L'accélération du virage numérique pose avec acuité l'épineuse question de la protection des données à Caractère personnel. Entre l'obligation de protéger les données mais l'enjeu du développement numérique, il y a un terrain d'entente à trouver. Et c'est l'objectif que c'est assigné la 3ème édition des Rencontres Scientifiques de la CMR, co-organisée avec la CNDP. Depuis près de deux décennies, le Maroc a emprunté un virage numérique ouvrant la voie à un usage accru des nouvelles technologies et créant une nouvelle économie numérique caractérisée par une multiplicité d'acteurs aussi bien du public que du privé. L'ambition d'orienter les services publics vers le digital va rapidement s'opérer sur le terrain avec le chantier de l'Open Data avec un objectif d'efficience de gouvernance. De même que la prise de conscience de l'importance du numérique comme élément clé de compétitivité a été immédiate auprès des acteurs du privé. L'écosystème naissant évoluait à une telle vitesse qu'il a obligé le Royaume à revoir continuellement sa feuille stratégique (la mise en place de l'ADD en 2017 et une nouvelle stratégie numérique 2025), mais surtout le cadre réglementaire en amont favorable à une telle révolution numérique. En effet, très rapidement, la loi 09-08 sur la protection des données à caractère personnel voit le jour (avec la mise en place de la CNDP en 2009) et plus récemment la loi 05-20 sur la cybersécurité, car entre les enjeux et les objectifs de digitalisation s'érige le défi éthique de la protection des usagers et de leurs données. La Data qui est devenue une ressource importante de l'économie numérique dont il faut protéger la circulation et le stockage contre toute exploitation abusive ou manipulation malveillante (éthique et sécurité technologique). Cette thématique cruciale aussi bien dans la poursuite de la construction de ce Maroc digital que dans le maintien de la confiance entre usagers et acteurs, était au cœur de la 3ème édition des Rencontres Scientifiques de la CMR, tenue ce 19 décembre 2020. Comme le rappelle à juste titre Lotfi Boujendar, le Directeur de la Caisse Marocaine des Retraites (CMR), à l'ouverture de cet événement très attendu : « Entre les exigences de la transformation numérique et l'obligation de la conformité aux dispositions réglementaires (la loi 09-08 sur la protection des données à caractère personnel, la nouvelle loi 05-20 sur la cybersécurité,...), l'enjeu pour toute institution publique ou privée est d'emprunter le virage de la digitalisation et de l'innovation tout en intégrant la dimension de la protection des données liées à la vie privée du citoyen contre toute forme non autorisée d'accès, d'utilisation, de diffusion, de destruction, ou de modification. Ce qui exige de nous de déployer une véritable gouvernance des données et des politiques et moyens de sécurité informatique adaptés ». Un débat de haute facture qui a mobilisé et jeté les ponts entre régulateurs, écosystème et monde académique pour appréhender les différentes facettes afférentes à ce sujet : des exigences réglementaires, aux aspects technologiques en passant par les expériences partagées par les différents panélistes tout au long de cette troisième édition des Rencontres Scientifiques de la CMR pour formuler des recommandations qui permettent de mieux appréhender les perspectives d'avenir. Et aucun secteur n'échappe à cette exigence réglementaire à un moment où les besoins exprimés par les usagers sont de plus en plus pressants incitant les acteurs aussi bien du public que du privé d'innover de manière continuelle à simplifier les procédures et les usages des nouvelles technologies... tout en protégeant les données à caractère personnel et par ricochet, la vie et libertés privées des usagers. Mais la caractéristique commune aux organismes de prévoyance sociale en général et aux caisses de retraite en particulier, est qu'ils sont amenés à collecter, traiter et échanger des données de carrière, de prestation et de contact de leurs bénéficiaires et leurs ayants droits avec les partenaires de l'écosystème. D'ailleurs, en Juillet, la CNDP a lancé les programmes Data-Tika. Donc l'enjeu éthique est plus important, surtout lorsqu'il implique les données biométriques soutient pour sa part Hassan Boubrik. Le cas du service de contrôle de vie par la reconnaissance faciale. « Une question qui n'est pas si simple puisqu'il ne s'agit pas du service en soi mais de maîtriser les risques inhérents à ses applicatifs. Puisque ce sont des données biométriques collectées et stockées quelque part contrairement à un code qu'on peut changer, sont à vie et tout traitement malveillant peut avoir un impact sur l'individu », poursuit Boubrik. Il fallait donc concilier entre un service qui facilite