Affaire Pégasus | Les règles déontologiques n’ont pas été respectées (Omar Seghrouchni)

Entretien exclusif avec Omar Seghrouchni,

Président de la CNDP

Les accusations d’espionnage par le biais du système Pegasus contre plusieurs pays ont soulevé des questions de fond, tant au niveau juridique, que méthodologique ou technique.

La Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est montée au créneau face aux accusations d’espionnage de Citizen Lab, Amnesty International et Forbidden Stories, contre le Maroc.

Comme expliqué par Omar Seghrouchni, la Commission Nationale de contrôle de la protection des Données à caractère Personnel dont il assure la présidence depuis 2018, a souhaité par le biais des séances d’audition dans le cadre des investigations menées par la CNDP dans l’affaire Pégasus, confronter les points de vue pour déceler le vrai du faux dans cette affaire, selon les normes scientifiques, techniques et déontologiques d’usage.

Conformément à sa mission, la CNDP a tenu des séances d’auditions avec des experts nationaux et internationaux, disposés à présenter et partager leurs analyses et conclusions.

Dans cet entretien exclusif accordé au Reporter, le Président de la Commission Nationale de contrôle de la protection des Données à caractère Personnel a indiqué que les premières auditions tenues avec des experts nationaux et internationaux ont permis de constater que les analyses de Citizen Lab et d’Amnesty International sur lesquelles se fondent Forbidden Stories ne répondent pas aux principes et règles de bases  relatives au processus d’attribution.

En réaction aux cyberattaques ayant ciblé deux sites web marocains d’information (MAP, Maroc Hebdo) et  le piratage des données de clients d’une grande banque de la place (CIH Bank), Omar Seghrouchni a appelé à rester vigilant face aux techniques d’attaques cybernétiques qui se développement de jour en jour. 

Dans cette interview, il est également question de l’arsenal législatif marocain an matière de protection des données personnelles, des programmes DATA-TIKA et des ambitions de Omar Seghrouchni pour la CNDP.

«Les analyses de Citizen Lab et d’Amnesty International sur lesquelles se fondent Forbidden Stories ne semblent pas répondre aux règles déontologiques relatives aux problématiques de l’attribution»

Dans le cadre de son investigation dans l’affaire Pegasus et les allégations non prouvées, formulées par Citizen Lab, Amnesty International et Forbidden Stories concernant l’utilisation de ce logiciel espion par le Maroc, la CNDP a organisé des séances d’audition auxquelles ont été invités des experts nationaux et internationaux en cybersécurité. La dernière en date a eu lieu le 23 mars 2023 au siège de la CNDP à Rabat. Que pouvez-vous nous en dire ?

Cette dernière audition s’est tenue avec Franck DeCloquement, spécialiste en intelligence stratégique par ailleurs enseignant, en France, à l’Institut des Hautes Etudes de Défense Nationale (IHEDN) et à l’Institut de Relations Internationales et Stratégiques (IRIS), chercheur associé et membre du Conseil scientifique de l’Institut d’Etudes de Géopolitique Appliquée (IEGA), membre d’honneur du Groupe de réflexion indépendant sur les politiques européennes (CEPS), de la  Cyber Task Force et du Cercle K2 qui est un espace de rencontre entre professionnels de tous horizons.

Comme précisé dans le communiqué de la Commission Nationale de contrôle de la protection des Données à Caractère Personnel en date du 23 mars 2023, ladite audition était axée notamment sur l’impact des ingérences cyber malveillantes, liées aux actions intrusives ; et sur la prégnance des conflits géoéconomiques.

Cette réunion a également porté sur le thème des règles déontologiques relatives aux problématiques de l’attribution qui est l’activité permettant d’attribuer les responsabilités des cyber-attaques après observations de traces techniques.

L’audition vous a permis de tirer des conclusions ?

Le spécialiste nous a confirmé ce qui ressort de l’avis de tous les experts que l’attribution (activité permettant d’attribuer les responsabilités après observation de traces techniques) est une activité complexe qui nécessite le déploiement de règles déontologiques strictes.

C’était le cas dans l’affaire Pegasus ?

Les analyses de Citizen Lab et d’Amnesty International sur lesquelles se fondent Forbidden Stories ne semblent pas répondre à ces règles. Nous avons invité Citizen Lab à une audition. Nous attendons leur réponse.

