Dans une délibération en date du 10 septembre, la Commission nationale informatique et libertés (CNIL) a rendu un avis trimestriel sur « les conditions de mise en œuvre des systèmes d’information développés aux fins de lutter contre la propagation de l’épidémie de COVID-19 ». La période examinée s’étend de mai à août 2020.
La Commission estime que « les dispositifs mis en place dans le cadre de la crise sanitaire (fichiers SI-DEP et Contact Covid, application Stopcovid) sont, pour l’essentiel, respectueux des données personnelles ». Cependant elle pointe « certaines mauvaises pratiques » et « demande que des indicateurs soient mis en place afin d’évaluer plus précisément la contribution de ces dispositifs à la gestion de la crise sanitaire ». En effet, « la CNIL rappelle que le caractère dérogatoire des différents traitements mis en œuvre ne peut être justifié que si leur utilité est suffisamment avérée au regard de l’évolution sanitaire du pays ». Dans ce contexte l’instance « regrette que le rapport que le Gouvernement a adressé au Parlement ne fasse pas état d’éléments plus précis justifiant de la nécessité de maintenir ces traitements au regard du contexte sanitaire actuel ».
Parmi les « pratiques insatisfaisantes », la CNIL pointe notamment « la sécurité des transmissions des données [du fichier Contact Covid] entre certains organismes » ou « l’insuffisance, dans certains cas, des mécanismes de nature à garantir une conservation des données limitée à la durée prévue par les textes ».
La Commission indique qu’une deuxième phase de contrôles doit débuter « avant la fin du mois de septembre 2020 ». Et « une troisième vague de contrôles sera effectuée à l’issue de la mise en œuvre des traitements, notamment afin de vérifier la suppression effective des données ».