la vie aux usagers mais qui protège leurs données. La protection des données est de ce fait fondamentale et dont la régulation s'avère difficile lorsqu'il s'agit d'une utilisation publique et large notamment des applications logées en dehors du territoire national et quelque part sont tributaires des réglementations dans ces pays, explique-t-il. Le cas des Etats-Unis encore où le quatrième amendement protège les données personnelles contre tout usage par le gouvernement mais qui ne les protège pas face à des acteurs privés. La donne diffère lorsque la donnée est fournie à des acteurs nationaux soumis à la loi nationale en la matière. La régulation représente des enjeux à la fois économique, de liberté individuelle mais également de sécurité et de souveraineté nationale, notamment les données stratégiques. Et c'est là où la CNDP entre en scène. La CNDP, face de Janus Le virage numérique est appelé à s'accélérer et la Commission Nationale de Contrôle des Données à caractère Personnel (CNDP) se trouve ainsi en chef de file pour mener la danse et ce dans un cadre de concertation permanent avec les différents régulateurs, notamment BAM, ACAPS et ANRT. Cette édition des Rencontres Scientifiques de la CMR a été donc l'occasion pour le président de la CNDP, Omar Seghrouchni, de clarifier le cadre réglementaire et de rappeler les dimensions de contrôle et de sanction (financière ou pénale) qui incombent à la commission qui transmet chaque fois que nécessaire son instruction au Ministère Public. Elle est également un organe consultatif auquel le Parlement et le Gouvernement peuvent adresser des demandes d'avis. D'ailleurs, la CNDP a renforcé le recours à cette prérogative, en vertu de la loi, de contrôle aussi bien le public que le privé et de façon générale tout acteur qui traite la collecte des données à caractère personnel. Par ailleurs, son rôle transcende le caractère national de la protection des données à caractère personnel. « Dans cette digitalisation avancée et croissante et qui est bénéfique pour les uns et les autres, il va être important de prendre en considération cette dimension économique et de pouvoir l'accompagner. Il faut bien comprendre que dans un monde globalisé, le droit à la protection des données se construit en interaction continuelle avec l'international en raison également de l'émergence régulière de nouveaux usages. Une construction transversale et multidimensionnelle qui touche à tous les secteurs », rappelle le Président de la CNDP. Une insertion dans la chaîne de valeurs internationale en prenant en ligne de compte le bien-être et la sécurité du citoyen numérique de la collecte à la destruction de la donnée en passant par son traitement et exploitation. Bien évidemment, la Commission est confrontée d'un côté à l'impératif de la protection de la donnée sans que pour autant que la réglementation devienne un boulet à l'efficience de l'outil numérique, une question qui sera d'ailleurs soulevée lors du débat. Surtout dans le contexte de pandémie où le recours au digital s'est accru de manière exponentielle (télémédecine, enseignement à distance, distribution des aides et indemnités forfaitaires par la CNSS...). D'ailleurs, le mot d'ordre du président de la CNDP est de passer d'une approche « traitement » à une approche « écosystème » pour renforcer la confiance pour répondre à l'enjeu de protection, à l'enjeu de compétitivité économique et de ne pas omettre qu'une partie de la Data soit être gérée dans un cadre régalien et pas ouvert. Concilier l'impératif de la loi avec ce qu'offre réellement la technologie Portant bien leurs noms, ces rencontres scientifiques de la CMR ont exploré de nouvelles dimensions pour mieux appréhender la question de gouvernance des données face à l'accélération du virage numérique devenue inéluctable dans un monde globalisé, impliquant une convergence des réglementations en matière de protection des données à caractère personnel. Adressant la problématique de la protection des données, la 3ème édition des Rencontres Scientifiques de la CMR a permis des regards croisés et de lever le voile les impératifs d'avenir. A commencer par le monde académique et scientifique. Dyaâ Sfendla, Professeur à la Faculté des Sciences juridiques et Politiques, Université Ibn Tofail, Kénitra, a soulevé la problématique de la faible présence voire absence des formations au numérique dans les parcours universitaires, ce qui par extension impacte la production scientifique dans le domaine de la transformation digitale. Sur un autre registre, elle évoque le droit émergent à l'autodétermination informationnelle et qui donne la capacité à l'individu de disposer librement de ses données personnelles et des informations numériques qui la concernent, et de