Soumia GUENNOUN, Enseignante-chercheure à l’UEMF, Chercheure associée au RIEMAS.
Tout en incitant des secteurs comme l’enseignement à se mettre au diapason pour assurer une continuité pendant la période du confinement, cette technologie s’impose encore une fois aujourd’hui avec le déconfinement, tel un leitmotiv principal pour parer au risque de sursaut épidémique. Ainsi, parmi les mesures entreprises pour répondre au nouveau trilemme « santé, liberté et économie » et ses aléas en termes de mobilité des citoyens, des applications de suivi de contact ont vu le jour dans plusieurs pays.
Cela dit, la formalisation de ce type d’application oscille entre l’impératif sécuritaire et celui de la protection de la vie privée. Les enjeux juridiques empruntant inéluctablement la trajectoire des libertés fondamentales instaurée par le pays considéré.
En effet, si la gestion de cette crise a été nettement meilleure dans les pays qui ont utilisé le numérique, Il n’en reste pas moins vrai que ce concept se présente différemment selon deux cas de figure. Le premier cas, concerne les pays qui ont choisi la voix de la démocratie où le caractère volontaire l’emporte sur la coercition. Cette latitude laissée aux citoyens, d’avoir ou pas recours à une application de « contact tracing », a pourtant eu des conséquences sur leur adhésion au concept et partant sur son efficience. Dans le deuxième cas de figure, se situent les pays asiatiques à forte culture numérique comme la Corée du sud et la Chine, où le caractère obligatoire de ces applications est prégnant. Elles se basent sur le « backtracking », permettant la collecte et le traitement des données personnelles de géolocalisation GPS des téléphones, une technique certes efficace mais attentatoire aux libertés. Le Maroc qui a fait du respect de la vie privée un droit fondamental, se situe évidemment dans la première catégorie.
S’inscrivant dans le sillage de la révolution numérique enclenchée par la crise, une application de contact tracing pour Smartphone entièrement marocaine a été développée. Baptisée « Wiqaytna », elle permet le traçage des personnes testées positives au Covid 19 en vue d’en alerter les autres qui ont été en contact avec elles et limiter par conséquent la propagation de l’épidémie. Cela étant, l’appropriation de cette application par les citoyens reste confrontée à deux enjeux majeurs. Un enjeu lié au processus d’adoption et un autre lié à la méconnaissance par le grand public de l’arsenal juridique en la matière.
1- Un processus d'adoption à double tranchant
Le processus d’adoption de « Wiqaytna » se voit affecté par deux éléments à priori avantageux mais qui en constituent aussi le revers de la médaille. Il s’agit de la confiance et la flexibilité, véritables garde-fous à l’adhésion massive des citoyens.
1-1 La confiance : Ingrédient essentiel à l’aboutissement de toute solution technologique
Cette solution technologique, qui ne constitue qu’une « pierre à l’édifice » parmi d’autres mesures (distanciation sociale, port du masque, tests…), est fondamentale pour le contrôle de la pandémie. Son succès repose sur une synergie constructive de tous les acteurs. Autorités sanitaires, autorités de contrôle et citoyens, chacun devant concourir de manière sereine et responsable au façonnement de la confiance numérique et partant à l’aboutissement souhaité de cette application. Plusieurs éléments rentrent en ligne de compte pour y contribuer. Si l’on écarte l’enjeu social inhérent à la fracture numérique qui impacte la population la plus vulnérable en termes de capacité à disposer de smartphones, c’est la crédibilité qui reste la clé de voute de cette application.
Tout bien considéré, l’application marocaine se base sur une démarche volontaire, élément clé pour garantir la confiance des citoyens et amorcer leur adhérence à ce dispositif. Tel « acte citoyen » est pourtant essentiel pour appuyer les autorités sanitaires dans leurs efforts intenses pour endiguer la contamination par le virus.
A fortiori la CNDP, dotée d’une mission de contrôle de l’écosystème numérique de par la constitution et aussi par la loi 09-08, a rendu un avis favorable quant au processus inhérent au traitement des données captées par cette application. Elle a aussi précisé son rôle de tiers de confiance en la matière, garantissant la protection des données à caractère personnel. Ce qui est de bon augure pour instaurer ladite confiance numérique nécessaire à la conciliation du triptyque risque sanitaire, vie économique et respect de la vie privée.
