Dans cet entretien, Dr Nacer Zeriouh, juriste et expert en droit des technologies de l'Information, présente et analyse la protection des données personnelles à l'ère du Big Data, tout en éclairant sur le cadre juridique et institutionnel concernant cette protection. -Devant l'arsenal juridique et institutionnel national ainsi que les réformes législatives mises en œuvre dans le domaine des Technologies de l'Information, quelle stratégie adoptera le Maroc pour la mise en place d'un Big Data digne de confiance ? -En tant que juriste, je traiterai la pratique marocaine en Big Data en me focalisant sur la protection des données à caractère personnel et la vie privée ainsi que sa conformité par rapport aux textes législatifs et réglementaires internationaux en la matière. En effet, le Maroc est au cœur de cette dynamique internationale qui est principalement soutenue par sa position géostratégique singulière ainsi que par son vivier de talents qui constitue un atout majeur pour encourager l'investissement compétitif et la création de valeur ajoutée. En fait, le Royaume s'est engagé dans sa transformation économique et sociale à travers l'amélioration de la transparence, la modernisation de l'administration publique, le développement de l'entrepreneuriat et la création d'un cadre propice à l'innovation et à la transition numérique. Dans notre pays, le cadre de référence de la protection de la vie privée et des données à caractère personnel repose principalement sur des textes juridiques internationaux et nationaux. Sur le plan international, le cadre de référence de la protection de la vie privée et des données à caractère personnel est basé essentiellement sur des instruments internationaux, tels que la Déclaration universelle des Droits de l'Homme, le Pacte international relatif aux droits civils et politiques, la Directive Européenne n° 95/46/CE, la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et les lignes directrices de l'OCDE sur la protection de la vie privée et des flux transfrontaliers de données à caractère personnel, etc. Au niveau national, la Constitution de 2011 consacre le droit à la protection de la vie privée, notamment dans son article 24 qui stipule que «Toute personne a droit à la protection de sa vie privée...». Aussi, l'Article 25 du Texte fondamental défend les libertés de pensée, d'opinion et d'expression sous toutes ses formes. Dans le même ordre d'idées, le droit à l'information trouve son fondement juridique, dans l'Article 27 de la Constitution. En outre, il y a d'autres textes législatifs, tels que la loi 09.08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et son décret d'application, la loi 31-13 relative au droit d'accès à l'information, la loi 31-08 édictant les mesures de protection du consommateur et la loi 53-05 relative à l'échange électronique des données juridiques ainsi que la loi 43-20 relative aux services de confiance pour les transactions électroniques et son décret d'application, etc. -Est-ce le Maroc a harmonisé sa législation pour le Big Data et les données à caractère personnel ? -En examinant la conformité de la loi 09.08 avec la réglementation européenne en la matière, notamment avec la Directive Européenne 95/96 de 1995 et le Règlement Général sur la Protection des Données (RGPD), il existe plusieurs points de convergence entre la loi 09-08 et le RGPD car les deux législations ont pour base la Directive Européenne n°95/46. Le Big Data en tant que nouvelle technologie numérique nécessite la mise en place d'un cadre juridique et institutionnel qui favorise le développement de cette technologie au Maroc. A ce titre, le Maroc a mis en place un arsenal juridique favorable au développement d'un « Big Data digne de confiance », et ce, à travers l'adoption de textes de lois portant sur les technologies numériques et qui institueront un écosystème juridique favorable à l'utilisation de cette technologie en toute quiétude et sérénité. Il préserve également notre souveraineté numérique, telles que la loi 53-05 sur l'échange électronique de données juridiques et la loi 43-20 relative aux services de confiance pour les transactions électroniques et son décret d'application, la loi 07-03 sur la sécurité des systèmes d'information ainsi que la loi 05-20 relative à la cybersécurité. En plus de l'adoption de la loi n° 31-13 relative au droit d'accès à l'information, qui a été adoptée en février 2018 et qui est entrée en vigueur le 13 mars 2019. -Quelles initiatives le Maroc a-t-il prises pour la gouvernance des technologies et la promotion des données ouvertes? -Une bonne gouvernance des technologies numériques constitue la cheville ouvrière de la