Dans la lutte contre le Covid-19, les pouvoirs publics du monde entier s’empressent d’adopter des mesures visant à contenir la propagation et l’évolution de la pandémie. Ces mesures peuvent être d’ordre législatif, sanitaire ou encore d’ordre technologique. Parmi les moyens technologiques déployés par certains gouvernements, l’on peut citer celui inhérent à la géolocalisation des citoyens par le biais d’applications mobiles développées dans le but de suivre la progression de l’épidémie par le traçage des déplacements - procédé qui nécessitera le traitement des données relatives à la localisation.

Le traitement des données relatives à la localisation s’avère être extrêmement révélateur étant donné que la surveillance des déplacements des personnes via des applications mobiles permettra d’identifier le lieu d’habitation, le lieu de travail, les itinéraires empruntés quotidiennement, les habitudes comportementales ainsi que les différentes interactions sociales des titulaires de données. La mise en place d’un système de géolocalisation requerra une extrême vigilance de la part des pouvoirs publics qui, sans l’installation de garde-fous nécessaires, aboutira à une surveillance de masse démesurée de la population.

La loi 09-08 ne détermine pas la nature des données relatives à la localisation - selon que celles-ci relèvent du régime des données sensibles ou pas. L’article 4 du RGPD, pour sa part, fait mention des données de localisation dans son article 4.1 qui définit la notion de données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable … qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom ... des données de localisation … ». Sous le cadre du RGPD, les données de localisation ne relèveraient pas de la nature des catégories particulières de données - dites données sensibles sous la loi 09-08. Aussi, la loi 09-08 ne fait pas mention à travers la définition fournie par son article premier à la notion de données sensibles aux données relatives à la localisation - ces dernières ne relèveraient donc pas du régime de la protection renforcée instauré par la loi 09-08 en faveur des données sensibles.

Le traitement des données de localisation se ferait, dès lors, dans le cadre de l’article 4 de la loi 09-08. Les pouvoirs publics pourront, de ce fait, invoquer comme motif l’exécution d’une mission d’intérêt public pour justifier le traitement de ce type de données, traitement qui n’exigera pas - théoriquement - l’obtention du consentement du titulaire de données.

Bien que les données de localisation ne relèvent pas du régime des données sensibles et ne bénéficient, donc, pas d’une protection renforcée, le RGPD établit une procédure visant à étudier les incidences inhérentes au traitement des données impliquant un risque élevé pour les droits et libertés des personnes physiques - que ces données revêtent ou pas un caractère particulier. À cet effet, l’article 35.1 du RGPD commande aux responsables de traitement de réaliser une analyse d’impact (DPIA) qui a pour but d’évaluer la nécessité du traitement, les risques pour les droits et libertés des personnes physiques et de mettre en place les mesures appropriées pour faire face à ces risques, notamment lorsque le traitement implique^[1] :

1. Le recours à de nouvelles technologies ;

2. Une surveillance systématique à grande échelle des personnes physiques ;

3. Un volume considérable de données à caractère personnel au niveau régional national ou supranational qui peuvent affecter un nombre important de personnes concernées^[2]. 

La loi 09-08 ne prévoit pas la conduite d’une analyse d’impact ce qui augmenterait significativement le risque lié au traitement des données de localisation - via des applications mobiles - dont la portée s’étend sur l’intégralité du Royaume.

En effet, les risques liés au traitement des données de localisation à grande échelle ne sont pas minimes. À titre d’illustration et afin d’enrayer la pandémie, le gouvernement sud-coréen a procédé au traçage des données de localisation des cas confirmés d’infection au Covid-19 et a posté en ligne - en accès ouvert - des données de localisation de ces cas, ce qui permit a un bon nombre d’internautes malveillants d’identifier l’identité des personnes infectées au Covid-19 et de conduire une vague de cyberharcèlement à leur encontre^[3]. En ce sens, le Comité Européen de la Protection des Données - dans sa déclaration du 19 mars 2020^[4] - préconise le traitement des données de localisation de manière anonyme de façon à rendre impossible l’identification des utilisateurs de l’application de géolocalisation - notamment lorsque le traitement est effectué par les pouvoirs publics dans la lutte contre la propagation du Covid-19. Toutefois, une étude menée par le MIT (Massachusetts Institute of Technology) et l’Université Catholique de Louvain en Belgique en 2013 a démontré la possibilité d’identifier, à l’aide de quatre points de données de localisation, l’identité d’utilisateurs de smartphones, alors même que les données collectées aient été anonymisées^[5].

