La CNDP publie une délibération relative à l’architecture des identifiants

 La Commission Nationale de contrôle de protection des Données à caractère Personnel (CNDP) a publié, vendredi, une délibération relative à l’architecture des identifiants en tant que pierre angulaire de toute politique de digitalisation.

En plus d’apporter des précisions sur un certain nombre de points liés au sujet en question, cette délibération réaffirme la disposition de la commission nationale à donner son avis au gouvernement et au parlement, tel que prévu à l’article 27 de la loi 09-08, et à poursuivre son travail d’élaboration des éléments constitutifs d’un cadre juridique adéquat qui clarifie et homogénéise la mise en place d’une architecture des identifiants, en conformité avec les dispositions constitutionnelles, et conciliant le déploiement de politiques inclusives et le respect de la vie privée des citoyens, indique la CNDP dans un communiqué.

Dans sa délibération relative à l’architecture des identifiants comme pierre angulaire de toute politique de digitalisation, la CNDP relève que la digitalisation de l’économie et de la société est une opération irrévocable et que la crise sanitaire de la Covid19 a permis de “convaincre ceux qui ne l’étaient pas encore, de l’importance de cette transformation”.

Cette digitalisation doit être conçue, en termes de gouvernance, au-delà d’un projet de mise en œuvre technique, explique la Commission, relevant que l’architecture des identifiants en tant que “l’une des briques de base pour déployer cette digitalisation” pourra apporter les garanties nécessaires, prévues par l’article 24 de la Constitution, pour le respect de la vie privée de toute personne de même qu’elle pourra doter le gouvernement des moyens adéquats pour la planification de ses politiques publiques inclusives.

Aussi, ajoute la même source, l’architecture des identifiants “permettra de renforcer, du point de vue de la protection des données à caractère personnel, les synergies entre les différents secteurs économiques, de consolider la confiance numérique nécessaire pour une digitalisation respectueuse des droits...

humains et des libertés fondamentales et adosser la protection des données à caractère personnel au service de l’épanouissement du citoyen, de l’innovation et de l’investissement”.

Aussi, partant du constat que plusieurs lois adoptées dernièrement, et projets de lois en cours d’étude, contribuent de façon directe ou indirecte à la définition d’une architecture des identifiants, sans pour autant que la mise en cohérence des enjeux stratégiques, sociétaux et économiques de cette architecture soit formalisée et débattue, la CNDP préconise dans sa délibération une architecture des identifiants prenant en compte les exigences constitutionnelles, économiques, sociétales et techniques.

De ce fait, la commission nationale recommande que les données d’usage et les données d’authentification ne soient pas stockées au sein de la même architecture et sous la responsabilité de la même entité en plus de l’utilisation d’identifiants sectoriels, à une granularité à définir selon les exigences de chaque secteur d’activité.

Pour la CNDP, cette disposition ne s’oppose en aucun cas aux politiques de ciblage, encadrées par des lois spécifiques (pour les secteurs du social, de la finance, du fisc, de la santé, etc.) ou par des actes ayant trait à la sécurité intérieure ou extérieure de l’État.

Le recours à un identifiant unique est un mécanisme technique sécurisé par des politiques de tokenisation (technique permettant d’éviter les risques sur la vie privée), qui assure que cet identifiant unique, et technique, ne soit pas public mais sous la protection impérative des autorités régaliennes.

La CNDP réitère, dans la délibération, son engagement à favoriser et à accompagner les acteurs nationaux, ou opérant sur le territoire national, dans leur stratégie d’émergence d’une économie de la donnée et des valeurs ajoutées induites par les bienfaits d’une “data-gouvernance” et émet des réserves fortes sur le fait que chaque fournisseur de services constitue sa “propre” base biométrique, celle de ses clients et/ou prospects, parfois hébergée en dehors du territoire national.