Recevez chaque jour toute l'actualité du numérique

x

Les alternatives à l'application officielle de vérification du pass sanitaire dans le viseur de la Cnil

Les alternatives à l'application officielle TousAntiCovid Verif, qui permet de vérifier la validité du pass sanitaire, doivent être strictement encadrées, tranche la Cnil dans un avis rendu ce lundi. Bien qu'elles poursuivent un objectif légitime, elles peuvent présenter des risques en matière de protection de la vie privée. 
Twitter Facebook Linkedin Flipboard Email
×

Les alternatives à l'application officielle de vérification du pass sanitaire dans le viseur de la Cnil
Les alternatives à l'application officielle de vérification du pass sanitaire dans le viseur de la Cnil © Paul HanaokaUnsplash

Le gouvernement a introduit la possibilité pour les professionnels devant vérifier le pass sanitaire d'utiliser une alternative à l'application officielle TousAntiCovid Verif. La Commission nationale de l'informatique et des libertés (Cnil), saisie par le ministère des Solidarités et la Santé, a rendu ce lundi 9 août un avis sur ce texte issu du décret du 7 août 2021. Ce dernier s'inscrit dans la loi relative à la gestion de la crise sanitaire qui élargit considérablement le recours au pass sanitaire.

Vérifier le pass sanitaire
Pour rappel, les lieux où il est exigé, la validité du pass sanitaire est vérifiée par les professionnels grâce à l'application TousAntiCovid Verif. Lors du scan du QR code, une mention apparaît immédiatement : verte si le pass est valide ou rouge dans le cas contraire.

Pour prendre en compte certaines situations, le gouvernement a souhaité autoriser l'utilisation de dispositifs alternatifs, en particulier pour les professionnels n'ayant pas accès aux boutiques d'applications et pour permettre le contrôle en ligne du pass sanitaire lors de l'enregistrement en ligne dans le cadre d'un voyage par exemple. Ces systèmes alternatifs devront répondre à un ensemble de critères qui sera défini dans un arrêté du ministère des Solidarités et de la Santé, qui n'a pas encore été publié. 

Limiter le recours aux alternatives
Dans son avis, la Cnil rappelle que "l'utilisation d'un unique instrument de lecture des pass sanitaires, développé sous le contrôle de la puissance publique et facilement identifiable pour les citoyens, constituait une garantie importante pour éviter le détournement de données". Par conséquent, elle recommande au gouvernement de n'autoriser le recours à ces alternatives seulement lorsque l'utilisation de TousAntiCovid Verif s'avère "matériellement impossible", par exemple dans le cas où les contrôleurs sont équipés de terminaux n'accédant pas aux stores, soit que les personnes aient le choix.

L'autorité française appelle également le ministère de la Santé à tenir compte des risques spécifiques liés à la vérification du pass sanitaire en ligne, tels que l'impossibilité de conserver les données au-delà de ce qui prévu dans les textes, de les transmettre à des tiers ou de les modifier. Les mesures de sécurité devront ainsi être conformes à l'article 32 du Règlement général sur la protection des données (RGPD), en particulier sur le recours à "des algorithmes de chiffrement robuste et réputés à l'état de l'art".

S'assurer que les données ne sortent pas de l'UE
De plus, le ministère devra s'assurer que les systèmes alternatifs n'entraînent pas de transfert de données en dehors de l'Union européenne, peut-on lire dans l'avis. La Cnil invite également le ministère à faire preuve de transparence en publiant sur son site internet la liste officielle des dispositifs de lecture autorisés ainsi que de leur code source.

Plus généralement, la Commission déclare que l'extension du pass sanitaire soulève "des questions inédites et complexes d'articulation entre protection de la santé publique et exercice de libertés fondamentales". A ce titre, ce système doit être limité dans le temps et strictement nécessaire eu égard au contexte sanitaire. En effet, l'utilisation de ce pass entraîne "la mise en œuvre d'un traitement automatisé de données de santé à grande échelle" et plus largement, "un risque d'accoutumance et de banalisation de tels dispositifs attentatoires à la vie privée (…)'.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.