La protection des données à caractère personnel est désormais un outil d’attrait pour les investisseurs.
De plus en plus d’entités publiques ou privées se mettent en conformité, pas toujours à la bonne cadence, pas toujours de la façon la plus appropriée, mais la volonté y est.
Entretien avec Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP).
Propos recueillis par M. Diao
Finances News Hebdo : L’adoption de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel remonte à 2009. N’est-il pas nécessaire de réformer le dispositif juridique qui existe depuis près de 13 ans pour répondre aux nouvelles exigences de protection des données ?
Omar Seghrouchni : La réforme du dispositif juridique est importante pour différentes raisons. Mais le fait que l’utilisation des données à caractère personnel soit accrue ne signifie pas que le dispositif juridique en place ne prévoit pas l’encadrement nécessaire et qu’il soit caduc. Cependant, cette recrudescence positive des usages nous appelle à réfléchir et à chercher à fluidifier, à simplifier, à rationaliser et à renforcer l’efficacité des mécanismes de protection des données à caractère personnel et de la vie privée. Nous avons créé, par exemple, cette notion d’écosystème qui nous permet d’appréhender avec une meilleure efficacité des contextes, comme celui des échanges de données à caractère personnel pour la généralisation de l’assurance maladie obligatoire.
La protection des données à caractère personnel ne se gère pas au seul niveau du traitement concerné, mais beaucoup au niveau de l’architecture de son contexte. Regardez par exemple la réflexion menée autour du tiers de confiance national pour l’authentification, tel que développé par la DGSN. Cela permet d’éviter de se retrouver avec une base biométrique chez chaque fournisseur de services. Nous pouvons ainsi éviter la multiplication de ces bases biométriques, et donc contribuer, par ce choix d’architecture, à réduire les risques de brèche, tout en renforçant la valeur probante de l’authentification. La CNDP avait délibéré sur le sujet en 2020. La nouvelle loi devra aussi permettre d’intégrer les engagements internationaux de notre pays, à titre d’exemple, les éléments portés par la Convention 108/108+. Le régime des sanctions doit être renforcé pour autoriser un changement de culture : passer du contrôle a priori au contrôle a posteriori. Nous travaillons avec différents partenaires pour faire de cette loi un outil d’accompagnement positif. Nous pensons transmettre un projet au gouvernement en octobre 2022. La protection des données à caractère personnel est désormais un outil d’attrait pour les investisseurs. Elle accompagne positivement le déploiement du digital et contribue à générer les éléments de confiance nécessaires pour que notre pays aille plus vite, et surtout avec les bonnes bases vers l’économie digitale mondialisée.
F.N.H. : Quelle appréciation faîtes-vous du degré de conformité des entités publiques et privées en matière de protection des personnes physiques ?
O. S. : Si nous faisons une analyse de la dynamique des choses, nous observons que de plus en plus d’entités publiques ou privées se mettent en conformité, pas toujours à la bonne cadence, pas toujours de la façon la plus appropriée, mais la volonté y est. Et elle est bonne. Si nous faisons une analyse comparative relative à la cible à atteindre, nous avons encore beaucoup de travail à faire et nous devons déployer plus de moyens. Les grands projets nationaux sont dans la bonne logique : la gestion de la vaccination, la généralisation de l’AMO, Forsa, etc… En logique macro, la tendance est correcte. Nous devons conforter le macro et affiner le micro.
F.N.H. : Pour les années 2022 et 2023, quelles sont les priorités de la CNDP ?
O. S. : Nous travaillons actuellement pour «industrialiser» le suivi de la conformité et fluidifier la génération de la confiance. Nous avons principalement 4 grandes actions : La première est d’alléger les démarches de notification par leurs dématérialisations au travers d’une plateforme de notifications conçue à cet effet. La seconde action est de réduire les délais d’instructions. Par exemple, concernant les recherches cliniques, nous devons revenir à un délai opérationnel de 2 à 3 semaines, même si la loi a fixé le délai à 2 mois renouvelables. Nous avons revu nos méthodologies et notre personnel est en train d’être formé pour cela. Nous allons aussi développer une plateforme informatique à cet effet. La troisième action est de développer la culture du contrôle a posteriori pour alléger la logique du contrôle a priori. Dès le 4ème trimestre 2022, les actions de contrôle vont être renforcées. La quatrième action est de contribuer à finaliser le projet de refonte de la loi.
F.N.H. : Enfin, quel est le nombre de dossiers transmis à la Justice par la CNDP et quel est le profil des mis en cause ?
O. S. : Cette possibilité n’a pas été très activée car nous avons privilégié les approches pédagogiques. Mais, comme évoqué ci-dessus, les opérations de contrôle vont être renforcées à partir du 4ème trimestre 2022 et l’activation de tout le pan des sanctions prévues par la loi 09-08 suivra. Faisons un point ensemble sur le sujet fin 2022.