fbpx

Omar SEGHROUCHNI

Interview août 2020

Omar SEGHROUCHNI

À l’heure de la multiplication des activités à effets de réseau dans l’économie numérique, il devient nécessaire d’harmoniser le panorama juridique marocain des données personnelles. Eclairage avec l’ombudsman de la Data.

On sort d’un confinement de 3 mois, comment évaluez-vous l’efficacité des mesures prises ?

Le confinement a été une période assez difficile. Les autorités ont été réactives, courageuses et efficaces. Certes, après coup, nous pouvons entendre quelques voix évoquer qu’il aurait été possible de faire autrement, ceci et cela… Mais, au moment des événements, dont personne n’avait une expérience préalablement vécue, il fallait agir et ne pas se tromper. L’équation a été, et est encore, très difficile: gérer le risque sanitaire, préserver au mieux l’activité économique et respecter l’Etat de droit. La résolution de l’équation se réactualise chaque jour, de façon pragmatique et avec une écoute fine des réalités.

Quelles leçons personnelles en tirez-vous ?

Ce que j’en tire, comme citoyen, c’est que je suis rassuré par le sérieux et l’efficacité des autorités de mon pays. On peut trouver à y redire, sur quelques points, mais c’est normal. Il faut que les avis puissent s’exprimer, de façon responsable, au sein des enceintes et des espaces prévus pour cela.
En tant que responsable à la CNDP, nous avons essayé d’accompagner, de façon efficace les différentes actions, pour maintenir le respect de la vie privée, en particulier, relativement à la protection des données à caractère personnel. Nous avons réussi sur certaines facettes, beaucoup moins sur d’autres. Mais c’est notre travail de tous les jours que de confirmer les actions positives et de tenter de corriger nos faiblesses.
Aujourd’hui, je pense qu’il est vraiment trop tôt pour analyser notre sortie du confinement. Peut-être que nous en sommes sortis, physiquement, de façon provisoire… Mais, l’impact sur nos psychologies n’est peut-être pas encore connu.

La pandémie a-t-elle intensifié les activités de la CNDP, notamment en matière de contrôle de traitement?

Les activités ont été intensifiées. Il y a différents types de contrôle… le contrôle sur document, le contrôle à distance, le contrôle sur site ou sur place. Cette dernière catégorie n’a pas été déployée pendant la période de confinement pour des raisons évidentes.
L’état d’urgence sanitaire nous a amenés à traiter et à instruire des traitements nouveaux, urgents et délicats. Ce qui fait que nous avons concentré nos efforts sur l’accompagnement de cette situation particulière. Nous nous sommes retrouvés à agir plutôt sur les accompagnements de mise en conformité que sur les contrôles. Cependant, avec le déconfinement, nous allons rééquilibrer nos efforts. Il va y avoir plus de contrôles. Car vous n’êtes pas sans savoir que les notifications (déclarations ou demandes d’autorisation préalables) n’ont pas de sens s’il n’y a pas la possibilité de faire des contrôles par la suite. C’est une attitude très naturelle. Le concept est dans le nom de la CNDP: Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel… Refuser le contrôle est antinomique avec l’acceptation de protéger les données à caractère personnel.

Est-ce que les moyens humains et juridiques dont dispose la CNDP lui permettent de remplir son rôle stratégique?

Non.

En ces temps de recours accru au numérique, la prise de conscience de la protection de la vie privée s’élargit. Pourquoi est-il important de protéger la donnée ?

La réponse est dans votre question. Pour comprendre pourquoi il faut protéger la vie privée mais aussi la dignité des uns et des autres, il suffit de s’imaginer notre monde sans respect de la vie privée: votre voisin qui vous filme à votre insu, les élèves qui enregistrent les enseignants sans les prévenir, votre banque ou votre assurance qui vend vos données à caractère personnel. Vos contrats de travail ou vos factures qui circulent sur Internet, vos achats qui sont partagés sur les réseaux sociaux, …
Si vous n’avez pas envie de vivre dans un tel monde, il faudra penser à se mettre d’accord sur un ensemble de règles. En d’autres termes, convenir des modalités de respect de la vie privée. Et aussi vous dire que pour que votre vie privée soit respectée, il est important que vous respectiez celle des autres.

