اقتصادكم-أسامة الداودي
في ظل تسارع الرقمنة واعتماد تقنيات الفيديو-مراقبة والهوية الرقمية البيومترية، يثير النقاش حول حماية المعطيات الشخصية اهتمام السلطات والمواطنين، ويستلزم تقييم جاهزية الشركات والمؤسسات للامتثال للقوانين الوطنية وضمان حماية البيانات الحساسة.
وفي حوار خص به موقع "اقتصادكم"، أكد سعيد الوردي، أستاذ القانون الخاص ومدير مختبر الدراسات القانونية والتحول الرقمي بكلية العلوم القانونية بفاس، أن القانون المغربي رقم 09.08 متقدم ويستجيب لمعظم معايير الـGDPR، مشددا على ضرورة التركيز على التطبيق الفعلي وتعزيز أمن المعلومات.
وفي ما يلي نص الحوار:
بالنظر إلى القوانين الحالية (قانون 09-08) والمبادرات الحكومية الرامية إلى تسريع الرقمنة، هل ترى حاجة لتعديل جوهري في الإطار التشريعي المغربي لحماية المعطيات (مثل إدماج معايير أقرب إلى الـGDPR ؟ وإذا كان الجواب نعم، فما أولوياتكم التشريعية والزمنية؟
أعتقد بأنه لا حاجة لنا بإجراء تعديلات جوهرية على مقتضيات القانون رقم 09.08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، على اعتبار أن هذا القانون يعتبر من القوانين المتقدمة، وأنه يستجيب تقريبا لجل المعايير التي تضمنتها اللائحة العامة لحماية البيانات أو ما يسمى بنظام RGPD الأوروبي.
وهو نظام يتطلب من الشركات الالتزام بمبادئ مثل الشفافية، والحق في النسيان، وضرورة الحصول على موافقة المستخدمين قبل معالجة بياناتهم.
والواقع أن هذه المبادئ متضمنة في القانون رقم 09.08، حيث ينص في المادة 3 على مجموعة من المبادئ التي تحكم معالجة المعطيات ذات الطابع الشخصي، منها الرضى المسبق، النزاهة والمشروعية، وكذلك الحق في النسيان من خلال التنصيص على أن تكون المدة الزمنية التي تحفظ فيها المعطيات المعالجة لا تتجاوز المدة الضرورية لإنجاز الغايات التي تم جمعها ومعالجتها لاحقا لأجلها.
لذلك في اعتقادي أن الجهود يجب أن توجه حاليا نحو التنزيل الفعلي لكل مقتضيات هذا القانون على أرض الواقع، عوض إقرار مقتضيات جديدة قد تدخل في ما يسمى بالبذخ التشريعي.
وإذا ظهرت هناك حاجة لتعديل القانون فيجب أن تصب في اتجاه تعزيز أمن المعلومات، كإدخال معيار ISO 27001 الذي يعتبر إطار عمل متكامل لأنظمة إدارة أمن المعلومات.
في ضوء اتفاقية الشراكة الأخيرة بين CNDP وCGEM لرفع قدرات الشركات في الحوكمة الرقمية، ما مستوى جاهزية الشركات المغربية (خاصة المقاولات الصغرى والمتوسطة) للامتثال فعلاً لمتطلبات حماية المعطيات؟ وما أبرز ثغرات التنفيذ التي لاحظتموها؟
لقد جاء توقيع اتفاقية الشراكة بين اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي والاتحاد العام لمقاولات المغرب يوم الخميس 13 نونبر 2025، في إطار انضمام الاتحاد العام إلى برنامج TADA-TIKA، وهي تهدف إلى مواكبة المقاولات المغربية في مسار الملاءمة مع مقتضيات القانون رقم 09.08 وجعل حوكمة البيانات عاملا أساسيا لتعزيز تنافسيتها وتحقيق تحولها نحو العالم الرقمي بأمان.
الأكيد أن العديد من المقاولات المغربية غير جاهزة لمواكبة هذا التحول، ولذلك فالاتفاقية جاءت أيضا لترسيخ الشراكة والانخراط في مواكبة اللجنة الوطنية في تنظيم ورشات جهوية لفائدة المقاولات تهدف إلى ترسيخ ثقافة حماية المعطيات الشخصية، وجعل حماية البيانات رافعة للثقة الرقمية والتنافسية الاقتصادية، كما أن اللجنة الوطنية تعبر دائما عن استعدادها بشأن توفير المواكبة اللازمة للمقاولات، وإمدادها بالمعلومات الضرورية من أجل الالتزام بالمقتضيات المتعلقة بالملاءمة مع الشروط والإجراءات الواردة في القانون المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي.