Pourquoi ces auditions ?

Nous avons souhaité mieux cerner ce sujet. Ce qui nous a permis de mieux comprendre la prudence de bon nombre d’experts qui refusent de s’embarquer dans des accusations sans fourniture de preuves avérées.

CAN féminine (demi-finale) | Le Maroc affronte le Nigeria pour une place en finale

Cela conforte, pour ceux qui auraient eu un doute, la démarche de la CNDP, à l’endroit de ceux qui voudraient transformer leurs rêves malsains en réalités nauséabondes, en occultant aux opinions publiques la complexité de l’attribution et de ses exigences techniques et déontologiques.

Selon l’Agence de presse EFE, des responsables gouvernementaux espagnols ont affirmé que toutes les tentatives d’accusation d’un pays tiers, particulièrement le Maroc, pour l’utilisation du logiciel Pegasus, ne sont que pure spéculation. Commentaire?

Nous suivons avec attention les effets de cette dépêche. Elle doit contribuer à recentrer le débat sur des considérations techniques objectives afin de dénouer cette affaire et s’éloigner des positions partisanes à la fois non fondées et polluantes. Que ceux qui ont des choses à dire fournissent des preuves techniques et arrêtent leurs sketches !

Vous avez appelé à la création d’un réseau international pour un usage éthique de la technologie. Où en est ce projet?

Cette annonce a été faite à Tanger, ville à l’âme internationale, le 25 février dernier. Nous travaillons activement sur la création d’un réseau international pour un usage éthique de la technologie. Une première réunion avec des experts nationaux et internationaux aura lieu dans les toutes prochaines semaines, a priori fin avril 2023, autour de ce projet.

Des cyberattaques ont récemment ciblé les sites de la MAP et de Maroc Hebdo. Des hackers ont même ciblé les clients d’une grande banque de la place (CIH Bank). Comment est-il possible d’identifier le ou les auteurs d’une attaque cybernétique et comment s’en prémunir?

La cybersécurité est une hygiène de tous les jours qui nécessite expertise et humilité, car personne n’est à l’abri. Les entreprises doivent prendre cela très au sérieux en respectant les lois en vigueur et en déployant les politiques opérationnelles. La formation des ressources humaines est essentielle. C’est un travail de tous les jours.

Comme déjà dit, dans ce domaine, il ne faut jamais penser que c’est ficelé. Les hackeurs peuvent agir de partout, plusieurs fois par jour, voire par heure. Il faut rester en alerte et ne pas s’endormir au volant… De nouvelles méthodes d’attaque sont continuellement inventées. C’est comme en médecine. Pour chaque virus, il faut établir son traitement.

Les incidents de cybersécurité devraient alerter sur le niveau de sensibilité des  données personnelles détenues par certains établissements publics et privés.  Mais sont-elles vraiment bien protégées? Observez-vous une réelle prise de conscience dans ce domaine?

Oui, évidemment! La prise de conscience est là. Et de plus, à quelque chose malheur est bon, puisque chaque nouvelle attaque contribue à renforcer les prises de conscience par rapport aux risques et dangers des attaques cybernétiques.

Peut-on dire aujourd’hui que le Maroc est bien outillé, d’un point de vue législatif, en matière de protection des données personnelles?

La loi 09-08, en vigueur, nous permet de faire énormément de choses. Nous sommes dans un monde en évolution permanente et, surtout, en évolution très rapide. Nous sommes en train de travailler pour une refonte de la loi qui renforcera notre efficacité. Mais soyez rassurés, avec ce qui existe aujourd’hui, nous ne sommes pas en panne.

La Commission Nationale de contrôle de la protection des Données à caractère Personnel a lancé en juillet 2020, les programmes DATA-TIKA. De quoi s’agit-il?

C’était à la sortie du confinement, période qui a démontré à ceux qui n’en étaient pas encore convaincus l’importance du digital, donc de la protection des données à caractère personnel. Nous avons décidé, avec les programmes DATA-TIKA, d’inverser le paradigme et ne pas attendre que les responsables de traitement viennent vers la Commission Nationale de contrôle de la protection des Données à Caractère Personnel, mais plutôt de faire en sorte que la CNDP aille vers eux. Ceci nous a permis d’expliquer, qu’à l’inverse de certaines assertions fallacieuses, la protection des données est facilitatrice de la digitalisation et non un frein.

