Cyberattaque contre la CNSS. Responsabilité, recours des victimes... L'éclairage de Me Khadija Zoulali
Face à la fuite massive d'informations personnelles, la question de l'imputabilité à la Caisse nationale de sécurité sociale est cruciale. Sans pointer du doigt l'institution, Me Khadija Zoulali rappelle que la loi n'exonère pas l'entité en charge du traitement des données en cas de manquement dans leur sécurisation, et ce, même s'agissant d'un acte de piratage.
La cyberattaque d'une ampleur inédite ayant ciblé la Caisse nationale de sécurité sociale (CNSS) a mis en lumière la vulnérabilité des données personnelles au Maroc.
Derrière la condamnation de cet acte cybercriminel, une préoccupation majeure agite les citoyens : la CNSS, à qui nous confions nos informations les plus sensibles, a-t-elle une part de responsabilité dans cette exposition de nos vies privées ?
Pour les milliers de Marocains dont les données ont été compromises, les recours possibles sont une interrogation légitime. Me Khadija Zoulali, avocate au barreau de Casablanca, apporte son expertise pour décrypter les enjeux juridiques de cette affaire.
Médias24 : Des milliers de données personnelles contenues dans les bases de données de la CNSS ont été diffusées. En dehors du piratage en lui-même, que dit la loi marocaine en matière de responsabilité dans la protection des données personnelles ?
Me Khadija Zoulali : La loi 09-08 prévoit que toute entité qui traite des données à caractère personnel est tenue d’en assurer la sécurité. L’article 23 de cette loi prévoit notamment que des mesures techniques et organisationnelles appropriées doivent être mises en place pour prévenir toute atteinte aux données : accès non autorisé, perte, altération ou diffusion illicite. Cela concerne également les cas où une partie du traitement est externalisée à un sous-traitant.
En parallèle, la loi 05-20 relative à la cybersécurité complète ce dispositif pour les entités publiques en leur imposant l’adoption d’une politique de sécurité des systèmes d’information, la désignation d’un responsable dédié, la classification des actifs numériques et la déclaration des incidents à la DGSSI (Direction générale de la sécurité des systèmes d'information).
— Ces données sensibles jouissent-elles d'une protection juridique particulière ?
— Oui, les données sensibles font l’objet d’un régime juridique spécifique et plus rigoureux. La loi 09-08 les définit comme les données à caractère personnel qui révèlent notamment l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou encore les données relatives à la santé, y compris les données génétiques.
Leur traitement est soumis à une autorisation préalable de la CNDP, sauf exceptions prévues par la loi (consentement exprès, obligation légale, défense d’un droit en justice, etc.). Le traitement de certaines données personnelles, bien qu’elles ne soient pas sensibles, est soumis à l’autorisation préalable de la CNDP, notamment si le traitement de données porte sur les infractions, les condamnations ou les mesures de sûreté, ou encore sur le numéro de la carte nationale d’identité.
Lorsqu’elles sont traitées, l’article 24 impose des mesures de sécurité spécifiques, telles qu’un contrôle strict des accès, une traçabilité des opérations et une sécurisation des supports et des transmissions.
La loi 05-20 renforce encore ce cadre, en exigeant notamment que ces données soient hébergées sur le territoire national et soumises à une homologation de sécurité avant toute mise en exploitation.
– Quelles sont les responsabilités en jeu et quel est le degré de responsabilité de la CNSS ?
— En fonction des traitements concernés, la CNSS peut intervenir en tant que responsable de traitement, mais aussi en sous-traitant, tout en étant, de manière générale, soumise aux obligations prévues par la loi 05-20 en tant qu’entité publique.
À ce titre, elle est tenue de mettre en œuvre les dispositifs requis pour assurer la sécurité des données qu’elle détient et traite. Cela étant, l’éventuelle mise en cause de sa responsabilité ne peut être envisagée qu’au regard de sa conformité aux obligations prévues par la loi et notamment à celle imposant la mise en place de mesures techniques et organisationnelles jugées "appropriées" par la CNDP.
La loi ne prévoit pas d’exonération de responsabilité en cas de cyberattaque
La responsabilité de la CNSS dépendra donc étroitement de la qualité des mesures mises en place par elle pour prévenir le risque d’intrusion.
— La loi astreint-elle cette institution à une obligation de sécuriser ces données ?
– Les lois précitées instaurent, en effet, une obligation de sécurité.
— Assume-t-elle la responsabilité même en cas d'attaque cybernétique ?
— La loi ne prévoit pas d’exonération de responsabilité en cas de cyberattaque. L’évaluation de la responsabilité de la CNSS repose donc sur le niveau de diligence qu’elle a effectivement mis en œuvre avant l’incident.
– A-t-on le droit de télécharger ou de garder les données en question ?
— Nous n’avons pas le droit de télécharger ou de conserver les données en question. La conservation, la diffusion ou le téléchargement de données personnelles issues d’une fuite constitue une infraction pénale.