1-2 La flexibilité : un rempart à l’efficacité du dispositif
En tout état de cause, l’effet escompté de cette application, qui est beaucoup moins intrusive que la localisation par le biais des données GPS susmentionnée, demeure dans une large mesure confronté à divers écueils. D’abord, son caractère non contraignant a un impact direct sur la proportion des citoyens qui vont télécharger l’application. Cette dernière pouvant ensuite être désinstallée à tout bout de champ. Aussi, son efficacité est entièrement tributaire de la nécessité de maintenir activée la fonction Bluetooth de son téléphone. Cet élément implique également la gestion d’autres variables ; notamment l’appréhension des autres applications utilisant le Bluetooth sollicitant des autorisations, ne pouvant plus être déviées simplement par la désactivation de cette fonction.
Ces précisions étant faites, le principal rempart à l’appropriation de ce dispositif par les citoyens demeure l’incertitude au vu de son aspect sécuritaire, quand bien même l’arsenal juridique marocain en la matière garantit aussi bien le respect de la vie privée que la répression des comportements malveillants.
2-Un arsenal juridique à la hauteur des enjeux
Le respect de la vie privée et son corollaire la protection des données à caractère personnel au Maroc sont peu connus du grand public. Or, l’aspect juridique y correspondant peut être utilement scruté pour dissiper les inquiétudes qui orientent le choix des citoyens quant à l’adoption d’une telle technologie très utile dans le contexte actuel. En effet, la prise de conscience par les citoyens de la place accordée par notre droit positif à ces aspects facilitera l’adoption du processus. D’ailleurs, la CNDP en fait un cheval de bataille. Elle l’a explicitement formulé dans son premier bulletin de juin 2020, en tant que tiers de confiance numérique. D’après cette instance régulatrice, il s'agit de ne pas manquer l'opportunité que représente cette application en termes de respect des droits, et également en termes de protection de la santé individuelle et collective à l'aune du redémarrage de la vie économique. D’ailleurs notre législation abonde de dispositions en faveur de la préservation des droits des citoyens en ce sens.
Loin de toute exhaustivité, nous évoquerons deux éléments à la confluence des prérogatives régaliennes en matière de santé et la protection de la vie privée, en l’occurrence les bases légales relatives au traitement des données sensibles et la proportionnalité de ce traitement.
2-1 Des données personnelles aux données sensibles : une base légale sui generis
La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel qualifie de ces données « toute information, de quelque nature qu’elle soit et indépendamment de son support, concernant une personne physique identifiée ou identifiable. ». Aussi, d’après cette loi, une personne identifiable peut être identifiée, par référence à un numéro d’identification. Trois types de données personnelles sont utilisés par cette application : Le numéro de téléphone mobile, d’autres données optionnelles pour les besoins de statistiques et d’analyse de la pandémie (genre, tranche d’âge et ville) et dont le traitement tombe sous le coup des lois 69-99 relative aux archives, 31-13 sur le droit d’accès à l’information et 09-08 susmentionnée.
Le troisième type de données personnelles concerne les identifiants. Cette application a recours à deux types d’identifiants distincts. Le premier est un identifiant utilisateur aléatoire relié au numéro de mobile qui est attribué dès l’inscription et qui sera utilisé dans les traitements ultérieurs. Le deuxième type concerne des identifiants temporaires qui seront échangés via Bluetooth entre les mobiles se trouvant à proximité et utilisant l’application. Ce deuxième type d’identifiant est actualisé régulièrement pour éviter à des tiers malveillants de reconnaitre et de pister les utilisateurs.
A cet égard, la loi 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisée des données est intransigeante. Elle réprime pénalement les agissements immoraux tels les intrusions au sein des systèmes de traitement automatisé des données et les atteintes à ces systèmes. Elle sanctionne toutes les intrusions non autorisées, qu’elles procèdent de pirates externes au système ou de fonctionnaires qui infiltreraient une zone du réseau de leur administration à laquelle ils n’ont pas droit, que l’accès soit par effraction ou lorsque l’autorisation d’accès limitée dans le temps est outrepassée.
Une autre vulnérabilité reprochée au dispositif « Wiqaytna » concerne les controverses liées à l’anonymisation absolue. Car, hormis le site dédié www.wiqaytna.ma, cette application peut également être téléchargée sur d’autres plateformes comme « Google Play » ou « App Store » qui contiennent des données personnelles de l’utilisateur. Ici, la crainte concerne les recoupements des données en vue d’identifier les utilisateurs. Pour contrecarrer d’éventuels abus, la loi 09-08 conditionne le traitement des données à caractère personnel par le consentement indubitable de la personne concernée à l’opération ou l’ensemble des opérations envisagées.