À cet effet, la CNDP avait exprimé, à travers un communiqué de presse du 16 avril^[6], sa position sur le sujet en mettant en relief « les risques de déploiement d’un État de surveillance dans le cas où les usages permis par cette application n’étaient pas respectueux des droits humains et encadrés juridiquement ». L’autorité marocaine pour la protection des données personnelles avait également recommandé que « l’usage de ce type d’application soit déployé sur la base d’une confiance volontariste et non sur la base d’une obligation difficile à mettre en œuvre ».

La CNDP préconisait, de ce fait, de laisser l’utilisation de ladite application à la discrétion des citoyens, à l’instar du gouvernement français qui a également déployé une application aux mêmes fins sur la base d’une confiance volontariste, mais aussi de recourir au « contact tracing » qui repose sur l’usage de la technologie Bluetooth et qui ne nécessite pas le traitement des données de localisation des utilisateurs. Cette autorité avait aussi émis toute une liste de recommandations adressées aux pouvoirs publics et destinées à assurer la confiance numérique dans le procédé de traitement et d’utilisation données à caractère personnel.

1. Les atouts et limites de l’application « Wiqaytna » à l’échelle de la protection des données personnelles

Dans le souci de développer une application informatique respectueuse de la vie privée et tenant compte des recommandations de la CNDP, les pouvoirs publics marocains ont, dans l’effort de poursuivre le combat contre la propagation du virus, déployé une application mobile de « contact tracing » - dénommée Wiqaytna - dont l’installation se fait sur la base du volontariat et dont l’usage repose sur la technologie Bluetooth en enregistrant - de manière chiffrée - les contacts entre les utilisateurs de l’application sur certaines distances et pendant une durée déterminée, ne procédant pas ainsi au traitement des données relatives à la géolocalisation qui comportent un risque élevé pour la vie privée des titulaires de données. Cette application permet de notifier les utilisateurs d’une exposition prolongée à un risque d’infection au Covid-19 dans la mesure où ces derniers se trouveraient à proximité d’un cas avéré d’infection au virus. Une fois notifié, l’utilisateur de l’application pourra prendre les mesures quarantenaires et sanitaires nécessaires et propres à briser les chaînes de transmission du virus.

Pour éviter que des personnes malintentionnées ne signalent des cas mensongers d’infection au Covid-19 à risque de rendre l’application inopérante, seuls des professionnels de santé, ayant réalisé des tests de dépistage du virus sur la personne concernée confirmant que cette dernière en est effectivement porteuse, détiendront un code à usage unique qui permettra de déclencher le signalement et de notifier les personnes ayant été en contact avec la personne en question.

Afin de s’inscrire sur l’application, l’utilisateur devra saisir son numéro de téléphone mobile et optionnellement - pour des raisons statistiques et d’étude d’analyse de la pandémie - indiquer sa tranche d’âge, son genre et la ville de sa résidence. Après s’être inscrit, un identifiant d’utilisateur aléatoire sera associé au numéro de téléphone mobile et seul cet identifiant sera pris en compte lors des opérations de traitement.

Dans le but d’assurer l’intégrité et la confidentialité des données et afin d’éviter que l’identifiant d’utilisateur ne permette de remonter à l’identité du titulaire de données, l’application générera, lors d’un contact avec un autre utilisateur de l’application, des identifiants temporaires générés aléatoirement par cryptage des identifiants des utilisateurs. De surcroît, ces mêmes identifiants temporaires seront régulièrement actualisés  pour rendre impossible l’identification de l’identité des titulaires de données.

