Politique

«L’état d’urgence sanitaire ne saurait justifier la violation des données personnelles des personnes atteintes du coronavirus»

viahttps://lematin.ma/journal/2020/letat-durgence-sanitaire-saurait-justifier-violation-donnees-personnelles-atteintes-coronavirus/334601.html

Pour le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), Omar Seghrouchni, l’état d’urgence sanitaire et les circonstances exceptionnelles que traverse le Maroc ne sauraient être un alibi pour violer les lois en vigueur en matière de protection des données à caractère personnel. «Ce n’est pas parce que vous êtes pressés que vous pouvez griller un feu rouge et mettre en danger la vie d’autrui. Par contre, vous pouvez le faire, si vous disposez, légalement, d’un gyrophare… ou d’un laisser-passer», explique-t-il. Tout en déplorant le non-respect de la donnée médicale des malades, M. Seghrouchni affirme que la Commission, «sans perturber l’extraordinaire mobilisation du ministère de la Santé, celle du ministère de l’Économie, et de l’État de façon générale, pour lutter contre le Covid-19, attend une certaine accalmie pour avancer dans ses investigations et déterminer à quel niveau se situent les responsabilités en matière de divulgations des données personnelles des patients». Une délibération importante devait avoir lieu hier soir et des actions seront entreprises dès le début de cette semaine, annonce-t-il.

Le Matin : La CNDP vient de publier un communiqué annonçant que la Commission agit pour «inscrire le temps de la conformité dans le temps économique». Qu’est-ce que cela veut-il dire exactement ?
Omar Seghrouchni :
Cela veut tout simplement dire que nous travaillons depuis plusieurs semaines, bien avant la crise sanitaire, à écourter les temps d’instruction des dossiers de notification. La loi nous autorise à traiter un dossier en 2 mois, période pouvant être prolongée une fois. Depuis sa création, la CNDP a adopté une approche pédagogique qui visait, pendant la phase de «démarrage», à prendre le temps d’échanger avec les responsables de traitement pendant l’instruction de leurs dossiers. Ce qui permettait de réduire le risque de rejet. De plus, le «compteur» s’arrêtait lorsqu’un dossier était incomplet et que nous restions en attente de compléments d’information. Nous considérons que cette approche ne répond pas à la réactivité attendue par les acteurs économiques. Il y a clairement quelque chose à faire. Il faut que, d’une part, les responsables de traitement n’attendent pas la fin de leurs projets pour traiter la conformité, et que, d’autre part, nous soyons plus réactifs. Parfois, certaines actions peuvent s’avérer plus utiles qu’on ne l’aurait pensé…  Les actions menées depuis plusieurs semaines s’avèrent être très utiles en cette période d’état d’urgence sanitaire. Une fois que nous aurons stabilisé le processus d’instruction des notifications, nous nous attaquerons au processus d’instruction des plaintes, pour lequel la loi ne prévoit aucun délai. Mais là aussi, il faut faire quelque chose. Le citoyen plaignant est en droit de disposer d’une meilleure visibilité.

Vous insistez sur le fait d’intégrer le concept de protection des données à caractère personnel dès la conception de projets qui s’y rattachent afin de limiter les risques d’un éventuel non-respect des exigences de la protection des données. Quelles sont les indicateurs qui ont mobilisé la CNDP en ces circonstances de pandémie ?
Nous avons un objectif… C’est prendre un peu de hauteur et veiller à ce que la période de crise sanitaire ne détruise pas ce qui a été construit avant la crise, et qui doit être renforcé après la crise. Il faut sauver les vies avec méthode. C’est ce que font les autorités. Nous tentons d’y apporter notre petite contribution.

La CNDP aurait-elle constaté des dérapages ? 
Oui, tout à fait. D’aucuns semblent, du fait de l’urgence, tenter d’écarter d’un revers de la main la conformité à la loi 09-08. Nous leur disons que ce n’est pas parce que vous êtes pressés que vous pouvez griller un feu et mettre en danger autrui. Par contre, vous pouvez le faire, si vous disposez, légalement, d’un gyrophare… ou d’un laisser-passer. La CNDP s’est organisée pour accompagner l’état d’urgence sanitaire en délivrant, chaque fois que nécessaire, gyrophare et laisser-passer, selon les situations et les contextes.

