Pass sanitaire : La Cnil demande des précisions au gouvernement

Alors qu'elle a validé le principe d'un pass sanitaire, la Commission nationale de l'informatique et des libertés (Cnil) émet quelques réserves sur les conditions de sa mise en oeuvre. Le 7 juin dernier, elle a rendu un avis demandant au gouvernement de préciser certains points.

Pour rappel, du 2 juin au 30 septembre 2021, le Premier ministre peut décider de subordonner l'accès à certains lieux ou déplacements à la présentation d'un pass sanitaire électronique (contenu dans l'application TousAntiCovid ou sur un autre support) ou papier. Les personnes peuvent présenter l'un des trois justificatifs suivants : un test négatif, une preuve de vaccination ou un certificat de rétablissement.

Le pass sanitaire contient le nom, prénom et date de naissance de la personne concernée. Ces données personnelles, au sens du Règlement général sur la protection des données (RGDP), justifient l'intervention de la Cnil qui regrette d'ailleurs de n'avoir été saisie qu'à la fin du processus décisionnel.

Pour les lieux rassemblant plus de 1000 personnes
Le gouvernement a choisi d'imposer ce pass sanitaire pour les lieux rassemblant plus de 1000 personnes. Il a fixé une liste limitative de lieux. Il s'agit des chapiteaux, des salles de théâtre, des salles de spectacles sportifs ou culturels, des salles de conférence, des salons et foires d'exposition, des stades, des grands casinos, des croisières et bateaux à passagers avec hébergements... et "les autres événements lorsqu'ils sont spécifiquement localisés". Cette formulation est trop vague, d'après la Cnil, car "elle ne permet pas d'apprécier les types d'événements concernés et notamment" ceux qui en sont exclus.

L'autorité exige également des précisions sur la façon dont le nombre de personnes sera apprécié et la conduite à tenir dans le cas où la jauge serait atteinte sans avoir "pu raisonnablement l'anticiper et pour lequel il sera difficile au dernier moment de mettre en place le dispositif".

Aucune étude d'impact
Sur la sécurité des données contenues dans le pass sanitaire, la Commission regrette que "ni de dossier technique ni d'AIPD [analyse d'impact relative à la protection des données, ndlr]" ne lui ait été transmis par le gouvernement. A ce titre, elle rappelle que "cette analyse devra être finalisée avant la mise en oeuvre effective du dispositif".

De plus, la Cnil déplore l'absence de publication du code source de l'application "TousAntiCovid Vérif". C'est cette application mobile qui permet la vérification de justificatifs de tests négatifs, de vaccins contre le Covid-19, ou de preuve de guérison, sous forme d'un code barre 2D (2D-Doc ou QR-Code).

Une version décentralisée prévue
Les données relatives aux justificatifs sont transmises au serveur central afin de vérifier leur validité. Bien que la Cnil ne remette pas en cause "la conformité de cette architecture au RGDP", elle rappelle qu'aucune donnée ne devra être conservée par le serveur central. Elle invite cependant le gouvernement à se tourner vers une version davantage décentralisée. C'est prévu, d'après le cabinet de Cédric O, secrétaire d'Etat au Numérique, et la Direction générale de la santé (DGS), cités par Léo Caravagna, journaliste au sein d'APMnews.

La Commission relève également que les données relatives aux preuves sont conservées "en clair" au sein du code barre présent sur le pass sanitaire. "Si ces modalités de stockage peuvent être admises (...) les mesures d'information des personnes afin qu'elles soient conscientes de la sensibilité des données stockées dans ces codes" doivent être mises en place.

Sélectionné pour vous

L'application du cyberscore, le nutri-score de la sécurité des données, reste incertaine

Amazon confirme que des interactions avec Alexa pourront être utilisées pour entraîner son modèle d'IA

Qu'est-ce qu'Agora, l'application gouvernementale censée favoriser la démocratie participative ?