux protéger les données personnelles au Maroc ?
Lina FASSI FIHRI : Selon la juriste, cette attaque ne remet pas en cause la fiabilité des infrastructures publiques marocaines, car les cyberattaques se multiplient partout dans le monde. Il est toutefois impossible de garantir une sécurité à 100 %. Il convient dès lors de renforcer les dispositifs de protection et d’accélérer la mise en place de solutions souveraines d’hébergement. Les lois n° 09-08 et n° 05-20 existent depuis plusieurs années, mais des ajustements seraient souhaitables, notamment pour clarifier la procédure de notification des failles, jugée encore trop floue dans la loi 09-08.
