jeudi, novembre 21, 2024

Passe sanitaire- Vos données sont-elles conservées par ceux qui les contrôlent ?

0 commentaire

Lors des contrôles du passe sanitaire, l’application TousAntiCovid Verif n’affiche qu’un nombre limité d’informations et n’enregistre pas vos données. La question se pose, en revanche, pour les dispositifs alternatifs de lecture de QR code.

« Bonjour, le passe sanitaire est-il enregistré par le restaurant ? Dans quel fichier va-t-il ensuite ? Où est-il conservé ? ». C’est la question que nous a posée Guy.

Cafetiers, restaurateurs, cheminots… Depuis le lundi 9 août, toutes ces professions sont habilitées à contrôler le passe sanitaire de leurs clients et usagers. Elles disposent, pour ce faire, d’un outil mis à disposition gratuitement par le gouvernement et développé par l’entreprise IN Groupe (une société qui appartient à l’État français) : l’application mobile TousAntiCovid Vérif.

Informations minimales

Lors d’un contrôle, « “TAC Vérif” va utiliser la caméra du smartphone pour lire le QR Code et les informations qu’il contient, mais aussi vérifier son authenticité. Une fois que le contrôle a eu lieu, l’application n’affiche sur l’écran qu’un statut vert ou rouge, couplé à un nom, un prénom, et une date de naissance », avait indiqué Romain Galesne-Fontaine, directeur de la communication chez IN Groupe, à L’Usine Nouvelle , en juillet.

Conformément aux recommandations formulées par la Commission nationale de l’informatique et des libertés (CNIL), dans un avis en date du 7 juin, les personnes en charge des contrôles ne peuvent donc lire qu’une partie des informations qui figurent sur votre QR code. Elles ne peuvent pas savoir si vous l’avez acquis grâce à un vaccin, à un test, ou à une immunité temporaire au Covid-19.

Lire aussi : Quelles sont les données visibles quand on présente son passe sanitaire ? On vous répond

Une exception toutefois : si vous voyagez à l’étranger, les autorités compétentes (comme les forces de police aux frontières, ainsi que certains opérateurs de transport aérien) pourront accéder à d’autres informations pour s’assurer que vous pourrez bien entrer dans le pays où vous vous rendez, les règles n’étant pas les mêmes partout. Elles pourront ainsi consulter les informations relatives au test de dépistage et au vaccin réalisé, comme nous l’a indiqué le ministère de la Santé.

Pas de conservation des données

Dans tous les cas, ces données ne sont pas stockées, nous assure-t-on au ministère. Un décret du 7 juin 2021 dispose bien que « les données […] ne sont pas conservées sur l’application “TousAntiCovid Vérif”. Elles ne sont traitées qu’une seule fois, lors de la lecture du justificatif ».

Pour prouver sa bonne foi, et permettre à des experts indépendants de repérer d’éventuelles vulnérabilités, le gouvernement avait été invité par la CNIL à dévoiler le code source de l’application – comme il l’avait fait pour TousAntiCovid. C’est désormais chose faite depuis le 2 août… Du moins, en partie : IN Groupe, le développeur de l’application, précise sur la plateforme GitLab qu’il a volontairement omis certains éléments de code « pour des raisons de sécurité », qui n’ont pas manqué d’agacer certains internautes.

Pour ceux qui présentent leur passe sanitaire sur papier, le document ne pourra pas non plus être gardé par la personne qui en assure le contrôle. Le fait de le conserver ou de le réutiliser à d’autres fins est un délit passible d’un an d’emprisonnement et de 45 000 € d’amende, comme le prévoit la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire.

Au moment de présenter le document sur papier, il est par ailleurs recommandé de plier les quatre feuillets de l’attestation pour ne présenter que le seul QR code de preuve lors d’un éventuel contrôle, par souci de confidentialité de vos données de santé.

Des dispositifs alternatifs qui posent question

Sur Twitter, certains internautes ont toutefois remarqué que d’autres dispositifs que TousAntiCovid Vérif, qui peuvent aussi être utilisés pour le contrôle des QR codes, ne prenaient pas les mêmes précautions.

À la lecture, certaines de ces applications affichent ainsi l’intégralité des données contenues dans le QR code – date du test ou de l’injection, nom du vaccin, nombre de doses reçues… Impossible par ailleurs de savoir ce qui en est fait, et si elles sont conservées.

L’utilisation de dispositifs de lecture différents de TousAntiCovid Vérif est autorisée par un décret daté du 7 août 2021, à condition qu’ils répondent « à des conditions fixées par un arrêté des ministres chargés de la Santé et du Numérique ».

Cet arrêté sera publié dans la semaine, nous a indiqué le ministère de la Santé. Les dispositifs alternatifs devront signer « une charte précisant toutes les conditions RGPD/SSI (Règlement général sur la protection des données) et, en cas de non-respect, ils seront débranchés », nous a-t-on également affirmé, en précisant qu’une liste des applications autorisées et vérifiées sera publiée sur le site du ministère de la Santé et dans la FAQ passe sanitaire du gouvernement.

Dans un avis publié le 9 août, à la suite de la publication des décrets d’application de la loi relative à la gestion de la crise sanitaire, la CNIL avait justement insisté sur la nécessité pour le gouvernement de contrôler ces dispositifs.

« Le gouvernement devrait notamment contrôler le respect de l’ensemble des conditions posées par les textes, la conformité au RGPD (notamment l’absence de transfert illicite de données en dehors de l’Union européenne) ainsi que la sécurité du dispositif », estimait-elle notamment.

Par ouest-france