Le Maroc est doté d’une loi relative à la protection des données à caractère personnel. Ce droit est consacré par l’article 24 de la Constitution du Royaume. Est-ce que tous les citoyens bénéficient de ce droit aujourd’hui ?

Evidemment tous les citoyens peuvent bénéficier de ce droit. L’actualité le démontre chaque jour. Par contre, est-ce que tout le monde en est conscient, ou est-ce que tout le monde en use à bon escient, ou est-ce que tout le monde le respecte… C’est une autre paire de manches. Le droit est là et est applicable. Les modalités de son application ne sont pas encore largement comprises et partagées. Il faut y travailler. Le droit sera renforcé par la culture citoyenne qui pourra constituer son espace de déploiement. Certains pensent que c’est un «droit de confort», d’autres pensent que c’est une valeur importée, d’aucuns le perçoivent comme une cerise sur le gâteau. Notre travail est de faire accepter ce droit au sein de la société en digitalisation et qu’il devienne aussi naturel que notre respiration. Nous devons éviter d’être des «asthmatiques du digital» …

Les données en possession des administrations nationales comme les impôts sont-elles exploitées par d’autres administrations ?

Différents mécanismes, lois ou projets de lois s’appuient sur une simplification des procédures, une administration électronique, et ce, à juste titre. Il n’est pas raisonnable de continuer à demander au citoyen des documents dont l’administration dispose par ailleurs. Il est nécessaire de rapprocher l’administration du citoyen, et le digital l’autorise, le permet et le favorise. Mais là encore, il faut distinguer le «quoi» du «comment». Parfois cela fait sourire certains, mais nous ne désespérons pas du fait qu’ils arriveront à comprendre demain ce qu’ils n’ont pas eu le temps de comprendre hier ou aujourd’hui. Le sujet à débattre n’est pas la simplification des procédures ou la proximité auprès des citoyens, mais quelles sont les règles de respect de la vie privée qui vont être déployées pour atteindre l’objectif. Le débat d’aujourd’hui n’est pas encore structuré. Et le sujet, pourtant si simple, devient, très vite, complexe. Ce n’est pas grave, le temps et la persévérance nous permettront d’avancer petit à petit. Nous sommes encore dans la situation d’un Far West numérique… où il est plus facile d’utiliser la force que d’accepter le débat… Mais nous sommes vraiment confiants car de grandes institutions de notre pays ont fait le choix de la conformité et du respect de la vie privée. Ce n’est pas suffisamment connu. Nous veillerons à le faire savoir, avec leurs autorisations, dans les semaines qui viennent.

Dans ce cas, quelle exigence de protection de ces données une fois sorties des impôts?

La grande confusion qui peut exister chez les uns et les autres est qu’ils pensent que le traitement des données à caractère personnel se limite au bien-fondé de la collecte initiale. Et pourtant, c’est loin d’être le cas. La licéité de la collecte peut être fondée sur le consentement, l’intérêt d’une mission publique, l’intérêt légitime, un texte de loi, etc. Mais ce n’est pas parce que vous êtes autorisé à collecter de la donnée que vous pouvez en faire n’importe quoi. La loi impose, par exemple, que les données ne soient utilisées que dans le cadre de la finalité qui a été annoncée au moment de la collecte. Il n’est pas possible de collecter des données à caractère personnel pour livrer des pizzas, et de les utiliser pour vous vendre des espadrilles, sauf si vous l’acceptez explicitement. Les interconnexions de fichiers ne peuvent se faire que dans un cadre légal et réglementé. Le même identifiant (annoncé comme unique) manipulé dans tous les secteurs d’activité peut favoriser des interconnexions tous azimuts. Alors que la gestion d’identifiants sectoriels oblige à un usage un peu plus réglementé de ces interconnexions tout en n’interdisant pas la possibilité de mettre en place des ciblages nécessaires à la planification des politiques publiques.
Pourquoi refuser d’utiliser un moyen plus respectueux de la vie privée qui ne réduit pas votre capacité à atteindre l’objectif? Je suis personnellement curieux de comprendre pourquoi. Et notre travail est de garder l’écoute nécessaire pour comprendre s’il y a quelque chose à comprendre… en vue de réviser nos appréciations.

