Données personnelles: Omar Seghrouchni livre les premiers détails de la réforme

ENTRETIEN. Le président de la CNDP amorce un chantier législatif qui apportera des changements de taille à la loi 09-08 sur la protection des données personnelles. Dans cette interview, il parle de la conduite de la réforme, ses apports et enjeux.

0-https://www.medias24.com//photos_articles/big/10-12-2019/seghrouchni.jpg-oui
Données personnelles : Omar Seghrouchni livre les premiers détails de la réforme

Le 10 décembre 2019 à 16:34

Modifié le 11 décembre 2019 à 11:27

Renforcement des droits des personnes, co-responsablité du donneur d'ordre et de son sous-traitant, gestion des données par les réseaux sociaux, mise au diapason avec la réglementation européenne... Après 10 ans d'application, la loi 09-08 sur la protection des données personnelles s’apprête à subir un sérieux lifting. Synonyme de renouveau pour cette discipline relativement méconnue au Maroc, notamment du grand public, mais qui s’impose au vu de l’émergence du « citoyen numérique » et des difficultés que recèle sa protection.

À la tête de la CNDP ( Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel), Omar Seghrouchni amorcera ce chantier législatif qui en est à ses premiers pas. Un défi de taille pour cet ingénieur de formation, auquel on doit le concept de « gouvernance des transformations ». Dans cette interview, il nous renseigne sur l’état d’avancement de la réforme, son contexte, ses principaux apports et ses multiples enjeux.  

- Médias24 : Où en le projet de refonte ? Quel département l'a élaboré ?  Quand va-t-il emprunter le circuit législatif ? 

- Omar Seghrouchni : Nous avons, à la CNDP, travaillé sur ce projet de texte en adoptant une méthodologie itérative. Nous balayons les principes constitutifs nécessaires et nous les enrichissons avec le retour de 9 années d’expérience de la Commission et avec les orientations et les inspirations des standards internationaux (en Europe, en Amérique du Nord…).  

Les grands principes sont établis. Nous entrons là dans la phase dite de légistique qui consiste à rédiger le texte sous une forme adéquate. Nous avons quelques réunions fin décembre pour clarifier les modalités du parcours législatif. Bien sûr, les échanges et consultations avec les différents acteurs économiques, acteurs de la société civile, experts, etc., continueront à être organisés pendant cette période.

Nous pensons que la mouture finale du projet sera prête pour fin janvier, début février.

- Pourquoi une refonte une décennie après l'entrée en vigueur de la loi 09-08 ? Avez-vous relevé des lacunes ou des limites au niveau de l'application de ce texte ?

- Dix ans à une époque où, du fait du digital, nous vivons dans un monde en accélération vertigineuse, c’est énorme ! Oui bien sûr, nous avons observé des axes de progrès nécessaires. Nous devons rendre les démarches plus fluides, plus faciles et plus efficaces. Nous devons préciser certaines problématiques, rendre le texte plus lisible. Nous devons converger avec les standards internationaux, par exemple, du fait de la ratification par notre pays de la Convention 108.

- Quels sont les principaux axes de la réforme ?  

- Nous proposons de renforcer les droits de la personne concernée, celle dont on collecte les données à caractère personnel, mais aussi la co-responsabilité des sous-traitants. Un sous-traitant sera aussi responsable que son donneur d’ordre.

Par ailleurs, nous formalisons les principes de Privacy par Design (la prise en compte de la vie privée doit s’élaborer très en amont des projets, dès les premières phases de conception), les études d’impact sur la vie privée (pour mieux apprécier l’adéquation des mesures mises en place pour répondre aux risques identifiés), la gestion des données à caractère personnel au sein des réseaux sociaux et bien d’autres.

- Une idée sur les amendements ?

- Un des principes importants, que nous avons présenté, d’ailleurs, devant le Parlement de l’Enfant, est l’explicitation de la protection des données à caractère personnel au sein des réseaux sociaux mais aussi la responsabilité de chacun d’entre nous et son nécessaire engagement à respecter l’autre. Pour être respecté soi-même, nous devons favoriser et contribuer à un écosystème de respect mutuel.

L’autre point est d’insister sur la protection du citoyen au sein de l’écosystème numérique. La protection de ses données n’en étant qu’une facette.

Sans pour autant oublier la protection des données à caractère personnel en dehors et au-delà des supports numériques (i.e. papier par exemple).

- Doit-on s'attendre à un alignement sur la législation européenne, en l’occurrence le Règlement général sur la protection des données (RGPD) ? A quel niveau ? 

- Le RGPD, comme déjà évoqué, est une source d’inspiration parmi d’autres. C’est aussi, sur le plan économique, une cible majeure. Pour sécuriser nos échanges économiques, avec l’Europe en particulier, nous devons être déclarés « territoire adéquat » en termes de protection des données à caractère personnel. Et donc, la compatibilité et la convergence avec le RGPD sont essentielles.

- Des sanctions plus dissuasives ?  À la hauteur de celles prévues par le RGPD ? 

