La présidente de la commission, Marie-Laure Denis, était auditionnée mardi par les députés. L'occasion pour la dirigeante de détailler la façon dont l'autorité administrative indépendante appréhendera l'application de contact tracing.
Alors que les tests en conditions réelles de StopCovid doivent démarrer lundi, le secrétaire d'État chargé du Numérique, Cédric O, a indiqué ce mardi que l'application mobile de suivi de contacts devrait être prête au lancement le 2 juin. D'ici-là, les parlementaires devront adouber le projet du gouvernement, et la CNIL aura la charge de livrer un avis définitif. La présidente de la Commission nationale informatique et libertés était d'ailleurs auditionnée par la commission des lois de l'Assemblée nationale, le 5 mai.
La CNIL veut s'assurer de la minimisation des données collectées via StopCovid
La CNIL avait déjà rendu un premier avis sur les modalités et conditions de mise en œuvre de StopCovid, donnant son aval à son exploitation sous réserve de certaines conditions. Marie-Laure Denis a eu l'occasion de développer cet avis avec les députés, sans pour autant se soustraire au collège des 18 membres de la commission, qui devra rendre un ultime avis officiel sur l'application mobile, censée être un outil numérique de lutte contre l'épidémie de coronavirus. Lors de son audition, la dirigeante a rappelé que la CNIL ne se prononcerait pas sur le projet de loi prorogeant l'état d'urgence sanitaire dans sa globalité.
La présidente de l'autorité a indiqué aux députés que le risque de surcollecte des données est réel, et qu'il faudra veiller à respecter le principe de minimisation des données collectées.
Par extension, la CNIL demandera aux enquêteurs de lui communiquer le questionnaire utilisé une fois un cas contact identifié, de façon à ce que ce dernier ne réclame pas des données non nécessaires et intrusives. La commission, qui requiert une transparence totale, veut aussi veiller à ce que les différents acteurs du secteur de la santé, comme la caisse d'assurance maladie ou l'ARS, ne puissent pas avoir accès à certaines informations appartenant aux personnes contaminées. En somme, elle veut que les informations demandées puis récoltées auprès des utilisateurs ou malades soient clairement définies.
La commission veut un strict encadrement de la durée de conservation des données et de leur suppression
Point important soulevé par Marie-Laure Denis, la durée de la mise en œuvre du dispositif pose aussi et nécessairement la question de la durée de conservation des différentes données récoltées. La CNIL sera attentive à la durée délimitée par les parlementaires, et demande d'ores et déjà à ce que celles-ci soient supprimées rapidement, avec comme condition que leur conservation n'aille pas au-delà de la fin de l'épidémie.
L'autorité administrative indépendante a par ailleurs rappelé l'impératif de sécurité des données et d'un audit régulier de l'application. Elle s'inquiète peut-être aussi des sous-traitants qui auront accès à ses informations, une possibilité pourtant permise par le RGPD et l'article 6 du projet de loi. Pour la CNIL, « le dispositif informatique devra permettra de retracer l'usage » qui aura pu être fait des fichiers, pour se prémunir de tout abus.
Sur un plan chronologique, la CNIL procédera donc à des investigations à différents stades. D'abord, elle s'assurera du respect de la sécurité des données et vérifiera la sélection des sous-traitants pendant la phase de déploiement. Puis une fois le dispositif prêt à être utilisé, elle veillera au respect des droits des utilisateurs et du respect des procédures. Et dans un dernier temps, celui de fin d'utilisation de l'application, l'autorité s'assurera du respect de la durée de conservation des données et de leur destruction.
Source : Assemblée nationale