Pour conduire une voiture sans mettre en danger les autres, il faut respecter le code de la route. La protection des données à caractère personnel est le code de la route du digital.

Fitch Ratings confirme la note du Maroc à « BB+ » assortie d’une perspective stable

Depuis que vous êtes à la tête de la CNDP, vous avez entamé plusieurs chantiers dans l’objectif de gagner en efficacité et d’instaurer une véritable culture de protection des données personnelles au Maroc. Ces objectifs ont-ils été atteints?

Même si nous commençons à observer des effets positifs importants, il serait à la fois prétentieux et malhonnête de dire que les objectifs sont atteints ! Ce que nous avons gagné ces derniers mois, c’est que l’importance et la légitimité de la protection des données à caractère personnel sont de moins en moins remises en question. Nous pouvons dire que la conduite du changement culturel est foncièrement engagée. Tout le reste doit être consolidé.

Nous pensons que le renforcement de mise en œuvre des sanctions, par son effet dissuasif, aura un effet positif et que nous pourrons désormais aller plus vite, en direction des objectifs.

Entretien réalisé par Mohcine Lourhzal

————————–

Bio Express

Qui est Omar Seghrouchni?

Omar Seghrouchni que SM le Roi Mohammed VI a nommé en novembre 2018, à la tête de la Commission Nationale de contrôle de la protection des Données à Caractère Personnel  (CNDP), est né le 24 octobre 1962 à Rabat.

Il a été lauréat en 1986 de l’Ecole Mohammedia d’Ingénieurs en Génie Electrique, option Automatique et Informatique Industrielle, puis, en 1987, d’un DEA de Mathématiques et Automatique de l’Université Paris IX-Dauphine et de l’Ecole des Mines de Paris. Il est également titulaire d’un master en Diplomatie et Stratégie au CEDS à Paris et d’un master en Intelligence Economique à l’Ecole de Guerre Economique à Paris.

Omar Seghrouchni a commencé sa carrière en 1988, en France, dans le monde de la recherche (dans le monde du temps réel et des systèmes embarqués), avant de rejoindre des structures de conseil en organisation et systèmes d’information, puis de créer son propre cabinet.

L’actuel Président de la CNDP a piloté plusieurs grands projets de transformations aussi bien dans le secteur privé que le secteur public, en France et au Maroc, et de façon plus large en Europe. Il a accompagné les différentes vagues de démarche d’urbanisme et d’architecture d’entreprise. Il a développé le concept de «gouvernance des transformations».

Omar Seghrouchni est membre, depuis 2010, de la CNDP qu’il préside.

—————————-

CNDP

Missions et attributions

La Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) a été créée en vertu de la loi 09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Elle est chargée de vérifier que les traitements des données personnelles sont licites, légaux et qu’ils ne portent pas atteinte à la vie privée, aux libertés et droits fondamentaux de l’homme.

La Commission que dirige Omar Seghrouchni depuis novembre 2018, est formée de personnalités notoirement connues pour leur impartialité, leur probité morale et leur compétence dans les domaines juridique, judiciaire et informatique.

La CNDP a pour objectif principal de veiller au respect des libertés et droits fondamentaux des personnes physiques à l’égard des traitements de données à caractère personnel.

La Commission assure une mission d’information et de sensibilisation auprès des individus des organismes et des institutions publiques et privées. A cet effet, elle veille à informer les personnes physiques sur les droits que leur confère le nouveau cadre juridique réglementant l’utilisation de leurs données personnelles au Maroc.

Il s’agit également de conseiller et accompagner les individus en vue de se prémunir contre tout abus d’utilisation de leurs données personnelles. Il s’agit également de sensibiliser les organismes publics et privés sur leurs obligations et les meilleures pratiques en matière de traitement des données personnelles, conseiller les responsables de traitement dans la mise en œuvre du processus de conformité aux dispositions de la loi 09-08 et de ses textes d’application.

Enfin, la CNDP mène des actions de sensibilisation auprès des opérateurs économiques dans le but de leur expliquer les règles et les mécanismes régissant le transfert des données personnelles, notamment à l’étranger.

,
,
,

Check Also

Intelligence artificielle et droits de l’homme

L’intelligence artificielle (IA), qui occupe une place grandissante dans la vie des peuples du monde, …

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha Plus loading...

,