Intervention de Marie-Laure Denis

Nous n'avons pas reçu de projet finalisé ; la décision n'est apparemment pas arrêtée. Mais le déconfinement est programmé à partir du 11 mai prochain et il nous faut, au strict minimum, une semaine pour analyser un tel dispositif ; le collège de la CNIL doit en prendre connaissance, puis nous devons en débattre, rendre et rédiger un avis. Plus nous aurons de temps, mieux ce sera.

La CNIL a tout à fait l'habitude de prononcer des sanctions à l'égard d'entreprises ou d'organismes publics : injonctions, mises en demeure, sanctions financières, etc. Elle dispose d'un service des plaintes très développé, de dizaines de contrôleurs, à la fois juristes et techniciens ; elle comprend une formation restreinte - sorte de commission des sanctions - qui peut se réunir très vite, dans le cadre d'une procédure contradictoire. Moi-même, en tant que présidente, je peux prononcer une mise en demeure. Nous disposons donc de moyens juridiques forts.

Sauf erreur de ma part, ce dispositif ne permettra pas de connaître l'horaire et le lieu de l'exposition à une personne contaminée ; je le dis sous réserve de l'architecture qui sera retenue. Cela étant, l'enjeu de ré-identification n'est pas le même si vous recevez une alerte après avoir croisé quatre personnes en quinze jours dans une commune rurale ou après avoir pris les transports en commun dans une grande ville.

Monsieur Kerrouche, vous évoquez en fait la position du contrôleur de la protection des données des instances de l'Union européenne : les CNIL européennes n'ont absolument pas donné un blanc-seing ou un satisfecit à Apple et à Google pour leur initiative. Il est positif que ces deux entreprises en situation de quasi-duopole rendent, dans le cadre d'une telle application et via Bluetooth, les téléphones interopérables. Mais il faut que nous en sachions plus quant à la protection des données ; et cette solution doit rester tout à fait ponctuelle. Elle doit être liée à cette seule crise.