Omar Seghrouchni, président de la CNDP
Tout en alimentant les espoirs quant au proche dénouement de cette période de confinement qui nous a fait beaucoup de bien d'un point de vue sanitaire, mais autant de mal d'un point de vue psychologique et économique, la récente décision des autorités marocaines de lancer une application de traçage des mouvements des populations et des zones à risque en cette période de pandémie, n'a pas manqué de susciter quelques inquiétudes légitimes quant aux menaces qu'une telle application fait planer sur la vie privée et la liberté de circuler.
Dans notre article annonçant le lancement de cette application, nous avions longuement insisté sur ce point, interpellant par la même Omar Seghrouchni, le Président de la Commission Nationale pour la Protection des Données à Caractère Personnel (CNDP). Interpellation en réponse à laquelle Monsieur Seghrouchni nous avait répondu que l'instance qu'il dirige était en train de mûrir une réflexion sur ce chantier d'application traçante et qu'un avis allait nous être communiqué le plus tôt possible.
Cet avis vient de tomber sous la forme d’un communiqué de presse et il semble aujourd’hui évident que la CNDP n’a pas été consultée, ni impliquée dans le chantier de la future application de tracing. «La CNDP a pris connaissance, par voie de presse, de la volonté du gouvernement de mettre en place une application de contact tracing », reconnaît en effet la commission de Seghrouchni dans un communiqué, publié le 16 avril.
Dans notre article annonçant le lancement de cette application, nous avions longuement insisté sur ce point, interpellant par la même Omar Seghrouchni, le Président de la Commission Nationale pour la Protection des Données à Caractère Personnel (CNDP). Interpellation en réponse à laquelle Monsieur Seghrouchni nous avait répondu que l'instance qu'il dirige était en train de mûrir une réflexion sur ce chantier d'application traçante et qu'un avis allait nous être communiqué le plus tôt possible.
Cet avis vient de tomber sous la forme d’un communiqué de presse et il semble aujourd’hui évident que la CNDP n’a pas été consultée, ni impliquée dans le chantier de la future application de tracing. «La CNDP a pris connaissance, par voie de presse, de la volonté du gouvernement de mettre en place une application de contact tracing », reconnaît en effet la commission de Seghrouchni dans un communiqué, publié le 16 avril.
Le même communiqué souligne que la décision prise par le ministère a généré, l’interrogation, et l’inquiétude des citoyens autour des risques de déploiement d’un état de surveillance dans le cas où les usages permis par cette application n’étaient pas respectueux des droits humains et encadrés juridiquement.
Dans ce sens, la CNDP insiste sur la nécessité de conforter la confiance, en particulier la confiance numérique, ajoutant que «si celle-ci n’est pas assurée, le nécessaire large usage de l’application s’en trouvera affecté et les résultats escomptés altérés». De ce fait, elle recommande que "l’usage de ce « type d’application soit déployé » non pas par obligation, mais plutôt à travers une démarche de confiance volontariste".
La CNDP liste ses recommandations
Dans ce sens, la CNDP insiste sur la nécessité de conforter la confiance, en particulier la confiance numérique, ajoutant que «si celle-ci n’est pas assurée, le nécessaire large usage de l’application s’en trouvera affecté et les résultats escomptés altérés». De ce fait, elle recommande que "l’usage de ce « type d’application soit déployé » non pas par obligation, mais plutôt à travers une démarche de confiance volontariste".
La CNDP liste ses recommandations
Pour assurer cette condition "sine qua non" de confiance concernant la collecte et l’utilisation des données à caractère personnel, la Commission recommande au gouvernement de veiller à garantir la complémentarité annoncée comme nécessaire entre le pistage et l’usage de cette application, d’une part, et la politique de dépistage et de tests au COVID19, d’autre part. Ces deux dispositions vont de pair, précise le communiqué qui souligne avec force éloquence: "L’insuffisance du dépistage peut remettre en cause l’intérêt du pistage".
La CNDP appelle également à justifier que cette complémentarité et les algorithmes utilisés répondent effectivement à la finalité du contrôle de la propagation de la pandémie. Elle recommande dans ce cadre de définir, de façon explicite, la finalité stratégique et les moyens opérationnels et techniques pour l’atteindre, notamment en précisant la technologie qui sera utilisée, Bluetooth, GPS, etc. Il s’agit également de ne pas réutiliser les données à caractère personnel autrement que pour la finalité affichée, tout en détruisant les données collectées et générées à la sortie de l’état d’urgence sanitaire, sauf celles pouvant alimenter, de façon anonymisée et réglementaire, la recherche scientifique.
La commission prévient enfin qu'au vu de la sensibilité du sujet, "l'administration ne peut recourir à l’acquisition de boîte noire (black box). Elle doit être en maîtrise complète des codes développés et des architectures mises en œuvre". La CNDP recommande pour cela de partager, voire rendre publics, le code développé, les architectures et les technologies utilisées en autorisant leur audit citoyen, ce qui permet aussi de respecter le principe de la publication proactive mais aussi de la procédure d’urgence prévue par la loi n°31-13 relative au Droit d’Accès à l’Information. Cet audit peut être également sollicité, par tout autre acteur, selon les mécanismes constitutionnels existants".
A la décharge du ministère de l'intérieur, il importe de rappeler que le cahier des charges qu’il a émis insiste sur le fait que la prochaine solution doit-être en open source. Ce qui constitue une garantie, du moins technologique, contre tout éventuel abus ou tentation liberticide.
La commission prévient enfin qu'au vu de la sensibilité du sujet, "l'administration ne peut recourir à l’acquisition de boîte noire (black box). Elle doit être en maîtrise complète des codes développés et des architectures mises en œuvre". La CNDP recommande pour cela de partager, voire rendre publics, le code développé, les architectures et les technologies utilisées en autorisant leur audit citoyen, ce qui permet aussi de respecter le principe de la publication proactive mais aussi de la procédure d’urgence prévue par la loi n°31-13 relative au Droit d’Accès à l’Information. Cet audit peut être également sollicité, par tout autre acteur, selon les mécanismes constitutionnels existants".
A la décharge du ministère de l'intérieur, il importe de rappeler que le cahier des charges qu’il a émis insiste sur le fait que la prochaine solution doit-être en open source. Ce qui constitue une garantie, du moins technologique, contre tout éventuel abus ou tentation liberticide.
La CNDP bonne joueuse
Bien qu’elle ait été mise sur le banc de touche, durant le processus de réflexion et de décision, la CNDP a souligné qu’elle se tient à la disposition des autorités gouvernementales pour les accompagner à conforter le cadre de confiance numérique pouvant contribuer à gérer les deux priorités du moment, notamment la gestion du risque sanitaire et le maintien de l’activité économique. Cependant, elle précise qu’en vue de réaliser un rapport sur le respect de la protection des données à caractère personnel pendant la période d’urgence sanitaire, elle sollicitera les administrations concernées pour recueillir toutes les informations utiles à cet effet.
