Entretien. Tracking, RSU, web...: les confidences de Omar Seghrouchni
Le combat de la CNDP va au-delà de la préservation de la protection des données personnelles et des formulaires à remplir. C'est ce que nous explique Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel. Un entretien passionnant et passionné.
Le président de la Commission nationale de protection des données à caractère personnel, Omar Seghrouchni.
Entretien. Tracking, RSU, web...: les confidences de Omar Seghrouchni
Partager :
-
Pour ajouter l'article à vos favorisS'inscrire gratuitement
identifiez-vousVous possédez déjà un compte ?
Se connecterL'article a été ajouté à vos favoris -
Pour accéder à vos favorisS'inscrire gratuitement
identifiez-vousVous possédez déjà un compte ?
Se connecter
Propos recueillis par Naceureddine Elafrite
Le 20 avril 2020 à 13h51
Modifié 11 avril 2021 à 2h45Le combat de la CNDP va au-delà de la préservation de la protection des données personnelles et des formulaires à remplir. C'est ce que nous explique Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel. Un entretien passionnant et passionné.
Médias24: A la lecture du communiqué de la CNDP du jeudi 16 avril, on constate que vous n’avez pas été consultés au sujet du développement d’une application de tracking des contaminations au Covid-19…
Omar Seghrouchni: Non. Mais nous considérons notre rôle pendant cette phase comme étant un rôle de suivi au corps-à-corps, de tous les traitements observés, pour essayer d’aider à les faire inscrire dans la conformité relativement à la protection des données à caractère personnel. Même quand la CNDP n’est pas consultée ou avisée.
C’est pour cela que nous avons annoncé la mise en place d’un registre spécial où seront mentionnés les traitements autorisés de façon provisoire pendant la phase d’urgence ; mais également les traitements observés pour lesquels nous n’aurions pas été notifiés afin que l’on dispose d’une base rationnelle de suivi pour la sortie de l’état d’urgence.
-Pour rester sur l’application de tracking, ce qui est important pour vous, c’est de conforter la confiance et vous insistez donc sur le fait que le déploiement doit être effectué sur une base volontaire.
- Nous voyons mal comment imposer une telle application. Par exemple, les citoyens peuvent avoir tendance à éviter de se mettre en bluetooth pour préserver leur batterie. Et on peut se poser plusieurs questions : tout le monde a-t-il ou est-il censé avoir un smartphone ?... Est-ce que certains ne vont pas simplement oublier d’allumer leur téléphone ?…
Il faut qu’il y ait un usage consciencieux de l’application par le citoyen. Il est peut-être plus opportun que les gens soient volontaires et mobilisés plutôt que de se sentir obligés de le faire, ou de trouver une astuce acceptable pour que l’usage soit généralisé.
-Dans ce communiqué au sujet de l’application de traçage, vous rappelez une chose importante, l’insuffisance du dépistage peut remettre en cause l’intérêt du pistage.
-Oui, c’est ce que nous avons cru comprendre en écoutant les uns et les autres, et en suivant ce qui se passe à l’international.
-Au final, vous dites : il vaut mieux que le code source soit accessible.
-Pour différentes raisons : rassurer le citoyen que ce code source ne fait pas autre chose que la finalité de lutte contre la propagation de la pandémie. Et ainsi, renforcer la confiance numérique aussi. Mais également pour créer un cadre qui aidera le ministère d l’Intérieur à être plus exigeant par rapport à son fournisseur.
-Et vous rappelez aux citoyens que n’importe qui d’entre eux peut faire appel à vous pour demander un audit.
-Ils peuvent faire appel à nous et nous, nous ferons appel à différents experts… Le citoyen dispose d’outils institutionnels qui peuvent parfaitement fonctionner en cohérence pour servir ses droits.
Pour vivre digital, il faut respirer protection des données à caractère personnel
Nous ne nous formalisons pas du fait que nous n’ayons pas été consultés. Nous pensons qu’il y a des urgences, que les uns et les autres se bagarrent pour réaliser ce qu’ils ont à réaliser et nous croyons réellement à cette notion d’intelligence collective qui permettra de créer autre chose. L’important, dans ces moments difficiles, est de corriger le tir, se mettre en conformité et y penser de façon naturelle pour les fois d’après.
-Et donc vous êtes prêts à accompagner, à être un garant qui va renforcer la confiance.
-Tout à fait, c’est ainsi que nous comprenons notre mission. Nous ne souhaitons pas être des gestionnaires de formulaires et d’autorisations uniquement. C’est important, mais la gestion de la conformité administrative et réglementaire n’a de sens que s’il y a une capacité à suivre les questions du moment.
