Obligation du pass sanitaire au Maroc: sécurisé, mais peut mieux faire (CNDP)
La finalité du déploiement du pass sanitaire comme outil de contrôle d’accès n’est pas dans l’esprit de restreindre les mouvements des citoyens, mais de favoriser un mouvement responsable, a indiqué ce jeudi la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP).
« Le déploiement du pass sanitaire comme outil de contrôle d’accès vise plutôt à favoriser un mouvement responsable qui puisse renforcer la santé collective, à favoriser les prérequis d’une reprise étendue de l’activité économique et à accompagner la mobilité des citoyens et des résidents au Maroc, sur les plans national et international », a précisé la CNDP dans un communiqué à l’issue d’une réunion extraordinaire tenue mercredi en vue de statuer, du point de vue de la protection des données à caractère personnel, sur le processus de déploiement du pass-vaccinal (qui a évolué positivement vers un pass-sanitaire).
Relativement à cette finalité, ajoute le communiqué, la CNDP considère que malgré quelques améliorations à réaliser, le principe de proportionnalité, au sein de l’application en sa version actuelle, est respecté, sachant que la lecture du QR code à usage au Maroc ne permet d’accéder qu’aux informations déjà disponibles et lisibles en clair sur le pass sanitaire, notant qu’aucune connexion à un quelconque serveur n’est opérée. De ce fait, aucune traçabilité des mouvements des citoyens n’est déployée par ce canal.
Par ailleurs, la lecture de QR code à usage en Europe « nécessite une connexion à des serveurs gérés par les autorités européennes, réglementée par les lois européennes de protection des données à caractère personnel », souligne le document, faisant savoir que ce QR code à usage en Europe est mis à la disposition des citoyens marocains au seul but de faciliter leur mobilité internationale.
A cet égard, la Commission a appelé à la publication des mentions légales adéquates et l’inhibition de la capacité de réaliser des captures d’écran pouvant ouvrir la voie à un potentiel usage non civique du contrôleur d’accès, soulignant que cette inhibition des captures d’écran permettra d’éviter le stockage local des informations affichées.
Dans le même sens, la CNDP souligne qu’elle évaluera avec les développeurs de l’application mobile l’impact sur la protection des données à caractère personnel en cas de volonté de publication de cette dernière sur les différentes stores (Google Store, Apple Store, etc…).
La Commission considère, en l’état actuel des informations dont elle dispose, que l’usage de l’application mobile ne présente pas de risque de traçage systématique, ni d’accès à des informations autres que celles déjà lisibles, à l’œil nu, sur le pass sanitaire.
La CNDP notye également qu’elle continuera à suivre les développements à venir et signalera, au responsable de traitement et aux citoyens, tout risque identifié, relevant qu’elle se tient à la disposition des citoyens pour recueillir et instruire toute plainte relative à un non-respect des données à caractère personnel.
La Commission attire, en outre, l’attention des différentes institutions, organismes et entreprises sur l’esprit du déploiement en cours du pass sanitaire qui ne doit occasionner aucun stockage.
A titre d’exemple, les acteurs qui décident de stocker les pass sanitaires de leurs collaborateurs, ou les informations qui y figurent, ajoute la même source, deviennent de facto des responsables de traitement au sens de la loi 09-08 et doivent, de ce fait, s’y conformer en faisant les notifications nécessaires auprès de la CNDP.
Concernant les autres éléments du débat, notamment concernant l’obligation ou pas de la vaccination, la CNDP considère que ce point n’est pas de son ressort et que se sont les autorités sanitaires qui doivent traiter ce sujet.
Pour ce qui est de l’habilitation des contrôleurs d’accès à demander la présentation du numéro de la carte nationale, la CNDP estime que le sujet est en rapport avec la crainte des citoyens de voir leurs numéros d’identification accessibles par des acteurs non habilités, augmentant le risque de réutiliser ce numéro à d’autres fins.
Ce point doit être étudié avec sérieux, surtout si cette pratique s’inscrit dans le quotidien, au-delà de la période de l’état d’urgence sanitaire, a fait valoir la CNDP, notant que la mise en place d’un identifiant sectoriel spécifique au pass sanitaire peut être une solution.
Quant à l’importance d’une préparation préalable et d’une information en amont pour laisser le temps nécessaire à la préparation du déploiement, elle n’est pas du ressort de la CNDP et la Commission du Droit d’Accès à l’Information (CDAI) s’exprimera sur le sujet dans les prochains jours, précise le communiqué.
Dans ce contexte, la CNDP indique avoir décidé de lancer une consultation sur la mise en place d’une couche d’identifiants sectoriels qui devrait protéger l’existence d’un identifiant moins sectoriel nécessaire pour la planification des politiques publiques, pour l’exécution des procédures judiciaires et des éléments pouvant avoir trait aux questions de sécurité intérieure ou extérieure de l’État.
La CNDP appelle également, selon le communiqué, à l’organisation d’un séminaire gouvernemental dédié à la définition d’une architecture des identifiants du point de vue de la protection des données à caractère personnel, en conformité avec la Constitution et avec les conventions internationales ratifiées par le Royaume.
Les différents concepts doivent, au-delà d’une vision simplement technicienne, prendre en considération les impératifs du renforcement de la Confiance Numérique, préalable aux nécessaires avancées d’un déploiement responsable du digital au service l’économie et de la société, a souligné la même source.
La CNDP a, par ailleurs, rappelé la protection des données à caractère personnel dans le cadre du processus de déploiement du pass-vaccinal, annoncé comme limité dans le temps pendant la période de l’état d’urgence sanitaire, notant que la Commission a pour mission, entre autres, de contrôler la protection des données à caractère personnel indépendamment de leurs supports (papier, numérique, son, image, …).
Le pass sanitaire, à ce jour, présente des informations lisibles, un QR code à usage au Maroc et un QR code à usage en Europe, a précisé le communiqué, soulignant que l’usage des données à caractère personnel doit respecter la loi 09-08 et, ainsi, prendre en compte le principe de proportionnalité, tout en respectant les finalités affichées.
FG