Très probablement aussi. Nous espérons toujours que la pédagogie puisse primer sur la sanction. Mais en cas de nécessité, celle-ci doit être significative. C’est ainsi que la dissuasion pourra jouer son rôle. Mais la décision finale concernant ces dispositifs reviendra aux élus.

- L'émergence d'un droit marocain de la protection des données personnelles a généré l'apparition de nouveaux métiers au Maroc. On pense, notamment au Data protector officer et à l'audit de conformité en matière de traitement des données personnelles. La réforme tiendra-t-elle compte de cette nouvelle donne? Peut-on s'attendre à une réglementation du métier de DPO ou à l'instauration d'une obligation d'audit ?

 - Ce n’est pas le droit marocain qui a généré ces nouveaux métiers. Ils n’ont pas commencé par émerger au Maroc. Ils sont apparus ailleurs. La mise en place d’une loi et d’une réglementation pour la protection des données à caractère personnel au Maroc n’a fait que provoquer les mêmes effets, chez nous, que ceux observés ailleurs.

Oui, la prochaine réglementation prévoit une prise en compte de ces éléments.

Pour le secteur public, il nous est arrivé de solliciter la Cour des Comptes pour que la conformité à la loi 09-08 (Protection des données à caractère personnel), mais aussi celle à la loi 31.13 (Droit d’Accès à l’Information) fassent partie de sa check-list d’audit. La décision de l’organiser, de façon appuyée ou graduelle, revient à cette grande institution.

Pour le secteur privé, nous en parlerons après concertation avec les acteurs concernés.

- Le volet jurisprudentiel reste la grande inconnue de cette discipline juridique... Une décennie de pratique et nous en savons finalement très peu de la protection prétorienne des données personnelles. Qu'en dites-vous ?

- Si vous parlez en termes de ressenti, vous avez raison. Les décisions, délibérations et actions de la CNDP ne sont pas toujours bien connues. Et pourtant, elles existent. Nous avons des actions majeures à mener. Les faire connaître, les publier en arabe. Nous avons sollicité la publication de ces délibérations dans le Bulletin Officiel, mais il s’avère que le texte de loi, en son état d’aujourd’hui, ne le permet pas. Nous devons étudier la pertinence ou non de pouvoir y remédier.

Vous pouvez accéder à notre recueil des délibérations. Celles-ci doivent être multipliées dans le contexte d’aujourd’hui.

Données personnelles: Omar Seghrouchni livre les premiers détails de la réforme

Le 10 décembre 2019 à16:50

Modifié le 11 décembre 2019 à 11:27

ENTRETIEN. Le président de la CNDP amorce un chantier législatif qui apportera des changements de taille à la loi 09-08 sur la protection des données personnelles. Dans cette interview, il parle de la conduite de la réforme, ses apports et enjeux.

Renforcement des droits des personnes, co-responsablité du donneur d'ordre et de son sous-traitant, gestion des données par les réseaux sociaux, mise au diapason avec la réglementation européenne... Après 10 ans d'application, la loi 09-08 sur la protection des données personnelles s’apprête à subir un sérieux lifting. Synonyme de renouveau pour cette discipline relativement méconnue au Maroc, notamment du grand public, mais qui s’impose au vu de l’émergence du « citoyen numérique » et des difficultés que recèle sa protection.

À la tête de la CNDP ( Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel), Omar Seghrouchni amorcera ce chantier législatif qui en est à ses premiers pas. Un défi de taille pour cet ingénieur de formation, auquel on doit le concept de « gouvernance des transformations ». Dans cette interview, il nous renseigne sur l’état d’avancement de la réforme, son contexte, ses principaux apports et ses multiples enjeux.  

- Médias24 : Où en le projet de refonte ? Quel département l'a élaboré ?  Quand va-t-il emprunter le circuit législatif ? 

- Omar Seghrouchni : Nous avons, à la CNDP, travaillé sur ce projet de texte en adoptant une méthodologie itérative. Nous balayons les principes constitutifs nécessaires et nous les enrichissons avec le retour de 9 années d’expérience de la Commission et avec les orientations et les inspirations des standards internationaux (en Europe, en Amérique du Nord…).  

Les grands principes sont établis. Nous entrons là dans la phase dite de légistique qui consiste à rédiger le texte sous une forme adéquate. Nous avons quelques réunions fin décembre pour clarifier les modalités du parcours législatif. Bien sûr, les échanges et consultations avec les différents acteurs économiques, acteurs de la société civile, experts, etc., continueront à être organisés pendant cette période.

Nous pensons que la mouture finale du projet sera prête pour fin janvier, début février.

- Pourquoi une refonte une décennie après l'entrée en vigueur de la loi 09-08 ? Avez-vous relevé des lacunes ou des limites au niveau de l'application de ce texte ?

- Dix ans à une époque où, du fait du digital, nous vivons dans un monde en accélération vertigineuse, c’est énorme ! Oui bien sûr, nous avons observé des axes de progrès nécessaires. Nous devons rendre les démarches plus fluides, plus faciles et plus efficaces. Nous devons préciser certaines problématiques, rendre le texte plus lisible. Nous devons converger avec les standards internationaux, par exemple, du fait de la ratification par notre pays de la Convention 108.