En général, ces principes de la «Privacy by Design» permettent d’empêcher la collecte de données personnelles sans raison légitime et impliquent la suppression de données personnelles dans une base de données. Quel lien cela a-t-il avec la crise et l’état d’urgence sanitaire que nous vivons ? 
La «Privacy by Design» a plusieurs facettes. Vous avez bien raison. Le système produit et livré doit avoir considéré les mécanismes de protection des données à caractère personnel au moment de sa conception. Ce qui permet, d’une part, de gérer ces aspects bien en amont, avant les investissements de fabrication, évitant ainsi de casser et recommencer par la suite. Mais d’autre part, cela permet également, en gérant ces aspects le plus en amont possible, d’avoir tout le temps pour le faire, évitant l’empressement de la fin d’un projet, la veille de son déploiement. En fait, le principe est tout simple. On le retrouve dans d’autres secteurs… il s’agit, par exemple, d’avoir son permis de construire, avant de construire, pour avoir plus de chance de disposer de son permis d’habiter… Si pour sauver des vies, il faut les abriter dans des bâtisses particulières, il faut que celles-ci répondent aux bonnes normes, même s’il faut les construire très vite. Ce n’est peut-être pas le moment de détailler, mais le concept de Privacy by Design ne traite pas que les projets informatiques, il est beaucoup plus large : une fusion-acquisition par exemple doit prendre en compte, très en amont, son impact réglementaire sur le patrimoine des données à caractère personnel des entités qui prévoient de se rapprocher.

Vous évoquez aussi une importante action à mener par la CNDP, celle d’œuvrer pour la refonte de la loi 09-08 afin de l’aligner sur les standards internationaux. Que proposez-vous exactement ? 
Un des fonctionnements à aligner aux standards internationaux est, tout simplement, le respect de la loi. Et plus que la loi, l’esprit de la loi, au moins, doit être respecté, sinon, pourquoi faire une loi ? Les sanctions, en cas de non-respect de la loi, doivent être dissuasives. Nous voyons bien, à la lumière de ces dix ans de retour d’expérience, au Maroc, qu’il y a un déficit dans le régime des sanctions. Pour notre part, nous ne cherchons pas à sanctionner à tout prix, ou à tout va, mais tout simplement à pouvoir mettre un terme, dans des délais raisonnables, aux cas de «non-respect flagrant» de la loi.
Mais avant d’en arriver aux sanctions, il faut renforcer, par exemple, les modalités et les capacités d’observation et de contrôle. Il est aussi question de définition de bons choix sociétaux et des choix politiques pertinents : À quoi cela rime de mettre en place une loi et une institution, si certains secteurs gouvernementaux peuvent ne pas avoir le réflexe d’en faire fonctionner les mécanismes ? Est-ce un manque d’engagement, une lacune de procédure ou un contournement des faiblesses d’argumentation des projets présentés ? C’est toujours plus simple de réfléchir tout seul, pour soi. C’est un peu plus citoyen, et surtout utile et productif, de partager, d’échanger et de co-construire des stratégies argumentées. La digitalisation du pays n’est pas une affaire de technique, de codage et de bases de données. C’est une question sociétale. L’erreur, et parfois une certaine inconscience ou immaturité stratégique, est de considérer que la problématique de la protection des données est une problématique verticale, voire une espèce de cerise sur le gâteau, un confort, un «truc pour intellos». Alors qu’il s’agit d’une problématique transverse. Elle n’est pas tombée du ciel. La circulation des données à caractère personnel a toujours existé depuis le papyrus, puis l’imprimerie. Mais du fait, ces dernières années, de l’impérative digitalisation de la société, cette circulation est de plus en plus importante. Et dans certains cas, de moins en moins rares, elle peut être massive, voire grandement massive (big data). Donc, la protection des données à caractère personnel ne peut être considérée comme un frein à la digitalisation, mais comme un accompagnement, un renforcement, un dopage positif de cette digitalisation en vue d’en garantir les bénéfices, en termes de confiance. C’est pour cela que les législateurs, partout dans le monde, parlent de confiance numérique. Comme déjà évoqué à d’autres occasions : pour vivre digital, il faut respirer protection des données à caractère personnel. Donc, le projet de refonte de la loi intègre les outils qui devraient aider à doter notre pays de dispositifs d’accompagnement, en termes de protection du citoyen, au sein de l’écosystème numérique, mais aussi de favoriser l’insertion de l’économie nationale dans la chaîne de valeurs de l’économie mondiale digitalisée.