réussite du chantier de la transition numérique. C'est pour cette raison que le Maroc a institué des mécanismes institutionnels propres aux technologies numériques, tels que la création du ministère de la transition numérique et de la réforme de l'administration, de l'Agence de Développement du Digital, de la Direction Générale de la Sécurité des Systèmes d'Informations (DGSSI), de l'Agence Nationale de Réglementation des Télécommunications et de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP). Enfin, il y a aussi la mise en place, au cours de cette année, d'une Direction générale de la transition numérique, chargée d'appliquer la stratégie numérique initiée par le gouvernement à l'horizon 2030, ainsi que l'implication d'autres organisations professionnelles des technologies de l'information et de la communication (TIC), lesquelles jouent un rôle primordial dans la gouvernance des TIC au Maroc. Ce qui fait d'elles des interlocuteurs des pouvoirs publics, et ce, en participant à la définition des politiques publiques relatives aux TIC, dont la fédération des technologies de l'information, des télécommunications et de l'offshoring (l'APEBI). Par ailleurs, le Maroc a également mis en place un plan d'action national des données ouvertes avec des actions à court, moyen et long termes, en créant un comité de pilotage ainsi que des groupes de travail thématiques permettant une bonne gouvernance des données ouvertes. A la date de rédaction de cette thèse, il n'y a pas encore de statut juridique institué aux données ouvertes au Maroc, dans l'espoir que le décret d'application de la loi 31-13, qui est en cours de préparation ou d'approbation, définira un statut aux données ouvertes. Dans cette optique, la disponibilité des données publiques et leur utilisation revêt une importance cruciale, car elles jouent un rôle actif dans le développement du Big Data au Maroc. En effet, cette technologie requiert une quantité considérable de données collectées et stockées afin de permettre une analyse approfondie. Le gouvernement a donc un rôle crucial à jouer en rendant les données publiques disponibles et en mettant à jour les réglementations afin de faciliter l'accès et l'utilisation de ces données. -Quels ajustements juridiques sont nécessaires pour un Big Data holistique et robuste ? -Le Maroc ne dispose d'aucune loi concernant le « cloud computing » et le Big Data, ce qui soulève des questions quant à la protection de la quantité de données traitées, en particulier les données à caractère personnel, ainsi que leur localisation souvent inconnue. Il est également important de noter l'absence, jusqu'à ce jour, d'une loi marocaine sur la gouvernance des données. A juste titre, après treize années de mise en œuvre, il est justifié de constater que la loi 09-08 présente des limites, ce qui souligne la nécessité d'une révision et l'inclusion de nouveaux droits, tels que le droit à l'oubli. En outre, la loi 09.08 pourrait être simplifiée par une nouvelle rédaction, en établissant des régimes différents pour chaque type de traitement de données, tels que les données de santé, les données liées à la police et à la justice, les données de sécurité nationale, etc. En outre, en ce qui concerne les prérogatives de la Commission Nationale de contrôle de la protection des Données à caractère personnel, il existe des limites en termes de pouvoir décisionnel en ce qui concerne les amendes administratives, le pouvoir d'ester en justice pour faire appliquer les dispositions de la loi, ainsi que l'absence de dispositions explicites prévoyant le droit de la personne concernée à un recours juridictionnel effectif contre les décisions du CNDP. En guise de conclusion, il semblerait que nous ne sommes qu'au début du chemin de paradigme du Big Data. En outre, il existe encore de nombreux problèmes non résolus dans la gestion des aspects juridiques et de sécurité propres à cette technologie, étant donné que la plupart des outils et technologies de sécurité traditionnels ne sont pas adaptés à l'environnement du Big Data. Il va sans dire qu'il semble évident que des efforts considérables sont nécessaires pour développer un écosystème juridique et de sécurité du Big Data qui soit à la fois holistique et robuste. Aussi, sommes-nous devant l'obligation de faire évoluer notre système administratif et judiciaire pour être au diapason des enjeux du numérique. Enfin, il est également opportun de réfléchir à la transition du Big Data vers la « Big connaissance » qui est susceptible de favoriser le développement de la société et qui demeurera probablement la partie invisible de l'iceberg aux yeux des spécialistes de cette technologie.
