En réaction aux informations ayant circulé sur la volonté du gouvernement de mettre en place une application de « contact tracing » pour suivre les mouvements des populations, la commission nationale de la protection des données personnelles (CNDP) alerte sur la nécessité de conforter la confiance numérique.
En effet, dans le cadre des mesures entreprises par le Maroc pour faire respecter le confinement sanitaire, des informations indiqueraient que le gouvernement s’oriente vers une solution qui consiste à suivre les déplacements des citoyens à la trace pendant la pandémie. Il s’agit du « contract tracing », un procédé présenté comme étant la meilleure stratégie numérique d’identification des personnes ayant été au contact de personnes infectées. Cependant, cette solution poserait le problème du respect de la vie privée des citoyens.
« Cette annonce a immédiatement généré, une interrogation, et voire, une inquiétude citoyenne autour des risques de déploiement d’un Etat de surveillance dans le cas où les usages permis par cette application n’étaient pas respectueux des droits humains et encadrés juridiquement », fait savoir un communiqué de la CNDP.
Rappelant la mission de la commission, que lui confère la Constitution marocaine, de contrôler la protection des données numériques à caractère personnel et de la vie privée, la commission reconnait la particularité de la crise sanitaire actuelle et la nécessité de limiter la propagation du virus, mais indique que «pour maîtriser la propagation de la pandémie, en particulier lors de la phase de déconfinement à venir, nous ne pouvons nous permettre, pour l’intérêt collectif, de nous tromper de combat ».
Saluant les mesures anticipatives du gouvernement et le courage politique et opérationnel avec lequel les départements de la santé et de l’intérieur gèrent cette crise, la CNDP insiste sur « la nécessité de conforter la confiance, en particulier la confiance numérique : Si celle-ci n’est pas assurée, le nécessaire large usage de l’application de tracking s’en trouvera affecté et les résultats escomptés altérés ».
Aussi, la CNDP recommande que l’usage de ce type d’application soit déployé sur la base d’une confiance volontariste et non sur la base d’une obligation.
Pour assurer cette condition sine qua non de confiance concernant la collecte et l’utilisation des données à caractère personnel, la CNDP recommande de :
- Veiller à garantir la complémentarité annoncée comme nécessaire entre le pistage et l’usage de cette application, d’une part, et la politique de dépistage et de tests au COVID19, d’autre part. Ces deux dispositions vont de pair. L’insuffisance du dépistage peut remettre en cause l’intérêt du pistage.
- Justifier que cette complémentarité et les algorithmes utilisés répondent effectivement à la finalité du contrôle de la propagation de la pandémie.
- Veiller à définir, de façon explicite, la finalité stratégique et les moyens opérationnels et techniques pour l’atteindre. La finalité stratégique est le contrôle de la propagation de la pandémie. Les moyens opérationnels et techniques pour l’atteindre doivent distinguer les moyens de type « tracing » induits par des technologies comme le bluetooth et les moyens de type « tracking » induits par des technologies comme la géolocalisation et le GPS. Les moyens utilisés doivent être adéquats avec la finalité stratégique.
- Veiller à informer, en application du principe de transparence, l’utilisateur ciblé de la finalité affichée et des moyens utilisés pour l’atteindre.
- Veiller à ce que seules les autorités dûment habilitées (sanitaires, mais aussi le personnel d’autorité régulièrement affecté afin de faire respecter les décisions sanitaires), soient en mesure d’accéder, chaque agent selon ses missions, aux seules données à caractère personnel, jugées nécessaires à l’exécution de ses missions propres en conformité avec la finalité affichée.
- Veiller à ne pas réutiliser les données à caractère personnel autrement que pour la finalité affichée.
- Veiller à détruire les données collectées et générées à la sortie de l’état d’urgence sanitaire, sauf celles pouvant alimenter, de façon anonymisée et réglementaire, la recherche scientifique.
- Prendre en considération que l’administration, vu la sensibilité du sujet, ne peut recourir à l’acquisition de boîte noire (black box). Elle doit être en maîtrise complète des codes développés et des architectures mises en œuvre.
- Veiller à partager, voire rendre publics, le code développé, les architectures et les technologies utilisées en autorisant leur audit citoyen, ce qui permet aussi de respecter le principe de la publication proactive mais aussi de la procédure d’urgence prévue par la loi n°31-13 relative au Droit d’Accès à l’Information. Cet audit peut être également sollicité, par tout autre acteur, selon les mécanismes constitutionnels existants.
La CNDP se dit prête à coordonner avec les autorités gouvernementales pour « les accompagner à conforter le cadre de confiance numérique pouvant contribuer à gérer les deux priorités du moment : la gestion du risque sanitaire et le maintien de l’activité économique ». Pour les citoyens, la CNDP se dit également prête à répondre à leurs interrogations et inquiétudes au sujet du non-respect de leur vie privée et de leurs données à caractère personnel.