La CNDP avait déjà annoncé que la protection de la donnée médicale était une de ses priorités pour l’année 2020. Cependant, les personnes touchées par le coronavirus trouvent leurs noms circulant sur la Toile et sur les journaux. Cela ne porte-t-il pas atteinte à leur vie privée ?
Evidemment que cela porte atteinte à leur vie privée. Et ceci est inacceptable, même si certains ont considéré qu’il était du droit de chacun de savoir s’il court un risque. Notre position est de dire qu’il revient aux seules autorités d’informer les concernés et qu’il n’est pas possible de tolérer une quelconque fuite d’information (vraie ou fausse). C’est la seule façon qui puisse garantir que les informations sont justes, que les personnes concernées sont avisées et que leur vie privée est respectée. WhatsApp, par exemple, mais ce n’est pas le seul concerné, semble être plus un vecteur de rumeur que d’information. Ce qui est problématique, c’est que ce sont ceux qui sont les vecteurs de fake news qui se proposent, parfois, pour lutter contre les fake news. Mais ceci est un autre débat.
Pour notre part, sans perturber l’extraordinaire mobilisation du ministère de la Santé, celle du ministère de l’Économie, et de l’État de façon générale, pour lutter contre le Covid-19, nous attendrons qu’il y ait une certaine accalmie pour avancer dans nos investigations.  Nous ne savons pas aujourd’hui à quel niveau l’impair a été commis. Nous osons croire qu’il s’agit d’une irresponsabilité individuelle sans méchanceté préméditée. Mais à quel niveau ? Compagnie aérienne, aérogare, institutions… Nous verrons bien au moment opportun. En tous cas, le sujet interpelle tout un chacun. De façon individuelle. Nous devons guérir de la «transférite». Nous devons nous imposer de ne pas contribuer à faire circuler et transférer des informations qui ne sont pas sérieusement vérifiées et qui peuvent faire du mal. En continuant à transférer tous azimuts, nous risquons de contribuer, à notre insu, à la destruction de notre immunité informationnelle, voire sociétale.

Que peut faire la CNDP à cet égard ? et quelle voie peut-elle emprunter pour dissuader ceux qui portent atteinte à la vie privée des autres ?
C’est ce que j’évoquais plus tôt. Dans le contexte du dispositif légal courant, il s’agit d’avoir plus de moyens et d’outils pour sensibiliser, contrôler et corriger. Il nous arrive, parfois, d’être inquiets au sujet de la faiblesse des moyens mis à notre disposition. Cependant, la collaboration et les encouragements de grandes institutions du secteur public et du secteur privé, mais aussi le sérieux d’une grande majorité des citoyens, nous aident à dépasser ces moments d’inquiétude et à avancer.

