Dans le cadre de la lutte contre l’épidémie de COVID-19, le Gouvernement a mis en place les fichiers SI-DEP et Contact Covid, ainsi que l’application mobile StopCovid. La CNIL s’était prononcé sur différents projets de décrets encadrant la mise en œuvre de ces traitements.
Comme annoncé, lors de l’audition publique devant l’assemblée nationale du 5 mai 2020, la CNIL a annoncé qu’elle allait procéder à une série de contrôles de ces outils au mois de juin 2020.
Rappel du contexte
Le 8 mai 2020, la CNIL s’est prononcée en urgence sur le projet de décret encadrant les conditions de mise en œuvre des fichiers SI-DEP et Contact Covid. Ces fichiers permettent :
– d’identifier les personnes contaminées, les personnes qu’elles sont susceptibles d’avoir contaminées et les chaînes de contamination
– d’assurer la prise en charge sanitaire et l’accompagnement des personnes atteintes du virus ou susceptibles de l’être, ainsi que la surveillance épidémiologique du virus.
la CNIL s’est prononcée le 24 avril 2020 sur le principe de mise en œuvre de l’application StopCovid et a rendu son avis le 25 mai 2020, sur le projet de décret encadrant cet outil qui permet d’informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19.
Les projets du Gouvernement comportaient des garanties que la CNIL avait demandé de complété afin de tenir compte de ses recommandations.
Des contrôle prévus pendant toutes la durée de la mise en oeuvre des fichiers et applications
Conformément à son annonce lors de son audition publique devant l’Assemblée Nationale qui s’est tenue le 5 mai 2020, la CNIL souhaite effectuer une série de contrôle afin de vérifier le bon fonctionnement de ces dispositifs.
Ainsi, feront l’objet de ces contrôles les dispositifs SI-DEP et Contact Covid et des vérifications seront effectuées sur l’application StopCovid.
Ces contrôles commenceront dès le mois de juin et se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la suppression des données qu’ils contiennent.
Les points de vérification porteront notamment sur :
- les modalités de recueil de consentement et d’information des personnes ;
- la sécurité des systèmes d’information ;
- les flux de données et les destinataires ;
- le respect des droits d’accès ou d’opposition des personnes.
La CNIL n’exclut pas l’adoption de mesures correctrices telles que les mises en demeure et/ou des sanctions en cas de manquement graves ou répétés.
Ces investigations permettront également d’alimenter l’avis de la CNIL destiné à compléter le rapport envoyé tous les trois mois par le Gouvernement au Parlement concernant la mise en œuvre des systèmes d’information développés pour lutter contre la propagation de l’épidémie.
