Données personnelles : détournement à outrance
Le communiqué de la Commission nationale de protection des données à caractère personnel (CNDP) datant du 9 janvier 2023 a de quoi irriter tous les citoyens. Surtout ceux qui ont eu affaire avec le prestataire de collecte de demandes de visas pour le compte des consulats de France, d’Italie, de Belgique, d’Allemagne et du Royaume-Uni au Maroc. Cette firme internationale, dénommée TLScontact, envoyait à leur insu ses enregistrements de vidéo surveillance aux gouvernements étrangers. La CNDP parle même d’un transfert régulier (toutes les cinq minutes). Présente dans plusieurs pays en Afrique, en Europe et en Asie, TLScontact affirme pourtant respecter les dispositions législatives en vigueur, en particulier le règlement général européen sur la protection des données n°2016/679 du 27 avril 2016, entré en vigueur le 25 mai 2018 dans l’Union européenne. «TLScontact n’effectue aucune activité de profilage. Les Responsables du Traitement susmentionnés (nos Clients, c’est-à-dire les Missions Diplomatiques) peuvent, toutefois, avoir recours au profilage», peut-on lire sur le site du prestataire. L’entreprise certifie que les images de vidéosurveillance sont utilisées à des fins de surveillance générale. Alors pourquoi envoyer les images de vidéosurveillance censées servir pour la protection des locaux de TLScontact si ce n’est pour analyser ou prédire des éléments concernant les personnes filmées ?
Lire aussi : Visas : stop à l’humiliation !
Des sanctions en vue ?
La non notification à la CNDP de ce transfert d’images de vidéosurveillance à des autorités gouvernementales étrangères «constitue en soi une infraction au regard des dispositions du chapitre VII de la loi n° 09-08 et expose son auteur aux sanctions prévues par celle-ci», rappelle l’instance présidée par Omar Seghrouchni. Tout en poursuivant l’instruction de ce dossier, la CNDP a demandé à TLScontact de mettre en conformité tous ses traitements de données à caractère personnel dans un délai ne dépassant pas le 28 février 2023.
Le principe de déclaration préalable auprès de la CNDP suppose un engagement de tout opérateur que le traitement sera effectué conformément aux dispositions de la loi. Cette déclaration a pour objet de permettre à la Commission nationale de contrôler le respect de ces dispositions et d’assurer la publicité du traitement des données personnelles. Chose que TLScontact n’a pas faite. À cause de ce grave manquement, des sanctions pourraient être prises à l’encontre de cette entreprise. Parce qu’il ne faut pas l’oublier, la loi octroie à la CNDP un pouvoir de sanctions même si elle n’en use presque jamais.
Selon Abderrazak Mazini, juriste-consultant en droit des TIC, la CNDP dispose, de par les textes en vigueur, de tous les pouvoirs nécessaires pour s’assurer auprès des responsables du traitement du respect par eux des mesures de protection des données personnelles, dont notamment enquêtes, visites sur place et sur pièces, convocations… «Je me demande est-ce que ces » intermédiaires » entre demandeurs de visas et ambassades ont besoin de placer des caméras de surveillance, d’enregistrer et traiter les images qui sont des données personnelles ? (…) Ont-ils été autorisés à transférer ces données à l’étranger ?», s’interroge-t-il.
Pour Khalid Ziani, expert IT & télécoms, il n’y a pas à tergiverser : «Tous les acteurs privés et publics devront respecter la loi 09-08 et encourront des sanctions s’ils ne le font pas. À noter que les sanctions peuvent être pénales dans certains cas». Le juriste Mazini précise pour sa part que l’article 60 de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, stipule qu’il est puni d’un emprisonnement de trois mois à un an de prison et d’une amende de 20.000 à 200.000 DH, ou de l’une de ces deux peines seulement, quiconque effectue un transfert de données à caractère personnel vers un État étranger, en violation des dispositions des articles 43 et 44 de la même loi.
Accélération de la réforme
L’affaire TLScontact a permis de relancer le débat sur l’urgence d’une refonte de la loi 09-08 et d’une réforme de la CNDP. Sous couvert d’anonymat, l’un des premiers cadres de cette Commission nationale nous a révélé qu’auparavant, l’instance disposait de peu de moyens pour assurer sa mission de protection des citoyens contre les abus d’utilisation des données de nature à porter atteinte à leur vie privée. «Nous avions du mal à exercer nos prérogatives. À défaut de sanctionner, on faisait tout pour convaincre les acteurs privés pour qu’ils adhèrent aux meilleures pratiques en matière de traitement des données personnelles», nous confie-t-il. Aux yeux de Khalid Ziani, la CNDP a passé une première étape d’information et de sensibilisation sur l’importance du respect de cette loi. «Ensuite elle a signé des conventions « Privacy by Design » puis « Data Tiqa » avec beaucoup d’administrations, de banques, de société de e-commerce, etc», poursuit-il.
