Délibération 2021-054 du 12 mai 2021

Délibération n° 2021-054 du 12 mai 2021 portant avis sur le projet de mise en place d’un passe sanitaire conditionnant l’accès à certains évènements ou établissements impliquant de grands rassemblements de personnes (demande d’avis n° 21008691)

La Commission nationale de l'informatique et des libertés,

Saisie par le secrétaire d'Etat chargé du numérique et le ministre des solidarités et de la santé d’une demande d’avis concernant le projet de mise en place d’un passe sanitaire conditionnant l’accès à certains lieux, évènements ou établissements impliquant de grands rassemblements de personnes ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-2°e) ;

Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Emet l’avis suivant :

La Commission nationale de l’informatique et des libertés (ci-après la Commission ) a été saisie, en extrême urgence, par le secrétaire d'Etat chargé du numérique et le ministre des solidarités et de la santé, le 4 mai 2021, d’une demande d’avis relative au projet de mise en place d’un passe sanitaire.

A titre liminaire, la Commission regrette d’avoir à se prononcer dans un délai si bref, et postérieurement aux débats intervenus en première lecture à l’Assemblée nationale, compte tenu des impacts substantiels de ce projet sur les droits et libertés fondamentaux des personnes. Si elle relève que le Gouvernement n’était pas tenu de la saisir, s’agissant d’un amendement gouvernemental à un projet de loi en cours d’examen, il n’en reste pas moins qu’un tel dispositif, inédit depuis l’intervention de la loi du 6 janvier 1978 modifiée (ci-après la loi Informatique et Libertés), aurait mérité un temps de réflexion plus long, à travers un projet de loi soumis à son examen et à celui du Conseil d’Etat, ce qui aurait été possible, le principe en ayant été évoqué de longue date.

Cette saisine intervient dans le cadre du plan d’action présenté par le Gouvernement, qui entend notamment permettre la reprise de diverses activités interrompues et la réouverture des lieux fermés en minimisant, dans la mesure du possible, les risques associés de contamination. A cet effet, le Gouvernement envisage de subordonner l’accès à certains lieux, établissements ou évènements impliquant de grands rassemblements de personnes, à la présentation alternativement du résultat d’un examen de dépistage virologique ne concluant pas à une contamination par la COVID- 19, d’un justificatif de l’administration d’un vaccin contre la COVID-19 ou encore d’un document attestant du rétablissement à la suite d’une contamination par la COVID-19.

Le Gouvernement entend mobiliser les outils développés pour la mise en œuvre du futur certificat vert numérique proposé par la Commission européenne, dont l’objectif est de faciliter l’exercice de la libre circulation au sein de l’Union européenne dans un contexte de crise sanitaire. Ce certificat reposera également sur les trois types de preuves ou justificatifs certifiées indiquées ci-dessus et permettra le passage de certaines frontières au sein de l’Union européenne. Si les modalités juridiques et techniques de ce certificat vert numérique sont actuellement en cours de définition au niveau européen, dans le cadre des négociations sur la proposition de règlement qui l’instaure et sur laquelle le comité européen de la protection des données et le contrôleur européen de la protection des données ont rendu un avis conjoint en date du 31 mars 2021, le passage de certaines frontières au sein de l’Union européenne est dès à présent subordonné à la présentation de telles justificatifs. Le Gouvernement a ainsi déjà initié le développement d’un recueil de preuves numériques certifiées par le déploiement de la fonctionnalité TousAntiCovid Carnet . La Commission attire l’attention du Gouvernement sur les recommandations techniques rendues publiques, sur son site web, s’agissant de l’utilisation d’une telle fonctionnalité pour les déplacements nécessitant un contrôle sanitaire.

Dans ce contexte, le Gouvernement souhaite connaître la position de principe et les recommandations de la Commission s’agissant de la mobilisation des preuves certifiées évoquées ci-dessus pour satisfaire aux conditions sanitaires, qui pourraient être posées par la loi, afin de sécuriser l’accès à certains lieux, évènements ou établissements rassemblant un grand nombre de personnes.

Le présent avis de la Commission vise à apporter ces éléments de réponse et à éclairer le Gouvernement sur l’analyse d’un tel dispositif au regard des dispositions applicables en matière de protection des données à caractère personnel, tant en ce qui concerne l’admissibilité de l’atteinte à la vie privée qu’il génère que s’agissant des modalités concrètes de sa mise en œuvre.

