Le communiqué de la Commission Nationale de contrôle de la Protection des Données à caractère Personnel (CNDP) précise que la saisine officielle de la CNDP n’a été faite que le 27 mai, soit environ deux semaines après l’ébruitement via les médias du projet de mise en œuvre de Wiqaytna dont l'annonce du lancement vient à peine d'être faite officiellement. Ce qui avait poussé la CNDP à émettre, le 16 avril, un communiqué de presse au ton plaintif, limite réprobateur, concernant ce projet dont elle n’avait été informée que par voie de presse.
Quoiqu’il en soit, l’instance a fini par être saisie en bonne et due forme lorsque les contours techniques de l’application dont la finalité est l’appui à la gestion sanitaire de la propagation de la pandémie Covid-19 ont été définis et cernés. Suite à quoi, la CNDP déclare avoir travaillé «de façon rapprochée, avec l’équipe projet en charge de sa mise en place, et particulièrement, le groupe de travail dédié à la protection des données à caractère personnel. Des réunions, à rythme intense, se sont tenues pour instruire ce dossier, entre le 27 avril 2020 et le 10 mai 2020».
L’accord de la Commission Nationale a été délivré le 10 mai suite à une réunion exceptionnelle, sur la base d’hypothèses bien identifiées. La CNDP informe à ce propos qu’un rapport circonstancié sera rendu public. La CNDP a également décidé de «mettre en place un dispositif pour vérifier, dans le temps, le respect des hypothèses initiales en vue de réinstruire le dossier si celles-ci n’étaient plus valides».
L’instance met toutefois en avant quelques arguments à la décharge de la future application. Elle estime à ce propos que la conformité à la loi 09-08 s’appuie sur le fait que l’application WIQAYTNA est prévue pour être déployée sur la base du seul principe du volontariat et qu’elle apporte un appui non négligeable au dispositif sanitaire, en particulier pour rationaliser l’affectation des ressources en vue de renforcer la politique de dépistage et l’information des citoyens. La CNDP se réjouit également de l’utilisation du « tracing » sans mécanisme de « tracking », de la limitation des accès aux données aux seules personnes habilitées, de l’engagement à ne pas utiliser les données pour d’autres finalités que celle autorisée et à détruire les données collectées et générées à la sortie de l’état d’urgence sanitaire. L’instance évoque enfin la déclaration de non utilisation de boite noire (black box) et l’engagement à rendre le code accessible pour des fins d’audit et de vérification.
La CNDP reste malgré tout vigilante et informe de sa volonté de mettre en place un comité ad-hoc « Confiance Numérique Opérationnelle » composé d’experts nationaux qui vont conseiller et accompagner, de façon citoyenne, la CNDP en vue de l’organisation des missions de contrôle et de vérification que lui confère l’article 30 de la loi 09-08 dont «la première mission sera déployée pour l’application WIQAYTNA». A cet effet, l’instance affirme s’être entendue avec l’équipe du projet pour rester en veille conjointe afin de «circonscrire tout risque pouvant impacter la vie privée et pouvant survenir de façon imprévue. Les correctifs adéquats seront apportés au fur et à mesure».
Quoiqu’il en soit, l’instance a fini par être saisie en bonne et due forme lorsque les contours techniques de l’application dont la finalité est l’appui à la gestion sanitaire de la propagation de la pandémie Covid-19 ont été définis et cernés. Suite à quoi, la CNDP déclare avoir travaillé «de façon rapprochée, avec l’équipe projet en charge de sa mise en place, et particulièrement, le groupe de travail dédié à la protection des données à caractère personnel. Des réunions, à rythme intense, se sont tenues pour instruire ce dossier, entre le 27 avril 2020 et le 10 mai 2020».
L’accord de la Commission Nationale a été délivré le 10 mai suite à une réunion exceptionnelle, sur la base d’hypothèses bien identifiées. La CNDP informe à ce propos qu’un rapport circonstancié sera rendu public. La CNDP a également décidé de «mettre en place un dispositif pour vérifier, dans le temps, le respect des hypothèses initiales en vue de réinstruire le dossier si celles-ci n’étaient plus valides».
L’instance met toutefois en avant quelques arguments à la décharge de la future application. Elle estime à ce propos que la conformité à la loi 09-08 s’appuie sur le fait que l’application WIQAYTNA est prévue pour être déployée sur la base du seul principe du volontariat et qu’elle apporte un appui non négligeable au dispositif sanitaire, en particulier pour rationaliser l’affectation des ressources en vue de renforcer la politique de dépistage et l’information des citoyens. La CNDP se réjouit également de l’utilisation du « tracing » sans mécanisme de « tracking », de la limitation des accès aux données aux seules personnes habilitées, de l’engagement à ne pas utiliser les données pour d’autres finalités que celle autorisée et à détruire les données collectées et générées à la sortie de l’état d’urgence sanitaire. L’instance évoque enfin la déclaration de non utilisation de boite noire (black box) et l’engagement à rendre le code accessible pour des fins d’audit et de vérification.
La CNDP reste malgré tout vigilante et informe de sa volonté de mettre en place un comité ad-hoc « Confiance Numérique Opérationnelle » composé d’experts nationaux qui vont conseiller et accompagner, de façon citoyenne, la CNDP en vue de l’organisation des missions de contrôle et de vérification que lui confère l’article 30 de la loi 09-08 dont «la première mission sera déployée pour l’application WIQAYTNA». A cet effet, l’instance affirme s’être entendue avec l’équipe du projet pour rester en veille conjointe afin de «circonscrire tout risque pouvant impacter la vie privée et pouvant survenir de façon imprévue. Les correctifs adéquats seront apportés au fur et à mesure».