Pass sanitaire : résumé du dispositif

Depuis les récentes annonces présidentielles, le pass sanitaire est au premier plan des mesures sanitaires par son extension pour participer à certaines activités ou pour accéder à certains lieux sur le territoire français.

Le pass sanitaire est obligatoire depuis le 9 juin 2021 conformément au plan de réouverture présenté par le gouvernement. Pour l'heure, l'utilisation de ce dispositif est autorisée jusqu'au 30 septembre 2021 au plan juridique par la loi de gestion de sortie de la crise sanitaire.

Pour bien comprendre le dispositif mis en place au travers du pass sanitaire, je vous propose un article sur le sujet en abordant l'origine jusqu'à son fonctionnement pour saisir les enjeux sociétaux et numériques.

Mise en place du pass sanitaire

Le pass sanitaire a pour origine un projet de l'Union Européenne, appelé "certificat vert numérique" européen (en anglais "Digital Green Pass"), afin de faciliter la circulation des personnes entre les pays membres.

Le Digital Green Pass n'a pas été créé dans le but d'établir un passeport vaccinal à l'intérieur de l'UE. Néanmoins, depuis le 1er juillet 2021, ce dispositif a fait l'objet d'une harmonisation à l'échelle européenne. L'objectif de cette harmonisation est le fonctionnement du pass sanitaire en dehors de la France pour voyager dans les pays membres de l'UE.

Que désigne le "pass sanitaire" ?

Le pass sanitaire n'est alors pas un document unique ni un passeport de vaccination car il peut avoir différentes formes.

Dans tous les cas, ce pass sanitaire consiste en la présentation d'une preuve sanitaire, en format numérique ou papier, permettant d'attester d'un de ces 3 documents :

• Soit un certificat de vaccination contre le covid prenant la forme d'un QR code à scanner ;

• Soit un test négatif au covid ;

• Soit un certificat de rétablissement au covid matérialisé par un test PCR ou antigénique positif datant d'au moins 11 jours et de moins de 6 mois. La présentation de ce document aura la même valeur qu'un test négatif de moins de 72 heures.

Comment fonctionne le pass sanitaire ?

Un pass sanitaire désigne un de ces 3 documents énoncés plus haut. Il est laissé au choix de la personne concernée de présenter son document de manière dématérialisée ou physique (papier).

Possibilité d'intégrer le pass sanitaire à TousAntiCovid

Le pass sanitaire peut également être intégré à l'application TousAntiCovid dans la rubrique "Carnet".

Il est donc possible d'y intégrer un test PCR par le lien envoyé par SMS à la suite d'un test covid.

Lorsque vous réservez un rendez-vous pour effectuer un test covid et que vous communiquez votre numéro de téléphone, celui-ci est utilisé par la base de données SI-DEP pour vous communiquer ce lien (système d'information du dépistage).

Zoom sur le QR Code délivré par le certificat de vaccination

De même, le certificat de vaccination contre le covid peut également être déposé sur l'application grâce au scan du QR Code (en bas à gauche du document papier). Il convient de rappeler qu'un QR Code permet d'héberger des informations et notamment des données à caractère personnel.

Le QR Code du certificat de vaccination contient différentes données à caractère personnel :

- données d'identification du patient : le nom, prénom et la date de naissance ;

- données relatives à la nature de la vaccination : la maladie concernée, le vaccin administré, le nombre de doses injectées, le fabricant du vaccin concerné ;

- données relatives à l'origine du certificat : l'émetteur du certificat et l'État membre de l'UE dans lequel a eu lieu la vaccination.

Une donnée qui n'est pas expressément indiquée mais qui peut être aisément déduite du nombre d'injections révélant si vous avez été infecté par le virus (dans ce cas 1 seule injection), ou si vous avez une déficience immunitaire (dans ce cas 3 injections).

Les informations contenues par ce QR Code sont des données sensibles car il s'agit de données de santé qui doivent faire l'objet d'une protection particulière. Il est alors conseillé de ne pas faire apparaître ce QR Code sur les réseaux sociaux et de rester vigilant afin de ne pas perdre votre certificat papier.

Vos données risqueraient d’être collectées par un tiers qui n’a peut-être pas de bonnes intentions (usurpation d'identité, envoi de phishing ciblé, constitution de faux certificat de vaccination, etc.).

Mes données sont-elles sécurisées par le pass sanitaire ?

Les QR Code du pass sanitaire repose sur un code 2D-DOC qui est une norme employée par l'administration française pour certifier ses documents. Cela permet d'éviter les fraudes par la présentation de faux codes barres.

L’encodage de ces informations ne constitue pas une mesure de protection des données puisque n’importe qui équipé d’un dispositif de lecture de code-barres peut acquérir les données qui ont été encodées. Le pass sanitaire peut donc être lu par le simple fait de scanner le QR code.

Comment les professionnels vérifieront-ils le pass sanitaire ?

Le gouvernement dans une FAQ portant sur l'épidémie du covid-19 indique :

Lors d'un contrôle du pass sanitaire, le QR code doit être lu à l'aide de TousAntiCovid Verif qui est l'application officielle de vérification du pass. Cette application permet de minimiser les données affichées au contrôleur.

Par cette application, les organisateurs d’évènements ou les responsables des lieux concernés par le pass sanitaire n'auront accès qu'au nom, prénom, à la date de naissance de la personne concernée et ne verront apparaître que « vert » ou « rouge » pour valider ou non l’accès.

Pour les compagnies aériennes, une version spécifique sera mise en place car il est obligatoire pour elle d'accéder au contenu détaillé de la vaccination (date, type de vaccination etc.).

Cependant, le problème de ce système est que la minimisation des données n'est possible que si le professionnel recourt bien à cette application. Si le professionnel utilise un autre logiciel pour lire le QR code, il aura accès à toutes les données personnelles dont les données de santé.

Une sécurité insuffisante au regard des données concernées

Après avoir scanné le QR Code du pass sanitaire, les données sont "en clair". Bien qu'à première vue, les données ne sont pas visibles par l'humain, une simple manipulation à l'aide de son smartphone suffira à lire les données personnelles.

La partie données de santé aurait pu faire l'objet d'un chiffrement pour un maximum de sécurité concernant les données sensibles. Les données aurait alors été uniquement accessible si besoin aux détenteurs d’une clé de déchiffrement dont l’accès aurait été sécurisé. Malheureusement, ce n'est pas le cas à ce jour.

Néanmoins, le système de vérification se fait en local, sans conservation des données. Ainsi, il n'existe alors aucun transfert ou partage des données personnelles lors du contrôle.

Ce système en local suppose également que la vérification est possible sans réseau internet (mode avion actif par exemple) car les données du 2D-DOC ne sont pas transmises à un serveur.

Seule la signature de la preuve sanitaire est vérifiée sur un serveur central avec l’application TousAntiCovid Verif pour s’assurer de l'authenticité du certificat sanitaire.

Enfin, il aurait été également judicieux que des mesures opérationnelles soient mises en place par le gouvernement. Il aurait, par exemple, été possible de créer différents types de pass sanitaire selon la situation et le contexte dans lequel la personne concernée se trouve au moment du contrôle.

Cette solution permettrait également de respecter le principe de minimisation de traitement des données conformément au RGPD (Règlement Général sur la Protection des Données).

Lors de son avis rendu sur le pass sanitaire, la CNIL a également indiqué l'importance de garantir un niveau de protection des données personnelles particulièrement élevé.