D’ailleurs, au sens de l’article 4 de cette loi, ce consentement ne peut être écarté que pour des raisons limitativement énumérées, venant constituer d’éventuelles bases légales de traitement. En l’occurrence lorsque ledit traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique. Simultanément, « Wiqaytna »répond à ce double aspect. Car, briser la chaine de propagation du virus est belle et bien une mission d’intérêt public, sous l’égide d’une autorité publique, particulièrement le Ministère de la santé de concert avec le Ministère de l’intérieur.
Quand bien même le motif d’intérêt public dans le domaine de la santé est subordonné au sens de l’article 21 de la loi 09-08, en l’absence d’une loi spécifique, à l’autorisation de la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP). Ce qui a été actée pour notre application. Laquelle traite des données sensibles que sont les données de santé. Ici, apparait le deuxième volet relatif à la proportionnalité au vu des finalités sanitaires du traitement. Il s’agit alors de trouver un équilibre entre santé et libertés individuelles.
2-2 La proportionnalité : Une conciliation entre la protection de la vie privée et le droit à la santé
La constitution marocaine garantit aussi bien le respect de la vie privée que le droit à la santé. Il s’agit de deux droits fondamentaux qui sont mis en balance et dont l’harmonisation suppose une évaluation du risque d’atteinte à chacun de ces droits sans pour autant heurter l’autre. Il en résulte que toute atteinte à la vie privée ne peut être justifiée que par la nécessité de protéger la santé. Elle implique à fortiori la proportionnalité à cet objectif. Ce concept de proportionnalité se matérialise également à travers le caractère temporaire de cette application, devant être retirée dès la déclaration de la fin de la pandémie.
Aussi, l’exploitation des données à des fins statistiques se fera bien entendu dans l’anonymat. D’ailleurs c’est dans ces conditions que la CNDP a autorisé cette application, qui est selon elle une « illustration responsable du concept de proportionnalité et de prise en compte de plusieurs droits » ; en l’occurrence la préservation de la santé individuelle et collective, le maintien de l’activité économique et le respect de la vie privée.
Cette crise Covid aura certes eu raison de l’illettrisme numérique, elle a stimulé la citoyenneté des marocains à divers égards. Reste à écarter certains préjugés, véritable maillon faible à l’aboutissement de tout projet.
Cela dit, la formalisation de ce type d’application oscille entre l’impératif sécuritaire et celui de la protection de la vie privée. Les enjeux juridiques empruntant inéluctablement la trajectoire des libertés fondamentales instaurée par le pays considéré.
En effet, si la gestion de cette crise a été nettement meilleure dans les pays qui ont utilisé le numérique, Il n’en reste pas moins vrai que ce concept se présente différemment selon deux cas de figure. Le premier cas, concerne les pays qui ont choisi la voix de la démocratie où le caractère volontaire l’emporte sur la coercition. Cette latitude laissée aux citoyens, d’avoir ou pas recours à une application de « contact tracing », a pourtant eu des conséquences sur leur adhésion au concept et partant sur son efficience. Dans le deuxième cas de figure, se situent les pays asiatiques à forte culture numérique comme la Corée du sud et la Chine, où le caractère obligatoire de ces applications est prégnant. Elles se basent sur le « backtracking », permettant la collecte et le traitement des données personnelles de géolocalisation GPS des téléphones, une technique certes efficace mais attentatoire aux libertés. Le Maroc qui a fait du respect de la vie privée un droit fondamental, se situe évidemment dans la première catégorie.
S’inscrivant dans le sillage de la révolution numérique enclenchée par la crise, une application de contact tracing pour Smartphone entièrement marocaine a été développée. Baptisée « Wiqaytna », elle permet le traçage des personnes testées positives au Covid 19 en vue d’en alerter les autres qui ont été en contact avec elles et limiter par conséquent la propagation de l’épidémie. Cela étant, l’appropriation de cette application par les citoyens reste confrontée à deux enjeux majeurs. Un enjeu lié au processus d’adoption et un autre lié à la méconnaissance par le grand public de l’arsenal juridique en la matière.
1- Un processus d'adoption à double tranchant
Le processus d’adoption de « Wiqaytna » se voit affecté par deux éléments à priori avantageux mais qui en constituent aussi le revers de la médaille. Il s’agit de la confiance et la flexibilité, véritables garde-fous à l’adhésion massive des citoyens.