Sur le principe du passe sanitaire pour réguler l’accès à certains lieux, établissements ou évènements

Sur les conditions d’admissibilité du passe sanitaire :

A titre liminaire, la Commission souligne le caractère sensible et inédit du dispositif envisagé, qui vise à conditionner l’accès à certains lieux, établissements ou événements à la présentation de la preuve de l’état de santé des personnes.

La Commission estime que l’accès à un lieu ne saurait, par principe, être conditionné à la divulgation d’informations relatives à l’état de santé des personnes, y compris s’agissant de lieux qui n’ont pas trait à la vie quotidienne. En effet, si la vérification de l’identité des personnes peut être exigée pour l’accès à certains lieux, l’exigence de divulgation d’autres informations relatives à la vie privée des personnes, a fortiori de données sensibles, ne saurait être admise qu’au regard de la nature du lieu ou de l’événement fréquenté et dans le cadre de la stricte application du principe de minimisation de la collecte de ces données. La possibilité d’accéder aux lieux de sociabilité sans avoir à prouver son état de santé fait partie des garanties apportées à l’exercice des libertés et participe à dessiner une frontière raisonnable entre ce qui relève de la responsabilité individuelle et du contrôle social. La commission alerte sur le risque de créer un phénomène d’accoutumance préjudiciable qui pourrait conduire à justifier, par exemple, que l’accès à un cinéma soit conditionné à la preuve que la personne n’est pas porteuse de certaines pathologies, autres que la COVID.

Le projet du Gouvernement s’inscrit cependant dans un contexte très particulier, celui d’une crise sanitaire inédite et de la difficile organisation de la levée des restrictions actuelles, sans compromettre l’objectif de lutte contre l’épidémie. Le gouvernement a fait le choix, qui lui appartient, de favoriser, dans la mesure du possible, la réouverture rapide de certains lieux ou événements, notamment culturels, qui présentent des risques sanitaires particuliers. C’est à l’aune de ces objectifs gouvernementaux que la Commission examine le projet qui lui est soumis.

La lutte contre l’épidémie de COVID-19 contribue à l’objectif à valeur constitutionnelle de protection de la santé et constitue un impératif majeur de nature à justifier, dans certaines conditions, des atteintes aux libertés fondamentales et en particulier au droit à la protection de la vie privée et des données à caractère personnel. Comme l’a rappelé le Conseil d’Etat dans son avis du 20 décembre 2020 sur un projet de loi instituant un régime pérenne de gestion des urgences sanitaires, l’admissibilité d’un tel dispositif dépend de la préservation de l’équilibre entre des principes à valeur constitutionnelle tels que, d’une part, les objectifs de protection de la santé publique et, d’autre part, l’exercice effectif de certaines libertés.

A cet égard, le dispositif envisagé afin de lutter contre l’épidémie de COVID-19 porte atteinte, non seulement au droit à la vie privée des personnes concernées, mais également à d’autres droits et libertés fondamentaux, tels que la liberté d’aller et venir, la liberté d’entreprendre ou encore la liberté de consentir à un traitement médical ou à subir un acte médical. La Commission rappelle que l’appréciation de la proportionnalité globale entre la contribution d’un passe sanitaire à la protection de la santé de la population et ces atteintes ne relève pas des missions que lui a confiées la loi, mais du Parlement, du Gouvernement et des juridictions qui devront en contrôler l’action.

Elle rappelle toutefois que, au sein de cette appréciation globale, le droit au respect de la vie privée et à la protection des données à caractère personnel, protégés constitutionnellement et conventionnellement, notamment par la Charte des droits fondamentaux de l’Union européenne et par la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, impose que les atteintes portées à ces droits par les autorités publiques soient non seulement justifiées par un motif d’intérêt général mais soient également nécessaires et proportionnées à la réalisation de cet objectif.

Il apparaît à la Commission que l’atteinte portée à la vie privée et aux droits et libertés des personnes par ce dispositif ne saurait être admissible que si le Gouvernement peut s’appuyer sur des éléments suffisamment pertinents et probants pour garantir qu’un tel dispositif sera nécessaire à la gestion de la crise sanitaire, notamment dans la perspective de la réouverture de certains lieux et la reprise de certaines activités.

Elle souligne, en outre, que le dispositif est susceptible de révéler à des tiers des données concernant la santé, bénéficiant d'un régime de protection spécifique prévu par le règlement général sur la protection des données (RGPD) éclairé par son considérant 35, par la loi Informatique et Libertés et, en fonction des usages prévus, par les dispositions spécifiques du code de la santé publique.

