Protéger ses données à caractère personnel

La CNDP (Commission nationale de contrôle de la protection des données à caractère personnel) a été créée par la loi 09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Le décret 2-09-165 du 21 mai 2009 a précisé les modalités d’application.
Ces deux textes contribuent à traduire les articles 24 et 27 de la Constitution du Royaume.
L’article 24 précise que «toute personne a droit à la protection de sa vie privée», alors que l’article 27 indique que «… Le droit à l’information ne peut être limité que par la loi, dans le but d’assurer la protection de tout ce qui concerne la défense nationale, la sûreté intérieure et extérieure de l’Etat, ainsi que la vie privée des personnes, de prévenir l’atteinte aux droits et libertés énoncés dans la présente Constitution …».
Pas encore suffisamment connue, la loi 09-08 devient de plus en plus centrale dans notre vie digitale de tous les jours (chez le médecin, le laborantin, le notaire, les sociétés et compagnies de transport, le super-marché, l’école, l’opérateur téléphonique…).
La protection des données à caractère personnel n’est plus une affaire de juriste stricto sensu, mais devient sur le plan culturel une problématique sociétale à partager, à enrichir par le débat, à traduire et transposer en valeurs morales et comportementales.

La protection des données à caractère personnel n’est pas qu’une affaire technique à associer à des bases de données engrangeant vos prénoms, noms, date de naissance, vos informations biométriques et autres. Ce n’est pas, non plus, qu’une affaire de SMS intrusifs. C’est beaucoup plus que cela.
La technologie n’est pas neutre, elle n’est pas plus neutre que ne l’a été le développement de villes nouvelles (Casablanca, Fès, Marrakech, Mazagan, Meknès, Mogador, Ouezzane, Port-Lyautey, Rabat, Sefrou, Settat, Taza, …), de dispensaires, d’hôpitaux et d’écoles au moment du déploiement urbain et péri-urbain du Protectorat après 1912. Nos villes nouvelles, à venir, sont qualifiées d’intelligentes. Veillons à ce que leur déploiement soit tout aussi intelligent au regard de notre devenir et de nos intérêts légitimes.

Il ne s’agit pas de se limiter à protéger la data propulsée par la froideur d’un algorithme, mais de prendre en compte le devenir du citoyen plongé dans un monde numérisé, aujourd’hui, sans grande hygiène de vie digitale. Nous devons juguler la perte de maîtrise de nos données induite par les risques d’obésité numérique. Nous devons nous préserver d’un glissement de terrain institutionnel, conséquence d’un tsunami de données remettant en cause les équilibres de bonne gouvernance.

Le propos de cette tribune n’est pas de s’enfermer dans un propos alarmiste ou de porter un discours isolationniste rétrograde, mais plutôt de partager quelques questions sur notre devenir digital et l’impact de nos choix sur notre souveraineté. Les réponses à ces questions ne sont pas évidentes, voire encore indisponibles. Elles sont probablement à construire dans le cadre de processus de réflexions partagées et de concertations largement déployées.

Une société sans débat n’est peut-être pas une société qui peut évoluer

Analysons-nous la protection des données à caractère personnel sous le bon angle ? Aujourd’hui, tous nos faits, gestes, envies, émotions, etc., sont numériquement tracés ou traçables. Nous observons une «datafication» tous azimuts de notre vie quotidienne, de notre respiration. Est-ce que protéger nos données à caractère personnel est une question post-datafication ou pré-datafication ?

Comme il a fallu marocaniser les hôpitaux et les écoles, n’est-il pas important d’analyser nos interactions avec cette «data-cratie mondiale» pour mieux transformer et préserver nos «démo-craties locales»?

S’agit-il de produire techniquement une pléthore de données pour tenter de les protéger après coup, ou faut-il réfléchir à un contrat digital socialement acceptable permettant de qualifier ce qui doit être numérisé pour rendre service au citoyen, ce qui devrait l’être sous certaines conditions, et ce qui ne devrait pas l’être ?
Nos Etats-Nations pourront-ils survivre à une data-cratie non raisonnée. Quid de la souveraineté numérique ?
Cette datafication massive de nos sociétés n’est pas qu’une histoire de techniciens, elle doit aussi être pensée et conçue par les spécialistes des sciences humaines (philosophes, sociologues, anthropologues, linguistes, géographes, historiens, spécialistes de l’éducation, juristes, etc.) et les citoyens qui portent les valeurs de progrès du monde de demain.

Nous devons aussi prendre en compte la protection des infrastructures et capacités d’exploitation physique et logique des Etats. Nous devons aussi avoir un droit de regard sur les algorithmes, véritable bistouri du monde moderne. Ainsi, de véritables compétences de datascientistes, psychiatres de notre moi numérique, doivent être développés au Maroc, afin de favoriser les capacités de gouvernance de nos données par des nationaux.
Il s’agit de se projeter dans un nouveau contrat social, un contrat socio-numérique, en mesure d’éviter que le digital consommé de façon non réfléchie ne livre l’individu, le citoyen à une génération de nouveaux empires, que d’aucuns dénomment les GAFAM.
Le débat ne fait que commencer. Il est à organiser. La CNDP souhaite y contribuer humblement.

 Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP)