L'ODJ Média

"Le Dernier Mot" reçoit Omar Seghrouchni, la protection des données à caractère personnel & le droit d’accès à l’information au Maroc !


« Le Dernier Mot » accueille Mr. Omar Seghrouchni, président de la Commission Nationale de contrôle de la Protection des Données à Caractère Personnel (CNDP) et président de la Commission du Droit d'Accès à l'Information (CDAI).



O.S : « Lors de l’audience Royale accordée le 17 novembre 2018, SM le Roi a donné ses instructions pour l’alignement aux standards internationaux et l’obligation à ce que tous les marocains bénéficient du même niveau de protection »
O.S  : «La CNDP ne fait qu’appliquer une loi adoptée par les représentants de la nation »

O.S : « Il n’est pas opportun de comparer la loi 09-08 élaborée en 2009 et la réglementation européenne RGPD entrée en vigueur en mai 2018 » 
O.S : « Toute organisation se doit de notifier à la CNDP tous les traitements de données à caractère personnel »
 

Mr. Ali Bouallou, consultant en stratégie et présentateur de l’émission « Le Dernier Mot » a commencé par interpeller Mr. Seghrouchni sur la signification de ces deux notions et de ce qu’elles englobent. Celui-ci indique que les deux concepts sont assez différents tout en interagissant dans le même environnement.

Mr. Seghrouchni rappelle que la protection des données à caractère personnel est régie au Maroc par la loi 09-08 adoptée en 2009. Le droit d’accès à l’Information est quant à lui, porté par la loi 31-13 entrée en vigueur en 2019.

La protection des données à caractère personnel est en application de l’article 24 de la constitution alors que le droit d’accès à l’information est une déclinaison de l’article 27 de la constitution.

Mr. Seghrouchni définit la donnée à caractère personnel non comme une donnée appartenant à la personne mais comme une donnée l’identifiant. Cela va de l’adresse IP, au numéro de téléphone en passant par une vidéo prise dans un lieu public…La donnée à caractère personnel peut être sur support papier, digital ou tout autre média.         

Mr. Seghrouchni rappelle que les administrations et les entreprises n’ont pas le droit de vendre au kilo leurs archives contenant de la donnée à caractère personnel. Ils doivent pour ce faire utiliser d’autres mécanismes de destruction.

En ce qui concerne le droit d’accès à l’information, Mr. Seghrouchni rappelle que cette notion existe dans plusieurs pays de par le monde. Elle est apparue aux États-Unis au lendemain de la seconde guerre mondiale et a existé en Suède bien avant.

D’après Mr. Seghrouchni, le droit d’accès à l’information participe à la transparence dans la gestion de la chose publique et la lutte contre la corruption.

La protection des données à caractère personnel s’est imposée de fait dans certains pays eu égard à des évènements historiques, comme l’Allemagne après l’horrible histoire de l’holocauste, ou des scandales comme il est le cas de l’affaire SAFARI* en France. Beaucoup d’autres pays ont simplement suivi les standards internationaux en la matière.

Au Maroc, Mr. Seghrouchni a rappelé que la loi de la protection des données à caractère personnel a vu le jour en 2009 pour les besoins des services délocalisés ou de ce qui est communément appelé l’Offshoring.

Depuis l’avènement de la loi, le débat sur la protection des données à caractère personnel est en perpétuel mouvement au sein des administrations et entreprises au Maroc. La CNDP veille au respect stricto-sensu de l’esprit de la loi au sein de ces organisations. Mr. Seghrouchni n’a pas manqué de rappeler que la CNDP ne fait qu’appliquer une loi adoptée par les représentants de la nation.

Dans le cadre des échanges économiques signés entre le Maroc et ses partenaires dont l’UE, les Etats-Unis…, le Maroc se doit de garantir la protection mais aussi et surtout la circulation des données à caractère personnel.

La donnée à caractère personnel peut être stockée dans un pays donné, traitée dans un autre pays voire plusieurs autres pays. Elle doit être protégée pendant toute sa durée de vie dans cette chaine de valeur nous rappelle Mr. Seghrouchni par l’entremise de dispositifs légaux adéquats et ce, afin de permettre de résoudre les éventuels litiges au niveau d’un maillon donné de cette chaine.

