Données Personnelles : La CNDP donne ses recommandations par rapport au Pass Vaccinal

La CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel) a tenu une réunion extraordinaire ce mercredi 27 octobre 2021, en vue de statuer, du point de vue de la protection des données à caractère personnel, sur le processus de déploiement du pass-vaccinal (qui a évolué positivement vers un pass-sanitaire) ainsi que sur certains éléments du débat public.

Ce déploiement, précise un communiqué de la CNDP reçu ce Jeudi 28 Octobre par La Vie éco, est aujourd’hui annoncé comme limité dans le temps pendant la période de l’état d’urgence sanitaire.

La CNDP rappelle que sa mission est, entre autres, de contrôler la protection des données à caractère personnel indépendamment de leurs supports (papier, numérique, son, image, …).

Le pass sanitaire, à ce jour, présente :

• Des informations lisibles.
• Un QR code à usage au Maroc.
• Un QR code à usage en Europe.

L’usage des données à caractère personnel doit respecter la loi 09-08 et, ainsi, prendre en compte le  principe de proportionnalité, tout en respectant les finalités affichées.

La finalité du déploiement du pass sanitaire comme outil de contrôle d’accès n’est pas dans l’esprit de restreindre les mouvements des citoyens, mais plutôt de favoriser un mouvement responsable qui puisse :

• Renforcer la santé collective ;
• Favoriser les prérequis d’une reprise étendue de l’activité économique.
• Accompagner la mobilité des citoyens et des résidents au Maroc, sur les plans national et international.
Relativement à cette finalité, la CNDP considère que, malgré quelques améliorations à réaliser, le principe de proportionnalité, au sein de l’application en sa version actuelle, est respecté :
• La lecture du QR code à usage au Maroc ne permet d’accéder qu’aux informations déjà disponibles et lisibles en clair sur le pass sanitaire. Aucune connexion à un quelconque serveur n’est opérée. De ce fait, aucune traçabilité des mouvements des citoyens n’est déployée par ce canal.
• La lecture de QR code à usage en Europe nécessite une connexion à des serveurs gérés par les autorités européennes, réglementée par les lois européennes de protection des données à caractère personnel. Ce QR code à usage en Europe est mis à la disposition des citoyens marocains au seul but de faciliter leur mobilité internationale.

Les améliorations demandées sont :

• Publication des mentions légales adéquates.
• Inhibition de la capacité de réaliser des captures d’écran pouvant ouvrir la voie à un potentiel usage non civique du contrôleur d’accès. Cette inhibition des captures d’écran permettra d’éviter le stockage local des informations affichées.

Par ailleurs, la CNDP évaluera avec les développeurs de l’application mobile l’impact sur la protection des données à caractère personnel en cas de volonté de publication de cette dernière sur les différentes stores (Google Store, Apple Store, etc…) .

La CNDP considère, en l’état actuel des informations dont elle dispose, que l’usage de l’application mobile ne présente pas de risque de traçage systématique, ni d’accès à des informations autres que celles déjà lisibles, à l’œil nu, sur le pass sanitaire.

La CNDP continuera à suivre les développements à venir et signalera, au responsable de traitement et aux citoyens, tout risque identifié.

Par ailleurs, la CNDP se tient à la disposition des citoyens pour recueillir et instruire toute plainte relative à un non-respect des données à caractère personnel.

La CNDP attire l’attention des différentes institutions, organismes et entreprises sur l’esprit du déploiement en cours du pass sanitaire qui ne doit occasionner aucun stockage.

A titre d’exemple, les acteurs qui décident de stocker les pass sanitaires de leurs collaborateurs, ou les informations qui y figurent, deviennent de facto des responsables de traitement au sens de la loi 09-08, et de ce fait, doivent s’y conformer en faisant les notifications nécessaires auprès de la CNDP.

Concernant les autres éléments du débat :

• Obligation ou pas de la vaccination : Ce point n’est pas du ressort de la CNDP qui se fie aux autoritaires sanitaires pour traiter ce sujet.
• Habilitation des contrôleurs d’accès à demander la présentation du numéro de carte nationale : la CNDP considère que le sujet est en rapport avec la crainte des citoyens de voir leurs numéros d’identifications accessibles par des acteurs non habilités augmentant le risque de réutiliser ce numéro d’identification à d’autres fins. Ce point doit être étudié avec sérieux, surtout si cette pratique s’inscrit dans notre quotidien, au-delà de la période de l’état d’urgence sanitaire. La mise en place d’un identifiant sectoriel spécifique au pass sanitaire peut être une solution.
• Importance d’une préparation préalable et d’une information en amont pour laisser le temps nécessaire à la préparation du déploiement : Ce point n’est pas du ressort de la CNDP. La CDAI (Commission du Droit d’Accès à l’Information, en charge du bon exercice de la loi 31-13) s’exprimera sur le sujet dans les prochains jours.

Ainsi, la CNDP décide de lancer une consultation sur la mise en place d’une couche d’identifiants sectoriels qui devrait protéger l’existence d’un identifiant moins sectoriel nécessaire pour la planification des politiques publiques, pour l’exécution des procédures judiciaires et des éléments pouvant avoir trait aux questions de sécurité intérieure ou extérieure de l’Etat.

Les premières étapes de cette consultation se feront par la proposition de la création d’un groupe de travail avec le Ministère de la Santé et le Ministère l’Intérieur.

En dernier lieu, la CNDP sollicite le Chef du Gouvernement pour l’organisation d’un séminaire gouvernemental dédié à la définition d’une architecture des identifiants du point de vue de la protection des données à caractère personnel, en conformité avec la Constitution de notre pays et avec les conventions internationales ratifiées par le Royaume. Les différents concepts doivent au-delà d’une vision simplement technicienne, prendre en considération les impératifs du renforcement de la Confiance Numérique, préalable aux nécessaires avancées d’un déploiement responsable du digital au service de notre économie et de notre société.