Dans l’écosystème de confiance numérique, en quoi la CNDP se distingue-t-elle du rôle opérationnel d’institutions comme le ministère de la Transition numérique, la Direction générale de la sécurité des systèmes d’information (DGSSI) ou l’Agence de développement du digital (ADD) ?
Chacun son rôle. Il faut distinguer entre les institutions exécutives et les institutions de contrôle indépendantes. Le ministère élabore la stratégie du gouvernement et dispose d’une agence exécutive, l’Agence de développement du digital (ADD), à qui il confie certaines choses, tout en réalisant en direct d’autres choses. La CNDP est une institution de contrôle qui vérifie si l’exécution respecte à la fois les citoyens et les valeurs sur la vie privée fixées par la Constitution. La CNDP contrôle aussi bien le secteur privé (grandes, moyennes et petites entreprises) que le secteur public (gouvernement, ministères, administrations et établissements publics), les associations et, dans certains cas, les personnes physiques.
La CNDP est une institution d’Etat dont le rôle est indépendant du public, du privé ou de la société civile. Je vous donne un exemple de tous les jours : pour conduire une voiture, il faut avoir un permis de conduire, une carte grise et respecter le code de la route. Nous avons besoin aussi, entre autres, de constater (non réparer) une bonne mécanique et une bonne électronique.
L’engagement doit être juridique et moral. En cas de défaut, le dossier fait l’objet de sanctions administratives ou est porté devant le Ministère Public. C’est ce que fait la CNDP pour les traitements de données à caractère personnel. Il faut avoir un récépissé ou une autorisation, respecter la proportionnalité dans la collecte, la finalité affichée, la bonne infrastructure d’exécution, etc. Pour vérifier et contrôler méthodologiquement et techniquement le bon fonctionnement de l’équivalent de la mécanique et de l’électronique pour le système d’information, incluant son logiciel, l’Etat a besoin de la DGSSI.
Comment l’évolution du cadre juridique marocain en matière de protection des données personnelles peut-elle renforcer la compétitivité des entreprises nationales à l’international ?
Un bon investisseur est, en général, soumis à des règles sur la protection des données à caractère personnel dans son pays d’origine. De ce fait, il a l’obligation de maintenir la continuité juridique pour ses actions et investissements à l’étranger. Donc, plus on présente un bon respect de cette protection des données personnelles, plus on rassure l’investisseur et on renforce notre compétitivité en l’encourageant à s’installer chez nous. Le fait de respecter les standards internationaux est une obligation pour le national et l’international. Le respect de la protection des données est ainsi un avantage compétitif du Maroc.
Quels dispositifs la CNDP met-elle en place pour faire de la mise en conformité aux exigences de la loi 09-08, notamment pour les administrations et entreprises, un accélérateur de développement plutôt qu’une contrainte ?
Nous réalisons un travail de proximité quotidien auprès de chaque secteur. En plus des grandes administrations et grandes entreprises, nous nous adressons aussi aux établissements publics et entreprises privées de taille moyenne, aux startups, médecins, dentistes, pharmaciens, laboratoires d’analyses médicales, avocats, notaires, adouls, hôtels, restaurants, agences de voyage, agences de location de voiture, syndics de copropriétés… Bref, à tout responsable de traitement de données à caractère personnel.
Nous adaptons la méthodologie de conformité à chacun de ces secteurs pour en faire une réalité viable et nous éloigner de l’usine à gaz. Mais ce travail n’est pas simple. Nous observons régulièrement des résistances, que nous dépassons avec explications et sourire. Dans certains cas, nous avons recours au Ministère Public.
Dans les secteurs stratégiques comme le secteur bancaire, la santé ou l’éducation, quelles bonnes pratiques marocaines en matière de protection des données à caractère personnel peuvent inspirer d’autres pays africains ?
L’écoute, la proximité et l’adaptation. Nos frères africains ne sont pas en manque. Quand cela est nécessaire, nous nous aidons mutuellement. Nous assurons par ailleurs depuis sept ans le secrétariat permanent du Réseau africain des autorités de protection des données personnelles (NADPA-RAPDP).
On parle beaucoup ces dernières années de souveraineté numérique et de cloud souverain. Comment le Maroc peut-il concilier ouverture internationale et protection des données nationales ?
“Protéger la donnée ne signifie pas la garder dans sa poche ou la mettre dans un coffre-fort”
La protection des données à caractère personnel est un standard international. Protéger la donnée ne signifie pas la garder dans sa poche ou la mettre dans un coffre-fort. Cette situation ne concerne que les données très sensibles. Quand la loi 05-20 et la DGSSI l’autorisent, notre rôle est de garantir la circulation de la donnée et la protection dans le cadre d’une continuité juridique de cette circulation. Protéger la donnée à caractère personnel doit favoriser l’ouverture dans le respect des standards internationaux. Nous devons être bien considérés par nos amis à l’étranger. Le respect du code du travail, du code de la route ou encore de la lutte contre le blanchiment de l’argent est considéré plutôt comme un levier pour l’ouverture internationale. Lutter contre la “donnée sale”, la “donnée illicite”, est ainsi une exigence de notre monde moderne.
