Délibération n°D-120-2020du 08/07/2020relative à l’architecture des identifiants, pierre angulaire de toute politique de digitalisation.
La Commission Nationale de contrôle de la protection des Données à caractère Personnel, Sous la présidence de Monsieur Omar Seghrouchni ; Prenant en considération les observations des membres Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour, Brahim Bouabid;
Vu l’article 24 de la Constitution du Royaume qui dispose que : « Toute personne a droit à laprotection de sa vie privée;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel à laquelle le Royaume du Maroc a adhéré en date du 28/05/2019;
Vu la loi n° 09-08 promulguée par le Dahir 1-09-15, du 18 février 2009, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (B.O. n°5714 du 05/03/2009);
Vu le Décret n° 2-09-165 du 21 mai 2009 pris pour l’application de la loi n° 09-08 susvisée (B.O. n° 5744 du 18/06/2009);
Vu le Règlement Intérieur de la CNDP (approuvé par décision du Premier Ministre n° 3-33-11 du 28 mars 2011 / B.O. n° 5932 du 07/04/2011);
Après avoir pris en considération l’importance économique et les défis liés au déploiement des nouvelles technologies pour assurer des politiques inclusives au service des citoyens;
Après avoir eu accès aux expertises internationales en matière d’architecture des identifiants et des technologies biométriques;
Vu les observations de Messieurs Brahim Bouabid et Driss Belmahi, rapporteurs désignés par la Commission Nationale.
Emet l’avis suivant: Partant du principe que les technologies sont au service du citoyen et de l’économie;2/3La Commission Nationale considère que :•la digitalisation de notre économie et de notre société est une opération irrévocable, et que la crise sanitaire du COVID19 a permis de convaincre ceux qui ne l’étaient pas encore, de l’importance de cette transformation;
•cette digitalisation doit être conçue, en termes de gouvernance, au-delà d’un projet de mise en œuvre technique;
•une des briques de base pour déployer cette digitalisation est constituée par l’architecture des identifiants qui: pourra apporter les garanties nécessaires,prévues par l’article 24 de la Constitution du Royaume,pour le respect de la vie privée de toute personne.
)pourra doter le gouvernement des moyens adéquats pour la planification de ses politiques publiques inclusives.
)permettra de renforcer, du point de vue de la protection des données à caractère personnel, les synergies entre les différents secteurs économiques.
)permettra de consolider la confiance numérique nécessaire pour une digitalisation respectueuse des droits humains et des libertés fondamentales.
)pourra adosser la protection des données à caractère personnel au service de l’épanouissement du citoyen, de l’innovation et de l’investissement. Aussi, partant du constat que plusieurs lois adoptées dernièrement, et projets de lois en cours d’étude,contribuent de façon directe ou indirecte à la définition d’une architecture des identifiants, sans pour autant que la mise en cohérence des enjeux stratégiques, sociétaux et économiques de cette architecture soit formalisée et débattue, la Commission Nationale:•préconise une architecture des identifiants qui prend en compte les exigences constitutionnelles, économiques, sociétales et techniques;
•recommande que, d’une part, les données d’usage et que, d’autre part, les données d’authentification ne soient pas stockées au sein de la même architecture et sous la responsabilité de la même entité;
•recommande l’utilisation d’identifiants sectoriels, à une granularité à définir selon les exigences de chaque secteur d’activité. Cette disposition ne s’oppose en aucun cas aux politiques de ciblage, encadrées par des lois spécifiques (pour les secteurs du social, de la finance, du fisc, de la santé,etc.)ou par des actes ayant trait à la sécurité intérieure ou extérieure de l’État. Le recours à un identifiant unique est alors 3/3un mécanisme technique sécurisé par des politiques de tokenisation, assurant que cet identifiant unique, et technique, ne soit pas public mais sous la protection impérative des autorités régaliennes.
•réitère son engagement à favoriser et à accompagner les acteurs nationaux, ou opérant sur le territoire national, dans leur stratégie d’émergence d’une économie de la donnée et des valeurs ajoutées induites par les bienfaits d’une «data-gouvernance»;
•émet des réserves fortes sur le fait que chaque fournisseur de services constitue sa«propre» base biométrique, celle de ses clients et/ou prospects, parfois hébergée en dehors du territoire national;Compte tenu de ce qui précède, la Commission Nationale:-Réitère sa disposition, à donner son avis au gouvernement et au parlement,tel que prévu à l’article 27 de la loi 09-08;-Poursuivra son travail d’élaboration des éléments constitutifs d’un cadre juridique adéquat qui clarifie et homogénéise la mise en place d’une architecture des identifiants, en conformité avec les dispositions constitutionnelles, et conciliant le déploiement de politiques inclusives et le respect de la vie privée des citoyens.