La Commission estime que, quel que soit le contexte d’urgence ou de crise sanitaire, des garanties suffisantes pour protéger les droits et libertés des personnes doivent être apportées au dispositif, afin notamment de limiter strictement la divulgation d’informations privées et d’éviter tout risque de discrimination indue, en raison de l’état de santé mais également en raison de la capacité d’accès et d’usage des outils numériques.

C’est à l’aune de ces principes généraux qu’il y a lieu d’apprécier le recours au pass sanitaire décrit dans la saisine.

Appréciation de la Commission sur le projet du Gouvernement

La Commission estime que la mise en œuvre d’un tel dispositif doit être envisagée avec une grande prudence, de façon tout à fait exceptionnelle, au regard de l’ampleur de la crise sanitaire actuelle et pour une durée temporaire.

Sur la nécessité du dispositif

La Commission souligne, tout en rappelant qu’il ne lui appartient pas de se prononcer sur l’utilité scientifique d’un tel dispositif, que le Conseil scientifique dans son avis du 3 mai 2021, a estimé utile l’introduction d’un passe sanitaire utilisé de manière temporaire et exceptionnelle, estimant que son usage peut favoriser la reprise de certaines activités, notamment l’organisation de rassemblements, dans des conditions favorisant une réduction des risques de contamination . Un tel dispositif, s’il n’élimine nullement le risque de transmission du virus durant ces événements, semble de nature à le réduire substantiellement.

La crise sanitaire actuelle semble pouvoir justifier la mise en œuvre d’un tel dispositif, qui permettrait la tenue et la fréquentation d’événements ou de lieux rassemblant un grand nombre de personnes qui, à défaut, pourraient ne pas se tenir au regard du risque de contamination. En revanche, le recours à ce type de dispositif ne saurait en aucun cas être maintenu au-delà de la crise sanitaire. En effet, le maintien du dispositif doit être limité à la durée strictement nécessaire à la réponse à la situation sanitaire exceptionnelle, compte tenu des paramètres épidémiologiques pertinents disponibles, et devra, en tout état de cause, prendre fin dès que cette nécessité disparaîtra. Une réévaluation régulière de cette nécessité est impérative.

A cet égard, la Commission considère que l’impact du dispositif sur la stratégie sanitaire globale doit être étudié et documenté de manière fréquente, à intervalle régulier et à partir de données objectives afin que l’utilité et la proportionnalité de celui-ci au cours du temps puissent être évaluées. Elle demande à ce que ces analyses lui soient, le cas échéant, communiquées, afin de lui permettre d’exercer sa mission de contrôle de la conformité de la mise en œuvre du dispositif projeté.

Sur la proportionnalité du dispositif

En ce qui concerne la proportionnalité du dispositif projeté, la Commission relève que le Gouvernement envisage un certain nombre de garanties. Néanmoins, elle estime que celles-ci doivent être précisées dans la loi et que des garanties supplémentaires devraient être mises en œuvre de manière effective afin de limiter les atteintes au droit à la protection des données susceptibles d’être portées par un tel dispositif.

En premier lieu, la Commission relève que le choix a été fait de restreindre l’usage du passe sanitaire aux seuls lieux, établissements et événements de loisirs (salles de spectacles, festivals, etc.) ainsi qu’aux foires et salons professionnels permettant la présence simultanée d’un nombre important de personnes, selon un seuil qui pourrait être envisagé à 1000 personnes.

La Commission considère que le fait de limiter l’usage du passe sanitaire aux seuls événements les plus à risques de diffusion épidémique en raison du grand nombre de personnes présentes, d’exclure les lieux qui ont trait aux activités quotidiennes (restaurants, lieux de travail, commerces, etc.) où il est difficile de ne pas se rendre, et d’exclure enfin les lieux qui sont liés à certaines manifestations habituelles de libertés fondamentales (notamment la liberté de manifester, de réunions politiques ou syndicales et la liberté de religion) sont des garanties de nature à minimiser l’impact du dispositif sur les droits et libertés des personnes.

La Commission regrette l’absence de définition plus précise s’agissant de la nature des lieux, établissements et évènements concernés. Si elle prend acte des précisions apportées par le Gouvernement selon lesquelles ces derniers seront précisément définis par la voie règlementaire, elle estime toutefois que le seuil de fréquentation minimal au-delà duquel le pass sanitaire pourrait être mis en œuvre, et les modalités d’évaluation de celui-ci, devraient être également encadrées par voie législative. Elle considère, par ailleurs, que les dispositions de la loi devraient proscrire, de manière explicite, la possibilité pour les responsables des lieux qui ne sont pas visés par le dispositif de subordonner, de leur propre initiative, leur accès à la présentation des preuves numériques certifiées.