Je dis de temps à autre que "pour vivre digital, il faut respirer protection des données à caractère personnel".
-Ce qui se passe est un grand moment. On voit bien l’importance que peut avoir le digital entre autres dans les situations de crises. Et on voit bien l’importance de votre rôle. C’est plein d’enseignements…
-Le digital est important de façons incontestable et, comme je le dis parfois, l’humanité a traversé l’âge de la pierre, l’âge du bronze, etc, et maintenant nous sommes à l’âge du digital.
La CNDP n’est qu’un outil dans la création de la confiance numérique. Cette confiance numérique est portée par deux institutions au moins : la CNDP pour la confiance, disons juridique ; mais également la DGSSI, Direction Générale de la Sécurité des Systèmes d’Information, qui est sur une approche technique opérationnelle.
Ces deux rôles sont complémentaires. A terme, il va y avoir également d’autres missions à assurer, notamment la contribution des sciences humaines sur le sujet.
-Pendant cette crise, nous avons été nombreux à penser que nous sommes en retard dans plusieurs segments du digital…
-Je pense en fait qu’on doit prendre conscience que dans le monde, il y a une tendance à ce qu’on appelle le "solutionnisme".
C’est un courant de sociologie bien établi aux Etats-Unis pour étudier cette manie, cette mauvaise tendance de certains décideurs qui réagissent ainsi : “ah, j’ai un problème ; voici la solution“.
En fait, on réfléchit de façon localisée sur chaque problème et sa solution et on se retrouve avec un empilement de solutions sans avoir défini une stratégie ; ou plutôt on est davantage sur une stratégie de solutions que sur une stratégie de réponses aux besoins.
Dans le domaine des systèmes d’information, il y a un ensemble de concepts qui sont aujourd’hui peu déployés. Parfois, on reste en effet dans des paradigmes des années 90 ou du début des années 2000. Il faut, en fait adapter, notre réflexion aux enjeux, aux technologies d’aujourd’hui et de demain.
Pour moi, certes il y a un retard sur des segments, mais ce n’est pas vraiment compliqué, c’est rattrapable. La vraie question est la problématique de méthodologie à acquérir, d’agilité, de capacité à réfléchir, en s’engageant sur un résultat, et non pas sur une présence. C’est plus une dimension culturelle et méthodologique adoptée qu’une problématique matérielle d’application A ou d’application B.
Certes, c’est mieux si ces applications A ou ces applications B existaient, mais c’est rattrapable, ce n’est pas si problématique que cela.
-Mais la problématique que vous soulevez, elle est de la responsabilité de qui ? des pouvoirs publics, de structures associatives, de l’agence du digital ? de la CNDP ?...
-De tout le monde.
Je pense que l‘architecture institutionnelle établie au Maroc met en place un gouvernement avec des administrations et des agences et de l’autre côté, un ensemble d’institutions dont certaines sont constitutionnelles, d’autres nationales, comme la CNDP; c’est une responsabilité partagée et chacun doit être capable de l’assumer de sa position et de son point de vue. Sans oublier évidemment, le rôle du législatif.
Pour moi, c’est une vision culturelle transverse qu’il faut arriver à insuffler et peu importe qui agit au départ, gouvernement, institutions de bonne gouvernance ou autres.
Certains peuvent penser que l'ADD peut travailler mieux, moi je pense qu’elle travaille bien
-Si je vous demandais de porter un jugement sur le travail de l’Agence du Développement Digital ?...
-Moi je dis que l’ADD travaille bien.
Certains peuvent penser qu’elle peut travailler mieux, moi je pense qu’elle travaille bien.
Je vais vous donner un exemple.
Lorsque nous sommes entrés en confinement, de façon matérielle les bureaux d’ordre ont été impactés, la gestion du courrier a été impactée. L’agence du digital a pu mettre à la disposition de toutes ces administrations et de toutes les entités qui le souhaitaient un bureau d’ordre virtuel, une application de gestion du courrier. Et de façon immédiate.
L’agence du digital travaille, mais le résultat de son travail n’est pas souvent connu d’un point de vue médiatique.
-Pendant cette crise et cette période de confinement, avez-vous constaté des dérives dans votre domaine ?
-Aujourd’hui, nous voulons adresser trois familles de dérives.
Les dérives de démarrage, celles où il peut y avoir des traitements importants et où la mise en conformité n’est pas opérée, pour différentes raisons, soit parce qu’on va dire que ce n’est pas urgent, soit parce qu’on va dire que le délai de traitement de la CNDP est trop lent, soit parce qu’on va dire que la priorité est sur le risque sanitaire et que peu importe si on est conforme ou pas.
Pour la deuxième phase, celle à mon avis vers laquelle nous sommes en train de nous diriger mais qu’on ne vit pas encore, les dérives se situeraient dans l’exploitation de ces traitements. Cela pourrait également être corrélé avec l’observation d’un ensemble de dérives qui ne sont pas aujourd’hui identifiées mais qui vont se matérialiser par des plaintes de citoyens.
Etre consultés ou pas, ce n'est pas une question d'égo, mais de droit
La troisième famille de dérives, se vivra au moment de la sortie de la crise : il faudra s’assurer que l’on soit en mesure de mettre un terme aux traitements provisoires mis en place pendant la phase d’urgence.
Nous ne constatons pas encore les deux dernières familles, on n’y est pas encore, mais nous sommes en train de nous organiser pour les adresser au mieux.
Pour la première phase, celle du démarrage, nous nous sommes organisés pour inhiber les contre-arguments. La commission fait un point plusieurs fois par jour, elle peut se réunir tous les jours, même les week-ends, pour statuer sur les traitements réceptionnés. Par exemple, pour le traitement effectué par la CNSS dans le cadre des versements forfaitaires des citoyens, nous avons répondu en 24H. On sait se mobiliser aujourd’hui pour traiter tous les besoins en urgence, avec une réactivité optimale.
Nous ne nous formalisons pas sur le fait d’être consultés ou pas. Ce n’est pas une question d’ego, mais une question de droit. La protection des données, c’est une culture, on va tous apprendre en marchant.
Aujourd’hui, nous travaillons pour que la protection des données soit dans le paysage et dans le mindset des différents acteurs, même si parfois, ils peuvent penser qu’ils sont au-dessus de cela. Convaincre les réticents est notre objectif premier.
RSU et registre de la population: nous ne sommes pas favorables à un identifiant unique public
-Vous avez été consultés sur le registre de la population et le RSU, le registre social unifié…
-Oui, formellement consultés.
Nous avons fait des observations, plusieurs séances de travail avec le ministère de l’intérieur, des échanges fructueux, passionnés et passionnants. Nous avons été ensuite surpris de voir le projet de loi transmis à la Chambre des conseillers le 17 février dernier, sans que nous ayons eu l’occasion de conclure. Mais nous ne désespérons pas, la loi permet à chacune des deux chambres de nous consulter. Espérons qu’elles ressentiront le besoin de recueillir notre avis.
Nous pensons qu’il est important de se projeter dans la vie sociétale et le type de société dans lequel nous souhaitons vivre.
Par exemple, quand je vais voir mon médecin à Agadir, je n’ai pas envie qu’il accède facilement à mes informations fiscales ou de revenus. C’est pourquoi nous ne sommes pas favorables à un identifiant unique public.
Nous sommes favorables à la segmentation et aux identités sectorielles.
L’Etat, pour ses différentes politiques de ciblage ou pour tout ce qui est lié à la sécurité intérieure ou extérieure de l’Etat, ou dans le cadre d’une procédure judiciaire, est en mesure de faire les croisements.
L’identifiant unique va exister mais à notre sens, il faut qu’il reste technique, sous contrôle régalien
-Identités segmentées ou sectorielles, cela signifie un numéro pour santé, un autre pour la fiscalité, un troisième pour la CNSS et ainsi de suite...
-Oui.
J’ouvre une parenthèse. Souvent, on nous avance une finalité mais on refuse de nous parler du comment.
Je réponds : le pourquoi n’est pas contesté, mais le comment est important, et peut être discuté.
Pour le ciblage donc des programmes sociaux, il suffit d’avoir un identifiant unique sectoriel dédié pour le social, soit un identifiant sectoriel unique pour le secteur du social.
Et après, les interconnexions, pour les politiques de ciblage, pourront se faire par l’Etat, afin de déclarer les gens éligibles. Mais après avoir défini la dimension d’éligibilité, il y a des choses qu’il faudra confiner … puisque le terme est d’actualité. Nous pouvons expliquer cela dans le détail.
-C’est votre principale réserve sur le RSU et le registre de la population…
-Cela permettra aussi de faire émerger un centre de "tiers de confiance" national qui permettra de gérer la dimension authentification. A titre d’exemple, nous sommes en train de réfléchir avec des banques et d’autres acteurs sur la manière de faire.
Quand je souhaite accéder à un service que m’offre une banque ou une assurance, j’ai besoin de faire deux opérations en cascade : Au début, je m’authentifie, il est vérifié que moi c’est moi. Une fois que le fournisseur de service sait que c’est moi, c’est à lui de définir les habilitations et les niveaux de service auxquels j’ai droit.
Donc, on doit séparer ce qu’on appelle les données d’authentification et les données d’usage. C’est également une de nos recommandations. La segmentation va permettre de le faire de façon meilleure.
Nous sommes pour la rationalisation des financements des programmes sociaux. Nous sommes pour le RSU, Avec les ajustements annoncés, la carte nationale peut permettre de le réaliser sans attendre et sans perdre de temps à mettre en place un RNP compliqué en termes de protection des données à caractère personnel C’est un sujet qui mérite des études plus approfondies, et pas que par des grands cabinets qui n’appréhendent pas forcément les problématiques sociétales, en tout cas, pas autant que les concernés. Le modèle marocain ne devrait peut-être pas être le fruit de ces seuls cabinets. D’où l’importance de la Commission Spéciale sur le Modèle de Développement.
Tout l’impact que le numérique peut avoir sur l’orientation ou la manipulation politique doit être étudié, analysé.
-Vous réfléchissez aussi au reste je suppose, les usages, les enfants, les aspects culturels, les monopoles des grandes plateformes…
-La façon avec laquelle nous allons appréhender tous ces sujets-là, va impacter le digital dans notre pays.
Aujourd’hui, l’enjeu est la protection du citoyen dans l’écosystème numérique, pas simplement la protection de ses données.
C’est aussi la protection des capacités de choix du citoyen, qu’il s’agisse de choix de consommation ou des choix politiques.
Tout l’impact que le numérique peut avoir sur l’orientation ou la manipulation politique doit être étudié, analysé.
C’est ainsi que nous pourrons construire un digital de confiance et pas simplement un digital technique. Un digital d’usages responsables, et pas simplement un digital de connectivité.
-Ça commence du moteur de recherche jusqu’à l’intelligence artificielle, l’orientation des choix…
-C’est large, c’est compliqué, cela ne doit pas rester une question de techniciens, cela porte forcément une dimension sociétale, les anthropologues, les sociologues, les sciences humaines doivent s’intéresser à ce genre de problématiques, et c’est ainsi qu’on réussira un numérique citoyen et pas un numérique de consommation et de solutions commerciales.
On dit que "la seule vraie sécurité, c’est le fait de ne pas être connecté". Mais en même temps, si on n’est pas connecté, on est hors du temps.
-Est-ce que vous avez personnellement un compte Gmail ?
-Vous voulez savoir si je peux demander à la CNDP de venir me protéger ?
-Comment naviguez-vous sur le web?
-Dans ma vie antérieure, j’ai eu des comptes Gmail qui doivent exister encore.
Aujourd’hui, ma fonction, et celle de la CNDP, est d’aller naviguer dans tout ce qui émerge comme solutions pour pouvoir comprendre.
Je vais vous citer un adage qui est utilisé en sécurité informatique : "la seule vraie sécurité, c’est le fait de ne pas être connecté". Mais en même temps, si on n’est pas connecté, on est hors du temps.
La spécificité de notre secteur, c’est à la fois d’être dans le temps mais en même temps d’essayer de comprendre les enjeux, d’essayer d’imaginer, de recommander, de préconiser des pratiques particulières, d’espérer qu’un jour il y ait une autonomie dans la gestion de l’essentiel, qui soit plus forte. Mais il est clair qu’aujourd’hui, les solutionnistes pourraient dire il y a Google et Apple qui préparent une application sur le contact tracing, autant la prendre.
Nous sommes donc heureux que les responsables essaient de développer une application marocaine.
Le fait que nous appelions les responsables à faire attention à tel ou tel aspect, ne signifie pas que nous ignorons ce courage politique qui a consisté à aller très vite pour essayer de mettre en place une solution et avancer.
Lorsqu’on monte dans une voiture, on ne sait pas ce qui va se passer. Le plus important, c’est de savoir maîtriser le volant, c’est là qu’on retrouvera la valeur du citoyen numérique marocain.
Vous avez un projet immobilier en vue ? Yakeey & Médias24 vous aident à le concrétiser!Si vous voulez que l'information se rapproche de vous
Suivez la chaîne Médias24 sur WhatsAppPropos recueillis par Naceureddine Elafrite
Le 20 avril 2020 à 13h51
Modifié 11 avril 2021 à 2h45