Dans le même communiqué annonçant l’infraction commise par TLScontact, la CNDP a assuré qu’elle travaille d’arrache-pied pour la mise en place d’un Registre national pour le suivi des plaintes et des contrôles qui sera rendu public le 31 mars 2023. Et transparence oblige, dès le 12 janvier, une page dédiée a été lancée sur le site de la CNDP pour suivre les contrôles opérés. On apprend notamment que deux autres prestataires de gestion des demandes de visas (BLS International et CFS GCC Maroc) font l’objet d’une étude de la part des services de la CNDP.
Cette action, qui contribue à améliorer le climat de confiance numérique sur le territoire national, est saluée par les différents acteurs du digital. Pour eux, la CNDP est plus active ces derniers temps. Abderrazak Mazini estime pour sa part que l’arsenal juridique marocain est à même de protéger les citoyens contre l’utilisation frauduleuse de leurs données personnelles. «C’est la CNDP qui manquait de vigueur dans l’utilisation des pouvoirs qui lui sont dévolus, quoique depuis un moment on dénote de sa part une volonté de s’affirmer comme autorité de régulation (rappel à l’ordre du gouvernement à l’occasion de l’établissement du tracing pour prévenir la Covid-19, sans en informer la CNDP)», argumente-t-il.
Une instance au service des citoyens
À tout malheur quelque chose est bon. L’affaire TLScontact a accéléré les choses. Le 12 janvier, la CNDP a rendu public un second communiqué dans lequel elle assure qu’elle œuvre depuis plusieurs mois pour formaliser et finaliser sa transformation et sa mutation. Objectif : «déployer toutes les caractéristiques d’une administration agile au service des citoyens, des entreprises, des administrations et des entités publiques». Omar Seghrouchni et son équipe assurent avoir créé un « Front Office », recruté et formé des collaborateurs réactifs, dont l’esprit et la culture sont orientés services, et avoir rajeuni la moyenne d’âge des effectifs administratifs de la CNDP, aujourd’hui autour de la trentaine. Ces collaborateurs trentenaires seront en phase avec les générations « Digital Native » et les suivantes.
Côté process, l’institution a procédé à une révision des procédés d’instruction des dossiers (notification de traitement de données à caractère personnel, plaintes, contrôles, etc.) et leur outillage pour les rendre plus efficients dans des délais plus courts. L’institution va plus loin dans son engagement en annonçant une date butoir pour la finalisation de sa transformation, à savoir le 30 juin 2023. Commentant cette transformation accélérée de la CNDP, Khalid Ziani parle d’une nouvelle phase de sanctions pour les récalcitrants qui n’appliquent pas la loi. «On remarquera que c’est l’une des rares institutions qui défend les droits des usagers. Ce n’est pas le cas de l’Agence nationale de réglementation des télécommunications (ANRT) qui ne défend que les trois opérateurs télécoms», regrette notre interlocuteur.
Après la transformation de la CNDP, il s’agira de se pencher sur refonte de la loi 09-08. Nos partenaires étrangers ne badinent pas avec la protection des données personnelles. Il faudra qu’on s’aligne sur les standards internationaux en la matière. Aujourd’hui, nos informations sont collectées avec ou sans notre consentement par de nombreux organismes publics, privés et autres. Il est temps de verrouiller leur utilisation et de la contrôler dans le cadre d’une loi qui protège en premier lieu la vie privée des citoyens.
Mission de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP)
Créée par la loi n°09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) est chargée de vérifier que les traitements des données personnelles sont licites, légaux et qu’ils ne portent pas atteinte à la vie privée, aux libertés et droits fondamentaux de l’Homme.
La Commission est formée de personnalités notoirement connues pour leur impartialité, leur probité morale et leur compétence dans les domaines juridique, judiciaire et informatique.
Composition de la Commission
- Un président, nommé par Sa Majesté le Roi;
- Six membres, nommés également par Sa Majesté le Roi, suite à une proposition :
- Du chef du gouvernement – (deux membres) ;
- Du président de la Chambre des représentants (deux membres) ;
- Du président de la Chambre des conseillers (deux membres).
Les membres de la commission sont désignés pour une période de cinq ans, renouvelable une seule fois.