La CNDP considère comme « louable » cette décision du gouvernement mais recommande que l’usage de l’application soit volontariste et non obligatoire.

Dans un communiqué publié ce jeudi 16 avril et comme attendu, la CNDP a réagi à la volonté du gouvernement de mettre en place une application de traçage des contaminations Covid-19.  

« Cette annonce (apprise par la CNDP par voie de presse) a immédiatement généré, une interrogation, et voire, une inquiétude citoyenne autour des risques de déploiement d’un Etat de surveillance dans le cas où les usages permis par cette application n’étaient pas respectueux des droits humains et encadrés juridiquement », explique l’institution présidée par Omar Seghrouchni.

Mais vu « la gravité de la situation sanitaire » et pour « maîtriser la propagation de la pandémie, en particulier lors de la phase de déconfinement à venir, nous ne pouvons nous permettre, pour l’intérêt collectif, de nous tromper de combat », tempère la CNDP.

Ainsi, « il est louable que le gouvernement anticipe », observe la même source, saluant au passage « le courage politique et opérationnel avec lequel le ministère de la Santé et le ministère de l’Intérieur adoptent cette démarche proactive. »

Toutefois, la CNDP recommande que « l’usage de ce type d’application soit déployé sur la base d’une confiance volontariste et non sur la base d’une obligation difficile à mettre en œuvre« .

Pour le régulateur, le déploiement de cette mesure ne doit pas affecter « la confiance numérique », condition que l’institution considère comme si ne qua non. Et pour assurer cette condition, des règles doivent ainsi être observées lors de « la collecte et l’utilisation » des données à caractère personnel. La CNDP les énumère comme suit:

1. Veiller à garantir la complémentarité annoncée comme nécessaire entre le pistage et l’usage de cette application, d’une part, et la politique de dépistage et de tests au COVID19, d’autre part. Ces deux dispositions vont de pair.L’insuffisance du dépistage peut remettre en cause l’intérêt du pistage.
2. Justifier que cette complémentarité et les algorithmes utilisés répondent effectivement à la finalité du contrôle de la propagation de la pandémie.
3. Veiller à définir, de façon explicite, la finalité stratégique et les moyens opérationnels et techniques pour l’atteindre. La finalité stratégique est le contrôle de la propagation de la pandémie. Les moyens opérationnels et techniques pour l’atteindre doivent distinguer les moyens de type « tracing » induits par des technologies comme le bluetooth et les moyens de type « tracking » induits par des technologies comme la géolocalisation et le GPS. Les moyens utilisés doivent être adéquats avec la finalité stratégique.
4. Veiller à informer, en application du principe de transparence, l’utilisateur ciblé de la finalité affichée et des moyens utilisés pour l’atteindre.
5. Veiller à ce que seules les autorités dûment habilitées (sanitaires, mais aussi le personnel d’autorité régulièrement affecté afin de faire respecter les décisions sanitaires), soient en mesure d’accéder, chaque agent selon ses missions, aux seules données à caractère personnel, jugées nécessaires à l’exécution de ses missions propres en conformité avec la finalité affichée.
6. Veiller à ne pas réutiliser les données à caractère personnel autrement que pour la finalité affichée.
7. Veiller à détruire les données collectées et générées à la sortie de l’état d’urgence sanitaire, sauf celles pouvant alimenter, de façon anonymisée et réglementaire, la recherche scientifique.
8. Prendre en considération que l’administration,vu la sensibilité du sujet, ne peut recourir à l’acquisition de boîte noire (black box). Elle doit être en maîtrise complète des codes développés et des architectures mises en œuvre.
9. Veiller à partager, voire rendre publics, le code développé, les architectures et les technologies utilisées en autorisant leur audit citoyen, ce qui permet aussi de respecter le principe de la publication proactive mais aussi de la procédure d’urgence prévue par la loi n°31-13 relative au droit d’accès à l’information. Cet audit peut être également sollicité, par tout autre acteur, selon les mécanismes constitutionnels existants. »

La CNDP se dit disposée à accompagner les autorités gouvernementales afin de « conforter le cadre de confiance numérique ». L’objectif est de contribuer à la gestion des « deux priorités du moment », à savoir « le risque sanitaire et le maintien de l’activité économique ».

Enfin, le régulateur annonce aussi se tenir à  » la disposition des citoyens pour répondre à leurs interrogations et suivre leurs craintes et inquiétudes au sujet du non-respect de leur vie privée et de leurs données à caractère personnel. »