Les données des personnes sur le territoire national sont-elles stockées sur un cloud ? Ce cloud est-il entièrement sur le territoire marocain ?

Aujourd’hui, plusieurs paradigmes sont à considérer. Vous savez, il fut un temps où pour stocker ses économies, il fallait les mettre sous un matelas, au fond d’un placard, dans un coffre-fort, dans un bas de laine, etc. Aujourd’hui, il est naturel de les mettre en banque.
Concernant la donnée, il est possible d’adapter cette image. Tout en faisant attention, car comparaison n’est pas toujours raison. L’enjeu stratégique est de protéger ses données, de les rendre difficilement «hackables», de garantir des accès protégés. Comme les données peuvent être classées selon leur sensibilité, certaines peuvent être logées dans un cloud, disons international, d’autres dans des clouds nationaux, voire souverains, d’autres dans des infrastructures dédiées. Tous les cas sont possibles. L’important est de ne pas considérer la donnée comme étant neutre. Il faut bien apprécier sa valeur et sa sensibilité, et suite à cela être en mesure de définir la meilleure politique. Plusieurs configurations sont possibles.

Comme quoi ?
Certaines sont inattendues… comme l’Estonie qui a pensé à créer une e-ambassade ou une «data-embassy» pour héberger à l’étranger certaines de ses données. Là aussi, l’important est de ne pas être porté par des propositions commerciales sans réflexion sérieuse. Il faut se projeter dans des stratégies utiles qui vont au-delà de la beauté de quelques présentations PowerPoint et qui prennent en considération nos réalités et surtout nos ambitions.

Quelle politique et quel accord avec les GAFA, a-t-on la possibilité aussi au Maroc de demander à Google par exemple le «droit à l’oubli» comme en Europe et ailleurs? Avons-nous le droit de réclamer l’ensemble de nos données ?

C’est un sujet complexe. Beaucoup de citoyens semblent séduits par des plateformes internationales qui refusent de se conformer aux législations nationales. La capacité de réclamer des choses dépend d’une multitude de facteurs dont la prise de conscience des uns et des autres. C’est comme si vous demandiez à sécuriser vos biens alors que vous confirmez, tous les jours, votre décision de déposer votre bibliothèque et vos livres, vos fiches de paie et votre journal intime sur le rond-point en sortant à gauche de votre domicile. Il faut un peu de cohérence. La protection des données à caractère personnel est une approche collective.

Vigilance oblige, le télétravail a été une occasion pour les entreprises de repenser leur protection des données. Quels moyens avez-vous mis en place pour accompagner le pays vers une digitalisation saine de son économie?

Il ne faut pas nous prêter plus que ce que nous sommes en mesure de faire, ou plus que ce que nous sommes habilités à mener. Beaucoup d’acteurs sont concernés et doivent être impliqués pour aller vers une digitalisation saine de l’économie nationale. Nous disons que les bonnes bases du débat doivent être posées. Bien sûr, si le débat devient générateur d’enlisement et de retards, nous ne serons pas sur la bonne voie. Il est important d’allier débat et efficacité, appropriation et capacité d’adaptation. L’humain, le respect de sa vie privée et de ses droits doivent rester au centre de toute digitalisation.

Quelle est votre appréciation sur la collaboration de la CNDP et l’AMRC* pour accompagner la mise en télétravail de milliers de collaborateurs du secteur de la relation client?

