L’AFCDP déclare rejoindre la CNIL quant à la nécessité de limiter la quantité et les catégories de données recueillies, leur durée de conservation, et quant au contrôle régulier de ses finalités afin qu’elles respectent le cadre strict prévu par la loi. Elle demande également à être consultér dès qu’un sujet concerne les données privées.
Dans le cadre du déconfinement enclenché ce lundi 11 mai, le gouvernement a décidé de mettre en place une politique de dépistage du virus COVID-19, qui passe notamment par deux systèmes d’information, “SI-DEP” et “Contact COVID”, mis en vigueur par un décret paru au journal officiel ce mercredi 13 mai.
En tant qu’association représentative des DPD (Délégués à la Protection des Données, ou DPO pour Data Protection Officer), l’AFCDP a « bien sûr suivi de très près« , dit-elle, ce projet de loi et les décrets d’application liés. L’association, dans un premier temps « reconnaît que le dispositif est conforme au RGPD et à la Loi Informatique et Libertés, et que les engagements en terme de limitation de durée (seulement 3 mois), de limitation d’accès aux données selon les fonctions des membres des “brigades sanitaires”, et de droits d’opposition, d’information, d’accès et de rectification des données, rassurent la profession. »
Cependant, l’AFCDP alerte sur la nature et la liste des données transmises à ces plateformes. « A cet égard il semblerait que les précisions attendues par la Cnil n’aient pas toutes été portées au décret. D’autre part, la pseudonymisation des données pour certains usages, notamment dans le cadre du Health Data Hub (données médicales utilisées à des fins de recherche) n’est pas une anonymisation et rend donc possible une réversibilité avec réidentification« , relève-t-elle.
L’association appelle donc à des garanties plus précises et des contrôles réguliers du respect de la finalité du dispositif. Au delà, L’AFCDP souhaiterait être membre du comité de suivi et de contrôle de ce dispositif. Elle voudrait également l’être du GIP Health Data Hub. Elle demande aussi à « être systématiquement intégrée dès qu’un sujet concerne les données privées et que la société civile est consultée« , rappelant que « le DPO est l’outil prévu par la loi pour assumer la protection des données à caractère personnel. »
