Les enjeux du passe sanitaire dans le traitement des données personnelles


 

Le principe du passe sanitaire a été mis en place par la loi du 3 mai 2021 relative à la gestion de la sortie de la crise sanitaire. 

La Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») s’est prononcée sur la mise en place du passe sanitaire, le 7 juin 2021.

Au préalable, elle avait d’ores et déjà rendu un avis en mai 2021, sur le projet du gouvernement relatif à la mise en place d’un passe sanitaire conditionnant ainsi l’accès à certains lieux publics recevant de grands rassemblements de personnes. 

A cette date, la CNIL avait demandé à ce que la loi soit précisée et des garanties supplémentaires apportées. En effet, elle considère que la loi devait définir de manière précise, les finalités, la nature des lieux, établissements et évènements concernés ainsi que le seuil de fréquentation minimal envisagé. 

Les conditions de mise en œuvre du passe sanitaire

Le périmètre : lieux et personnes concernés

Dans le décret du 7 juin 2021, une liste précise l’ensemble des lieux concernés par le passe sanitaire, comme par exemple les salles de spectacles, les établissements sportifs de plein air, etc. 

Le décret en question précise également les personnes concernées par le passe sanitaire, dont les mineurs âgés d’au moins onze ans. 

En revanche, cette mesure ne s’applique pas aux salariés, organisateurs et professionnels qui ne se produisent pas dans les lieux concernés. 

Le cas de l’application TousAntiCovid Verif

 

Seules les personnes habilitées peuvent procéder à un contrôle des justificatifs du passe sanitaire au moyen de l’application TousAntiCovid Verif. 

Conformément au respect du principe de minimisation des données, les personnes habilitées à contrôler les justificatifs à l’aide de l’application en question n’auront accès qu’à un nombre de données personnelles limitées. 

En effet, les données personnelles disponibles seront le nom, prénom, date de naissance de la personne concernée ainsi que le résultat positif ou négatif de détention d’un justificatif conforme. 

La CNIL souligne un point primordial et rappelle qu’aucune donnée personnelle ne devra être conservée ni par le serveur central ni par l’application TousAntiCovid Verif à l’issue de la vérification du justificatif. 

Enfin, la CNIL a invité le gouvernement à mettre en place des mesures d’informations afin de sensibiliser le public sur la nécessité de protéger leur justificatifs et de ne pas les exposer en dehors des contrôles nécessaires. 

Par exemple, il est vivement déconseillé de communiquer ou afficher son passe sanitaire sur les réseaux sociaux.

Les conséquences sur le traitement des données personnelles

 

La Présidente de la Commission a été auditionnée le 21 juillet 2021 par le Sénat. A la suite de cette audition, la CNIL a publié sa position sur l’extension du recours obligatoire au passe sanitaire pour l’accès aux bars, restaurants, transports publics de longue distance et grands centres commerciaux. 

La Commission attire l’attention des parlementaires sur plusieurs points car ce dispositif va aboutir à ce que les français présentent plusieurs fois par jour un passe pour des activités de la vie courante. 

Or, par principe, il ne doit pas y avoir de contrôle de l’état de santé à l’entrée de lieux de vie collective. Ainsi, l’importante extension du recours obligatoire au passe sanitaire soulève d’inédites et complexes questions d’articulations entre protection de la santé publique et exercice des libertés fondamentales. 

Les mises en garde de la CNIL

Dans ce contexte, la Commission a émis plusieurs mises en garde : 

  • Prendre conscience de la dimension éthique de l’extension du passe sanitaire et prêter une attention particulière à l’effet cliquet de ce type de mesure afin d’éviter toute accoutumance et banalisation ;

  • Veiller au caractère exceptionnel d’un tel dispositif ;

  • S’assurer de la nécessité d’une telle extension pour gérer la crise sanitaire et de la proportionnalité des restrictions apportées aux libertés ;

  • S’interroger de façon précise sur les lieux où le passe sanitaire s’avère réellement nécessaire ;

  • Prévoir une évaluation rigoureuse et scientifique de l’ensemble des fichiers et dispositifs mis en œuvre pour lutter contre la COVID-19 et notamment les dispositions numériques ;

  • Préciser les modalités de contrôle de l’identité des porteurs de passe sanitaire, pour éviter la généralisation de contrôles disproportionnés ;

  • Clarifier les conditions de traitement des données médicales des salariés par leurs employeurs afin d’éviter la constitution de fichiers contenant toutes les attestations vaccinales des employés ;

  • S’interroger sur l’opportunité de créer un fichier distinct du SI-DEP pour les contrôles envisagés car pour la CNIL, en l’état, le projet de loi modifie substantiellement la nature de ce fichier qui glisse d’un fichier sanitaire vers un fichier de contrôle du respect des mesures de quarantaine et d’isolement. 

Les recommandations de la CNIL

 

Le décret du 7 juin 2021 prévoit l’autorisation d’utiliser une application alternative à celle dénommée TousAntiCovid Vérif pour contrôler le passe sanitaire. 

La CNIL recommande que le décret instituant l’utilisation du passe sanitaire pose comme condition à l’utilisation d’un dispositif alternatif : 

« soit que l’utilisation de TousAntiCovid Vérif s’avère matériellement impossible (…), soit que le choix soit offert, aux personnes concernées par le contrôle de leur passe sanitaire, d’utiliser l’un ou l’autre des dispositifs ». 

En outre, elle préconise que le décret mentionne que l’arrêté pris pour préciser les conditions à respecter par ces dispositifs alternatifs fasse l’objet d’un contrôle du ministère avant d’être connecté au système de l’imprimerie nationale. 

Elle insiste également sur les garanties à implémenter en termes de sécurité, de transferts de données hors Union et de transparence. A ce titre, elle engage le ministère à publier une liste des dispositifs alternatifs admis et des personnes ou services les utilisant ainsi que leur code source. 

Par ailleurs, le décret prévoit des mesures permettant aux personnes disposant d’un certificat de test ou de vaccination au format national de le convertir dans un format respectant certaines normes internationales. 

Sur ce point, la CNIL demande à ce que le décret soit modifié pour préciser que les acteurs pouvant procéder à la conversion de certificats soient des agents publics ou spécialement habilités qui agissent pour le compte des demandeurs.  

Le décret devra mentionner les données qui sont strictement nécessaires à la conversion des certificats de rétablissement et de contre-indication. 

La CNIL appelle l’attention du ministère sur l’importance de sensibiliser les agents en charge de la saisie, à leur obligations en matière de respect de la protection des données personnelles. 

Enfin, la Commission s’intéresse aux transferts de données hors de l’Union européenne pour souligner la mise en œuvre du chiffrement de bout en bout des certificats à convertir durant leur transmission.  

 

Eu égard à l’ensemble de ses recommandations, la CNIL valide l’extension du passe sanitaire pour les activités de la vie courante. 

Toutefois, elle demeure vigilante dans ce domaine afin de préserver au maximum le respect des Libertés Fondamentales et des données personnelles des personnes concernées.


Articles similaires