أهم الإجراءات التي يتعين على “CNSS” القيام بها بعد الاختراق الذي استهدف نظامه المعلوماتي لحماية المعطيات الشخصية لمنخرطيه

بعد الإقرار الرسمي من طرف المسؤولين في الصندوق الوطني للضمان الاجتماعي بحدوث إختراق أمني، فإن هذه المؤسسة أصبحت ملزمة باتخاذ مجموعة من الإجراءات العاجلة والإستراتيجية على ثلاث مستويات رئيسية: إدارية، قانونية، وتواصلية، وذلك لحماية المعطيات الشخصية للمنخرطين، وتقليل الضرر الذي أصابهم بعد نشر معطياتهم الشخصية.

1. على المستوى الإداري:

تفعيل خطة الاستجابة للحوادث السيبرانية (Plan de réponse aux incidents): عزل الأنظمة المصابة، وإيقاف الخوادم المتضررة، والتحقيق في الثغرات المستعملة.

تقييم مدى الاختراق: تحديد أنواع البيانات التي تم تسريبها (أرقام CIN، الحسابات البنكية، الملفات الطبية،…).

التنسيق مع الخبراء:الاستعانة بفريق متخصص في الأمن السيبراني لتحليل الهجوم واحتوائه.

تقوية البنية التحتية: تحديث الأنظمة، تصحيح الثغرات، وتطبيق بروتوكولات أمنية جديدة.

2. على المستوى القانوني:

إبلاغ السلطات المختصة: إشعار اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (CNDP) في غضون 72 ساعة كما ينص عليه القانون 09.08.

فتح تحقيق قضائي: بالتعاون مع النيابة العامة والشرطة القضائية المتخصصة في الجرائم الإلكترونية.

تحمل المسؤولية القانونية: إذا ثبت الإهمال في الحماية، يمكن أن تواجه المؤسسة عقوبات أو مطالبات بالتعويض.

3. على المستوى التواصلي:

شفافية مع الرأي العام: إصدار بلاغ رسمي يوضح طبيعة الاختراق، البيانات المستهدفة، والخطوات المتخذة.

إخبار المتضررين مباشرة: عبر البريد الإلكتروني أو الرسائل النصية، وتحذيرهم من محاولات النصب المحتملة.

تقديم الدعم للمنخرطين: مثل فتح خط هاتفي مخصص للإجابة عن الاستفسارات، وتوفير خدمة مراقبة للهوية (Surveillance d’identité).

اختراق من هذا النوع يُعد بالغ الخطورة، ويتطلب سرعة في التدخل وشفافية في التواصل. على CNSS أن توفق بين الجانب الأمني، الالتزام القانوني، والحفاظ على الثقة العامة.

هل إعادة نشر البيانات الشخصية المسربة بعد الاختراق يعد جريمة؟ وما هو أساس هذا الفعل الجرمي في التشريع الوطني والدولي؟

لا شك، أن إعادة نشر البيانات الشخصية التي تم الحصول عليها عن طريق اختراق أو تسريب تُعتبر جريمة بموجب القانون المغربي وكذلك في العديد من القوانين الدولية.

1. وفق القانون المغربي:

بموجب القانون رقم 09.08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي:

المادة 29 تنص على أن كل من يعالج أو ينشر أو يستغل معطيات شخصية دون ترخيص أو موافقة المعني، يعاقب بعقوبات جنائية.

المادة 55 وما بعدها تنص على أن:

كل من قام بنشر أو إعادة نشر معطيات شخصية تم الحصول عليها بطرق غير مشروعة، يعاقب بـ غرامات مالية قد تصل إلى 300,000 درهم و/أو السجن من 3 أشهر إلى 5 سنوات.

التصوير أو النشر دون إذن (خاصة إذا تسبب في ضرر أو فضيحة) يمكن أن يُجرم أيضًا بموجب القانون الجنائي المغربي (الفصول المتعلقة بالمس بالحياة الخاصة).

2. وفق القانون الدولي:

اللائحة العامة لحماية المعطيات الأوروبية (GDPR):
تمنع بشدة نشر أو إعادة تداول البيانات الشخصية المُسربة، وتفرض غرامات ثقيلة على الأفراد أو الهيئات التي تنشر تلك البيانات.

اتفاقية بودابست للجرائم الإلكترونية (Council of Europe): تعتبر إعادة نشر بيانات تم الحصول عليها عبر اختراق جريمة إلكترونية، وتشجع الدول الأعضاء (ومنها المغرب) على ملاحقة مرتكبيها.

3. في حالة المواقع والصفحات الاجتماعية والصحافة:

الصحافة مسؤولة قانونياً وأخلاقياً، ويُمنع عليها إعادة نشر بيانات شخصية مثل الأرقام الوطنية، الحسابات البنكية، أو الملفات الطبية، حتى لو كانت الغاية إخبارية، إلا إذا تم إخفاء هوية المعنيين بشكل كامل.

صفحات التواصل الاجتماعي التي تنشر هذه البيانات يمكن ملاحقتها قانونياً، خاصة إذا تسبب النشر في ضرر للأفراد أو تهديد لسلامتهم.

وعليه فإن إعادة نشر أو تداول البيانات الشخصية المسربة، سواء من طرف أفراد، أو مواقع إلكترونية، أو صفحات على مواقع التواصل الاجتماعي، يُعتبر فعلاً مجرّماً يمكن أن يعرض صاحبه للمساءلة القانونية وفقا للتشريع المغربي أو الدولي.