Vous parlez de la création d’un registre spécial pour le suivi des traitements d’urgence liés à la crise et qui sera rendu public, et mis à jour au fur et à mesure. Quelles sont les finalités et les modalités de son fonctionnement ? 
Nous nous devons d’être au diapason de l’action de l’État et des orientations de Sa Majesté le Roi Mohammed VI, que Dieu l’assiste. Ainsi, les mécanismes déployés pour cadrer les risques sanitaires doivent rester inscrits dans le droit, même s’il s’avère nécessaire de mettre en place des approches dérogatoires. Pour cela, tous les traitements qui peuvent contribuer, de près ou de loin, à aider à la gestion de la crise sanitaire et ses conséquences économiques et autres, seront inscrits au sein de ce registre spécial avec 3 objectifs :
• Partager avec les citoyens et les différents acteurs la liste des traitements conformes.
• Recenser les traitements non conformes pour aider les responsables de traitement à les mettre en conformité. Et dans ce contexte, bien expliquer que le délai d’instruction des notifications ne peut être un alibi, par ailleurs factice, pour tolérer le non-respect de la loi relative à la protection des données à caractère personnel. La CNDP s’est organisée pour statuer quotidiennement sur les notifications réceptionnées, ce qui permettra de prendre en compte les urgences.
• Être en mesure de réétudier ces traitements déployés en période d’état d’urgence pour les «normaliser» quand notre pays sera sorti de cette crise sanitaire internationale. Les laissez-passer, délivrés en situation de crise, devront être réévalués après la crise.

La question de l’enseignement à distance en cette période de confinement est la règle, ce qui constitue une riche occasion pour la circulation des données. Quels garde-fous protègent notamment les mineurs et les jeunes qui sont au centre de l’enseignement à distance ? 
Il est de notre responsabilité à tous, et particulièrement pendant cette période de crise, de contribuer à la gestion du risque sanitaire, au maintien de l’activité économique, des activités d’éducation, etc., la liste est longue. Des délibérations vont être publiées, dans les prochaines heures et prochains jours, par la CNDP, pour recommander les garde-fous à mettre en place. Nous serons dans une démarche proactive, agile, itérative et pragmatique.

Dans d’autres pays, la question s’est posée de la possibilité de l’utilisation de données notamment téléphoniques dans l’opération de lutte contre la pandémie. Pensez-vous qu’un tel risque peut se poser chez nous ?
Il faut sortir d’une analyse classique et conservatrice des risques liés aux données à caractère personnel. Nous devons, pour chaque situation et chaque contexte, réaliser des analyses d’impact sur la vie privée, mais aussi, bien analyser les autres risques, à leur tête, actuellement, le risque sanitaire. Il ne faut pas se tromper de combat, et il faut être dans le meilleur équilibre du moment, tout en veillant à amender et à adapter cet équilibre au fur et à mesure. Nos priorités aujourd’hui sont d’accompagner, sur le périmètre qui est de notre responsabilité, le risque sanitaire et la maîtrise de ses impacts économiques. Donc, nous devons travailler pour évaluer la situation que vous évoquez (utilisation des données téléphoniques), et bien appréhender si c’est un risque ou une opportunité. Ou les deux à la fois. Et dans ce cas, définir le bon équilibre de façon juridiquement citoyenne.

La CNDP et l’APEBI ont mis sur pied des canaux de collaboration dans le cadre des projets lancés par l’APEBI ainsi que pour tout projet contribuant à la mobilisation nationale pour la gestion de l’état d’urgence sanitaire. Quels sont les objectifs et la nature de ce partenariat ?
Les objectifs sont tout simples. Être ensemble au bon endroit, avec la meilleure stratégie. L’APEBI (Fédération des technologies de l’information, des télécommunications et de l’offshoring) a décidé d’encourager et d’identifier les projets utiles et nécessaires pour la lutte contre le Covid-19. La CNDP s’associe, humblement, à cette belle initiative citoyenne de l’APEBI afin que les notifications pour la conformité à la loi 09-08 des projets sélectionnés par l’APEBI et ses partenaires soient instruites en cohérence avec les délais que nous impose l’état d’urgence sanitaire. Nous avons, certes, communiqué, mais en fait, nous sommes dans le «faire» au mieux et vite. Comme on dit, la célérité des projets et le respect de la protection des données à caractère personnel ne sont pas incompatibles. 

Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Translate »