Coronavirus : la CNDP s’exprime sur l’application de tracking
La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) réagit à la volonté du gouvernement de mettre en place une application « Contact tracing ».
En début de semaine, le gouvernement a lancé un appel à manifestation pour la conception d’une application de tracking permettant d’identifier les personnes en contact avec un patient contaminé au coronavirus.
Faisant suite à cet appel, la CNDP a annoncé qu’elle « se tient à la disposition des autorités gouvernementales pour les accompagner à conforter le cadre de confiance numérique pouvant contribuer à gérer les deux priorités du moment: le risque sanitaire et le maintien de l’activité économique ». La commission se tient également à la disposition des citoyens pour répondre à leurs interrogations et suivre leurs craintes et inquiétudes au sujet du non-respect de leur vie privée et de leurs données à caractère personnel.
Lire aussi : Coronavirus/déconfinement : le ministère de la Santé à la recherche d’une solution digitale
« Il est louable que le gouvernement anticipe, et la CNDP salue le courage politique et opérationnel avec lequel le ministère de la Santé et le ministère de l’Intérieur adoptent cette démarche proactive », s’est réjouie la Commission. Elle insiste, toutefois, sur la nécessité de conforter la confiance, en particulier numérique. « Si celle-ci n’est pas assurée, le nécessaire large usage de l’application s’en trouvera affecté et les résultats escomptés altérés », note-t-elle. La commission recommande, à cet égard, que l’usage de ce type d’application soit déployé sur la base d’une confiance volontariste et non sur la base d’une obligation difficile à mettre en œuvre.
Pour assurer cette condition sine qua non de confiance concernant la collecte et l’utilisation des données à caractère personnel, la CNDP recommande fortement au gouvernement de veiller à garantir la complémentarité annoncée comme nécessaire entre le pistage et l’usage de cette application, d’une part, et la politique de dépistage et de tests au Covid-19, d’autre part. La Commission estime que « l’insuffisance du dépistage peut remettre en cause l’intérêt du pistage » et qu’il faut justifier que cette complémentarité et les algorithmes utilisés répondent effectivement à la finalité du contrôle de la propagation de la pandémie.
Lire aussi | Rapatriement des Marocains venus d’Algérie : voici leurs témoignages !
Dans le même sillage, la CNDP souligne l’importance de veiller à définir, de façon explicite, la finalité stratégique et les moyens opérationnels et techniques pour l’atteindre. Elle ajoute que les moyens opérationnels et techniques pour y parvenir doivent distinguer les moyens de type « tracing » induits par des technologies comme le Bluetooth et les moyens de type « tracking » induits par des technologies comme la géolocalisation et le GPS. « Les moyens utilisés doivent être adéquats avec la finalité stratégique », insiste la CNDP.
Elle recommande aussi de veiller à informer, en application du principe de transparence, l’utilisateur ciblé de la finalité affichée et des moyens utilisés pour l’atteindre, de même pour veiller à ce que seules les autorités dûment habilitées (sanitaires, mais aussi le personnel d’autorité régulièrement affecté afin de faire respecter les décisions sanitaires) soient en mesure d’accéder, chaque agent selon ses missions, aux seules données à caractère personnel jugées nécessaires à l’exécution de ses missions propres en conformité avec la finalité affichée.
Il ne faut pas non plus réutiliser les données à caractère personnel autrement que pour la finalité affichée, poursuit la CNDP, ajoutant qu’il sera obligatoire de détruire les données collectées et générées à la sortie de l’état d’urgence sanitaire, sauf celles pouvant alimenter, de façon anonymisée et réglementaire, la recherche scientifique.
La commission recommande également de prendre en considération que l’administration, vu la sensibilité du sujet, ne peut recourir à l’acquisition de boîte noire (black box) et qu’elle doit être en maîtrise complète des codes développés et des architectures mises en œuvre.