Pass sanitaire européen : nos données personnelles menacées ?

Les autorités se félicitent d'observer que depuis le 1er juillet, le pass sanitaire européen soit utilisé au sein de l'UE. Et note que le "QR Code présent sur le pass sanitaire français pourra être lu partout en Europe, directement dans l’application TousAntiCovid". De quoi faciliter les voyages et permettre de traverses les frontières avec une plus grande aisance.

Si des vacanciers y voient un relâchement des contraintes liées à la situation sanitaire, une partie de la population reste sceptique et craint notamment pour la confidentialité des données qui seront stockées dans l'application. Des appréhensions que tentent de modérer les autorités, même si le risque zéro n'existe pas. 

Dans sa communication, le ministère de la Santé estime que ce pass va "faciliter les nécessaires contrôles aux frontières" tout en permettant aux citoyens de "respecter les conditions d’accueil" des pays dans lequel ils se rendent. Très concrètement, le pass sanitaire développé pour la France et déjà nécessaire pour accéder à des manifestations publiques voit son utilisation étendue. Il s'agit pour les autorités des différents pays comme pour les organisateurs d'événements de s'assurer que vous êtes vaccinés, guéris du Covid ou que vous présentez un test négatif. 

Le contrôle s'opère en scannant un QR code, accessible via l'application TousAntiCovid ou au format papier. Un document qui met en avant les informations suivantes : votre nom, prénom, date de naissance, ainsi que le type de vaccin, sa date ou le nombre de doses reçues. Il s'agit notamment de vérifier votre identité (en évitant les homonymes), mais aussi de se plier aux règles en vigueur dans les différents États membres. La date des tests est notamment renseignée parce que les pays ne présentent pas des attentes identiques. Certains exigent des tests plus récents que d'autres, si bien que renseigner uniquement la réalisation d'un test ne fournirait pas assez de précisions aux yeux des autorités compétentes.

Contactée par LCI et TF1, l'adjointe à la cheffe du service des affaires économiques de la CNIL, Nacéra Bekhat, juge légitime l'utilisation de ces données, présentées comme un strict minimum. En charge des questions liées au pass sanitaire, elle glisse que "les garanties qui sont prévues par le gouvernement permettent de limiter au strict minimum l'accès aux données personnelles lors du contrôle du pass sanitaire". Un discours qui rejoint celui du cabinet de Cédric O, le secrétaire d'État en charge du Numérique.

L'association la Quadrature du net, qui a déposé un référé devant le Conseil d'État, est opposée au pass sanitaire tel qu'il a été présenté et défendu. Elle redoute des "effets de bord très importants", en raison des informations personnelles et médicales présentes dans le code, qui "peuvent faire l'objet d'un fichage invisible".  L'un de ses représentants, Bastien Le Querrec, estime que "le choix de ce code en 2D a été effectué parce que très peu cher pour l'État. Le coût marginal est nul", fait-il remarquer, tout en déplorant qu'une autre solution n'ait pas été choisie. Dans son viseur, le fait qu'il soit possible pour toute personne disposant du QR code d'un citoyen, de récupérer diverses informations le concernant. Les autorités veulent rassurer en expliquant que l'utilisation de l'application "TousAntiCovid Vérif" se trouve (sur le papier) imposée par loi. Servant à valider l'accès aux personnes détentrices d'un pass, elle ne peut, nous explique-t-on, que consulter les données, sans jamais les stocker. C'est en effet le cas, mais l'argument ne convainc pas la Quadrature.

L'association assure que cet usage peut être contourné cet usage, via des applications tierces. Elle a voulu l'illustrer en en concevant une elle-même. La démonstration, effectuée par Bastien Le Querrec sur le plateau du média en ligne Blast, le montre énumérer sans la moindre difficulté les informations de santé du journaliste qui l'interroge, après un simple scan du code. S'il ne s'agit pas d'un dossier médical complet, ces données pourraient toutefois intéresser. "Avec les informations de santé autour du Covid-19, on peut notamment faire des déductions statistiques sur le risque. Ce qui peut intéresser une banque, une assurance..." Avoir reçu trois doses de vaccin peut notamment signifier que vous êtes une personne immunodéprimée, une information potentiellement sensible. Sans compter le fait qu'il soit ensuite possible de recouper ces éléments avec ceux récoltés dans d'autres bases de données, dressant un profil très précis d'une personne, alerte la Quadrature du net. 

La Cnil ne nie pas ce risque et écrit qu'il "est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé". Elle explique toutefois réaliser de la prévention et incite à ne présenter son pass sanitaire que dans le cadre de contrôles, jugeant par exemple très déconseillé de l'afficher sur les réseaux sociaux pour afficher une preuve de sa vaccination. Elle indique aussi recommander uniquement l'usage des applications gouvernementales, ne stockant aucune donnée. Enfin, elle assure procéder à divers contrôles sur le terrain, afin de vérifier que la présentation des pass sanitaires ne donnent pas lieu à des mésusages ou à des détournements, tels que ceux malveillants redoutés par les associations de protection des données et de lutte contre le fichage. 

Vous souhaitez nous poser des questions ou nous soumettre une information qui ne vous paraît pas fiable ? N'hésitez pas à nous écrire à l'adresse lesverificateurs@tf1.fr