Lors de l’émission Confidences de presse, dimanche 5 janvier sur 2M, Omar Seghrouchni s’est exprimé sur différents sujets concernant les données personnelles des Marocains.

De ses rencontres avec Facebook et Google en passant par les prestataires de visas qui accumulent les données personnelles des citoyens, le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) mise sur la sécurité et le respect des lois, mais refuse toute nuisance au business.

Vers une classification des données

Le 11 avril dernier, la CNDP se réunissait à Rabat avec des cadres de Facebook pour obtenir des informations quant à la sécurité des données personnelles des citoyens : “La problématique avec les GAFA est complexe. Notre premier contact avec Facebook a résulté dans l’élaboration d’un plan d’action pour trouver des réponses à ces questions. Notre objectif était simplement de poser des questions et obtenir des réponses. Nous voulions dans un premier temps savoir où ces données étaient hébergées. Nous voulons en informer régulièrement les citoyens”, explique Omar Seghrouchni.

Cette rencontre a permis de sensibiliser quant à l’importance des données personnelles. “L’objectif n’était clairement pas de mettre à genoux Facebook”, poursuit le président de la CNDP.

Parmi toutes les données personnelles qui concernent les citoyens marocains, Omar Seghrouchni a tenu à souligner la nécessité pour la CNDP de classifier la criticité de ces dernières, notamment celles concernant la santé des citoyens.

“Nous sommes actuellement en travail de refonte de la loi. Une classification plus fine de la typologie de la donnée est nécessaire. Nous allons annoncer, la semaine prochaine, le fait que pour 2020 le chantier prioritaire sera celui de la donnée médicale”, explique-t-il avant de poursuivre : “Nous allons travailler avec les autorités de contrôle, le ministère de la Santé, pour atteindre deux objectifs. Premièrement, celui de mettre en conformité le secteur de la santé par rapport à l’utilisation des données personnelles. Deuxièmement, recenser toutes les spécificités du secteur de la santé qui devront aboutir à la publication d’un ensemble de délibérations de la part de la CNDP, pour simplifier en vue d’encourager à la conformité et assurer une meilleure protection.”

Une question d’équilibre

Mais à travers son intervention, le président de la CNDP a également évoqué la nécessité de cadrer le secteur privé, notamment concernant l’exploitation des données par les entreprises. “Pour les entreprises, elles se doivent de définir si c’est une donnée sensible ou normale, donc il y a une déclaration de traitement puis une notification. Un échange s’opère donc entre la CNDP et l’entreprise, pour guider et aboutir à la mise en conformité. […] Les responsables du traitement [administrations, entreprises ou associations qui pour la prestation d’un service vous demandent des données, NDLR] se doivent de respecter la loi. La raison de la collecte de données doit être affichée de manière explicite”, explique le président de la CNDP.

Cependant, au-delà de l’aspect purement légal pour assurer la sécurité des données à caractère personnel des citoyens, ces règles peuvent être considérées comme une entrave à la prospérité des entreprises nationales. À ce sujet, Omar Seghrouchni nuance : “Ce que l’on ne veut pas, c’est que la protection des données à caractère personnel soit un frein économique et un frein à l’intégration du Maroc au sein de l’écosystème numérique mondial. Ce n’est pas notre philosophie. Il faut concilier les deux.”

La DGI a lancé dernièrement un appel d’offres pour la mise en œuvre d’un système de recoupement et d’analyse des données (SRAD) pour lutter contre la fraude fiscale. Sur ce sujet qui mêle données personnelles (bancaires, patrimoniales) des citoyens et recouvrement, le directeur de la CNDP explique : “Le sujet nous interpelle. Au même titre que la sécurité des données à caractère personnel ne doit pas ralentir l’économie, nous pensons qu’elles ne doivent pas non plus couvrir et calfeutrer des cas de fraude. Il y a une réflexion en cours pour accompagner cette volonté légitime de la DGI.”

Instance de contrôle

Mais au-delà du cadre légal, quid du pouvoir contraignant de la CNDP si un acteur économique ne respecte pas les lois ? Omar Seghrouchni a tenu à rappeler le rôle de contrôle de la commission concernant les structures publiques comme privées : “La CNDP peut contrôler tout responsable de traitement du secteur public ou privé, tout ministère, tout grand groupe ou association.”

Concernant les entreprises gérant les visas par exemple, ces dernières jouent pleinement le rôle d’agrégateur de données. À ce sujet, Omar Seghrouchni explique : “Nous avons identifié qu’il fallait faire quelque chose, nous avons pris contact avec nos autorités sœurs en France et en Belgique pour voir comment on peut organiser un contrôle conjoint, afin que la question diplomatique ne se pose pas.”

Sans pouvoir réel de répression à proprement parler pour faire respecter les lois, le CNDP mise sur la sensibilisation et l’instauration d’une culture du respect de la vie privée. Omar Seghrouchni nous l’expliquait en avril dernier : “Entre 2014 et 2018, seulement 26 dossiers ont été transmis à la justice et nous n’avons pas de retour sur leur issue, mais le ministère public travaille dessus. […] Nous avons aussi convenu d’intervenir directement auprès de ce même ministère pour sensibiliser les magistrats. De leur côté, ils vont former nos équipes à construire des dossiers exploitables par la justice”.