Concerts, vacances en Grèce : les passeports sanitaires sont-ils un danger pour nos données personnelles ?

Création : 19 mai 2021
Dernière modification : 22 juin 2022

Auteur : Sébastien Chaudat, doctorant en droit privé, laboratoire DANTE, Université Paris-Saclay

Le 11 mai, l’Assemblée nationale a adopté en première lecture la possibilité de lancer un passe sanitaire dès le 9 juin. Le 25 mars, le Parlement européen s’était déjà prononcé en faveur d’un tel certificat à l’échelle européenne. Des voix se sont alors élevées pour dénoncer un fichage de la population, quand la Commission nationale de l’informatique et des libertés (CNIL) a mis en garde contre le risque de pérennisation d’un tel système. Qu’en est-il vraiment de la protection de nos données personnelles ?

La collecte des données personnelles pour le suivi et l’évolution de la crise sanitaire est encadrée par un ensemble de garde-fous. La mobilisation des institutions européennes, du législateur français, ou encore des autorités de protection de données comme la CNIL sont censées assurer la sécurité et le respect de la vie privée des personnes. À ce jour en tout cas, elles semblent être parvenues à éviter un fichage actuel ou futur par l’utilisation publique ou privée des données personnelles relatives à la gestion de la crise sanitaire.  

Une collecte de données limitée, pour des usages limités

La promulgation de l’état d’urgence en 2020 a engendré la création de systèmes d’information pour la surveillance de l’évolution de l’épidémie. D’abord, le Système d’information de DEPistage (« SI-DEP ») permet l’enregistrement des tests Covid-19, afin d’assurer la prise en charge des cas positifs. Puis le système « Contact-COVID » assure la prévention et l’accompagnement des cas-contacts. Ces dispositifs ont été complétés en décembre 2020 par la création du système « Vaccin Covid ». Ces systèmes d’information seront primordiaux pour le fonctionnement du passe sanitaire voulu par le gouvernement français et approuvé en première lecture par l’Assemblée nationale, considéré comme nécessaire par le Conseil scientifique et accepté dans son principe par la CNIL.

Ainsi, les données collectées permettant de prendre contact avec les personnes infectées ou des cas contacts ne sont accessibles que par des professionnels de santé soumis au secret professionnel. Les accès aux données sont également limités pour l’exercice de leurs missions déterminées dans le cadre de la lutte contre la pandémie.  

Afin d’éviter toute discrimination pour les personnes ne pouvant ou ne souhaitant se faire vacciner, le passe sanitaire est délivré dans trois situations différentes : en cas de résultat d’un test négatif au Covid-19, d’un justificatif de l’administration d’un vaccin, ou d’un certificat de rétablissement. La communication du résultat du test négatif est effectuée par le biais du système SI-DEP et celle du justificatif de vaccination  par « Vaccin Covid ». 

Les décrets établissant ces systèmes d’information ont été pris dans le respect du Règlement général relatif à la protection des données (RGPD), une législation européenne très contraignante sur la protection des données. Ces décrets s’attachent à définir les responsables du traitement, les finalités du traitement, la base légale du traitement, les droits des personnes concernées, les informations à transmettre aux personnes, etc. Ces éléments assurent que seules les données nécessaires font l’objet d’un traitement, et que ces données ne peuvent servir à un autre usage que ceux prévus. 

Les décrets précisent toutefois qu’il ne sera pas possible pour les personnes de s’opposer à la collecte de leurs données ni de demander leur effacement une fois collectées. Dans le cas contraire, cela remettrait en cause l’existence même du traitement de données, qui ne pourrait être déployé conformément aux objectifs de gestion et de sortie de la crise sanitaire. 

Toutefois, il sera possible de s’opposer à la transmission des données à la Plateforme des données de santé (le Health Data Hub). Cette plateforme lancée fin 2019 permet de faciliter le partage de données de santé à des fins de recherches médicales. Cette opposition est bienvenue en raison des problématiques soulevées lors du lancement de cette plateforme, tant au regard des déboires sur son hébergement par Microsoft que de l’opacité de son fonctionnement

La question des risques de fraude ou des fuites de données

Sur la forme, le passe national ou le certificat vert numérique européen ont recours au système de “QR Code”. L’Agence nationale des titres sécurisés (délivrant notamment la carte nationale d’identité, le passeport, les certificats d’immatriculation etc.) met en place une solution permettant de sécuriser ces nouveaux outils. Prenant le nom de « 2D-DOC », cette solution consiste en un code-barre contenant des données. À la différence d’un simple QR Code, le 2D-DOC est un “Code Datamatrix” permettant à l’autorité délivrant le passe d’y apposer sa signature électronique afin de certifier l’authenticité des données. Par exemple, les codes 2D-DOC sont déjà insérés sur certaines factures de fournisseurs d’énergie comme Engie, permettant d’attester la preuve du domicile de la personne. Dans d’autres cas, cela permet d’attester un diplôme sanctionné par l’État, la carte mobilité inclusion, etc.

Au niveau de l’Union européenne, le « certificat vert numérique » fonctionne selon les mêmes principes que le passe français : les fondements du passeport et la délivrance sur papier et numérique sont identiques. La Commission européenne  développe un logiciel à l’usage des États membres pour une vérification harmonisée de l’authenticité des certificats. Le développement de ce logiciel s’inscrit dans la démarche du respect de la protection des données personnelles et de la vie privée des personnes. Par ailleurs, le certificat vert numérique n’implique la création d’aucune base de données centralisée au niveau de l’Union européenne. Ainsi, les données personnelles ne figurent que sur le certificat de la personne concernée et sous sa maîtrise exclusive. 

Quelles données seront insérées dans ces passeports ?

Le principe de minimisation des données implique que seules les données pertinentes et adéquates aux usages prévus par le passe sanitaire peuvent y figurer. 

Ainsi, les données permettant l’identification de la personne (nom et prénom), l’identification de l’émetteur du certificat ou l’identifiant unique du certificat, sont requises pour tous les passeports vaccinaux. Certaines données spéciales seront à préciser en fonction du fondement de délivrance du passeport. 

En cas de vaccination notamment, des informations sur le vaccin administré seront insérées dans le passe sanitaire. La France a fait le choix de mentionner le nom du vaccin, du laboratoire, l’état vaccinal ainsi que la date de vaccination. Concernant le certificat délivré à partir d’un test, des informations sur le test effectué seront aussi insérées. Quant au certificat de rétablissement, il requiert la collecte d’informations relatives aux antécédents d’infection par le Covid-19. 

Celui qui contrôle le passe ne pourra pas en conserver les données

Ces données figurant au sein du passeport vaccinal ne sont pas pour autant celles mentionnées lors de la présentation du passeport. La lecture des données contenues dans le certificat n’emporte, tant en France qu’au niveau de l’Union européenne, aucune collecte de données de la part des autorités ou des établissements privés. La lecture du QR Code permet seulement de vérifier et de confirmer le statut du titulaire du certificat. La limitation des données lisibles par ces opérateurs de même que l’absence de collecte de ces données font de ces passeports sanitaires une seule mesure permettant d’adapter la circulation des personnes tout en améliorant le contrôle de l’épidémie. 

Ainsi, dans l’hypothèse d’un établissement ne pouvant ouvrir au public que sur présentation d’un passeport sanitaire, le scan du code présenté ne permettrait pas à l’établissement de récupérer des données. À cet égard, le Gouvernement s’interroge sur la pertinence d’afficher uniquement le résultat de conformité (par l’apparition d’une couleur verte ou rouge) ainsi que l’identité de la personne. La CNIL encourage l’adoption de cette modalité, en respect du principe de minimisation, impliquant d’afficher seulement les données nécessaires à la validité. 

Aucune transmission de données n’est donc opérée à la lecture du code : celui-ci permet uniquement de vérifier que le passe sanitaire n’est pas un faux, ceci pouvant requérir de vérifier l’identité de la personne la présentant.  Cette mesure empêchera les établissements de vous adresser des communications notamment commerciales à partir de la connaissance de votre état vaccinal. Les établissements doivent ainsi se garder de collecter et de croiser ces données avec leurs fichiers clients. Cette interdiction avait déjà été rappelée lorsqu’avaient été mis en place les cahiers de rappel dans les restaurants à l’automne 2020. 

Une autre mesure devrait renforcer la sécurité des données : chaque établissement qui devra scanner les passeports à l’entrée sera considéré juridiquement comme “responsable du traitement”. Cela signifie qu’il devra former les personnes chargées de vérifier les passeports sanitaires, et sera responsable en cas de violation de la loi ou du RGPD par son établissement.  

Et après l’épidémie ? 

Le projet de règlement européen relatif au certificat vert numérique prévoit la suspension de l’existence et de la délivrance des différents certificats dès lors que le directeur de l’OMS de la santé déclarera la fin de l’urgence de santé publique internationale. Mais en cas de retour de la crise sanitaire, le certificat vert pourrait être à nouveau exigé. 

Les décrets mettant en place les systèmes d’information au niveau national, en dehors du système d’information « Vaccin Covid », sont pris en application de la loi relative à l’état d’urgence sanitaire. La longévité de ces systèmes d’information est alors dépendante de la période d’urgence sanitaire. 

Une fois la crise passée, les données collectées seront effacées des systèmes d’informations. Ces modalités doivent être également applicables pour les preuves conservées par les utilisateurs au sein de l’application TousAntiCovid. À ce dernier égard, les données contenues au sein de l’application sont conservées sur le seul téléphone portable de l’utilisateur, sans sauvegarde ni transmission de données à des prestataires tiers. Reste qu’il faudra s’assurer que ce régime d’exception n’ait pas créé une accoutumance telle qu’une pérennisation de ces passeports puisse être envisagée. Comme le rappelle la CNIL dans son avis, le passe sanitaire – et la règle vaut aussi pour le certificat vert européen – est et doit rester temporaire.

Une erreur dans ce contenu ? Vous souhaitez soumettre une information à vérifier ? Faites-le nous savoir en utilisant notre formulaire en ligne. Retrouvez notre politique de correction et de soumission d'informations sur la page Notre méthode.