أما بخصوص ثغرات التنفيذ المسجلة بهذا الخصوص فهي تتجلى بالأساس في مخالفة بعض المقاولات للعديد من مقتضيات القانون رقم 09.08 ولا سيما تلك المتعلقة بالاحتفاظ بالمعطيات بكيفية غير مشروعة لمدة غير قانونية، وبمعالجة معطيات دون رضا المعني بالأمر، وكذا معالجة معطيات حساسة دون الموافقة الصريحة للمعني بالأمر، وقيام المسؤول عن المعالجة برفض حقوق الولوج أو التصحيح أو التعرض من قبل الشخص المعني بالأمر، وكذلك معالجة المعطيات بطرق غير نزيهة وغير مشروعة.
مع توسع استخدام الفيديو- مراقبة والهوية الرقمية البيومترية في الخدمات العمومية، ما الضمانات التقنية-القانونية التي يجب فرضها (مثل اختبارات الأثر privacy impact assessments، حدود الاحتفاظ، تشفير للحماية من إساءة الاستخدام أو تسريبات حسّاسة؟ وهل النظام الحالي يكفي؟
أعتقد بأن الضمانات القانونية موجودة، وأن ما تم التنصيص عليه في القانون رقم 09.08 كاف لحماية الأشخاص الذاتيين من سوء استعمال لمعطياتهم الشخصية بما فيها الصورة في علاقة مع استخدام تقنية الفيديو مراقبة.
ما نحتاج إليه اليوم هو تفعيل تنزيل مقتضيات هذا القانون، ومواكبة المقاولات وحتى الهيئات والمؤسسات شبه العمومية، للرفع من مستوى أمن المعلومات، وهنا لا بد من تسليط الضوء أيضا على القانون رقم 05.20 المتعلق بالأمن السيبراني الذي يضع مجموعة من الإجراءات الفعالة لحماية أمن نظم المعلومات.
ولذلك اعتقد بأن اللجنة الوطنية لحماية المعطيات الشخصية مدعوة أيضا إلى العمل بجانب اللجنة الاستراتيجية للأمن السيبراني، والسلطة الوطنية للأمن السيبراني، لتدعيم أمن نظم المعلومات، في إطار تفعيل الفصل الرابع من هذا القانون المتعلق بالتكوين والتحسيس والتعاون.
ما مدى قدرة CNDP والهيئات الرقابية الأخرى على تنفيذ مراقبة فعّالة وفرض عقوبات رادعة (تفتيشات، غرامات، قرارات توقف)؟ وهل لدى المواطن العادي آليات بسيطة وفعّالة لمتابعة شكاواه واسترجاع حقوقه؟
لقد خول القانون رقم 09.08 للجنة الوطنية لحماية المعطيات ذات الطابع الشخصي سُلط التحري والبحث التي تمكن أعوانها المفوضين لهذا الغرض من قبل الرئيس بالولوج إلى المعطيات الخاضعة للمعالجة والمطالبة بالولوج المباشر للمحال التي تتم فيها المعالجة وتجميع جميع المعلومات والوثائق الضرورية للقيام بمهام المراقبة والمطالبة بها.
كما خولها أيضا سلطة الأمر بتزويدها بالوثائق التي تمكنها من دراسة الشكايات المحالة عليها، وسلطة الأمر بالتغييرات اللازمة، وبإغلاق معطيات أو مسحها أو إتلافها وكذا منع معالجة معطيات ذات طابع شخصي بصفة مؤقتة أو دائمة.
كما نصت المادة 51 من القانون المذكور على تخويل اللجنة الوطنية صلاحية سحب توصيل التصريح أو الإذن إذا تبين لها بعد إجراء المعالجة موضوع التصريح أو الإذن أن هذه المعالجة تمس بالأمن أو النظام العام أو منافية للأخلاق والآداب العامة.
وفيما يخص فرض العقوبات ذات الطبيعة الجنائية كالغرامات والعقوبات السالبة للحرية، فهي كما نعلم من اختصاص القضاء، وقد تم التنصيص على مجموعة من الأفعال المجرمة بموجب هذا القانون، وتم فرض عقوبات رادعة لكل منها، مع تخويل القاضي إمكانية الحكم بالغرامة والحبس أو بإحداهما فقط.
أما بالنسبة للآليات المخولة للمواطن العادي فإن اللجنة الوطنية لحماية المعطيات ذات الطابع الشخصي تتيح للمواطنين إمكانية رفع شكاوى إليها حول خرق معطياتهم الشخصية، بمختلف الوسائل بما في ذلك موقعها على الأنترنيت، أو عن طريق الفاكس أو الهاتف.
وبعد توصلها بالشكاية تقوم اللجنة الوطنية بمراسلة المشتكى به وتنذر المسؤول عن معالجة المعطيات بضرورة تصحيح وضعيته القانونية، وفي حالة عدم الاستجابة تنتقل إلى الزيارات الميدانية من أجل المعاينة، والتدخل فيما بعد بشكل زجري، بما في ذلك إحالة الملفات على النيابة العامة لتحريك المتابعة.