Même sans intention malveillante, le simple fait de détenir ces données sans droit est pénalement répréhensible. En effet, la loi 09-08 sanctionne expressément toute personne qui collecterait ou utiliserait ces données sans y être autorisée.
Même sans intention malveillante, le simple fait de détenir ces données sans droit est pénalement répréhensible
De manière simple, est passible d’une peine d’emprisonnement allant de trois mois à un an et/ou d’une amende de 20.000 à 200.000 DH toute personne qui collecte des données personnelles de manière frauduleuse ou illicite, les utilise à des fins autres que celles initialement prévues ou autorisées, ou les soumet à un traitement incompatible avec leur finalité déclarée.
De plus, l’article 56 de la loi 09-08 prévoit les mêmes peines pour toute personne qui procède à un traitement de données personnelles sans le consentement de la personne concernée, sauf si la loi l’autorise expressément.
S’agissant des données sensibles, l’article 57 de la même loi est encore plus strict : il prévoit une peine pouvant aller jusqu’à deux ans d’emprisonnement et 300.000 DH d’amende, si ces données sont traitées sans le consentement exprès des personnes concernées.
– Les personnes victimes de ces fuites disposent-elles d’un quelconque recours ?
– Toute personne estimant que ses données personnelles ont été exposées ou utilisées de manière illicite peut saisir la CNDP, qui est l’autorité compétente pour recevoir les plaintes en matière de protection des données à caractère personnel.
La CNDP examine ces réclamations dans le cadre de ses prérogatives et peut, le cas échéant, prendre les mesures prévues par la loi. Ce recours est ouvert à toute personne concernée qui s’estime lésée par un traitement de données effectué en violation des règles en vigueur.
Sur le plan civil, l’obtention de dommages et intérêts suppose la réunion de trois éléments : une faute, un préjudice et un lien de causalité entre les deux.
Une action judiciaire contre les auteurs d’actes de cyberharcèlement ou d’exploitation illégale de données personnelles peut ainsi être envisagée tant sur le plan civil, dès lors que ces conditions sont réunies, que sur le plan pénal.
S’agissant de la CNSS, il appartiendra aux autorités compétentes de se prononcer, sur la base des éléments de fait et de droit qui leur seront soumis, sur l’éventuelle existence d’un manquement.
À découvrir
Lire aussi
à lire aussi
Article : Le musée du continent africain devrait ouvrir à la fin de 2027 (Mehdi Qotbi)
Porté par la Fondation nationale des musées, le futur musée du continent africain a franchi une étape décisive. Le président Mehdi Qotbi nous annonce que le plus grand complexe muséal d'Afrique, dont les travaux de gros œuvre ont dépassé 85%, entre dans sa phase finale avant une ouverture au public lors du dernier trimestre 2027.
Article : Le jardinier marocain de Jany Le Pen expulsé vers le Maroc pour séjour irrégulier
Selon une information révélée par Le Parisien, Hatim B., un Marocain de 32 ans qui effectuait des travaux de jardinage chez Jany Le Pen, veuve de Jean-Marie Le Pen, a été expulsé le jeudi 23 avril vers le Maroc. En situation irrégulière en France depuis 2017, il faisait l’objet d’une mesure d’éloignement décidée par le préfet des Hauts-de-Seine.
Article : Maghreb : une visite américaine dans un contexte de pression croissante sur l’Algérie
Annoncée par le département d’État, la tournée de Christopher Landau, du 27 avril au 1er mai, intervient dans un contexte marqué par l’implication croissante de Washington dans le suivi du dossier du Sahara et de ses prolongements onusiens.
Article : Ordre des experts-comptables : le scrutin s’annonce serré (liste)
Le scrutin du 21 mai pour le renouvellement du Conseil national de l’Ordre des experts-comptables met en concurrence 41 candidats pour 11 sièges. Parmi eux, se dégagent des profils issus de grands cabinets internationaux, comme EY, Deloitte, Mazars, BDO, KPMG ou Grant Thornton, des figures expérimentées déjà présentes dans les instances de l’Ordre et des profils plus récents, illustrant les équilibres internes de la profession.
Article : Protection des femmes victimes de violence : lancement officiel de la cellule centrale à Rabat
À Rabat, le ministère de la Solidarité a lancé la cellule centrale de prise en charge des femmes victimes de violence, chargée de renforcer la coordination institutionnelle, de superviser les structures territoriales et d'améliorer l’accompagnement juridique, psychologique et social des victimes.
Article : Bourse de Casablanca : le MASI chute de 1,69%, les volumes grimpent à 667 MDH
La Bourse de Casablanca a clôturé la séance du 24 avril 2026 en baisse, avec un MASI en recul de 1,69% à 18.815,18 points. Les échanges ont atteint 667,11 MDH, dominés par Managem, Minière Touissit et Attijariwafa bank.