À première vue, l’utilisation de l’application « Wiqaytna » ne susciterait aucun problème au niveau de la protection des données à caractère personnel de ses utilisateurs au vu des mesures techniques mises en place à cet effet. Toutefois, loin de l’idée de dissuader les citoyennes et citoyens d’utiliser l’application développée par les pouvoirs publics, il serait possible de soulever quelques brèches à son sujet :

1. Les données personnelles traitées par l’application mobile - à savoir le numéro de téléphone et l’identifiant d’utilisateur y étant associé - ne sont pas anonymisées mais pseudonymisées de manière à permettre la ré-identification de l’utilisateur de l’application par la combinaison d’un certain nombre d’informations supplémentaires contenues dans la base centrale de données - bien que les données soient protégées par des mécanismes crytpographiques^[7]. En ce sens, accéder aux numéros de téléphone des utilisateurs permettra de retrouver leurs identités. Aussi, associer le code d’identification généré par l’application au numéro de téléphone de son titulaire ou encore aux identifiants des personnes ayant été en contact avec la personne contaminée pourra révéler l’identité de l’utilisateur de l’application.

2. Retrouver l’identité du titulaire de données, par la combinaison de données pseudonymisées contenues dans la base de données, conduira non seulement à connaître leur identité réelle - noms & prénoms - mais également à révéler les données de santé de la personne concernée dans le cas où celle-ci serait atteinte du Covid-19.

3. Au-delà des risques de ré-identification liés au procédé de pseudonymisation, il sera toujours possible de connaître l’identité des personnes atteintes du Covid-19 par l’usage de manœuvres indépendantes du programme de sécurité de l’application. En effet, dissimuler un téléphone contenant l’application de « contact tracing » à l’entrée d’un immeuble, par exemple, permettra de savoir, une fois une notification reçue, si l’un de ses habitants est contaminé. 

4. La technologie Bluetooth utilisée par l’application de « contact tracing » est également vulnérable face aux fausses alertes pouvant être déclenchées par l’un des utilisateurs de l’application. Il est possible de citer l’exemple où une personne présentant des symptômes du virus prête son téléphone portable à l’un de ses amis travaillant dans une banque et dans un service à effectif élevé. Le lendemain, le propriétaire du téléphone sera testé positif au Covid-19, résultat qui enclenchera automatiquement l’envoi de notifications en masse aux téléphones des salariés de la banque - ce qui entraînera fort probablement la fermeture temporaire de l’établissement en question.

5. À priori, l’application ne traiterait pas seulement les données liées au numéro de téléphone de l’utilisateur ou à l’identifiant y étant associé. Les conditions générales d’utilisationde l’application feraient également allusion au traitement des données liées à la date et au lieu de la contamination puisque ces mêmes conditions énoncent -  au niveau de la finalité pour laquelle l’application est déployée - que « En aucun cas, le nom de la personne, le numéro de téléphone, la date ou le lieu de contamination ne sont communiqués aux contacts ». Le traitement des données se rapportant à la date et au lieu de la contamination constituerait un risque supplémentaire pour la vie privée des utilisateurs dans la mesure où lesdites données pourront concourir à la ré-identification des personnes atteintes du Covid-19.

6. Les données collectées ne seraient pas les mêmes en fonction du système d’exploitation du téléphone mobile. Sur les téléphones utilisant des systèmes d’exploitation iOS, l’application ne nécessiterait, pour son bon fonctionnement, que l’activation du Bluetooth. Sur le système Android, en revanche, l’application demanderait l’accès aux données de localisation - pour permettre aux téléphones ‘android’ de communiquer via Bluetooth. Un tel accès reviendrait à déduire que l’application traiterait également les données de localisation des utilisateurs des téléphones dotés d’un système d’exploitation android. Seulement, accéder aux données de localisation n’insinue pas forcément l’accès aux données se rapportant à la « géolocalisation ».