maîtriser leur utilisation. Dressant un panorama des réglementations dans différents pays, Dyaâ Sfendla avance l'enjeu de l'identité numérique de l'individu. Bien évidemment, il peut exister un gap entre ce que dispose la loi et ce que peut réellement offrir la technologie. Dans ce sillage, Mustapha Hedabou de School of Computer Science de l'Université Mohammed VI polytechnique à Benguerir, a souligné la vulnérabilité des procédés d'anonymisation dans la protection des données, qui peuvent être croisées et identifier ainsi un individu, le cas en 1997 aux Etats-Unis d'Amérique de la réidentification des enregistrements du gouverneur Weld en croisant des données médicales anonymisées avec des listes électorales publiques. Il a suggère par ailleurs de réévaluer régulièrement la fiabilité des techniques d'anonymisation et d'appliquer toutes les recommandations de la norme. En effet, la protection des données devient encore plus importante lorsque cela relève du domaine médical, le cas de la télémédecine intervenue comme alternative sérieuse pour juguler l'interdiction de mobilité en raison du confinement pour garantir la poursuite des consultations. « Le cadre juridique de la télémédecine est établi par les articles 99 à 102 de la loi 131-13 (février 2015), relative à l'exercice de la médecine. Ces articles définissent la télémédecine comme partie prenante des actes de soins », souligne Myriame El Khiati, Avocate au Barreau de Casablanca. Pour l'intervenante, cette révolution digitale dans la santé, ne pourra aboutir qu'avec la coopération des acteurs historiques de la santé (médecins, hôpitaux, assureurs, fournisseurs de matériel médical, le Ministère de la Santé) tout en préservant la sécurité des données de santé notamment en respectant les dispositions légales en vigueur. Et d'informer qu'une collaboration étroite entre le Ministère de la santé et la CNDP a d'ailleurs été mise en place dès 2019 en créant un groupe de travail pour veiller à l'harmonisation du secteur de la Santé avec la loi 09-08 sur la protection des données à caractère personnel. Mais une question lancinante se pose : l'individu est-il conscient de l'importance de protéger sa donnée ? Dans ce sens, Mohamed Saad, DGA à la Bourse de Casablanca et Président AUSIM, fait part d'une expérience menée par un observatoire de la protection des Données Personnelles à News York, qui a proposé à des jeunes – de la génération Z- de partager leurs données personnelles contre un Cookie à la Cannelle. 90% ont accepté l'échange. Aussi, 70% des consommateurs thaïlandais seraient-ils prêts à partager leurs données contre des avantages, notamment des autorisations plus rapides de prêt, des réductions sur les abonnements à des clubs de fitness et des offres personnalisées en fonction de leur localisation. Entre la loi, sa compréhension et son usage... retour sur expérience dans le secteur de la prévoyance sociale Lors de cette édition des Rencontres Scientifiques de la CMR, deux panels ont vu la participation de professionnels de divers secteurs et ont permis d'avoir des regards croisés sur la problématique de la protection des données à caractère personnel. Surtout lorsqu'il s'agit de politiques publiques comme le Registre National de la Population (RNP). Le directeur de ce projet au sein du ministère de l'Intérieur, Omar El Alami, a souligné toute l'importance du Privacy by design dans la gestion des identifiants, la gestion de l'authentification et l'architecture du système dont l'expérience pilote commencera dans la préfecture de Rabat en juillet 2021, dans la province de Kénitra en septembre 2021 et qui sera généralisé, à tout le Maroc, début 2020. Cet impératif de protection des données est également présent dans la transformation digitale de la Justice qui doit se conformer aussi bien à la loi sur les données à caractère personnel, celle du droit d'accès à l'information mais également aux recommandations de la DGSSI. Une protection renforcée avec la pandémie et la tenue des audiences à distance, souligne Youssef Oustouh, Directeur des Etudes, de la Coopération et de la Modernisation par Intérim, Ministère de la Justice. Réel défi, cette protection devient problématique dans des secteurs comme celui de la banque sous l'effet d'une part de l'accroissement du volume de données personnelles traitées (mais aussi les nombres de contacts entre banque et client multipliés par 20), et de la sensibilité de ces données d'autre part, estime Driss Bennouna Directeur Général Adjoint en Charge des Services Technologiques, Organisation et Qualité, CIH Bank. Les risques liés au traitement de données engendrent ainsi un grand effort notamment en investissements sur les moyens de protection des données et des parcours clients. Le risque est encore