L’AMRC a été une des premières organisations professionnelles à avoir travaillé avec nous au début de la pandémie. Nous avons travaillé en complicité. Les acteurs de l’AMRC recherchaient à préserver la santé collective de leurs collaborateurs, tout en maintenant leurs capacités à répondre à leurs clients et à maintenir l’activité économique. Nous avons également observé, et c’est ce qui nous a rapprochés, leur souhait affirmé et concrétisé de respecter la vie privée des clients de leurs clients ainsi que celle de leurs collaborateurs. Nous nous sommes tous trouvés devant des situations nouvelles. Nous devions réagir très vite. Ce cap dépassé, il est important de continuer à réfléchir et de prendre du recul au sujet d’options prises dans l’urgence.

Y a-t-il un cadre juridique, légal et assurance à mettre en œuvre pour que le télétravail puisse se faire de manière complètement pérenne ?

Je pense que oui. Mais cela dépasse le périmètre de responsabilité de la CNDP. Nous y contribuerons, humblement, en collaboration avec toutes les parties prenantes. Ce qui est sûr, c’est que ce contexte de télétravail post-Covid doit être géré de façon plus fine que le télétravail anté-Covid19. Nous avons des problématiques nouvelles: comment contrôler le travail? Comment vérifier que vos collaborateurs respectent la vie privée de vos clients, et celle de leurs collègues, en travaillant de chez eux? Et comment contrôler cela en respectant la vie privée de vos collaborateurs? Il faudra probablement trouver de nouveaux équilibres. Peut-être que les machines, telles que construites aujourd’hui, devraient évoluer. De nouvelles générations de postes de travail sont probablement à prévoir.

Quid de l’implication de l’écosystème, notamment IT, dans l’élaboration et le déploiement de votre plan d’action ?

Ce qui est important, au sujet de cet écosystème, c’est de ne pas se laisser séduire par la seule technologie et devenir aveugle au sujet des usages. Certes, les belles voitures sont attrayantes, mais il faut savoir raison garder et les conduire sans mettre en danger la sécurité des autres et sa propre sécurité. Cet écosystème doit intégrer un concept, aujourd’hui porté par les standards internationaux, celui de la proportionnalité… Nous devons faire des analyses de risques… Quelle est la valeur ajoutée liée à l’usage d’une technologie particulière, et quel est l’impact sur la vie privée? Une fois le risque apprécié, il est possible d’envisager des mesures pour le circonscrire ou le réduire. Le risque zéro n’existe pas. Nous devons raisonner de façon nuancée. Nous devons éviter d’être des «extrémistes» du respect de la vie privée. La nuance et l’art du compromis sont nécessaires. Mais pour construire des compromis, il faut échanger. Un contexte de pensée unique, de plus technique, peut rendre l’émergence de solutions intelligentes difficile.

Parlez-nous de la stratégie d’alignement de la CNDP sur les exigences internationales…

L’objectif que nous cherchons à atteindre est que le Maroc puisse s’insérer de façon fluide dans les échanges digitaux internationaux. Pour cela, il faut que les flux de données à caractère personnel qui constituent le squelette et l’ossature de ces échanges soient conformes aux standards internationaux. Nous échangeons avec les acteurs européens, d’une part, et avec nos frères africains, d’autre part. La CNDP développe sa connaissance de ce qui se passe ailleurs, engage un certain nombre de collaborations et contribue au débat international sur ces sujets. Nous suivons de près ce qui se passe en Europe (Royaume-Uni, Allemagne, France, Espagne, …), en Afrique, en Amérique du Nord, en Chine, en Russie et ailleurs.

Une entreprise européenne doit respecter le RGPD quel que soit le lieu de ses filiales. Idem pour toute entreprise traitant des données des Européens en dehors de l’Europe. Pouvez-vous nous éclaircir sur l’engagement concret du Maroc, notamment les secteurs touristique et de transport?

