Dans le cadre sanitaire actuel, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) “salue le courage politique et opérationnel avec lequel le ministère de la Santé et le ministère de l’Intérieur adoptent cette démarche proactive”, en référence à l’application pensée pour pister les personnes atteintes du Covid-19.
Mais malgré les avantages que cette application pourrait générer, la CNDP insiste dans son communiqué, rendu public ce jeudi 16 avril, sur “la nécessité de conforter la confiance, en particulier la confiance numérique : si celle-ci n’est pas assurée, le nécessaire large usage de l’application s’en trouvera affecté et les résultats escomptés altérés”. Elle recommande ainsi que l’usage de ce type d’application “soit déployé sur la base d’une confiance volontariste et non sur la base d’une obligation difficile à mettre en œuvre”.
Une transparence nécessaire
Pour l’instance d’Omar Seghrouchni, le cadre exceptionnel et le déploiement de cette application ne doit pas affecter la confiance des citoyens dans leur utilisation du numérique. Et de recommander près d’une dizaine de mesures sine qua non au maintien de cette confiance et à la bonne utilisation des données personnelles des citoyens.
“Définir, de façon explicite, la finalité stratégique et les moyens opérationnels et techniques”
Parmi ces recommandations, “définir, de façon explicite, la finalité stratégique et les moyens opérationnels et techniques pour l’atteindre”, réclame la CNDP, arguant que “la finalité stratégique est le contrôle de la propagation de la pandémie”. “Les moyens opérationnels et techniques pour l’atteindre doivent distinguer les moyens de type tracing, induits par des technologies comme le Bluetooth, et les moyens de type tracking induits par des technologies comme la géolocalisation et le GPS. Les moyens utilisés doivent être adéquats avec la finalité stratégique”, pointe le document.
L’instance met également l’accent sur le fait de “veiller à ce que seules les autorités dûment habilitées (sanitaires, mais aussi le personnel d’autorité régulièrement affecté afin de faire respecter les décisions sanitaires), soient en mesure d’accéder, chaque agent selon ses missions, aux seules données à caractère personnel”. Elle explique également la nécessité “d’informer, en application du principe de transparence, l’utilisateur ciblé de la finalité affichée et des moyens utilisés pour l’atteindre”.
Pas de pistage sans dépistage
La CNDP recommande également de “veiller à garantir la complémentarité annoncée comme nécessaire entre le pistage et l’usage de cette application, d’une part, et la politique de dépistage et de tests au Covid-19, d’autre
part. Ces deux dispositions vont de pair. L’insuffisance du dépistage peut remettre en cause l’intérêt du pistage”.
Elle attire également l’attention sur la conservation des données à plus long terme. “Veiller à détruire les données collectées et générées à la sortie de l’état d’urgence sanitaire, sauf celles pouvant alimenter, de façon anonymisée et réglementaire, la recherche scientifique”, recommande l’instance. Elle insiste sur ce même volet en expliquant que “l’administration, vu la sensibilité du sujet, ne peut recourir à l’acquisition de boîte noire (black box). Elle doit être en maîtrise complète des codes développés et des architectures mises en œuvre”.
La commission annonce se tenir à disposition des autorités et des citoyens pour les épauler à maintenir la confiance et répondre à leurs interrogations. Elle signale également qu’“en vue de réaliser un rapport sur le respect de la protection des données à caractère personnel pendant la période d’urgence sanitaire, la commission sollicitera les administrations concernées pour recueillir toutes les informations utiles à cet effet”.