1-1 La confiance : Ingrédient essentiel à l’aboutissement de toute solution technologique
Cette solution technologique, qui ne constitue qu’une « pierre à l’édifice » parmi d’autres mesures (distanciation sociale, port du masque, tests…), est fondamentale pour le contrôle de la pandémie. Son succès repose sur une synergie constructive de tous les acteurs. Autorités sanitaires, autorités de contrôle et citoyens, chacun devant concourir de manière sereine et responsable au façonnement de la confiance numérique et partant à l’aboutissement souhaité de cette application. Plusieurs éléments rentrent en ligne de compte pour y contribuer. Si l’on écarte l’enjeu social inhérent à la fracture numérique qui impacte la population la plus vulnérable en termes de capacité à disposer de smartphones, c’est la crédibilité qui reste la clé de voute de cette application.
Tout bien considéré, l’application marocaine se base sur une démarche volontaire, élément clé pour garantir la confiance des citoyens et amorcer leur adhérence à ce dispositif. Tel « acte citoyen » est pourtant essentiel pour appuyer les autorités sanitaires dans leurs efforts intenses pour endiguer la contamination par le virus.
A fortiori la CNDP, dotée d’une mission de contrôle de l’écosystème numérique de par la constitution et aussi par la loi 09-08, a rendu un avis favorable quant au processus inhérent au traitement des données captées par cette application. Elle a aussi précisé son rôle de tiers de confiance en la matière, garantissant la protection des données à caractère personnel. Ce qui est de bon augure pour instaurer ladite confiance numérique nécessaire à la conciliation du triptyque risque sanitaire, vie économique et respect de la vie privée.
1-2 La flexibilité : un rempart à l’efficacité du dispositif
En tout état de cause, l’effet escompté de cette application, qui est beaucoup moins intrusive que la localisation par le biais des données GPS susmentionnée, demeure dans une large mesure confronté à divers écueils. D’abord, son caractère non contraignant a un impact direct sur la proportion des citoyens qui vont télécharger l’application. Cette dernière pouvant ensuite être désinstallée à tout bout de champ. Aussi, son efficacité est entièrement tributaire de la nécessité de maintenir activée la fonction Bluetooth de son téléphone. Cet élément implique également la gestion d’autres variables ; notamment l’appréhension des autres applications utilisant le Bluetooth sollicitant des autorisations, ne pouvant plus être déviées simplement par la désactivation de cette fonction.
Ces précisions étant faites, le principal rempart à l’appropriation de ce dispositif par les citoyens demeure l’incertitude au vu de son aspect sécuritaire, quand bien même l’arsenal juridique marocain en la matière garantit aussi bien le respect de la vie privée que la répression des comportements malveillants.
2-Un arsenal juridique à la hauteur des enjeux
Le respect de la vie privée et son corollaire la protection des données à caractère personnel au Maroc sont peu connus du grand public. Or, l’aspect juridique y correspondant peut être utilement scruté pour dissiper les inquiétudes qui orientent le choix des citoyens quant à l’adoption d’une telle technologie très utile dans le contexte actuel. En effet, la prise de conscience par les citoyens de la place accordée par notre droit positif à ces aspects facilitera l’adoption du processus. D’ailleurs, la CNDP en fait un cheval de bataille. Elle l’a explicitement formulé dans son premier bulletin de juin 2020, en tant que tiers de confiance numérique. D’après cette instance régulatrice, il s'agit de ne pas manquer l'opportunité que représente cette application en termes de respect des droits, et également en termes de protection de la santé individuelle et collective à l'aune du redémarrage de la vie économique. D’ailleurs notre législation abonde de dispositions en faveur de la préservation des droits des citoyens en ce sens.
Loin de toute exhaustivité, nous évoquerons deux éléments à la confluence des prérogatives régaliennes en matière de santé et la protection de la vie privée, en l’occurrence les bases légales relatives au traitement des données sensibles et la proportionnalité de ce traitement.
2-1 Des données personnelles aux données sensibles : une base légale sui generis
La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel qualifie de ces données « toute information, de quelque nature qu’elle soit et indépendamment de son support, concernant une personne physique identifiée ou identifiable. ». Aussi, d’après cette loi, une personne identifiable peut être identifiée, par référence à un numéro d’identification. Trois types de données personnelles sont utilisés par cette application : Le numéro de téléphone mobile, d’autres données optionnelles pour les besoins de statistiques et d’analyse de la pandémie (genre, tranche d’âge et ville) et dont le traitement tombe sous le coup des lois 69-99 relative aux archives, 31-13 sur le droit d’accès à l’information et 09-08 susmentionnée.
