La souveraineté numérique se gagne par la loi, la maîtrise et la confiance (Omar Seghrouchni)

«Cela fait deux ans que nous alertons, sensibilisons, expliquons. Aujourd’hui, nous allons faire appliquer la loi 09-08, y compris ses sanctions», annonce-t-il. Sanctions financières, pénales, voire retrait d’autorisations : la CNDP active désormais tous les leviers juridiques dont elle dispose. L’objectif n’est pas punitif, affirme-t-il, mais constructif : il s’agit de créer une culture marocaine de la donnée, fondée sur la responsabilité, le civisme numérique et la transparence.

Le message est clair : le temps de l’indulgence est révolu. Il s’adresse aussi bien aux grandes institutions qu’aux professions libérales, aux commerçants, aux notaires, aux hôteliers. À tous ceux qui collectent, stockent, utilisent ou vendent de la donnée personnelle sans respecter les règles. Et à ceux qui refusent de se mettre en conformité. «Certains nous appellent pour nous dire : “je n’ai ni le temps ni l’envie de respecter cette loi”», rapporte-t-il. «Ce n’est pas une menace de notre part. C’est simplement la loi.»

Mais que recouvre au juste la notion de «souveraineté numérique» ? Pour M. Seghrouchni, c’est là le cœur du malentendu : le concept est mal compris, voire galvaudé. «Si l’on entend par souveraineté le fait d’enfermer toutes nos données dans un coffre-fort, cela n’a pas de sens. Le digital, par essence, casse les frontières. La souveraineté ne signifie pas isolement. Elle signifie maîtrise, encadrement, régulation.» Autrement dit, la souveraineté numérique du Maroc ne se décrète pas contre le monde, mais se construit avec lucidité, en choisissant ses alliances, ses normes, ses partenaires. «On ne peut pas copier-coller le RGPD européen, ni le modèle californien ultra-libéral. Il faut un modèle utile au Maroc, aligné avec nos priorités, nos institutions, notre réalité.»

Depuis les cyberattaques d’avril, la CNDP a ouvert sa propre enquête. «Nous publierons nos résultats à l’automne. Chaque institution visée fera de même. Chacun est responsable de son périmètre.» Mais le président l’assure : si la CNDP agit seule sur le plan de la régulation, elle coopère étroitement avec d’autres acteurs, comme la Direction générale de la sécurité des systèmes d’information (DGSSI), chargée des audits techniques dans le cadre de la loi 05-20 sur la cybersécurité. M. Seghrouchni tient à ce que les rôles soient clairement définis. «La CNDP ne fait pas de cybersécurité, elle encadre le traitement de la donnée. Il ne faut pas tout confondre. Il y a le permis de conduire – l’autorisation de traiter les données – et il y a le contrôle technique – l’aspect cyber. Les deux doivent coexister.»

Face à la montée des inquiétudes, la CNDP prépare aussi des solutions. Elle travaille à structurer un écosystème d’accompagnement certifié : les entreprises elles-mêmes ne seront pas certifiées, mais les prestataires (juristes, consultants, avocats) qui les accompagnent dans leur mise en conformité le seront. Une sorte de «DPO à la marocaine», pour créer un réseau d’experts de proximité. En parallèle, la Commission plaide pour une réflexion plus large sur les incitations fiscales en faveur des PME. «Il n’y a pas de petite ou grande donnée. Toute donnée crée de la valeur. Et donc toute donnée mérite protection.» L’idée d’encourager les entreprises à investir dans leur cybersécurité par des aides ciblées ne serait «pas une fausse bonne idée», glisse-t-il.

Sur le plan législatif, la CNDP mène des réflexions pour faire évoluer la loi 09-08. Parmi les propositions : instaurer l’obligation de déclaration des brèches de sécurité dans un délai de 72 heures, à l’image du RGPD. «Ce n’est pas nouveau. Ce sont des pratiques internationales que nous avons déjà anticipées. Mais il reste encore beaucoup à faire avec la loi actuelle.» Les critiques sur l’obsolescence du texte sont balayées. «Dire que la loi est insuffisante, c’est une posture médiatique. Nous avons déjà les outils nécessaires. Ce qui manque, c’est leur application.»

Dans la perspective de la CAN 2025 et du Mondial 2030, la CNDP s’inquiète également de la prolifération des caméras de vidéosurveillance et des technologies d’intelligence artificielle. «Oui, il faut de la sécurité. Mais il faut aussi garantir que personne ne regarde n’importe quoi n’importe quand. C’est une question de confiance citoyenne.» Des auditions du ministère de l’Intérieur, de la DGSN et de la Gendarmerie Royale sont prévues.

En définitive, le combat de la CNDP n’est pas celui d’un gendarme numérique autoritaire. C’est celui d’un régulateur qui veut accompagner une transition responsable. «Notre objectif, c’est que le digital devienne un levier de progrès, pas un facteur de peur.» À l’heure où le Maroc renforce sa visibilité sur la scène mondiale, cette confiance numérique devient une condition sine qua non de souveraineté, d’attractivité et de sécurité. Et elle passe, selon Omar Seghrouchni, par une équation simple : appliquer la loi. Ni plus, ni moins.

• Maîtrise des flux de données : localisation, traçabilité, transparence des traitements.
• Régulation ferme et cohérente : application des lois existantes, certification des prestataires.
• Confiance numérique citoyenne : éducation à la donnée, responsabilisation des acteurs, fin de l’impunité.