- Quels sont les principaux axes de la réforme ?  

- Nous proposons de renforcer les droits de la personne concernée, celle dont on collecte les données à caractère personnel, mais aussi la co-responsabilité des sous-traitants. Un sous-traitant sera aussi responsable que son donneur d’ordre.

Par ailleurs, nous formalisons les principes de Privacy par Design (la prise en compte de la vie privée doit s’élaborer très en amont des projets, dès les premières phases de conception), les études d’impact sur la vie privée (pour mieux apprécier l’adéquation des mesures mises en place pour répondre aux risques identifiés), la gestion des données à caractère personnel au sein des réseaux sociaux et bien d’autres.

- Une idée sur les amendements ?

- Un des principes importants, que nous avons présenté, d’ailleurs, devant le Parlement de l’Enfant, est l’explicitation de la protection des données à caractère personnel au sein des réseaux sociaux mais aussi la responsabilité de chacun d’entre nous et son nécessaire engagement à respecter l’autre. Pour être respecté soi-même, nous devons favoriser et contribuer à un écosystème de respect mutuel.

L’autre point est d’insister sur la protection du citoyen au sein de l’écosystème numérique. La protection de ses données n’en étant qu’une facette.

Sans pour autant oublier la protection des données à caractère personnel en dehors et au-delà des supports numériques (i.e. papier par exemple).

- Doit-on s'attendre à un alignement sur la législation européenne, en l’occurrence le Règlement général sur la protection des données (RGPD) ? A quel niveau ? 

- Le RGPD, comme déjà évoqué, est une source d’inspiration parmi d’autres. C’est aussi, sur le plan économique, une cible majeure. Pour sécuriser nos échanges économiques, avec l’Europe en particulier, nous devons être déclarés « territoire adéquat » en termes de protection des données à caractère personnel. Et donc, la compatibilité et la convergence avec le RGPD sont essentielles.

- Des sanctions plus dissuasives ?  À la hauteur de celles prévues par le RGPD ? 

Très probablement aussi. Nous espérons toujours que la pédagogie puisse primer sur la sanction. Mais en cas de nécessité, celle-ci doit être significative. C’est ainsi que la dissuasion pourra jouer son rôle. Mais la décision finale concernant ces dispositifs reviendra aux élus.

- L'émergence d'un droit marocain de la protection des données personnelles a généré l'apparition de nouveaux métiers au Maroc. On pense, notamment au Data protector officer et à l'audit de conformité en matière de traitement des données personnelles. La réforme tiendra-t-elle compte de cette nouvelle donne? Peut-on s'attendre à une réglementation du métier de DPO ou à l'instauration d'une obligation d'audit ?

 - Ce n’est pas le droit marocain qui a généré ces nouveaux métiers. Ils n’ont pas commencé par émerger au Maroc. Ils sont apparus ailleurs. La mise en place d’une loi et d’une réglementation pour la protection des données à caractère personnel au Maroc n’a fait que provoquer les mêmes effets, chez nous, que ceux observés ailleurs.

Oui, la prochaine réglementation prévoit une prise en compte de ces éléments.

Pour le secteur public, il nous est arrivé de solliciter la Cour des Comptes pour que la conformité à la loi 09-08 (Protection des données à caractère personnel), mais aussi celle à la loi 31.13 (Droit d’Accès à l’Information) fassent partie de sa check-list d’audit. La décision de l’organiser, de façon appuyée ou graduelle, revient à cette grande institution.

Pour le secteur privé, nous en parlerons après concertation avec les acteurs concernés.

- Le volet jurisprudentiel reste la grande inconnue de cette discipline juridique... Une décennie de pratique et nous en savons finalement très peu de la protection prétorienne des données personnelles. Qu'en dites-vous ?

- Si vous parlez en termes de ressenti, vous avez raison. Les décisions, délibérations et actions de la CNDP ne sont pas toujours bien connues. Et pourtant, elles existent. Nous avons des actions majeures à mener. Les faire connaître, les publier en arabe. Nous avons sollicité la publication de ces délibérations dans le Bulletin Officiel, mais il s’avère que le texte de loi, en son état d’aujourd’hui, ne le permet pas. Nous devons étudier la pertinence ou non de pouvoir y remédier.

Vous pouvez accéder à notre recueil des délibérations. Celles-ci doivent être multipliées dans le contexte d’aujourd’hui.

A lire aussi


Communication financière

SOCIETE MAGHREBINE DE MONETIQUE : Note d'information relative à l'offre publique d'achat obligatoire

Médias24 est un journal économique marocain en ligne qui fournit des informations orientées business, marchés, data et analyses économiques. Retrouvez en direct et en temps réel, en photos et en vidéos, toute l’actualité économique, politique, sociale, et culturelle au Maroc avec Médias24

Notre journal s’engage à vous livrer une information précise, originale et sans parti-pris vis à vis des opérateurs.