Données personnelles: la CNIL valide le pass sanitaire, mais demande des ajustements

Finalement adopté à l’Assemblée nationale après avoir été retoqué une première fois, le projet de loi relatif à la gestion de la sortie de crise sanitaire prévoit la mise en place d’un pass sanitaire pour les voyages mais également pour l’accès à certains grands événements comme les compétitions sportives, les salons ou les foires.

La Commission nationale de l'informatique et des libertés (CNIL), autorité indépendante chargée de veiller sur le respect des données personnelles des Français, a publié ce 12 mai son avis sur le sujet.

Mise en œuvre "prudente" et "exceptionnelle"

Pour rappel, le pass sanitaire pourra prendre deux formes: une version papier, matérialisée par un résultat de test authentifié ou par un certificat de vaccination; une version numérique intégrée à l’application TousAntiCovid et générée après avoir scanné le QR Code de la version papier avec son smartphone.

La CNIL revient sur l’avis du Conseil scientifique concernant le pass sanitaire, rappelant qu’il "semble de nature" à "réduire substantiellement" le risque de transmission du virus responsable du Covid-19 dans de grands événements. L’autorité rappelle que cet outil doit être mis en œuvre "avec grande prudence" et de façon "tout à fait exceptionnelle".

"La crise sanitaire actuelle semble pouvoir justifier la mise en œuvre d’un tel dispositif, qui permettrait la tenue et la fréquentation d’événements ou de lieux rassemblant un grand nombre de personnes qui, à défaut, pourraient ne pas se tenir au regard du risque de contamination", remarque la CNIL.

Parallèlement à cet avis favorable, la Commission demande deux ajustements de la part du gouvernement, afin de protéger au mieux les données de santé des Français, à commencer par leur statut vaccinal.

Format papier à revoir

La principale mise en garde concerne le système de contrôle du pass sanitaire qui sera mis en place à l’entrée des grands événements concernés. A ce titre, le système prévu par l’exécutif n’est pas suffisamment robuste aux yeux de la CNIL.

L’utilisation de TousAntiCovid permettra de protéger ses informations grâce à l’affichage d’un simple carré vert ou rouge sur l’écran de l’opérateur chargé du contrôle, sans révéler si la personne concernée est testée ou vaccinée.

Ce n’est pas le cas pour le format papier, dans la mesure où le pass sanitaire prend directement la forme d’un résultat de test ou d’un certificat de vaccination, révélant de fait le statut vaccinal dans le second cas.

"La Commission demande au Gouvernement de réfléchir au format et au contenu des preuves papier certifiées, afin qu’elles présentent les mêmes garanties que leur version numérique en matière d’accessibilité et de protection des données à caractère personnel", insiste la Commission.

Elle réclame ainsi que les Français n’utilisant pas TousAntiCovid puissent, de la même façon, obtenir un document papier affichant un QR Code, sans mention d’un test négatif ou d’une vaccination.

Encadrer l’utilisation du pass sanitaire

Si l’avis de la CNIL salue la volonté du gouvernement de réduire l’utilisation du pass sanitaire aux seuls grands événements et non aux activités du quotidien, elle réclame un encadrement juridique strict, afin d’éviter que des professionnels non concernés l’utilisent, par exemple dans des restaurants ou cinémas.

La CNIL "considère, par ailleurs, que les dispositions de la loi devraient proscrire, de manière explicite, la possibilité pour les responsables des lieux qui ne sont pas visés par le dispositif de subordonner, de leur propre initiative, leur accès à la présentation des preuves numériques certifiées", précise l’avis.

De telles derives pourraient par ailleurs être limitées techniquement. Tous les opérateurs chargés de contrôler l’accès aux événements concernés devront utiliser une application fournie par l’Etat, avec de potentiels systèmes de vérification pour éviter toute utilisation abusive. La CNIL rappelle enfin qu’en aucun cas, les données issues des vérifications faites à l’aide de cette application de devront être enregistrées ou centralisées dans une base de données.