Quelle approche la CNDP développe-t-elle pour anticiper les défis en matière d’intelligence artificielle responsable et d’éthique des données ?
La loi 09-08 concerne le traitement des données à caractère personnel. Quand il s’agit de ces données, l’IA est un traitement parmi d’autres. Donc la loi s’applique aux traitements IA qui traitent de la donnée personnelle. Cependant, nous travaillons pour préciser certaines situations et prendre en compte les usages nouveaux induits par certaines technologies.
Il est à noter que nous ne régulons jamais la technologie mais son usage. Vous avez bien sûr le droit d’avoir une voiture qui roule à 300 km/h mais l’obligation de rouler à 60 km/h en périmètre urbain ou à 20 km/h devant une école ou de ne pas klaxonner devant un hôpital. Nous devons donc rappeler régulièrement à nos concitoyens que ce n’est pas la technologie qui fixe l’usage, mais plutôt ce qu’a convenu la société.
Quels outils la CNDP met-elle à disposition des citoyens pour faire valoir leurs droits en matière de protection des données personnelles et de respect de la vie privée ?
Les outils sont multiples. Nous pouvons commencer par citer les différents canaux pour déposer une plainte. Directement, physiquement ou par voie postale. Par voie digitale, mail ou formulaire. Ceci permet de recueillir les plaintes des citoyens chaque fois que nécessaire et qu’ils se sentent floués par rapport à l’exploitation de leurs données à caractère personnel et le respect de leurs vies privées.
Un autre moyen est le registre national de la protection des données à caractère personnel. C’est un registre public qui permet de partager publiquement la liste de tous les enregistrements de déclarations reçues par la CNDP et autorisations suite aux demandes d’autorisation préalable étudiées par cette Commission. Ce qui signifie que tout citoyen peut se renseigner, en direct et en temps réel, pour savoir si un traitement particulier (gestion RH, gestion de fournisseurs, collecte de données à caractère personnel pour rendre un service, cookies, formulaires, questionnaires, etc.) est notifié à la CNDP. Dans la négative, il pourra porter plainte.
Par ailleurs, nous menons des actions de sensibilisation, notamment auprès des jeunes, visant à expliquer et à conforter ces différents droits et obligations (voir encadré). Enfin, grâce à la SNRT, nous observons des diffusions de capsules de sensibilisation destinées aux citoyens. Bientôt, nous allons adapter ces capsules aux différentes langues et dialectes nationaux pour nous faire entendre du maximum de personnes.
La confiance numérique se bâtit également sur le droit d’accès à l’information. Comment la CNDP contribue-t-elle à garantir ce droit pour les citoyens ?
Pour le droit d’accès à l’information, c’est plutôt la CDAI, Commission du droit d’accès à l’information, qui en a la charge. Elle dispose du même président, du même secrétaire général et du même staff que la CNDP, mais est composée de neuf autres commissaires définis par l’article 23 de l’article 31-13 : deux représentants des administrations publiques nommés par le Chef du gouvernement, un membre nommé par le président de la Chambre des représentants, un membre nommé par le président de la Chambre des conseillers, un représentant de l’Instance nationale de la probité, de la prévention et de la lutte contre la corruption, un représentant de l’institution “Archives du Maroc”, un représentant du Conseil national des droits de I’Homme, un représentant du Médiateur, et un représentant de l’une des associations œuvrant dans le domaine du droit d’accès à l’information, désigné par le Chef du gouvernement.
Les institutions et les organismes concernés sont, comme le précise l’article 2 de la loi 31-13, la Chambre des représentants, la Chambre des conseillers, les administrations publiques, les tribunaux, les collectivités territoriales, les établissements publics et toute personne morale de droit public, tout autre institution ou organisme de droit public ou privé investi de mission de service public, les institutions et les instances prévues au Titre XIІ de la Constitution.
Bien sûr, ce droit d’accès à l’information est un concept dynamique qui doit connaître une conduite du changement avérée auprès des citoyens et des institutions publiques. Le citoyen doit en faire en usage de façon raisonnée et intègre. Ce n’est pas une kalachnikov avec laquelle il doit passer son temps à tirer, à tort, sur le secteur public. Les institutions publiques doivent connaître également un changement sur le sujet en développant – plus qu’elles ne font déjà de façon responsable – écoute, proximité et reddition des comptes.
La CDAI, instance de recours à l’amiable avant de s’adresser au tribunaux administratifs, effectue un travail énorme, conséquent et sans grande publicité. La convergence entre citoyens et entités publiques est son objectif. Souvent, certains éléments étrangers malintentionnés considèrent que le Maroc est en retard sur le déploiement de ce droit, mais ne perçoivent pas les grands efforts faits, et qui sont en train d’être faits. Certes nous pouvons toujours critiquer, et c’est la critique qui fait avancer les choses, mais celle-ci doit être constructive et non nihiliste dans toutes ses dimensions.