En deuxième lieu, la Commission souligne l’importance de ne pas autoriser de discrimination entre les différents types de preuves certifiées. Elle considère que les textes devraient préciser l’interdiction pour les lieux, établissements et évènements concernés de sélectionner les types de preuves certifiées qu’ils acceptent.

En troisième lieu, la Commission souligne que la mise en œuvre d’un pass sanitaire permettant de réguler l’accès à certains lieux, établissements et évènements, en principe libre, ne se justifie qu’en complément d’une politique d’accès aux tests et aux vaccins active et équitable, ce dispositif devant s’inscrire dans une politique sanitaire globale et cohérente.

En quatrième et dernier lieu, elle attire l’attention du Gouvernement sur la nécessité de garantir la mise à disposition des preuves certifiées en format papier , afin notamment de s’assurer que les difficultés d’accès et d’usage des outils numériques n’ont pas pour conséquence l’exclusion d’une partie de la population du dispositif.

Sous les réserves et conditions exprimées ci-dessus, et dans la mesure où il ne lui appartient pas d’apprécier les éléments scientifiques qui lui ont été présentés, la Commission considère que si celles-ci étaient toutes levées, le recours à un passe sanitaire paraît envisageable pour les lieux, établissements et évènements mentionnés.

Sur les dispositions législatives et règlementaires encadrant le pass sanitaire

Le principe du passe sanitaire fait actuellement l’objet de débats au sein du Parlement, dans le cadre de l’amendement déposé par le Gouvernement au projet de loi relatif à la sortie de l’état d’urgence sanitaire.

En premier lieu, comme le relèvent le Comité européen de la protection des données et le Contrôleur européen de la protection des données dans leur avis conjoint sur la proposition de règlement relative au certificat vert numérique , la mise en place d’un tel dispositif nécessite une base légale en droit national, au sens du RGPD. Cette disposition légale, qui repose sur un objectif d’intérêt public, devra a minima préciser les finalités du traitement, la nature des activités ou lieux concernés, et encadrer le contenu des dispositions règlementaires. Comme évoqué précédemment, la loi devrait encadrer le seuil de fréquentation et proscrire la possibilité, dans les cas qui ne sont pas visés par le dispositif, de subordonner l’accès à la présentation des preuves numériques certifiées.

En outre, les dispositions réglementaires devraient venir préciser, a minima :

  • la portée et l’étendue du traitement des données à caractère personnel ;
  • le ou les responsables du traitement de données à caractère personnel. Sur ce point, la Commission s’interroge sur le partage de responsabilités entre les différents acteurs intervenant dans le dispositif ;
  • les catégories d’accédants et de destinataires autorisés à vérifier les preuves lors de l’accès aux lieux, établissements et événements concernés ;
  • les garanties nécessaires pour prévenir les discriminations et les abus, en tenant compte des risques pour les droits et libertés des personnes concernées, tels que l’absence de conservation des données dans le cadre du processus de vérification et l’absence de possibilité de réutilisation des données à d’autres fins ;
  • la durée du dispositif. La Commission considère que les dispositions pourraient également prévoir la destruction des preuves stockées dans les applications TousAntiCovid des utilisateurs.

Sur les modalités concrètes de mise en œuvre du dispositif

La Commission relève que les modalités exactes de mise en œuvre du dispositif, tant juridiques que techniques, sont susceptibles d’évolutions du fait, d’une part, des débats en cours au sein du Parlement et, d’autre part, des négociations européennes sur la proposition de règlement relatif au certificat vert numérique .

En tout état de cause, elle attire l’attention du Gouvernement sur la nécessité, pour le ou les responsable(s) de traitement, de réaliser une analyse d’impact sur la protection des données (AIPD), avant toute mise en œuvre d’un tel dispositif, dès lors que le traitement de telles données est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques (données de santé, usage à grande échelle, utilisation d'une nouvelle solution technologique). Elle demande que cette analyse lui soit transmise, le cas échéant, en parallèle de toute nouvelle saisine relative à ce dispositif et notamment dans l’hypothèse d’une modification du décret TousAntiCovid . A des fins de lisibilité, la Commission suggère au Gouvernement de réaliser une AIPD distincte de celle de la fonctionnalité de suivi des contacts, dès lors que ces traitements, bien que portés par la même application, apparaissent disjoints par nature. Elle recommande également leur publication, à des fins de transparence et au regard du contexte actuel.