À l’instar de l’application « Wiqaytna », l’application « StopCovid » développée par les pouvoirs publics français demanderait une autorisation similaire et cela peut s’expliquer par la raison suivante : Pour mettre l’application à disposition des citoyens, les pouvoirs publics doivent se conformer aux systèmes d’exploitation sur lesquels celle-ci sera lancée. Ayant une maîtrise complète de son système d’exploitation, Google - ayant développé le système android - n’autoriserait l’accès au module Bluetooth que sur une base individuelle obligeant ainsi les pouvoirs publics à recourir à l’obtention d’une autorisation plus générale qui comprend tous les services de localisation. Google associerait, de ce fait, la technologie Bluetooth à de la localisation, ce qui justifie la demande d’accès aux données de localisation affichée sur l’application lancée sur le système d’exploitation android^[8].

1. Les principes gouvernant la protection des données personnelles comme garanties au respect du droit à la vie privée

En temps « normal» ou en situation d’état d’urgence sanitaire et que le traitement concerne des données ne revêtant aucun caractère particulier ou des données sensibles, tout traitement de données à caractère personnel doit obéir obligatoirement à certains principes instaurés par la loi 09-08.

Ces principes sont énumérés à l’article 3 de la loi 09-08 et il incombera aux pouvoirs publics responsables de traitement d’assurer le respect desdits principes - sous le contrôle de la Commission Nationale de la Protection des Données à caractère Personnel^[9]. Hormis leur caractère obligatoire, les juridictions pourront s’appuyer sur les principes énumérés à l’article 3 pour interpréter - si nécessaire - les dispositions de la loi relative à la protection des données à caractère personnel des personnes physiques.

Les pouvoirs publics auront dès lors pour obligation – lors du traitement des données personnelles collectées via l’application « Wiqaytna » - d’observer les principes suivants :

Le principe de licéité.L’utilisation de l’application étant basée sur une approche volontariste, les pouvoirs publics devront, pour procéder au traitement des données personnelles pouvant être requis pour utiliser l’application, obtenir obligatoirement le consentement des utilisateurs de l’application « Wiqaytna » et ce, conformément à l’alinéa premier de l’article 4 de la loi 09-08. Si l’installation de l’application avait été jugée obligatoire, les pouvoirs publics auraient eu la possibilité d’invoquer, pour procéder au traitement des données personnelles des utilisateurs de l’application, le motif lié à l’exécution d’une mission d’intérêt public énoncé à l’alinéa 3.d) de l’article 4 de la loi 09-08.

Le principe de loyauté.Ayant opté pour une approche volontariste, les pouvoirs publics devront, pour traiter les données de localisation, obtenir un consentement indubitable des titulaires de données à l’opération ou à l’ensemble des opérations envisagées par l’utilisation de l’application de « Wiqaytna ». Le caractère indubitable du consentement implique que ce dernier soit donné librement, en connaissance de cause et dont le refus ne saurait donner lieu à de possibles conséquences, notamment à des traitements discriminatoires. Aussi, la demande de consentement doit être présentée sous une forme compréhensible et aisément accessible et formulée en des termes clairs et simples.

Le principe de transparence.Compte tenu des enjeux en présence, les pouvoirs publics ont, dans l’intention de conforter la confiance numérique des citoyennes et citoyens dans l’utilisation de l’application « Wiqaytna », publié les codes sources de ladite l’application de manière à les rendre accessibles – en Open Source -  à tous pour des fins d’audit et de vérification.

Le principe de limitation des finalités. Par application de ce principe les pouvoirs publics devront définir la finalité - à laquelle ils ne pourront déroger - poursuivie par l’utilisation de l’application de « Wiqaytna ». La finalité du traitement, dans ce cas de figure, joue un rôle imminent dans la mesure où celle-ci détermine les frontières du traitement des données personnelles collectées. Assurément, les enjeux sont de taille. La subjectivité dans l’interprétation et l’ambigüité n’ont place dans le processus de détermination de la finalité liée à l’utilisation de cette application. La finalité doit être précise, claire et exhaustive. En ce sens, l’application « Wiqaytna » adopte comme finalité - conformément aux conditions générales d’utilisation - « le pilotage de la lutte contre la pandémie durant la période de crise sanitaire » et précise que « durant [cette période], les données collectées par l’application … seront utilisées uniquement pour informer les contacts ayant été exposés à une personne positive [au] Covid-19 et pour contenir la propagation du virus ».

