Pass sanitaire : La Cnil demande des précisions au gouvernement

Dans une délibération rendue le 7 juin, la Cnil a émis un avis sur les conditions de mise en oeuvre du pass sanitaire dans le cadre du Covid-19 pour l'accès aux lieux accueillant plus de 1000 personnes. Elle demande au gouvernement de préciser certains points et de se tourner vers une architecture décentralisée pour la vérification des preuves d'absence de contamination, de vaccination ou de rétablissement. 

Partager
Pass sanitaire : La Cnil demande des précisions au gouvernement

Alors qu'elle a validé le principe d'un pass sanitaire, la Commission nationale de l'informatique et des libertés (Cnil) émet quelques réserves sur les conditions de sa mise en oeuvre. Le 7 juin dernier, elle a rendu un avis demandant au gouvernement de préciser certains points.

Pour rappel, du 2 juin au 30 septembre 2021, le Premier ministre peut décider de subordonner l'accès à certains lieux ou déplacements à la présentation d'un pass sanitaire électronique (contenu dans l'application TousAntiCovid ou sur un autre support) ou papier. Les personnes peuvent présenter l'un des trois justificatifs suivants : un test négatif, une preuve de vaccination ou un certificat de rétablissement.

Le pass sanitaire contient le nom, prénom et date de naissance de la personne concernée. Ces données personnelles, au sens du Règlement général sur la protection des données (RGDP), justifient l'intervention de la Cnil qui regrette d'ailleurs de n'avoir été saisie qu'à la fin du processus décisionnel.

Pour les lieux rassemblant plus de 1000 personnes
Le gouvernement a choisi d'imposer ce pass sanitaire pour les lieux rassemblant plus de 1000 personnes. Il a fixé une liste limitative de lieux. Il s'agit des chapiteaux, des salles de théâtre, des salles de spectacles sportifs ou culturels, des salles de conférence, des salons et foires d'exposition, des stades, des grands casinos, des croisières et bateaux à passagers avec hébergements... et "les autres événements lorsqu'ils sont spécifiquement localisés". Cette formulation est trop vague, d'après la Cnil, car "elle ne permet pas d'apprécier les types d'événements concernés et notamment" ceux qui en sont exclus.

L'autorité exige également des précisions sur la façon dont le nombre de personnes sera apprécié et la conduite à tenir dans le cas où la jauge serait atteinte sans avoir "pu raisonnablement l'anticiper et pour lequel il sera difficile au dernier moment de mettre en place le dispositif".

Aucune étude d'impact
Sur la sécurité des données contenues dans le pass sanitaire, la Commission regrette que "ni de dossier technique ni d'AIPD [analyse d'impact relative à la protection des données, ndlr]" ne lui ait été transmis par le gouvernement. A ce titre, elle rappelle que "cette analyse devra être finalisée avant la mise en oeuvre effective du dispositif".

De plus, la Cnil déplore l'absence de publication du code source de l'application "TousAntiCovid Vérif". C'est cette application mobile qui permet la vérification de justificatifs de tests négatifs, de vaccins contre le Covid-19, ou de preuve de guérison, sous forme d'un code barre 2D (2D-Doc ou QR-Code).

Une version décentralisée prévue
Les données relatives aux justificatifs sont transmises au serveur central afin de vérifier leur validité. Bien que la Cnil ne remette pas en cause "la conformité de cette architecture au RGDP", elle rappelle qu'aucune donnée ne devra être conservée par le serveur central. Elle invite cependant le gouvernement à se tourner vers une version davantage décentralisée. C'est prévu, d'après le cabinet de Cédric O, secrétaire d'Etat au Numérique, et la Direction générale de la santé (DGS), cités par Léo Caravagna, journaliste au sein d'APMnews.

La Commission relève également que les données relatives aux preuves sont conservées "en clair" au sein du code barre présent sur le pass sanitaire. "Si ces modalités de stockage peuvent être admises (...) les mesures d'information des personnes afin qu'elles soient conscientes de la sensibilité des données stockées dans ces codes" doivent être mises en place.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS