La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) l'avait annoncé le 22 octobre. Voici les conclusions auxquelles a abouti sa réunion du 27 octobre au sujet du pass vaccinal-sanitaire. Un nouveau pas vers le renforcement de la confiance numérique.

La CNDP estime qu'il y a des améliorations à apporter. Elle a examiné toutes les questions que l'opinion publique, indiquant lorsqu'il le faut que la question est située hors de son champ de compétence. Sur le contrôle des pas et l'habilitation des contrôleurs, elle recommande d'étudier ce point avec sérieux.

"Sur la question de court délai donné au public pour se préparer à l'entrée en vigueur du pass vaccinal, la Commission du droit d’accès à l’information (CDAI), en charge du bon exercice de la loi 31-13, s’exprimera sur le sujet dans les prochains jours", annonce la CNDP.

Enfin, la commission saisit l'occasion de demander au Chef du gouvernement, l'organisation d'un séminaire gouvernemental au sujet de l'architecture des identifiants.

Voici le texte intégral du communiqué, daté du jeudi 28 octobre 2021 :

"Comme évoqué dans son communiqué du 22 octobre 2021, la CNDP a tenu une réunion extraordinaire ce mercredi 27 octobre 2021, en vue de statuer, du point de vue de la protection des données à caractère personnel, sur le processus de déploiement du pass vaccinal (qui a évolué positivement vers un pass sanitaire) ainsi que sur certains éléments du débat public. Ce déploiement est, aujourd’hui, annoncé comme limité dans le temps pendant la période de l’état d’urgence sanitaire.

La CNDP rappelle que sa mission est, entre autres, de contrôler la protection des données à caractère personnel indépendamment de leurs supports (papier, numérique, son, image…).

Le pass sanitaire, à ce jour, présente :
• des informations lisibles ;
• un QR code à usage au Maroc ;
• un QR code à usage en Europe.

L’usage des données à caractère personnel doit respecter la loi 09-08, et ainsi prendre en compte le principe de proportionnalité, tout en respectant les finalités affichées.

La finalité du déploiement du pass sanitaire comme outil de contrôle d’accès n’est pas dans l’esprit de restreindre les mouvements des citoyens, mais plutôt de favoriser un mouvement responsable qui puisse :
• renforcer la santé collective ;
• favoriser les prérequis d’une reprise étendue de l’activité économique ;
• accompagner la mobilité des citoyens et des résidents au Maroc, sur les plans national et international.

Relativement à cette finalité, la CNDP considère que, malgré quelques améliorations à réaliser, le principe de proportionnalité au sein de l’application en sa version actuelle est respecté :
• La lecture du QR code à usage au Maroc ne permet d’accéder qu’aux informations déjà disponibles et lisibles en clair sur le pass sanitaire. Aucune connexion à un quelconque serveur n’est opérée. De ce fait, aucune traçabilité des mouvements des citoyens n’est déployée par ce canal.
• La lecture de QR code à usage en Europe nécessite une connexion à des serveurs gérés par les autorités européennes, réglementée par les lois européennes de protection des données à caractère personnel. Ce QR code à usage en Europe est mis à la disposition des citoyens marocains au seul but de faciliter leur mobilité internationale.

Les améliorations demandées sont :

• Publication des mentions légales adéquates.

• Inhibition de la capacité à réaliser des captures d’écran pouvant ouvrir la voie à un potentiel usage non civique du contrôleur d’accès. Cette inhibition des captures d’écran permettra d’éviter le stockage local des informations affichées.

Par ailleurs, la CNDP évaluera avec les développeurs de l’application mobile l’impact sur la protection des données à caractère personnel, en cas de volonté de publication de cette dernière sur les différentes stores (Google Store, Apple Store, etc.).

La CNDP considère, en l’état actuel des informations dont elle dispose, que l’usage de l’application mobile ne présente pas de risque de traçage systématique, ni d’accès à des informations autres que celles déjà lisibles à l’oeil nu sur le pass sanitaire.

La CNDP continuera à suivre les développements à venir, et signalera au responsable de traitement et aux citoyens tout risque identifié.

Par ailleurs, la CNDP se tient à la disposition des citoyens pour recueillir et instruire toute plainte relative à un non-respect des données à caractère personnel.
La CNDP attire l’attention des différentes institutions, organismes et entreprises sur l’esprit du déploiement en cours du pass sanitaire qui ne doit occasionner aucun stockage.

A titre d’exemple, les acteurs qui décident de stocker les pass sanitaires de leurs collaborateurs, ou les informations qui y figurent, deviennent de facto des responsables de traitement au sens de la loi 09-08, et de ce fait, doivent s’y conformer en faisant les notifications nécessaires auprès de la CNDP.

Concernant les autres éléments du débat :

• Obligation ou pas de la vaccination : ce point n’est pas du ressort de la CNDP qui se fie aux autoritaires sanitaires pour traiter ce sujet.

• Habilitation des contrôleurs d’accès à demander la présentation du numéro de carte nationale : la CNDP considère que le sujet est en rapport avec la crainte des citoyens de voir leurs numéros d’identifications accessibles par des acteurs non habilités, augmentant le risque de réutiliser ce numéro d’identification à d’autres fins. Ce point doit être étudié avec sérieux, surtout si cette pratique s’inscrit dans notre quotidien, au-delà de la période de l’état d’urgence sanitaire. La mise en place d’un identifiant sectoriel spécifique au pass sanitaire peut être une solution.

• Importance d’une préparation préalable et d’une information en amont pour laisser le temps nécessaire à la préparation du déploiement : ce point n’est pas du ressort de la CNDP. La Commission du droit d’accès à l’information (CDAI), en charge du bon exercice de la loi 31-13, s’exprimera sur le sujet dans les prochains jours.

Ainsi, la CNDP décide de lancer une consultation sur la mise en place d’une couche d’identifiants sectoriels, qui devrait protéger l’existence d’un identifiant moins sectoriel nécessaire pour la planification des politiques publiques, pour l’exécution des procédures judiciaires et des éléments pouvant avoir trait aux questions de sécurité intérieure ou extérieure de l’État.

Les premières étapes de cette consultation se feront par la proposition de la création d’un groupe de travail avec le Ministère de la Santé et le Ministère l’Intérieur.

En dernier lieu, la CNDP sollicite Monsieur le Chef du Gouvernement pour l’organisation d’un séminaire gouvernemental dédié à la définition d’une architecture des identifiants du point de vue de la protection des données à caractère personnel, en conformité avec la Constitution de notre pays et avec les conventions internationales ratifiées par le Royaume. Les différents concepts doivent au-delà d’une vision simplement technicienne, prendre en considération les impératifs du renforcement de la confiance numérique, préalable aux nécessaires avancées d’un déploiement responsable du digital au service de notre économie et de notre société". [Fin du communiqué]