La sécurisation des données personnelles soulève à nouveau des questionnements après l’adoption en France du pass sanitaire depuis le 9 juin dernier. La CNIL évoque une possible exposition de données médicales lors du contrôle.
Pass sanitaire et contrôle
Au mois d’avril, le gouvernement a discuté de la mise en place d’un pass sanitaire en vue de la réouverture des lieux culturels et publics (musée, théâtre, salle de sport, restaurant, bar, …). Ce dispositif disponible en format papier ou numérique, est désormais effectif. Il vous est demandé depuis le 9 juin dernier pour accéder auxdits lieux publics et culturels. Le document est aussi nécessaire pour accéder aux événements rassemblant plus de 1 000 personnes (foire, exposition, concert, …) mais aussi pour voyager.
Le pass sanitaire dispose d’un QR code renfermant les informations médicales (attestation d’un test Covid-19 négatif de soixante-douze heures, certificat de rétablissement du Coronavirus, certificat de vaccination) mais aussi l’identité du titulaire (nom, prénom, âge). Au moment du contrôle, le code QR est scanné avec l’application TousAntiCovid Verif. Dans son format numérique, le pass sanitaire soulève des interrogations : y a-t-il des risques d’exposition de données personnelles avec le scan du QR code ?
Contrôle et partage des données personnelles
Selon les responsables au sein du gouvernement, un minimum d’information est divulgué au moment du flashage du code QR à l’aide de l’application TousAntiCovid Verif. Cédric O, secrétaire d’État chargé du Numérique déclare à ce sujet : « Cette application aura le niveau de lecture minimum avec juste les informations pass valide/invalide et nom, prénom, sans divulguer davantage d’information sanitaire ».
À la lecture du pass, l’application émet un signal rouge ou vert en fonction du degré de contagiosité du titulaire. Le nom, le prénom et l’âge sont aussi affichés par l’application pour faciliter la vérification des tickets nominatifs. Si le gouvernement s’est engagé à protéger les données personnelles des utilisateurs en réduisant au minimum les informations accessibles lors des contrôles des pass, la CNIL se veut prudente.
La Commission souligne notamment l’interdiction formelle de l’utilisation d’un outil autre que l’application TousAntiCovid Verif pour scanner le document. Ceci, exception faite des compagnies aériennes qui utilisent d’autres moyens spécifiques pour lire et contrôler les pass sanitaires des passagers. Plus inquiétant encore, certains experts informatiques ont affirmé que le code QR des pass sanitaires français peut être facilement lu avec un lecteur de code-barre lambda, autre que l’outil de vérification officiel.
Quid de la conservation des données
Sur ce point, la CNIL est encore plus sceptique, notamment après la conclusion faite post analyse qui révèle que les données personnelles et médicales dans les codes QR sont conservées de façon dite claire. Autrement dit, les données ne sont pas chiffrées. Selon la Commission, cette pratique peut être « admise compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs ».
Face à la situation, la CNIL exige une totale transparence de la part du gouvernement en ce qui concerne la conservation des données. La CNIL demande aussi la décentralisation des données qui sont envoyées vers le serveur de l’Imprimerie nationale, la société qui a développé l’application TousAntiCovid Verif. « Limiter les envois de données à ce serveur tout en garantissant l’application des règles mises à jour » dit-elle, permettrait d’optimiser la protection des données.
- Partager l'article :