Ces dispositifs légaux permettent les flux transfrontaliers des données à caractère personnel entre le Maroc et ses partenaires commerciaux, ajoute Mr. Seghrouchni. Et de rappeler que le digital a reconfiguré les frontières  physiques. Cette nouvelle donne impose une adaptation aux nouveaux usages pour la meilleure protection des données à caractère personnel. 

En raison de leur périodicité, Mr. Seghrouchni estime qu’il n’est pas opportun de comparer la loi marocaine de protection des données à caractère personnel élaboré en 2009 et la réglementation européenne à savoir le Règlement Général sur la Protection des Données (RGPD), entrée vigueur en mai 2018. Il sera approprié de le faire lorsque le Maroc mettra à jour éventuellement sa loi d’ici 2023, nous indique Mr. Seghrouchni. 

De manière générale, Mr. Seghrouchni souligne qu’il y a deux philosophies dans le traitement des données à caractère personnel. La première stipule que le seul consentement de la personne concernée et le consensus avec le responsable de traitement suffisent pour traiter la donnée à caractère personnel alors que la seconde philosophie estime que le consentement de la personne concernée ne suffit pas à lui seul et que des lois doivent intervenir dans le traitement de la donnée afin de garantir l’intégrité morale et physique de l’individu et éviter les contrats léonins.            

L’Union Européenne est dans la seconde logique de traitement des données à caractère personnel alors que les Etats américains différent les uns des autres dans leur vision.  

Mr. Seghrouchni fait bien de rappeler que le droit de la protection des données est un droit qui se construit au fur et à mesure, et qui se construit à l’échelle internationale.

A l’échelle du Maroc, la CNDP se doit de s’insérer dans ce mouvement de réflexion internationale pour garantir la protection des données à caractère personnel et la vie privée des marocains mais également la protection, l’accompagnement et le développement de l’économie du Maroc. La CNDP se doit également de contribuer à la souveraineté des données des administrations et entreprises marocaines.

Cette vision tridimensionnelle de la protection des données à caractère personnel doit être vue comme un choix sociétal irréversible qui réglemente les usages et non la technologie, nous rappelle Mr. Seghrouchni. Sachant que le risque zéro, en termes d’abus ou de négligence, dans le traitement des données à caractère personnel n’existe pas.

Mr. Seghrouchni étaye ses propos par les exemples de caméras numériques voire thermiques dans les entreprises et les aéroports au Maroc. Tout est question de compromis entre le besoin de sécurité, dans son sens large, et la nécessité de protection des données à caractère personnel.
 
En matière de sensibilisation, le président de la CNDP évoque les différentes actions menées dans ce domaine. Qu’il s’agisse des campagnes spécifiques ou généralistes, des campagnes auprès des personnes physiques et morales, d’actions de communication auprès de la presse audiovisuelle et digitale, la CNDP fait feu de tout bois pour communiquer mais également écouter les uns et les autres dans une démarche participative.

Pendant la période de pandémie COVID19 et malgré le télétravail, les équipes de la CNDP n’ont jamais autant travaillé afin de garantir les libertés individuelles et les droits fondamentaux en cette période d’Etat d’urgence et ce, conformément à la constitution marocaine.

Cet Etat d’urgence lié à la pandémie imposait aux équipes de la CNDP d’instruire certains dossiers dans l’urgence. Si la loi exige à la CNDP le délai de 2+2 mois pour traiter les dossiers, l’octroi de l’aide exceptionnelle de la CNSS à certains bénéficiaires a impliqué un traitement de quelques jours seulement pour avoir l’autorisation de la CNDP.   

La CNDP a inscrit le temps de la conformité dans le temps économique. En période de pandémie, le temps de la conformité était, de plus, inscrit dans le temps de l’urgence, nous indique Mr. Seghrouchni. Et d’ajouter que le travail dans l’urgence nécessite la mise en place de nouvelles méthodes de travail, des formations complémentaires et des ressources supplémentaires.