Le principe est assez simple. Il faut considérer que la vraie boussole du raisonnement à mener est le lieu de la collecte. Si vous collectez de la donnée à caractère personnel en Europe, c’est que vous avez promis à la personne qui est en face de vous, et qui se trouve donc en Europe, que vous allez protéger ses données selon la réglementation en vigueur dans le territoire de la collecte, dans ce cas le RGPD. Si vous faites sous-traiter, par la suite, la manipulation de ces données à l’étranger, la protection de celles-ci doit rester conforme aux règles du RGPD. Puisque vous avez promis protection au moment de la collecte selon les exigences du RGPD. Ainsi, si vous êtes un hôtel au Maroc et que vous avez développé un site web en flamand et que les prix sont affichés en euro, c’est que vous ciblez une catégorie de la population web… qui habite en Belgique… le RGPD considère que cette population est sous «sa» juridiction et que c’est le RGPD qui est applicable. Et comme votre hôtel est au Maroc, la loi marocaine devra également être appliquée. Si votre site web est développé en arabe et que les prix sont affichés en dirham, et qu’un client européen se présente à l’accueil de votre établissement… c’est la loi marocaine qui s’applique, puisque la collecte se fera au Maroc. C’est le client européen qui est venu vers vous, au Maroc… et pas vous qui êtes allé vers lui en Europe…
Ainsi, il y a un véritable travail de mise en conformité à assurer. Nous restons à la disposition des différents acteurs pour les aider à mieux comprendre et à régulariser leurs situations.

Dans votre dernière délibération, vous parlez de l’architecture des identifiants et votre volonté que le stockage de l’identifiant unique soit séparé de tout autre contenu. Quelle architecture type voyez-vous pour un identifiant et est-il nécéssaire qu’il soit unique ? Numéro fiscal ou de sécurité sociale ? CIN ? Numéro attribué à l’état civil?

Justement, nous disons qu’il est préférable d’éviter une identité numérique unique, et qu’il serait plus intéressant d’envisager des identités numériques sectorielles, segmentées. L’interconnexion entre ces différentes identités sectorielles étant utilisée chaque fois qu’une loi ou une procédure judiciaire, entre autres, l’autoriserait. L’ODD 16.9 (Ndlr, Objectif de Développement Durable) des Nations Unies indique la mise en place d’une identité légale pour tous les citoyens du monde d’ici 2030, mais en conclure qu’une identité légale signifie une identité numérique unique est assurément un raccourci. Rien ne nous y oblige. Et la réflexion internationale évolue sur le sujet. Elle a été accélérée lors de la période de Covid19. Même les bailleurs de fonds qui suggéraient fortement l’identifiant unique semblent se poser des questions aujourd’hui. Nous devrions anticiper et ne pas déployer des solutions de plus en plus problématiques. Il ne faut pas que des raccourcis techniques nous mettent devant des faits accomplis et créent des modèles de société inadéquats.

Le Maroc attend son modèle de développement. Quels ingrédients proposeriez-vous pour une recette magique? Quel apport des Big Data ?

Comme je ne suis pas magicien, je ne saurais vous répondre… Plus sérieusement, il nous faut éviter de tomber dans un digital à «pensée unique» plus impulsé par des solutions techniques que par des paradigmes sociétaux. Le digital est nécessaire car il crée une proximité, une réactivité, une simplicité et une efficacité. Mais, il peut exister plusieurs politiques digitales… créant des cadres de valeurs différenciées. Quant aux big data, elles offrent une capacité nouvelle de gouvernance qu’il faut naturellement savoir utiliser au profit des citoyens et de l’économie. Il faut produire de la data, mais aussi former, disposer et intégrer des compétences nationales en mesure d’exploiter ces données. Juste créer de la donnée pour qu’elles soient exploitées par d’autres, revient à augmenter les risques de transfert de gouvernance de nos besoins et des solutions attendues.