Le principe de minimisation des données.Par application de ce principe, les pouvoirs publics ne devront collecter que les données leur permettant d’atteindre la finalité précédemment évoquée. L’application « Wiqaytna » reposant sur la technologie Bluetooth, son utilisation ne nécessitera pas le traitement des données de localisation de ses utilisateurs. D’ailleurs, les pouvoirs publics ne requièrent et ne collectent pour l’utilisation de l’application que le numéro de téléphone des utilisateurs à des fins de confirmation d’inscription par le biais d’un code envoyé par message à l’utilisateur. À titre facultatif, le titulaire de données peut renseigner des informations supplémentaires aux pouvoirs publics pour des raisons statistiques d’étude et d’analyse de la pandémie.

Le principe d’exactitude des données.Les pouvoirs publics responsables de traitement devront veiller à ce que les données personnelles traitées via l’application « Wiqaytna » reflètent réellement l’identité des titulaires de données. Aussi, la mise en place d’une application performante et d’un système de sécurité immunisé contre les éventuels dysfonctionnements et cyberattaques sera de rigueur pour éviter que les données traitées ne soient erronées ou manipulées. En ce sens, la CNDP avait recommandé aux pouvoirs publics, vu la sensibilité du sujet, de ne pas recourir à l’acquisition d’une boîte noire^[10] « black box » afin d’être en maîtrise complète des codes développés et des architectures mis en œuvre.

Le principe de limitation de la conservation.Par application de ce principe, les pouvoirs publics devront procéder impérativement - compte tenu des enjeux en présence - à l’effacement de toutes les données à caractère personnel, traitées via l’application « Wiqaytna » pour lutter contre la propagation du virus, à la sortie de l’état d’urgence sanitaire. En ce sens, les conditions générales d’utilisation de l’application énoncent que « Après la fin de la pandémie, les données (numéro de téléphone) seront anonymisées. Ces données seront mises à disposition du public pour la réalisation des études statistiques, épidémiologiques ou scientifiques conformément à la loi 69-99 relative aux archives et à la loi 31-13 sur le droit d’accès à l’information en respect des dispositions de la loi 09-08 sur la protection des données à caractère personnel ». À notre humble avis, ce terme est contestable et pourrait être remis en cause étant donné que la précision relative aux numéros de téléphone figurant entre parenthèses reviendrait à s’engager à anonymiser uniquement les numéros de téléphone, sachant que l’application peut collecter d’autres données personnelles supplémentaires - à titre optionnel soit-il.

En ce qui concerne la conservation des identifiants des téléphones à proximité de l’utilisateur, ces derniers seront stockés sur le téléphone de la personne concernée pour une durée de 21 jours - soit la durée moyenne d’incubation du virus.

Le principe d’intégrité et confidentialité. Il incombera aux pouvoirs publics, en vertu de ces principes, d’installer tous les dispositifs techniques, technologiques et organisationnels à même d’assurer l’intégrité et la confidentialité des données traitées dans le cadre de l’utilisation de l’application « Wiqaytna ».

Bien qu’en matière de cybersécurité le risque zéro n’existe pas, les pouvoirs publics devront toujours démontrer notamment en cas de destruction accidentelle ou illicite, de perte accidentelle, d’altération, de diffusion ou d’accès non autorisé, qu’ils ont employé toutes les mesures techniques et organisationnelles propres pour protéger les données à caractère personnel traitées. À cette obligation, s’ajoute celle inhérente à la protection des données sensibles relatives à la santé - conformément à l’article 24 de la loi 09-08 - étant donné que l’application implique officieusement le traitement des données de santé des utilisateurs. En ce sens, a CNDP - dans un communiqué de presse du 12 mai 2020^[11] - avait autorisé le recours à cette application dans l’hypothèse où celle-ci limitait l’accès aux données aux seules personnes habilitées et en cas de non-utilisation de boite noire - ces deux exigences ayant pour but d’assurer la confidentialité et l’intégrité des données.