La CDAI vient de mettre en ligne un portail national du droit d’accès à l’information (PNDAI). Celui-ci doit permettre à tout citoyen ou résident étranger au Maroc de formuler ses demandes d’information comme lui donne droit la loi 31-13. Il est en cours de déploiement pour toutes les institutions de l’article 2. Et permettra, une fois que sa mise en production sera rôdée, de partager, en temps réel, les statistiques d’exécution de ce droit. Ceci doit permettre une “data-gouvernance”, une gestion des missions de la CDAI par les données opérationnelles concernant notre population et notre pays, et non une vision abstraite et théorique sans réalité de terrain.
La mise en place de ce portail national doit permettre de renforcer la publication proactive qui est un des piliers du droit d’accès à l’information. Il ne faut pas oublier que l’Open Data, par exemple, à savoir le fait de publier, dès qu’elles sont disponibles, les informations concernant la gestion de la chose publique, est une des facettes de cette publication proactive. C’est dans ce sens que la reddition des comptes, nécessaire pour une bonne gouvernance, a besoin de cette publication proactive pour rendre objectifs les échanges entre citoyens et institutions publiques, loin de toute fake news malintentionnée. Il faut donc voir le droit d’accès à l’information comme une protection citoyenne contre les potentielles mauvaises gestions et contre les fakes news à vocation malsaines.
Quel est vraiment l’intérêt de la protection des données ? Peut-on vivre aujourd’hui sans protection des données dans un monde où la donnée doit être partagée ?
Faisons l’exercice quelques instants. Que se passerait-il si nos données à caractère personnel n’étaient pas protégées ? Sommes-nous disposés à recevoir chaque cinq minutes un appel téléphonique ou SMS pour nous vendre une pizza, une espadrille, des vacances ou pour nous présenter une offre immobilière ? Est-on disposé et prêt à rendre publiques les informations personnelles qui faciliteraient l’accès à notre compte bancaire, à nos abonnements divers, à notre dossier de santé, à notre smartphone, à nos annuaires, nos comptes sur les réseaux sociaux, etc. ?
Doit-on éviter que ces données à caractère personnel soient disponibles n’importe où, n’importe quand, accessibles par n’importe qui ? Aimerait-on que nos copies d’examen, par exemple, soient sur le web ou sur un papier d’emballage de vendeur de pois chiches ? Est-on satisfait si un voisin passe son temps à observer l’arrivée de nos invités ou qui rentre et sort dans notre maison ?
“Même quand on n’a rien à cacher, le respect de la vie privée est important. C’est une valeur du monde moderne et une composante de nos droits fondamentaux”
La réponse est naturellement négative. La vie privée est bien sûr fondamentale. Cela a été consacré par l’article 24 de la Constitution du Royaume en 2011. Même quand on n’a rien à cacher, le respect de la vie privée est important. C’est une valeur du monde moderne et une composante de nos droits fondamentaux.
Donc nous devons organiser ce respect de la vie privée et de la protection des données en respectant un certain nombre d’invariants : l’encouragement de l’innovation et le non alignement avec la fraude, par exemple. C’est l’objectif de la loi 09-08. Et comme disait Montesquieu, l’esprit de la loi est primordial. Nous devons rester à l’écoute, dans notre monde moderne, pour nous adapter, évoluer et prendre en considération les différentes évolutions. Nous sommes sur un concept dynamique qui doit être en veille permanente pour ne pas faire perdre à notre pays des opportunités du fait d’une surrégulation statique en décalage avec les besoins de notre société. Comme déjà dit, ce qui est important, c’est la continuité juridique concernant la circulation de la donnée.
En dernier lieu, je voudrais rappeler que le Maroc est un pays ouvert. De ce fait, il se doit de développer des mécanismes d’échange et de transparence. Nous devons être agiles et réactifs. Sinon, cela voudrait dire que nous traitons le digital seulement comme une révolution technologique en occultant sa dimension sociétale. C’est la profondeur historique de notre nation qui lui permet de réussir les transformations en cours sous l’égide de Sa Majesté le Roi, que Dieu de l’assiste.
Sensibiliser dès le plus jeune âge
En collaboration avec les Académies régionales de l’éducation et de la formation (AREF), la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a organisé, tout au long de l’année 2025, une série d’ateliers de sensibilisation auprès de milliers d’élèves dans les écoles primaires de plusieurs régions du Maroc, mais également au sein des colonies de vacances, sous le thème : “L’importance de la protection de la vie privée numérique des enfants et des adolescents”. Destinés aux élèves du cycle primaire, ces ateliers avaient pour objectif de les initier aux principes de la loi n°09-08 relative à la protection des données à caractère personnel, et de leur faire découvrir la plateforme éducative digitale “Koun3labal” (“sois alerte”). Lancée au Maroc en 2022, cette plateforme comporte un arsenal d’activités éducatives et ambitionne de devenir une référence continentale en matière de sensibilisation à la protection de la vie privée numérique, particulièrement des enfants et adolescents. “Protéger la donnée ne signifie pas la garder dans sa poche ou dans un coffre-fort”, conclut Omar Seghrouchni.
