La Cnil (Commission nationale de l’informatique et des libertés), qui va effectuer des missions de contrôle des futurs fichiers de personnes malades du coronavirus et leurs contacts, sera très vigilante quant à leur sécurité, a indiqué mercredi sa présidente Marie-Laure Denis. «La Cnil sera extrêmement vigilante (…) sur les questions de sécurité» en vérifiant notamment «les procédures d’authentification des personnes» intervenant sur les fichiers, a-t-elle indiqué. «Chaque personne accédant aux données doit être authentifiée de façon aussi certaine que possible, et il conviendra d’éviter les comptes partagés», a-t-elle dit.
Par ailleurs, des systèmes de «traçabilité» des interventions sur les fichiers devront permettre de pouvoir «suivre toute création ou modification de données, mais aussi les simples consultations», a-t-elle ajouté. «Nous veillerons à ce que ces traces soient analysées régulièrement pour détecter d’éventuels comportements anormaux de certains utilisateurs», a-t-elle encore indiqué.
La Cnil cherchera aussi à vérifier tout particulièrement le respect des droits des personnes, qu’il s’agisse de malades du coronavirus ou de leurs contacts, a-t-elle dit. «Les personnes auront un droit d’accès sur les données qui figurent» dans les fichiers, et «elles auront un droit de rectification si des données n’étaient pas exactes», a-t-elle indiqué.
Un «patient 0» (personne testée positive au coronavirus) «ne sera pas obligé de révéler ses contacts, et il devra donner son consentement pour la divulgation de son nom à ces contacts», a indiqué Mme Denis. Un «patient 0» doit pouvoir également «exercer son droit d’opposition à la transmission de ses données pseudonymisées «à des finalités de recherche», tout comme ses contacts, a-t-elle indiqué.
Les personnes identifiées comme étant des «contacts» d’un patient 0 pourront demander à ne pas figurer dans les fichiers, «à moins que ne prévalent des intérêts impérieux de santé publique», a-t-elle également indiqué.
Les fichiers informatiques «Contact Covid» et «SI-DEP» sont entrés en vigueur mercredi après la publication d’un décret par le gouvernement, en application de la loi de prorogation de l’état d’urgence sanitaire. Ces fichiers seront utilisés pour conduire des enquêtes sanitaires, dont l’objectif est de déterminer qui a pu être contaminé par une personne testée positive.
La Cnil estime globalement que le dispositif est «conforme au RGPD», le règlement européen sur la protection des données personnelles. Selon elle, le gouvernement a renforcé à sa demande un certain nombre de garanties pour ces fichiers, par rapport à ses intentions initiales. Les fichiers «Contact Covid» et «SI-DEP» ne doivent pas être confondus avec le projet d’application pour smartphone StopCovid du gouvernement, avec lequel ils n’ont rien à voir.
