À l'ère de la Covid-19, la population est consciente de la vulnérabilité des datas qui peuvent être recueillies par le pass sanitaire. Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), nous fait le point sur la protection des données selon les différentes modalités.
Propos recueillis par K. O.
Finances News Hebdo : De quelle manière la CNDP a été impliquée dans l'élaboration du pass sanitaire au Maroc ? Et a-t-elle donné des recommandations dans ce sens ? Omar Seghrouchni : Vous savez que ce sujet a connu des évolutions associées à celles des besoins opérationnels. Initialement, il a été question du certificat de vaccination qui présente le prénom, le nom, le genre, la date de naissance, la date de la première dose avec le type et numéro du lot du vaccin, la date de la seconde dose avec le type et numéro du lot du vaccin ainsi que la date d'émission du certificat. La CNDP a été, dès le démarrage des travaux, normalement associée par le responsable de traitement, le ministère de la Santé, et par son sous-traitant, le ministère de l'Intérieur. La mise en place d'un QR est tout à fait conforme à la loi puisqu'il intègre les mêmes informations que celles lisibles à l'«œil nu» sur le certificat. De plus, ce QR code est crypté, donc il ne peut pas être lu par n'importe quel lecteur. L'article 1 de la loi 09-08 précise qu'une donnée à caractère personnel doit être considérée indépendamment de son support (physique, numérique, …). De ce fait, quand les mêmes informations que celles du certificat de vaccination ont été transposées sur un autre support, avec un autre format, en l'occurrence celui du pass vaccinal, la première autorisation, celle donnée pour le certificat vaccinal, couvre également le pass vaccinal. Quant au pass de santé, c'est un document en cours de discussion avec différentes autorités internationales. Quand ces échanges auront permis d'identifier précisément les informations qui vont y être mentionnées, les échanges adéquats seront gérés entre la CNDP et les responsables de traitement concernés.
F.N.H. : Comment ces données sont-elles protégées ? O. S. : La première des protections est d'accompagner la collecte, l'exploitation, la circulation et les stockage et archivage des données à caractère personnel par les couvertures juridiques nécessaires. C'est ainsi qu'une fois la bonne couverture juridique disponible, il devient possible de faire les audits et vérifications opérationnelles et techniques. La première des protections est d'assurer que chacun des maillons de la chaîne de traitement, qu'il soit responsable de traitement, sous-traitant, destinataire ou tiers, soit conforme avec la loi marocaine ou avec la loi de son pays quand celui-ci a les bons accords avec le Maroc. Il est difficile d'autoriser des traitements dans des pays dits inadéquats d'un point de vue protection des données, ou en l'absence de conventions ou d'accords particuliers permettant de régir ces traitements.
F.N.H. : Quelle est la nature des données collectées lors des contrôles du pass sanitaire ? O. S. : Certains considèrent comme un risque le fait de mettre des informations dans le pass vaccinal ou dans le futur pass de santé. Il fut un temps, celui d'Ibn Batouta par exemple, où l'on voyageait sans passeport. Aujourd'hui, il est naturel pour tout un chacun de disposer d'un passeport, avec a minima, son adresse et sa date de naissance. Ce qui permet, entre autres, de protéger les mineurs en veillant à ce que toutes les autorisations soient disponibles lors de leurs voyages à l'étranger. Aujourd'hui, pour que l'économie reprenne et que chaque pays puisse retrouver sa place dans les échanges mondialisés, il faut garantir la santé collective lors des différents déplacements. Il y aura donc les informations nécessaires, en respect aux principes de proportionnalité et de minimalité préconisés par les fondements de respect de la vie privée. La CNDP publiera un avis le moment opportun.
F.N.H. : Quelle appréciation faites-vous du degré de protection de ces informations par les autorités ? O. S. : Vous savez, certains s'inquiètent souvent du respect par les autorités des données à caractère personnel. Vous pouvez être rassurés sur le fait que les autorités sont très conscientes de l'importance de cette protection. N'oubliez pas que des institutions comme la CNDP, la DGSSI ou d'autres, sont des institutions publiques créées par l'Etat, et que la Constitution du Royaume a consacré un article spécifique, l'article 24, à la protection de la vie privée. Le problème de la protection des données à caractère personnel est un sujet d'ordre culturel que chacun de nous doit porter. Cela va du citoyen qui doit éviter de pointer une caméra de vidéo surveillance sur son voisin de palier, à celui qui doit refuser de manipuler un résultat falsifié de test PCR. Les autorités sont engagées dans de grands travaux de mise en conformité et d'anticipation. A titre d'exemple, sur le périmètre de la santé publique, la CNDP a signé avec le ministère de la Santé, en date du jeudi 26 août 2021, une convention de partenariat de son adhésion au programme Data Tika. Ce partenariat vise à accompagner, de façon opérationnelle, la mise en conformité du secteur de la santé en matière de protection des données médicales à caractère personnel. La CNDP ne manquera pas d'alerter si un quelconque écart est observé. Mais je peux vous dire que nous avons la chance d'avoir des responsables volontaires, qui une fois la situation expliquée, adhère sans hésitation.
F.N.H. : En cas d'échange avec l'étranger, comment assurez-vous la protection des données personnelles ? O. S. : Tous les jours, chaque minute, il existe des échanges de données entre des acteurs marocains et leurs partenaires à l'étranger. Des autorisations de transfert permettant de suivre les flux transfrontaliers sont instruites par la CNDP. La loi 09-08 est très précise à cet effet, en particulier l'article 43 : «Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat étranger que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet». Ainsi, en 2020, la CNDP a reçu près de 250 dossiers de nouveaux transferts. En 2021, à la date du 31 août, nous avons déjà reçu près de 248 dossiers de nouveaux transferts. C'est le flux de circulation des données à caractère personnel qui est protégé par la loi marocaine sur notre territoire et par les autorités sœurs, les DPA (Data Protection Autorities), sur les territoires concernés par le flux en question. C'est pour cela que différentes conventions, à l'instar de la convention 108, que le Maroc a ratifiée en 2019, mais aussi certaines décisions bilatérales sont déployées pour encourager une «circulation protégée des données à caractère personnel». C'est un élément important pour notre économie (pour le secteur de l'offshoring, mais aussi pour tous les autres secteurs). C'est à cet effet également que nous évitons d'autoriser des transferts vers des GAFAM, qui pourraient refuser de respecter les lois nationales ou les conventions internationales, ou bien qui refusent de préciser la localisation des serveurs d'hébergement, ce qui rend difficile l'identification du dispositif légal de protection des données à caractère personnel transférées.
