Armand Heslot (Cnil): "Les applications de contrôle du pass sanitaire doivent suivre un cahier des charges strict"

Depuis la mise en place du pass sanitaire, toutes les personnes habilitées à contrôler les pass dans les établissements recevant du public et les lieux de culture, peuvent utiliser l'application fournie par le gouvernement, TousAntiCovid Vérif. Application soeur de TousAntiCovid, elle permet de vérifier, en scannant le QR code, la validité ou non d'un pass sanitaire.

Mais en plus de TousAntiCovid Vérif, la situation actuelle a entraîné une demande croissante des lecteurs de QR code. Ceux-ci, même non attribués au gouvernement, sont encadrés par un décret qui valide leur utilisation sous réserve de certaines conditions.

Des garanties nécessaires

En effet, seuls les dispositifs alternatifs "répondant à des conditions fixées par un arrêté des ministres chargés de la santé et du numérique" sont admis. Parmi ces conditions, comme le rappelait la Commission nationale de l'internet et des libertés (Cnil), le 9 août, se trouve évidemment la conformité avec les dispositions du RGPD et "notamment l'absence de transfert illicite de données en dehors de l'Union européenne".

Parmi les recommandations de la Cnil, Armand Heslot, chef du service de l’expertise technologique de la commission, rappelle ce mardi sur le plateau de BFM Business, certaines garanties nécessaires, notamment la garantie principale du dispositif mis en place en France. "Que vous ayez une preuve de rétablissement, un test négatif ou un certificat de vaccination, la personne qui vous contrôle ne peut pas savoir quelle preuve vous êtes en train de lui présenter", résume-t-il.

L'idée est que, quand vous allez au restaurant à côté de chez vous, la personne qui vérifie n'a pas à savoir si vous êtes vacciné ou si vous avez fait un test, il doit juste vérifier si le pass est valide, rappelle Armand Heslot.

Aujourd'hui, poursuit le chef de service de l'expertise tech de la Cnil, différents types d'application peuvent être utilisées pour le contrôle, et la Commission a appelé à ce que ces applications répondent à un cahier des charges strict, avec des conditions de mise en oeuvre vérifiées par le ministère de la Santé. Il doit notamment s'assurer que les applications sont bien conformes et non détournées de leurs usages.