La CNDP continue de décliner sa mission de tiers de confiance numérique

Rabat, le 12 mai 2020;

La gestion de la crise sanitaire a nécessité, et nécessite encore, la mise en place de plusieurs dispositifs, relativement à la protection des données à caractère personnel, aussi bien dans le secteur privé que dans le secteur public.

La CNDP est une institution nationale, de bonne gouvernance, qui fait partie des dispositifs mis en place par le Maroc, sous l’égide de Sa Majesté le Roi Mohammed VI, que Dieu l’assiste, afin de contribuer à la protection de la vie privée des citoyens, en vertu de l’article 24 de la Constitution du Royaume.

La gestion de la pandémie du COVID19 a nécessité plusieurs actions organisationnelles et délibératives, du point de vue de la protection des données à caractère personnel :

  • La révision à la baisse des délais d’instruction, en particulier, pour tous les dossiers impactant la gestion de la pandémie qui sont traités en urgence.
  • L’encadrement du télétravail dans le secteur de la relation client,
  • La prise de température préalable à l’accès aux lieux de travail ou bâtiments publics,
  • Les dispositions exceptionnelles pour la gestion des comptes bancaires à distance,
  • Les applications informatiques diverses pour le suivi du non-respect du confinement,
  • Etc.

D’autres sont en cours de finalisation, toujours du point de vue de la protection des données à caractère personnel :

  • L’étude d’impact sur la Vie Privée (Data Protection Impact Assessment, DPIA),
  • Les plateformes de télémédecine,
  • La gestion de courrier (Plateforme virtuelle et autre),
  • Etc.

La gestion de la pandémie a mis, au-devant de la scène, la gestion du risque sanitaire et celle du maintien de l’activité économique.

Pour cela, il est fondamental d’encadrer les risques sanitaires induits par une mobilité contrôlée pendant la période de confinement et par une mobilité dont les conséquences sanitaires doivent être appréhendées, au mieux, lors du déconfinement à venir. Ainsi, différents dispositifs déployés actuellement se complètent et se renforcent mutuellement, sans pour autant se substituer les uns aux autres. Différentes autorités y contribuent : Ministère de la Santé, conjointement Ministère de la Santé et Ministère de l’Intérieur, Ministère de l’Intérieur (DGSN), etc.

La CNDP a été saisie, le 27 avril 2020, pour statuer au sujet de la conformité à la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, de l’application WIQAYTNA, dont la finalité est l’appui à la gestion sanitaire de la propagation de la pandémie Covid-19.

Dans son communiqué du 16 avril 2020, la CNDP avait publié les recommandations essentielles pour la mise en œuvre d’une telle application.

La CNDP assure, depuis le début de la crise, différents dispositifs de veille pour fonder au mieux ses décisions :

  • En suivant les réflexions, alertes et recommandations sur le plan international (incluant celles du Comité de la Convention 108 du Conseil de l’Europe et celles de partenaires internationaux ayant aidé la CNDP à accéder à certaines informations technologiques),
  • En suivant les observations, inquiétudes et recommandations de nos concitoyens sur le plan national,
  • En étant à l’écoute d’experts techniques nationaux et internationaux sur le sujet,
  • En menant ses réflexions et travaux propres.

Ainsi, la CNDP continue à décliner son rôle de tiers de confiance pour assurer la protection des données à caractère personnel en général, ainsi que celle du citoyen au sein de l’écosystème numérique, en particulier.

Concernant l’application WIQAYTNA, la CNDP a travaillé, de façon rapprochée, avec l’équipe projet en charge de sa mise en place, et particulièrement, le groupe de travail dédié à la protection des données à caractère personnel. Des réunions, à rythme intense, se sont tenues pour instruire ce dossier, entre le 27 avril 2020 et le 10 mai 2020.

La Commission Nationale, réunie exceptionnellement, dimanche 10 mai 2020 à 11h, a décidé, sur la base d’hypothèses bien identifiées, d’autoriser l’application WIQAYTNA. Un rapport circonstancié sera rendu public. Par ailleurs, la CNDP a décidé de mettre en place un dispositif pour vérifier, dans le temps, le respect des hypothèses initiales en vue de réinstruire le dossier si celles-ci n’étaient plus valides.

La CNDP considère que la conformité à la loi 09-08 s’appuie sur le fait que l’application WIQAYTNA est prévue pour être déployée selon les hypothèses suivantes :

  • Utilisation sur la base du seul volontariat.
  • Appui au dispositif sanitaire, en particulier pour rationaliser l’affectation des ressources en vue de renforcer la politique de dépistage et l’information des citoyens.
  • Contrôle par les autorités sanitaires des paramètres des algorithmes de calcul d’alerte.
  • Utilisation du « tracing » sans mécanisme de « tracking ».
  • Informations de l’utilisateur.
  • Limitation des accès aux données aux seules personnes habilitées.
  • Engagement à ne pas utiliser les données pour d’autres finalités que celle autorisée.
  • Engagement à détruire les données collectées et générées à la sortie de l’état d’urgence sanitaire, sauf celles pouvant alimenter, de façon anonymisée et réglementaire, la recherche scientifique.
  • Déclaration de non utilisation de boite noire (black box).
  • Engagement à rendre le code accessible pour des fins d’audit et de vérification.

La CNDP remercie l’équipe du projet WIQAYTNA pour son esprit de « Privacy by Design » et pour son sérieux et son engagement exprimés, lors des différentes séances de travail, pour le respect des données à caractère personnel et de la vie privée de nos concitoyens.

Comme régulièrement annoncé, la CNDP reste à la disposition des autorités, ainsi qu’à celle des citoyens pour conforter cette confiance numérique, nécessaire pour encourager la digitalisation de la société, et appuyer la gestion du risque sanitaire et le maintien de la vie économique dans le respect de la vie privée.

De ce fait, comme le lui confère l’article 42 de la loi 09-08, la CNDP a décidé de mettre en place 2 comités ad-hoc :

  • Un comité ad-hoc « Stratégie pour une Confiance numérique et une éthique digitale » sera composé d’experts et de personnalités du numérique. Comme déclaré fin 2019, cette année 2020 est celle durant laquelle la protection de la donnée médicale est priorisée. Les sujets bioéthiques dans le numérique sont à l’ordre du jour de ce comité.
  • Un comité ad-hoc « Confiance Numérique Opérationnelle » composé d’experts nationaux qui vont conseiller et accompagner, de façon citoyenne, la CNDP en vue de l’organisation des missions de contrôle et de vérification que lui confère l’article 30 de la loi 09-08.

Une première mission sera déployée pour l’application WIQAYTNA.

La CNDP s’est entendue avec l’équipe du projet pour rester en veille conjointe afin de circonscrire tout risque pouvant impacter la vie privée et pouvant survenir de façon imprévue. Les correctifs adéquats seront apportés au fur et à mesure.
La CNDP :

  • Enregistre avec satisfaction l’intérêt croissant de notre environnement aux problématiques de la protection des données à caractère personnel,
  • Reste à l’écoute pour apporter toute action corrective dans son fonctionnement,
  • Maintient son engagement pour accompagner le déploiement des concepts de protection des données à caractère personnel, conformément aux standards internationaux et à la loi 09-08.

Télécharger le communiqué de presse

Download the press release