J’étais super content quand j’ai su que les marocains auront enfin une autorité administrative pour la protection des données personnelles, aujourd’hui comme avant on constate toujours une vraie demande de protection des données personnelles par les marocains qui reçoivent beaucoup d’SMS et d’émail publicitaires (parfois sans lien de désinscription).
Après trois ans et demi de la création la commission nationale de contrôle de la protection des données à caractère personnel (CNDP), on se pose toujours des questions par rapport au rendement de cette commission et au rôle qu’elle joue dans le cadre de la mission qui lui a été confiée. Selon le mot du président:
Cette institution fait du Maroc un des Etats pionniers en matière de protection des données personnelles dans le monde arabe et musulman. Sa création représente une grande avancée dans la protection de la vie privée des citoyens et dans la promotion des libertés et droits fondamentaux de l’homme
La Commission Nationale de contrôle de la protection des Données à caractère Personnel
Par-contre quand on fait une petite recherche sur internet on se rend compte que la CNDP communique vraiment mal. Sur les réseaux sociaux on trouve un compte Twitter privé qui a trois ans, aucune réactivité malgré les mentions et les commentaires des internautes marocains.Pour une institution qui opère dans le digitale, une présence dans les médias sociaux est une obligation, une interactivité avec les internautes est aussi requise pour les rassurer et aussi leur redonner confiance vis à vis l’usage de leurs informations personnelles.
Il faut savoir qu’à cause cette présence insuffisante sur internet, les internautes se sont vu parler au vide, je salue l’effort de Boubker Badr qui a maintes reprises fait preuve de réactivité et invite les internautes à déposer leurs plaintes sur le site de la CNDP, toute-fois c’est le rôle de la CNDP d’assurer sa présence en ligne et non pas seulement à travers des séminaires et conférences dont on ignore souvent les dates.
Beaucoup de dossiers à revoir
Je ne peux m’arrêter sur tous les dossiers que j’ai pu suivre, on prend juste l’exemple des résultats de baccalauréat au Maroc. En 2013 et à cause des problèmes techniques que rencontre chaque année le ministère d’enseignement, les données personnelles des étudiants marocains ainsi que leurs notes et mentions ont été hébergées sur une plateforme à base de technologies Microsoft, le problème c’est que ces données ont été placées sur des serveurs à l’étranger! Le site http://www.bac2013.taalim.ma/ pointe vers l’adresse ip 94.245.108.85 qui se situe en Irland, le site redirige par la suite au portail Microsoft (Office 365) hébergé aux Etats-Unis.
Ceci dis les informations de tous les étudiants ayant passé leurs bac en 2013 ont été délocalisées, cette opération ne peut être faite sans l’approbation de la CNDP à la demande, chose qu’à ce jour on ne sait même pas si Microsoft Maroc a pris l’autorisation d’héberger ces données ailleurs ou pas. Et encore pire, les accès aux résultats ne demandent que le CNE (Code National Etudiant) et la date de naissance de ce dernier.
A noter aussi que toute cette opération n’était pas nécessaire, le Maroc dispose aujourd’hui de beaucoup de compétences et profiles spécialisées en BigData et qui ont même bossé pour de gros comptes et aidé des géants de l’informatique pour sécuriser leurs plateformes, n’est t’il pas temps de repenser un partenariat public-privé en favorisant les acteurs locaux?
Plusieurs situations de non-conformité
Pas étonnant quand la première opération de « contrôle et audit » des sites Internet qui utilisent principalement les données personnelles pour alimenter leurs contenus, a porté sur les catégories des sites des Deals d’achat, des annonces d’achat et de vente, des offres d’emploi et des chambres d’hôtels. Ce choix est justifié par les tendances du marché marocain où la grande majorité des transactions représentent des achats sur des sites de Deals et des tickets de voyage, même après la signature de la lois de confiance numérique et l’instauration du label e-thiq@, les marocains n’ont toujours pas confiances quant à la sécurité des transactions en ligne, les résultats ont révélé plusieurs situations de non-conformité par rapport aux exigences de la loi 09-08 relative à la protection des données personnelles.
C’est la faute des sites?
Pas vraiment, quand on lit le premier communiqué de presse de la CNDP:
La majorité des sites web n’ont pas notifié leur traitement à la CNDP. Certes, la plupart des sites fournissent des informations sur la politique de protection des données personnelles, mais souvent ces informations sont vagues, incomplètes et dispersées
C’est de la communication non-violante certes, mais aussi une forme indirecte pour admettre que le mécanisme de contrôle mis en place par la CNDP est insuffisant pour avoir un feedback significatif, on ne peut blâmer les sites internet après 3 ans et demi d’existence, je pense plutôt que la communication digitale demeure insuffisante et que durant toute cette période, si on ne compte pas les séminaires destinés aux grand public, aucun évènement avec une représentative du web marocain a eu lieu pour montrer aux acteurs du web comment les informations à caractère personnel doivent être traitées.
La CNDP doit se rapprocher de la communauté internet au Maroc, se conformer à la réglementation nécessite l’implication d’autres secteurs comme l’éducation nationale, l’instauration de la culture de la confidentialité demande également beaucoup de temps, il faut enseigner aux marocains le concept de la vie privée sur internet, les branches techniques doivent aussi enseigner les bonnes pratiques pour produire un code propre et sécurisé.
L’instauration d’une confiance numérique ne peut pas aboutir sans la sécurité des prestataires de paiement avant tout, il faut plutôt commencer à ce niveau avant de passer aux sites marchands, La fiche d’information sur le projet du Code Numérique mise sur la sensibilisation des acteurs de la société à la sécurité des systèmes d’information. Plus nous avons des systèmes d’information vulnérables, plus les informations des marocains seront exposées aux risques.
Section sécurité des S.I sur le site de la CNDP Maroc, capture faite le 28/02/2014
Conclusion
Il faut continuer à revendiquer un droit à la protection des données et solliciter la commission pour montrer à quel point, aujourd’hui nous avons besoin d’une régulation active en matière de données numériques. La CNDP fait un effort pour pousser les sites internet à se conformer à la lois 09-08 seulement il y a un manque de communication avec la communauté internet au Maroc, il existe également un manque de visibilité quant aux mécanismes de contrôle du traitement données personnelles des marocains sur la toile sur les S.I.
Jeu de briques
Snake
Pacman
Bubble