Il est clair que le recours au « contact tracing », qui repose sur le recours à la technologie Bluetooth, présente de sérieuses garanties à la protection des données à caractère personnel des utilisateurs de l’application « Wiqaytna », par opposition au « contact tracking » faisant usage notamment de la technologie de géolocalisation par GPS qui implique un risque relativement plus élevé pour la vie privée des personnes concernées et qui peut aboutir - si manipulée inconcieusement - à l’instauration d’un état de surveillance de masse démesurée. Aussi, l’observation par les pouvoirs publics des principes gouvernant la protection des données personnelles - tels qu’instaurés par l’article 3 de la loi 09-08 - constitue une solide garantie au respect du droit à la vie privée des utilisateurs de l’application et il appartiendra à la CNDP d’épingler les différents dépassements susceptibles d’avoir lieu lors du traitement des données personnelles des utilisateurs.

L’effort déployé par les pouvoirs publics ainsi que par les différentes entités privées impliquées dans le développement de l’application est salutaire compte tenu du temps record dans lequel ladite application fût développée et des mesures techniques mises en œuvre à même de garantir la protection des données personnelles des citoyennes et citoyens participant au combat national contre la propagation de la pandémie. Toutefois, les plus grandes préoccupations soulevées par l’utilisation d’une telle application résideraient dans la nature de la technologie utilisée, qui est celle du Bluetooth.
Si les pouvoirs publics, en leur qualité de responsable de traitement, ont effectivement installé les garde-fous propres à garantir une sécurité et une protection maximales des données personnelles traitées, il n’en demeure pas moins que plusieurs facteurs risquent d’intervenir pour détourner l’utilisation de l’application, facteurs qui ne relèveront le plus souvent pas des détails techniques employés et dont la survenance pourrait conduire à l’altération de l’efficacité et du plein potentiel de l’application.

[1]Notons que l’article 35.10 du RGPD édicte que la conduite d’une analyse d’impact n’est pas obligatoire « lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public dans la mesure où ledit traitement a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable de traitement est soumis … et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question ».

Toutefois, l’article 36.5 dispose que « le droit des États membres peut exiger que les responsables de traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable de traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris dans le cadre de la protection sociale et de la santé publique ».

[2]À cet effet, la raison 91 du RGPD énonce que la conduite d’une analyse d’impact s’applique « … aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d'exercer leurs droits … ». 

[3] The New York Times. As Coronavirus Surveillance Escalates, Personal Privacy Plummets , 2020.

À consulter sur le site Web : https://www.nytimes.com/2020/03/23/technology/coronavirus-surveillance-tracking-privacy.html .

[4] À consulter en téléchargement sur le lien Web suivant : https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en

[5] Wired. Anonymized Phone Location Data Not So Anonymous, Researchers Find , 2013.

À consulter sur le site Web : https://www.wired.com/2013/03/anonymous-phone-location-data/

[6] La Commission Nationale de Contrôle de la Protection des Données à caractère Personnel, La CNDP à la disposition du gouvernement pour renforcer, en termes de respect de la vie privée, ses politiques proactives, 16 avril 2020. À consulter sur le site web : https://www.cndp.ma/fr/actualite/665-act-16-04-2020.html

[7] En cybersécurité, le risque zéro n’existe pas.

[8] Julien Lausson, « StopCovid demande l’accès à la géolocalisation sur Android, mais s’engage à ne pas l’utiliser », numerama, 2020. À consulter sur le lien suivant : https://www.numerama.com/tech/627965-stopcovid-demande-lacces-a-la-geolocalisation-sur-android-mais-sengage-a-ne-pas-lutiliser.html

[9] L’alinéa 3 de l’article 3 de la loi 09-08 dispose que « Il incombe au responsable du traitement d’assurer le respect des dispositions des paragraphes qui précèdent, sous le contrôle de la Commission nationale ».

[10] Une boîte noire est la représentation d’un système sans considérer son fonctionnement interne, par opposition à la boîte dite blanche, dont les mécanismes sont visibles et permettent d’en comprendre le fonctionnement.

[11] Communiqué de la CNDP du 12 mai 2020 à consulter sur le lien suivant :  https://www.cndp.ma/fr/cndp/qui-sommes-nous/commision.html