La Commission sera vigilante sur les modalités concrètes de mise en œuvre de ce dispositif et s’assurera que les droits et libertés des personnes sont respectés, notamment en faisant usage du pouvoir de contrôle que le législateur lui a confié.

Sur l’accès, par les personnes en charge de la vérification des preuves, aux données à caractère personnel des personnes concernées

Le Gouvernement indique que, si la loi était votée, il recourrait aux preuves disponibles dans la fonctionnalité du TousAntiCovid Carnet déjà utilisées pour le passage des frontières. Il s’interroge sur la pertinence de mettre en œuvre une solution de lecture des preuves numériques certifiées qui traiterait les informations contenues dans les certificats numériques afin de ne restituer à l’écran, lors de la vérification, qu’un résultat de conformité (couleur verte ou rouge) en complément de l’identité de la personne concernée, sans qu’apparaisse la catégorie de preuve mobilisée.

La Commission considère qu’un dispositif visant à ne permettre la vérification que sur la base d’un résultat de conformité réduirait considérablement les données accessibles aux personnes habilitées à vérifier le statut des personnes concernées, et notamment de ne pas indiquer si elle a été vaccinée, a fait un test ou s’est rétablie d’une infection antérieure à la COVID-19, conformément au principe de minimisation des données. Elle accueille donc favorablement la proposition du Gouvernement et l’invite à mettre en œuvre cette fonctionnalité dans les plus brefs délais, dans l’hypothèse où le Parlement inscrirait dans la loi le principe du pass sanitaire.

Un tel dispositif implique le téléchargement, du côté des vérificateurs, d’une application permettant de décoder les signaux, probablement sous forme de code-QR, qui contiendront l’information permettant de faire apparaître un résultat vert ou rouge et d’en vérifier l’authenticité. Dans l’hypothèse où ce code-QR correspondrait aux codes actuellement disponibles dans la fonctionnalité TousAntiCovid Carnet , la Commission relève que celui-ci contient plus d’informations (nom, prénom, date de naissance, date d’examen, type d’examen, résultat). Il est donc possible, dans ce cas, qu’un tel dispositif soit détourné de façon à ce que le lecteur (téléphone ou lecteur dédié) lisant le code-QR puisse accéder à davantage d’informations qu’un simple résultat de conformité (couleur verte ou rouge). Elle invite le Gouvernement à s’assurer de la mise en œuvre des mesures opérationnelles et à fournir, aux personnes gérant les lieux, événements et établissements toute documentation nécessaire (communication sur les lieux, établissements ou évènements soumis au dispositif, mise en place d’une signalétique visible sur place, etc.) permettant de se prémunir de ce risque.

Sur les garanties à apporter aux preuves certifiées présentées en dehors de l’application TousAntiCovid

La Commission demande au Gouvernement de réfléchir au format et au contenu des preuves papier certifiées, afin qu’elles présentent les mêmes garanties que leur version numérique en matière d’accessibilité et de protection des données à caractère personnel. En particulier, le dispositif mis en œuvre devrait garantir que les personnes ne disposant pas d’une preuve intégrée dans l’application TousAntiCovid (preuve papier ou preuve au format PDF) devraient pouvoir avoir la possibilité de ne présenter que le code-QR contenant les données numériques lors du contrôle de leur état sanitaire.

Sur la responsabilité de traitement, l’information et les droits des personnes concernées

Quoique les preuves de vaccination, de non-contamination ou de rétablissement peuvent être destinées à être appelées sur un ordiphone par la personne concernée, la Commission estime que la responsabilité du traitement de données incombera à la puissance publique qui aura mis en place ce dispositif.

La Commission rappelle qu’au titre du RGPD, les personnes gérant les lieux, établissements ou événements qui seront conditionnés à la présentation de ce passe sanitaire seront responsables du traitement de données dans le cadre de l’opération de vérification. A cet égard, elle attire l’attention sur la nécessité, pour ces derniers, de sensibiliser les personnes autorisées à vérifier les preuves, que celles-ci soient des professionnels ou des bénévoles, à leurs obligations en matière de respect de la protection des données à caractère personnel.

