La Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) a tenu une réunion extraordinaire mercredi 27 octobre, en vue de statuer, du point de vue de la protection des données à caractère personnel, sur le processus de déploiement du pass vaccinal ainsi que sur certains éléments du débat public. Voici ses conclusions, listées dans un communiqué parvenu à 2M.ma. Le déploiement du pass vaccinal est, aujourd'hui, annoncé comme limité dans le temps pendant la période de l'état d'urgence sanitaire, fait savoir la CNDP, qui rappelle que sa mission est, entre autres, de contrôler la protection des données à caractère personnel indépendamment de leurs supports (papier, numérique, son, image, …). Le pass sanitaire, à ce jour, présente des informations lisibles ainsi qu'un QR code à usage au Maroc.et un autre à usage à l'étranger. La CNDP rappelle que l'usage des données à caractère personnel doit respecter la loi 09-08 et, ainsi, prendre en compte le principe de proportionnalité, tout en respectant les finalités affichées. La finalité du déploiement du pass sanitaire comme outil de contrôle d'accès n'est pas dans l'esprit de restreindre les mouvements des citoyens, mais plutôt de favoriser un mouvement responsable qui puisse renforcer la santé collective, favoriser les prérequis d'une reprise étendue de l'activité économique et accompagner la mobilité des citoyens et des résidents au Maroc, sur les plans national et international. Relativement à cette finalité, la CNDP considère que, malgré quelques améliorations à réaliser, le principe de proportionnalité, au sein de l'application en sa version actuelle, est respecté a lecture du QR code à usage au Maroc ne permet d'accéder qu'aux informations déjà disponibles et lisibles en clair sur le pass sanitaire. Aucune connexion à un quelconque serveur n'est opérée. De ce fait, aucune traçabilité des mouvements des citoyens n'est déployée par ce canal. La lecture de QR code à usage à l'étranger nécessite une connexion à des serveurs gérés par les autorités européennes, réglementée par les lois européennes de protection des données à caractère personnel. Ce QR code à usage en Europe est mis à la disposition des citoyens marocains au seul but de faciliter leur mobilité internationale. Quelques améliorations suggérées par le CNDP : Les améliorations demandées par la CNDP sont la publication des mentions légales adéquates et l'inhibition de la capacité de réaliser des captures d'écran pouvant ouvrir la voie à un potentiel usage non civique du contrôleur d'accès. Cette inhibition des captures d'écran permettra d'éviter le stockage local des informations affichées. Par ailleurs, la CNDP évaluera avec les développeurs de l'application mobile l'impact sur la protection des données à caractère personnel en cas de volonté de publication de cette dernière sur les différentes stores (Google Store, Apple Store, etc…) Pas de risque de traçage des données personnel à ce jour, estime la CNDP La CNDP considère, en l'état actuel des informations dont elle dispose, que l'usage de l'application mobile ne présente pas de risque de traçage systématique, ni d'accès à des informations autres que celles déjà lisibles, à l'œil nu, sur le pass sanitaire. La CNDP continuera à suivre les développements à venir et signalera, au responsable de traitement et aux citoyens, tout risque identifié. Par ailleurs, la CNDP se tient à la disposition des citoyens pour recueillir et instruire toute plainte relative à un non-respect des données à caractère personnel. La CNDP attire l'attention des différentes institutions, organismes et entreprises sur l'esprit du déploiement en cours du pass sanitaire qui ne doit occasionner aucun stockage. A titre d'exemple, les acteurs qui décident de stocker les pass sanitaires de leurs collaborateurs, ou les informations qui y figurent, deviennent de facto des responsables de traitement au sens de la loi 09- 08, et de ce fait, doivent s'y conformer en faisant les notifications nécessaires auprès de la CNDP.
Obligation du pass, numéro de CIN et droit d'accès à l'information Concernant les autres éléments du débat, dont celui de l'obligation ou pas de la vaccination, la CNDP a estimé que ce point n'est pas de son ressort. La CNDP se fie aux autorités sanitaires pour traiter ce sujet. Concernant l'habilitation des contrôleurs d'accès à demander la présentation du numéro de carte nationale, la CNDP considère que le sujet est en rapport avec la crainte des citoyens de voir leurs numéros d'identifications accessibles par des acteurs non habilités augmentant le risque de réutiliser ce numéro d'identification à d'autres fins. Ce point doit être étudié avec sérieux, surtout si cette pratique s'inscrit dans notre quotidien, au-delà de la période de l'état d'urgence sanitaire. La mise en place d'un identifiant sectoriel spécifique au pass sanitaire peut être une solution. Autour de l'importance d'une préparation préalable et d'une information en amont pour laisser le temps nécessaire à la préparation du déploiement, la CNDP fait également savoir que ce point n'est pas de son ressort. La CDAI (Commission du Droit d'Accès à l'Information, en charge du bon exercice de la loi 31-13) s'exprimera sur le sujet dans les prochains jours, annonce-t-on. Ainsi, la CNDP décide de lancer une consultation sur la mise en place d'une couche d'identifiants sectoriels qui devrait protéger l'existence d'un identifiant moins sectoriel nécessaire pour la planification des politiques publiques, pour l'exécution des procédures judiciaires et des éléments pouvant avoir trait aux questions de sécurité intérieure ou extérieure de l'Etat. Les premières étapes de cette consultation se feront par la proposition de la création d'un groupe de travail avec le Ministère de la Santé et le Ministère de l'Intérieur. Enfin, la CNDP sollicite, dans son communiqué, Monsieur le Chef du Gouvernement pour l'organisation d'un séminaire gouvernemental dédié à la définition d'une architecture des identifiants du point de vue de la protection des données à caractère personnel, en conformité avec la Constitution de notre pays et avec les conventions internationales ratifiées par le Royaume. Les différents concepts doivent au-delà d'une vision simplement technicienne, prendre en considération les impératifs du renforcement de la Confiance Numérique, préalable aux nécessaires avancées d'un déploiement responsable du digital au service de notre économie et de notre société.