Données personnelles. Que savent les GAFA sur les Marocains ?

Après Facebook, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) demande des explications à Google, Twitter et Amazon concernant le traitement des données personnelles des utilisateurs marocains.

«On a commencé avec Facebook car il est le réseau social le mieux positionné auprès des usagers marocains. Dans une deuxième étape, nous sommes en train d’entreprendre des contacts avec d’autres membres des GAFA», annonce Omar Seghrouchni, président de la CNDP. Pour le moment, Google et Amazon ont répondu à la première demande marocaine. Un retour de Twitter se fait toujours attendre. L’objectif de ces prises de contact de la part de l’institution publique s’inscrit dans sa mission: «vérifier que les traitements des données personnelles sont licites, légaux et qu’ils ne portent pas atteinte à la vie privée, aux libertés et droits fondamentaux de l’Homme».

Malgré un rendez-vous raté avec Facebook, le patron de la CNDP se veut rassurant: «nous sommes sereins et nous allons à la rencontre de ces acteurs sans animosité. Notre volonté est de documenter le traitement des données des usagers marocains», poursuit-il. Six mois après les premiers contacts, Facebook et la CNDP se préparent à faire une annonce au cours des prochains jours.

Deux doléances marocaines
Depuis avril 2019, la CNDP a formulé des demandes auprès de Facebook.inc, propriétaire des réseaux sociaux Facebook, Instagram et WhatsApp. Ces demandes couvrent deux domaines. Le premier est relatif à la sécurité et à l’emplacement des données des 16 millions d’usagers marocains de Facebook. «Nous souhaitons nous assurer que les data centers hébergeant les données à caractère personnel des citoyens et résidents au Maroc -aussi bien celles collectées auprès d’eux, avec leur consentement, que celles générées par leurs usages- soient localisées dans des pays considérés par la CNDP comme adéquats en termes de protection des données à caractère personnel», indiquait le communiqué de la commission datant du 23 octobre.

Le deuxième domaine couvre le traitement des données et des plaintes. «Nous demandons à mettre en place, sans plus de report, des mécanismes permettant de traiter, par l’entreprise Facebook, de façon efficace, les plaintes adressées à la CNDP et liées à l’atteinte à la vie privée, à l’image ou à l’éthique, à l’usurpation d’identité, au droit à l’oubli, à la géolocalisation et au profilage par les réseaux sociaux de l’entreprise Facebook, et la mise en place, sans report supplémentaire ou récurrent, d’un dispositif «Data Protection Authority Casework» (plus connu sous le nom d’«équipe DPA Casework»), créé dans le but de fournir une assistance spécialisée et spécifique aux autorités chargées de la protection des données», poursuit le même document.

Après des échanges entre les deux parties en mai et juillet, les demandes des autorités marocaines sont restées sans suite. Après la dernière sortie de la CNDP, les choses semblent se débloquer. La CNDP organise également une rencontre la semaine prochaine avec des instances similaires dans le continent africain et des experts pour débattre de ce sujet.

Omar Seghrouchni,
Président de la CNDP

«Les Gafa connaissent tout»

Quelles sont les raisons qui ont poussé la CNDP à lancer ces démarches ?
Dès qu’il y a traitement des données, le risque est toujours présent. Il est certain que les GAFA ne sont pas responsables d’un traitement des données «classiques». Dans leur cas, les choses vont plus loin. Les GAFA ont la capacité de tout connaître de vous: amis, affinités, humeurs, etc. Au point que ce qui vous est proposé peut plus répondre aux paramètres d’un algorithme qu’à vos propres besoins. Nous avons d’ailleurs pu constater la puissance des algorithmes lors de la campagne du Brexit. Notre action est animée par la volonté de protéger les citoyens dans cet écosystème numérique. Il faut que leurs données ne soient pas utilisées à leur insu. Nous souhaitons nous assurer que la collecte et l’usage des données se fassent dans le respect des normes internationales. D’ailleurs, le Maroc adhère à ces standards, notamment la Convention 108 du Conseil de l’Europe et les autres normes européennes en matière de protection des données (RGPD).

Que propose la CNDP pour assurer cette protection ?
Nous exigeons que les data centers collectant les données des usagers marocains soient installés dans un pays européens. Nous pensons que cette proposition est viable économiquement pour Facebook et juridiquement réalisable. Nous sommes en train d’échanger avec eux à ce sujet. Nos rapports sont constructifs avec eux. Nous aurons à annoncer une opération concrète durant les prochains jours. Aux yeux de certains, les équilibres des forces paraissent défavorables au Maroc face à un géant du digital, mais nous demeurons convaincus de la pertinence de notre démarche. D’ailleurs, d’autres institutions similaires en Afrique et en Europe nous rejoindront dans les prochains jours pour débattre de ces questions.

Où se trouvent les data centers de Facebook stockant les données des Marocains ?
Facebook ne nous a pas encore transmis cette information.