Omar Seghrouchni : «Nos institutions veillent au grain»

L’affaire des leaks dont aura été victime le ministère de l’Enseignement supérieur, de la recherche scientifique et de l’innovation, en décembre 2022, a fait couler beaucoup d’encre. Une affaire qui nous interpelle sur l’aptitude des organismes publics, mais aussi privés, à protéger les données personnelles des citoyens marocains. Surtout lorsque l’on sait que les attaques informatiques ont augmenté ces dernières années, non seulement au Maroc, mais partout dans le monde. Retour sur les tenants et les aboutissants de cette affaire, mais aussi sur les projets actuels de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), la création d’un pôle dédié à la santé, ou encore les lacunes de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Le président de la Commission revient également sur les chantiers actuels qui devront renforcer le rôle du régulateur.

Plusieurs médias ont fait état d’une attaque informatique visant récemment le ministère de l’Enseignement supérieur. Qu’en est-il selon vous ?
Il serait, tout d’abord, plus exact de parler de leaks ou de fuites, ou plus exactement de la disponibilité au sein du dark web de données à caractère personnel dont certaines peuvent ressembler à celles manipulées par le ministère de l’Enseignement supérieur, de la recherche scientifique et de l’innovation (MESRSI). Il n’est pas attesté, à ce jour, que le ministère soit à l’origine de ces leaks ou qu’il soit le seul à manipuler cette typologie de données. L’instruction suit son cours. Il faut la gérer avec calme et sérénité, sans conclusions hâtives et sans excès de zèle. Nous avons devant nous des institutions responsables. Notre objectif est de favoriser la mise en place de solutions et de ne pas nous contenter de pointer du doigt tel ou tel dysfonctionnement potentiel.

Comment la CNDP a-t-elle traité cette affaire et avez-vous observé un quelconque manquement de la part du ministère ?
La CNDP a contacté rapidement le MESRSI qui a été très réactif. Les échanges ont été initiés pendant un week-end et plusieurs réunions ont été tenues les jours qui ont suivi. Pour bien comprendre, il faut savoir qu’il y a différents niveaux de conformité, notamment juridique, organisationnel et technique. Le niveau juridique signifie que vous avez fait, auprès de la CNDP et comme l’exige la loi 09-08, les déclarations ou les demandes d’autorisation préalable, et ce, avant la mise en œuvre des traitements de données à caractère personnel. Le niveau de la conformité juridique matérialise les engagements à prendre par le responsable de traitement pour être conforme à la loi 09-08. Celui-ci se doit, par la suite, d’honorer ses engagements au niveau organisationnel et au niveau technique. Par exemple, sur le plan organisationnel, il ne doit pas laisser les documents en papier contenant des données à caractère personnel traîner n’importe où, au risque de les voir chez des marchands de fruits secs ou autres. Concernant le MESRSI, la CNDP a constaté une défaillance au niveau de la conformité juridique, puisque les traitements de données à caractère personnel du portail Tawjihi.ma n’ont pas été notifiés à la CNDP avant leur mise en œuvre. Il est à noter, cependant, que le MESRSI avait décidé, par la suite, d’arrêter ces traitements et d’entamer les démarches pour leur mise en conformité.

Que risque le ministère pour cette défaillance ?
Sans préjuger des suites qui seront données après le constat de cette défaillance juridique, le MESRSI et la CNDP ont signé une convention Data Tika. Le ministère s’est engagé à mettre en conformité tous ses traitements de données à caractère personnel dans un délai ne dépassant pas le 31 janvier 2023. Nous voyons qu’il n’y a pas que du négatif. Nous souhaitons transformer tout cela en une belle opportunité qui permettra de rehausser le niveau de conformité à la loi 09-08 de tout l’écosystème de l’enseignement supérieur. Cette convention a été signée le 30 décembre dernier en présence de tous les présidents des universités publiques.

Cette affaire nous interpelle sur le niveau de sensibilité des informations personnelles détenues par les établissements publics et les entreprises marocaines. Sont-ils suffisamment protégés contre les cybercrimes ?
Vous savez, je fais assez souvent référence à l’essayiste Paul Virilio, qui disait en substance, qu’en inventant le train, on a créé l’accident de train. En inventant l’avion, on a créé l’accident d’avion. Nous pourrions ainsi dire qu’en inventant le cyber, on a créé les cyberattaques. Il faut retenir deux choses. La première est que les cyberattaques constituent un mal du monde moderne avec lequel il faut vivre. C’est pour cela qu’il faut se conformer sur les plans juridique, organisationnel et technique.
La seconde est que la presse parle de plus en plus des cyberattaques. Cela ne veut pas dire qu’il y en avait moins dans le passé. La protection doit clairement être renforcée. C’est une lapalissade. Il n’y a pas besoin d’être un expert pour le savoir.