Il est à rappeler que la présence du logo de la CNDP, et surtout le numéro de déclaration ou d’autorisation, en bas d’un site ou d’une newsletter signifie que le site en question a effectué une demande d’autorisation auprès de la commission et que son dossier a été traité et soldé par l’octroi d’un numéro.

Mr. Seghrouchni a rappelé qu’il existe deux modes de fonctionnement concernant le traitement des données à caractère personnel. Un premier mode déclaratif dans lequel le souscripteur s’engage à respecter la loi et un second mode relatif à une demande d’autorisation préalable.

Dans les deux modes, la conformité à la loi concerne le traitement des données à caractère personnel en question et non les organisations elles-mêmes. Toute organisation, nous rappelle Mr. Seghrouchni, se doit de déclarer à la CNDP tous les traitements de données à caractère personnel. 

En cas de litiges, la CNDP traite les plaintes en enclenchant, dans les cas extrêmes, un contrôle de conformité mais la CNDP peut également enclencher des contrôles de conformité inopinés à l’issue desquels les organisations doivent se mettre en adéquation de la loi. La CNDP intervient également en cas d’usurpation des données ou des numéros d’autorisation. 

La CNDP peut user de ses prérogatives pour saisir le matériel de traitement des données à caractère personnel, condamner l’organisation à des amendes…etc. Les dossiers sont alors transférés au ministère public.

Pour éviter ces déconvenues et anticiper le non respect de la loi 09-08, la CNDP a pris les devants en se rapprochant des administrations et entreprises dans le cadre du programme DATA-TIKA en commençant par les plus grandes administrations et entreprises. Mr. Seghrouchni estime que ces organisations importantes seront le fer de lance de la protection des données à caractère personnel au Maroc.         

Le programme DATA-TIKA prévoit plusieurs volets. Le principal volet concerne la conformité pure et simple à la loi 09-08. Les autres volets concernent grossièrement une discussion permanente entre la CNDP et les souscripteurs, sur des usages innovants, pour le meilleur des compromis avec des invariants mais sans contraintes ni blocages. Car ce sont bien ces échanges permanents qui permettent à la CNDP d’anticiper les besoins des organisations tout en s’inscrivant dans l’évolution internationale du traitement des données à caractère personnel.

Dans ce cadre, Mr. Seghrouchni a rappelé que le Maroc a ratifié en 2019 la Convention 108 relative à la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe. Cette ratification impose de mettre à niveau l’arsenal législatif et technique afin de se conformer à la convention. Elle implique également un travail d’égal à égal avec nos partenaires européens en adéquation des environnements des uns et des autres et pour un bien commun.

Mr. Seghrouchni a rappelé que la CNDP travaille d’ores et déjà avec plusieurs organisations marocaines afin de mettre en place, par exemple, la procédure d’acceptation ou de rejet des cookies au lancement de leurs sites web même si la loi 09-08 n’impose rien, directement, dans ce sens.

Concernant le Tiers de Confiance National mis en place par la Direction Générale de la Sûreté Nationale, Mr. Seghrouchni a rappelé le contexte dans lequel il a vu le jour. Il a rappelé les besoins exprimés par les banques, assurances et autres institutions financières pour la gestion des données biométriques à caractère personnel. La CNDP a ainsi entamé une réflexion avec le régulateur du secteur financier au Maroc à savoir Bank al Maghrib.

Il faut rappeler au passage que la CNDP procède de la même façon dans tous les secteurs. Elle collabore avec le régulateur du secteur pour aborder la problématique de traitement de la donnée à caractère personnel. 

Pour ce qui est du secteur financier, Bank Al Maghrib et différentes banques ont travaillé pour se désengager de cette tâche régalienne et utiliser l’infrastructure mise en place par la DGSN, seule habilitée à gérer les données biométriques des citoyens. Cette approche évitera la prolifération des bases de données biométriques au Maroc et renforcera la protection des données à caractère personnel.  Elle permettra également de se situer à un niveau supérieur, fédérateur de tous les traitements bancaires et financiers nécessitant une authentification.      

Dans le même registre, Bank Al Maghrib a annoncé il y a quelques semaines qu’une loi sur la cryptomonnaie verra le jour d’ici la fin de l’année. Le président de la CNDP a rappelé que son institution et la banque centrale entretiennent une relation permanente de concertation depuis 2013. Il estime que toute loi impliquant le traitement des données à caractère personnel induira la poursuite des consultations entre les deux institutions et d’une demande d’avis de la CNDP.              

La loi sur la régionalisation au Maroc est en marche depuis quelques temps et la loi 09-08 sur la protection des données à caractère personnel est valable partout au Maroc et donc dans toutes ses régions. Mr. Seghrouchni estime qu’il n’est pas, tout de suite, nécessaire de disposer de commissions régionales pour contribuer au déploiement de la protection des données à caractère personnel dans les régions.

En revenant sur la loi 31-13 relative au Droit d’Accès à l’Information, Mr. Seghrouchni rappelle que l’article 2 définit son périmètre. La loi concerne la chambre des représentants, la chambre des conseillers, les collectivités territoriales, les tribunaux, l’ensemble des ministères et organismes gouvernementaux, les organisations constitutionnelles, les régies autonomes…etc.
Ladite loi permet de rendre accessible toute information concernant de près ou de loin la gestion de la chose publique, tout en respectant certaines exceptions comme le respect de la vie privée, les informations stratégiques de l’Etat ou encore les données concernant la propriété intellectuelle et les brevets.

Par ailleurs, Mr. Seghrouchni a rappelé que les institutions avec lesquelles la CNDP a signé des conventions travaillent de manière continue avec la commission dans le cadre de réunions préalablement définies et soigneusement préparées. Ces réunions se tiennent selon le cas en présentiel ou en distanciel. Ce mécanisme d’organisation s’applique à toute nouvelle institution désirant conformer ses traitements à la loi 09-08.            
 
Cette méthodologie de travail permet de mener à terme l’aspect lié à la conformité mentionné dans les conventions DATA-TIKA signées entre la CNDP et les institutions marocaines afin que celles-ci prennent leur envol et adoptent un fonctionnement normal voire légal en matière de protection des données à caractère personnel. Il s’agit d’une déclinaison du concept de « Privacy by Design ».

L’autre aspect de ces conventions DATA-TIKA est lié au maintien d’une réflexion anticipative à tout traitement futur des données à caractère personnel au sein de ces institutions. 

Mr. Seghrouchni n’a pas manqué de mentionner qu’il existe encore au Maroc des pensées erronées qualifiant la protection des données à caractère personnel de « concept occidental » importé d’ailleurs et qu’elle n’est pas en conformité avec notre culture et notre histoire.
Dans ce cadre, il a rappelé l’intervention mémorable de l’homme de foi Mr. Ahmed Abbadi lors d’une conférence à Fès en 2019 pour la célébration de la journée mondiale de protection des données personnelles (Data Privacy Day – 28 janvier) dans laquelle Mr. Abbadi démontre l’adéquation de cette notion avec les principes religieux et la tradition musulmane ou ce qu’appelle le penseur « le référentiel moral » marocain. 

Mr. Seghrouchni a également rappelé les instructions de SM le Roi lors de l’audience Royale accordée le 17 novembre 2018 à savoir l’alignement aux standards internationaux et l’obligation à ce que tous les marocains, où qu’ils soient, bénéficient du même niveau de protection et d’obligation afin de protéger le citoyen marocain au sein d’un écosystème numérique en perpétuelle évolution.   

En plus des données à caractère personnel, la protection du citoyen implique également l’accès à une information juste et fiable.     

Pour conclure, Mr. Seghrouchni n’a pas manqué de rendre hommage aux équipes de travail de la CNDP constituées de jeunes cadres dynamiques travaillant sans relâche et dans des conditions de stress avancé pour mener à bien leur mission. 
 
Il estime que l’avenir de la protection des données à caractère personnel, du droit d’accès à l’information et de la protection du citoyen dans l’écosystème digital est de la responsabilité de cette nouvelle génération. Car, ajoute-t-il, la réflexion autour de ce triptyque doit être évolutive et ouverte sur les concepts actuels et futurs de gouvernance numérique.                 


* : Système automatisé pour les fichiers administratifs et répertoires des individus.

Cliquer sur l'image pour regarder le Teaser en entier :

Mercredi 31 Août 2022