C’est encore tout frais dans les esprits le souvenir de ce communiqué CNDP bien tressé dont le destinataire indirect était le ministère de l’Intérieur. Dans ce communiqué, la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel semblait en effet mal digéré son exclusion du comité de préparation de l’application nationale de tracking et tenait ainsi à rappeler son statut d’institution constitutionnelle, ayant un droit de regard sur ce type de projets (voir notre article).
Il s’est passé bien des choses entre temps et la CNDP a finalement été appelée à travailler de concert avec les équipes de l’Intérieur et de la Santé pour valider l’application baptisée désormais Waqaytna.
« Concernant l’application Wiqaytna, la CNDP a travaillé, de façon rapprochée, avec l’équipe projet en charge de sa mise en place, et particulièrement, le groupe de travail dédié à la protection des données à caractère personnel. Des réunions, à rythme intense, se sont tenues pour instruire ce dossier, entre le 27 avril 2020 et le 10 mai 2020 », affirme la Commission dans un communiqué officiel.
Résultat des courses, la CNDP donne son aval mais sous condition, tout en précisant qu’un suivi sera effectué pour s’assurer de leur respect!
En effet, « la Commission Nationale, réunie exceptionnellement, dimanche 10 mai 2020 à 11h, a décidé, sur la base d’hypothèses bien identifiées, d’autoriser l’application Wiqaytna. Un rapport circonstancié sera rendu public. Par ailleurs, la CNDP a décidé de mettre en place un dispositif pour vérifier, dans le temps, le respect des hypothèses initiales en vue de réinstruire le dossier si celles-ci n’étaient plus valides ».
Quelles sont les hypothèses (conditions) évoquées? Il s’agit en effet d’une batterie de 10 points (les 10 commandements!):
1- Utilisation sur la base du seul volontariat.
2- Appui au dispositif sanitaire, en particulier pour rationaliser l’affectation des ressources en vue de renforcer la politique de dépistage et l’information des citoyens.
3- Contrôle par les autorités sanitaires des paramètres des algorithmes de calcul d’alerte.
4- Utilisation du « tracing » sans mécanisme de « tracking ».
5- Informations de l’utilisateur.
6- Limitation des accès aux données aux seules personnes habilitées.
7- Engagement à ne pas utiliser les données pour d’autres finalités que celle autorisée.
8- Engagement à détruire les données collectées et générées à la sortie de l’état d’urgence sanitaire, sauf celles pouvant alimenter, de façon anonymisée et réglementaire, la recherche scientifique.
9- Déclaration de non utilisation de boite noire (black box).
10- Engagement à rendre le code accessible pour des fins d’audit et de vérification.
Ne lâchant rien, la CNDP a été jusqu’à décider de la création d’un comité ad hoc dont la première mission sera le suivi de la conformité de l’application Wiqaytna.
« Un comité ad-hoc « Confiance Numérique Opérationnelle » composé d’experts nationaux qui vont conseiller et accompagner, de façon citoyenne, la CNDP en vue de l’organisation des missions de contrôle et de vérification que lui confère l’article 30 de la loi 09-08 », insiste le communiqué officiel.
Dans ce sens, « une première mission sera déployée pour l’application Wiqaytna ».
Fidèle a son style bien administratif, à la fois sobre et incisif, la CNDP précise que cette décision a été amorcée en concertation avec l’équipe du projet Wiqaytna: « la CNDP s’est entendue avec l’équipe du projet pour rester en veille conjointe afin de circonscrire tout risque pouvant impacter la vie privée et pouvant survenir de façon imprévue. Les correctifs adéquats seront apportés au fur et à mesure ».
Le moins que l’on puisse dire est que la CNPD se voit en vrai gendarme du Net et se comporte en tant que tel. Le consommateur lambda ne peut que s’en réjouir… Il est tout de même question de vie privée!