Observez-vous une réelle prise de conscience quant à ces risques ?
Pas vraiment, ou plutôt pas encore. Il faut y travailler, de façon soutenue, que ce soit au niveau des citoyens ou des utilisateurs au sein des entreprises et des administrations. Ce que je peux dire en revanche, c’est que le Maroc dispose de plusieurs autorités qui œuvrent pour circonscrire ce mal moderne, notamment la Direction générale de la sécurité des systèmes d’information (DGSSI), la Direction générale de la sûreté nationale (DGSN), la Brigade nationale de la police judiciaire (BNPJ) et le Ministère public. Les institutions nationales sont efficaces et veillent au grain.

Du côté législatif, le Maroc est bien outillé, mais est-ce suffisant ?
Nous avons encore beaucoup de travail à faire. La loi 09-08 n’est pas encore bien connue. Nous avons fait des progrès ces dernières années. Peuvent en témoigner les enquêtes de l’Agence nationale de réglementation des télécommunications. En 2018, seuls 17% des interrogés avaient déjà entendu parler de la CNDP. Ce chiffre est passé à 37% en 2019, puis 47% en 2020 et a dépassé les 50% en 2021. Mais il ne faut surtout pas verser dans l’autosatisfaction. Cela ne veut pas dire grand-chose. Connaître la CNDP ne signifie pas comprendre les tenants et les aboutissants de la loi 09-08 et de la protection des données à caractère personnel. Il y a encore beaucoup à faire. Il faut arriver à gérer la protection des données à caractère personnel comme une culture, une hygiène de vie, un réflexe… Nous disons souvent que «pour vivre digital, il faut respirer protection des données».

Justement, comment avance le chantier de l’amendement de la loi 09-08 et que changera-t-il concrètement ?
C’est assez simple. Il faut pouvoir alléger le contrôle a priori et renforcer celui a posteriori. On ne peut pas contrôler tout le monde. La protection des données à caractère personnel doit être assimilée à un comportement civique. Et puisqu’on ne peut pas contrôler tout le monde, il faut que les sanctions, en cas d’infraction constatée, soient sévères. Par ailleurs, il faut généraliser le respect des données à caractère personnel et celui de la vie privée, à tous les niveaux et dans tous les cursus de formation (primaire, secondaire et supérieur).
Il faut également utiliser tous les canaux, que ce soit les associations, la télévision, la radio, les réseaux sociaux… La future loi doit donc prévoir d’intégrer tout ce qui permettra de faire de la protection des données à caractère personnel une culture positive.

Vous avez accompagné le ministère de la Santé pour la généralisation de l’Assurance maladie obligatoire. Un pôle dédié à la santé verra-t-il le jour à la CNDP ?
Nous avons effectivement travaillé sur ce sujet avec la Caisse nationale de la sécurité sociale. Nous avons adopté une approche «écosystème» qui consiste à gérer l’ensemble des acteurs, simultanément, en évitant d’avoir, comme on dit, la tête dans le guidon.
Pour répondre à votre question, oui nous sommes en train de structurer une équipe dédiée au secteur de la santé au sein de la CNDP. Il y a beaucoup à faire et les choses peuvent être parfois difficiles. Pour le secteur de la santé, comme pour tous les autres secteurs, il faut arriver à dépasser certaines mauvaises habitudes. Nous y travaillons. La collaboration avec le ministre de la Santé est excellente. Nous espérons que nous allons pouvoir concrétiser un certain nombre d’objectifs.

Vous avez entamé plusieurs chantiers, notamment la réorganisation de la CNDP. Sur quels projets travaillez-vous actuellement ?
Nous avons plusieurs projets en cours, mais le principal à mon avis est celui relatif à la poursuite de la formation et le développement de nos équipes qui ont énormément de mérite, car ce sont elles qui portent les transformations en cours, et souvent dans un contexte de stress avancé. Il n’est pas évident de devenir une administration agile au service des citoyens, des entreprises et des institutions publiques. Surtout que nous ne disposons pas encore de tous les moyens nécessaires. Je souhaite, à cette occasion, leur rendre hommage. Nous sommes par ailleurs en train de travailler sur la refonte de la loi, ainsi que sur des projets de délibérations (dash cam, information génomique, blockchain…, ndlr). Nous travaillons aussi sur la simplification et la dématérialisation des procédures. Nous œuvrons aussi pour la création d’un réseau méditerranéen d’experts en protection des données à caractère personnel. Beaucoup de projets sont dans le pipe !