Les villes marocaines avancent. Agadir, Benguérir, Rabat, Casablanca. Les projets se multiplient, les outils aussi. Mais que produisent-ils réellement ?
Pour Zakaria Oulad, “ce que ces projets produisent en silence, c’est une masse considérable de données à caractère personnel.”
C’est là, selon lui, que le sujet devient plus sérieux. Le cadre juridique marocain existe, avec la loi 09-08. Il a posé “les fondements : finalité, proportionnalité, consentement, déclaration préalable à la CNDP”.
Mais il a été conçu à une époque où la donnée restait plus circonscrite, plus lisible, plus attachée à un responsable de traitement clairement identifié. Aujourd’hui, le paysage a changé. “Les villes intelligentes produisent des données en continu, via des systèmes distribués, souvent délégués à des opérateurs privés ou à des consortiums technologiques. Le responsable de traitement devient diffus. La finalité initiale se dilate. La donnée voyage.”
Qui contrôle les flux ?
“La CNDP prépare un cadre sectoriel pour les Smart Cities pour éviter d’en faire un angle mort”.
La question, pour lui, est désormais très concrète. “Qui contrôle les flux, qui accède aux données agrégées, et sous quelle base légale les données citoyennes transitent-elles entre systèmes ?”
Les plateformes web, les jumeaux numériques, les dispositifs de supervision urbaine obligent les communes à répondre à ces questions en amont, et non une fois les infrastructures déployées. C’est dans ce sens, rappelle-t-il, que “la CNDP prépare un cadre sectoriel pour les Smart Cities pour éviter d’en faire un angle mort”.
C’est aussi dans cette logique qu’elle a élargi le programme Data-Tika aux collectivités territoriales. “La première convention a été signée avec la commune d’Agadir en novembre 2023, ouvrant ainsi le champ à des plateformes de données urbaines basées sur le concept de “Privacy By Design”.”
Zakaria Oulad cite ensuite deux cas très parlants. Benguérir, d’abord, une “ville-campus intelligente”, portée par l’OCP et l’UM6P. Un espace intégré, connecté, piloté. Mais aussi un terrain où “la frontière entre espace public et privé est ténue”.
Zenata, ensuite, portée par la CDG via Zenata Eco-City. “Théoriquement le scénario idéal pour le privacy by design”, affirme-t-il. Pourtant, ajoute-t-il aussitôt, “les challenges restent nombreux”, à commencer par l’exigence d’une AIPD, une analyse d’impact sur la protection des données, dans les marchés passés pour ces infrastructures.
La conformité ne suffit plus
Que manque-t-il aujourd’hui ? Sur ce point, sa réponse est nette. “Aucun cahier des charges de smart city n’impose aujourd’hui une AIPD préalable au déploiement d’une infrastructure de collecte.”
Le cœur du sujet se situe donc avant même la mise en service des outils. “La vraie boucle de gouvernance se situe en amont: entre les DSI des communes, les SDL/SDR, les délégataires privés, et la CNDP.”
Zakaria Oulad regarde aussi ce qui se fait ailleurs. Amsterdam distingue données publiques, partagées et privées dans une gouvernance multipartite. Barcelone traite certaines données produites dans l’espace public comme des data commons. Séoul a intégré la protection de la vie privée comme contrainte de conception.
Dans les trois cas, dit-il, “la protection des données n’est pas une contrainte subie, mais un élément de la gouvernance urbaine elle-même”. Son appel tient en une ligne. “Notre royaume dispose d’une loi, d’une autorité et d’une ambition Smart City. Nous devons à présent travailler, ensemble, la doctrine qui articule les trois.”