S’agissant du respect des obligations en matière de transparence, une information appropriée devra être fournie par ces responsables de traitement aux personnes concernées, dans le respect des articles 12 à 14 du RGPD. La Commission précise qu'une information, compréhensible par le plus grand nombre, devrait notamment être disponible le plus en amont possible de la vérification (par exemple, sur les sites web de réservation d’un concert, etc.) et placée à des emplacements accessibles et visibles lors de l’accès au lieu, à l’établissement ou à l’évènement concerné par le dispositif. La Commission demande, afin d'assurer l'homogénéité et la conformité de ces mesures d'information aux articles 12 et 13 du RGPD, à ce que des modèles d’information soient mis à la disposition, par le Gouvernement, des professionnels concernés.

Elle rappelle que des situations telles que la crise sanitaire actuelle ne sauraient ni suspendre ni restreindre, par principe, la possibilité pour les personnes concernées d'exercer leurs droits sur leurs données à caractère personnel, conformément aux dispositions des articles 12 à 22 du RGPD.

Sur la sécurité du dispositif

Les modalités techniques détaillées du dispositif envisagé n’étant pas encore définies, la Commission présente uniquement à ce stade des axes de réflexion à destination du ministère.

L’AIPD de la fonctionnalité de gestion des preuves numériques devra prendre en compte les risques liés à l’ensemble de la chaîne de traitement des informations nécessaires à la mise en œuvre du passe sanitaire, depuis les systèmes d’information déjà mis en œuvre et permettant la génération des passes jusqu’à l’application de vérification intitulée TousAntiCovid-Verif . Cette analyse devra notamment inclure un examen détaillé des flux de données, de leur collecte à leur destruction, ainsi que des opérations de traitement de ces données y compris lors du processus de vérification des preuves par TousAntiCovid-Verif .

L’AIPD devra en outre identifier les risques liés au traitement du passe sanitaire pour la confidentialité, l’intégrité et la disponibilité des données ainsi que leurs impacts sur la vie privée des utilisateurs de TousAntiCovid , y compris lors du processus de vérification des preuves via l’outil TousAntiCovid-Verif , et tenir compte des risques additionnels liés aux bénéfices apportés par ce passe sanitaire pour leur porteur. La Commission attire l’attention du ministère sur le fait que les risques résultant de l’émission frauduleuse, de l’utilisation frauduleuse ou encore de la falsification des preuves numériques contenues dans les certificats devront être pris en compte dans l’analyse, si ces risques ont un impact sur les droits et libertés des personnes souhaitant accéder à des lieux, établissements ou évènements dont l’accès est conditionné par une vérification de leur état sanitaire.

Enfin, l’AIPD devra lister les mesures techniques et organisationnelles prévues pour minimiser les risques identifiés. La Commission rappelle qu’il est nécessaire que les risques résiduels soient ramenés au niveau le plus faible possible pour être acceptable.

Dans l’attente de la réception de cette nouvelle AIPD, la Commission estime toutefois devoir faire part au Gouvernement des orientations sur la mise en œuvre concrète du passe sanitaire qu’elle considère comme des impératifs attendus pour un traitement respectant le principe de protection des données dès la conception et protection des données par défaut.

En premier lieu, la Commission souligne que le dispositif de pass sanitaire, y compris l’outil TousAntiCovid-Verif , ne devra pas engendrer la création d’une base de données centralisée regroupant les données traitées dans le cadre des vérifications des certificats. A ce titre, s’il est évidemment possible de vérifier la validité des preuves présentées par les personnes, aucune trace de cette vérification ne devra subsister une fois celle-ci réalisée.

En deuxième lieu, la Commission insiste sur l’importance de garantir que les informations présentes dans le passe sanitaire et permettant la définition du statut correspondent bien à celles de la personne concernée, qu’elles soient correctes et infalsifiables. À cet égard, la Commission relève que les preuves seront fournies par une autorité de santé et qu’elles seront signées cryptographiquement. Les algorithmes utilisés permettant les vérifications d’intégrité et d’authenticité des preuves devront être robustes et à l’état de l’art, et associés à une gestion adéquate des clés cryptographiques.

En troisième lieu, la Commission relève que l’outil numérique, dénommé TousAntiCovid-Verif , dédié à la lecture du pass sanitaire, ne pourra avoir accès aux informations de celui-ci qu’en lecture seule.

Enfin, la Commission invite le ministère à se rapprocher de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) afin que soient réalisés des audits et des tests techniques permettant de garantir la sécurité et la résilience du dispositif envisagé.

La Présidente

Marie-Laure DENIS

Retourner en haut de la page