plus important dans le secteur des assurances où les compagnies interagissent avec plusieurs partenaires et traitent des données très sensibles. Dans ce sens Hicham AKKARI Directeur Juridique & Conformité, Compagnie d'Assurances Atlanta Sanad, explique que les mesures de protection des données passent également par la formation du réseau, les mesures conventionnelles et le droit de contrôle et d'audit. Il a énuméré par ailleurs les cas où à des fins légales ou réglementaires, les compagnies sont obligées de communiquer les données dont elles disposent. Pour leurs parts, des représentants de la CMR, CIMR, CNSS et CDG Prévoyance ont partagé, dans le cadre d'un panel modéré par Souad El Kouhen, membre de la CNDP, comment cette protection des données est mise en œuvre dans le secteur de la prévoyance sociale mais également elle limite en agilité du cadre réglementaire qui a désormais plus de 11 ans d'âge. Notamment sur la notification sur la liquidation des prestations. D'autant qu'il s'agit d'organismes publics. Le cadre réglementaire devant tenir compte de toutes les autres lois en lien avec cette question que ce soit la loi N°05-20 sur la cybersécurité ou encore les deux projets de loi n° 43-20 relatif au service de confiance des transactions électroniques et n°41-19 portant sur l'administration numérique. Vers la mise en œuvre d'une Data Gouvernance A l'issue d'un évènement riche en thématique et par la qualité des panélistes et des débats, Omar Seghrouchni, Président de la CNDP, a présenté une synthèse, mettant en évidence la nécessité de collaboration rapprochée avec les professionnels afin de clarifier un certain nombre de concepts pas toujours bien assimilés. Il a aussi insisté sur les éléments précisés par la dernière délibération de le CNDP en date du 14 décembre 2020, qui, d'une part, pose les bases d'une approche par l'analyse des risques et celle des impacts sur la vie privée, et d'autre part, préconise un usage appuyé du principe de proportionnalité et la mise en place d'une analyse par expérimentation. Le Président de la CNDP a aussi insisté sur que le fait que la digitalisation ne pouvait se limiter à une simple informatisation. Il s'agit, selon lui, d'un projet sociétal qui doit fixer le niveau de traçabilité consenti conformément aux concepts démocratiques souhaités pour notre société digitalisée en construction. Le niveau de traçabilité est corrélé au mode de gouvernance souhaité. Par la suite, Lotfi Boujendar, le Directeur de la CMR a présenté les recommandations phares de cette 3ème édition des Rencontres Scientifiques de la CMR pour concilier entre la digitalisation et la protection des données à caractère personnel. Notamment, l'adoption de normes strictes en matière de collecte et de traitement des données et le développement des moyens techniques pour la protection de la confidentialité, de l'intégrité, de la disponibilité et d'audit du système de traitement des données. Il a également appelé à la mise en œuvre de la Data gouvernance permettant de concilier les exigences business et la conformité. De même qu'il a insisté que l'importance de transformer les obligations nées de la protection des données à caractère personnel d'une logique de contrainte à une logique d'opportunité. Par ailleurs, il a été recommandé d'intégrer le principe de privacy by design dans la conception, le développement et le déploiement de projets impliquant le traitement des données. Les débats ont fait émerger l'importance d'adopter une approche sectorielle afin d'adresser la problématique de protection des données en fonction des besoins de développement de chaque secteur. Désormais, il faudra appréhender la protection des données à caractère personnel dans dimension d'écosystème en intégrant les enjeux liés aux interactions avec les parties prenantes. Aussi, dans un environnement qui ne cesse de changer, faire évoluer la réglementation actuelle vers plus d'agilité et l'adapter à son environnement s'impose au niveau national. Par ailleurs, ce webinaire a confirmé encore une fois le rôle que peut et doit jouer le monde académique dans la recherche de solutions pour différentes problématiques liées à la prévoyance sociale, ajoute Lotfi Boujendar. Il s'agit notamment de promouvoir la formation du numérique et doter les organismes de compétences spécialisées dans les domaines de protection des données, et proposer des solutions adaptées aux besoins des organismes à travers la recherche scientifique. « A mon sens, la conclusion phare de cette troisième édition c'est l'initiative que la CNDP a proposé avec l'ACAPS sur la protection des données pour le secteur de la prévoyance sociale et nous sommes demandeurs », conclut Lotfi Boujendar, le Directeur de la CMR. Le cap est désormais fixé.