Le troisième type de données personnelles concerne les identifiants. Cette application a recours à deux types d’identifiants distincts. Le premier est un identifiant utilisateur aléatoire relié au numéro de mobile qui est attribué dès l’inscription et qui sera utilisé dans les traitements ultérieurs. Le deuxième type concerne des identifiants temporaires qui seront échangés via Bluetooth entre les mobiles se trouvant à proximité et utilisant l’application. Ce deuxième type d’identifiant est actualisé régulièrement pour éviter à des tiers malveillants de reconnaitre et de pister les utilisateurs.
A cet égard, la loi 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisée des données est intransigeante. Elle réprime pénalement les agissements immoraux tels les intrusions au sein des systèmes de traitement automatisé des données et les atteintes à ces systèmes. Elle sanctionne toutes les intrusions non autorisées, qu’elles procèdent de pirates externes au système ou de fonctionnaires qui infiltreraient une zone du réseau de leur administration à laquelle ils n’ont pas droit, que l’accès soit par effraction ou lorsque l’autorisation d’accès limitée dans le temps est outrepassée.
Une autre vulnérabilité reprochée au dispositif « Wiqaytna » concerne les controverses liées à l’anonymisation absolue. Car, hormis le site dédié www.wiqaytna.ma, cette application peut également être téléchargée sur d’autres plateformes comme « Google Play » ou « App Store » qui contiennent des données personnelles de l’utilisateur. Ici, la crainte concerne les recoupements des données en vue d’identifier les utilisateurs. Pour contrecarrer d’éventuels abus, la loi 09-08 conditionne le traitement des données à caractère personnel par le consentement indubitable de la personne concernée à l’opération ou l’ensemble des opérations envisagées.
D’ailleurs, au sens de l’article 4 de cette loi, ce consentement ne peut être écarté que pour des raisons limitativement énumérées, venant constituer d’éventuelles bases légales de traitement. En l’occurrence lorsque ledit traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique. Simultanément, « Wiqaytna »répond à ce double aspect. Car, briser la chaine de propagation du virus est belle et bien une mission d’intérêt public, sous l’égide d’une autorité publique, particulièrement le Ministère de la santé de concert avec le Ministère de l’intérieur.
Quand bien même le motif d’intérêt public dans le domaine de la santé est subordonné au sens de l’article 21 de la loi 09-08, en l’absence d’une loi spécifique, à l’autorisation de la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP). Ce qui a été actée pour notre application. Laquelle traite des données sensibles que sont les données de santé. Ici, apparait le deuxième volet relatif à la proportionnalité au vu des finalités sanitaires du traitement. Il s’agit alors de trouver un équilibre entre santé et libertés individuelles.
2-2 La proportionnalité : Une conciliation entre la protection de la vie privée et le droit à la santé
La constitution marocaine garantit aussi bien le respect de la vie privée que le droit à la santé. Il s’agit de deux droits fondamentaux qui sont mis en balance et dont l’harmonisation suppose une évaluation du risque d’atteinte à chacun de ces droits sans pour autant heurter l’autre. Il en résulte que toute atteinte à la vie privée ne peut être justifiée que par la nécessité de protéger la santé. Elle implique à fortiori la proportionnalité à cet objectif. Ce concept de proportionnalité se matérialise également à travers le caractère temporaire de cette application, devant être retirée dès la déclaration de la fin de la pandémie.
Aussi, l’exploitation des données à des fins statistiques se fera bien entendu dans l’anonymat. D’ailleurs c’est dans ces conditions que la CNDP a autorisé cette application, qui est selon elle une « illustration responsable du concept de proportionnalité et de prise en compte de plusieurs droits » ; en l’occurrence la préservation de la santé individuelle et collective, le maintien de l’activité économique et le respect de la vie privée.
Cette crise Covid aura certes eu raison de l’illettrisme numérique, elle a stimulé la citoyenneté des marocains à divers égards. Reste à écarter certains préjugés, véritable maillon faible à l’aboutissement de tout projet.
Soumia GUENNOUN
Enseignante-chercheure à l’UEMF
Chercheure associée au RIEMAS