Délibération 2021-103 du 9 septembre 2021

Délibération n° 2021-103 du 9 septembre 2021 portant avis sur le projet de décret modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire (demande d'avis n° 21015378)

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis relative au projet de décret modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, et notamment son article 1.II.E ;
Vu le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire ;

Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Emet l’avis suivant :

La Commission nationale de l’informatique et des libertés (ci-après la Commission ) a été saisie en urgence, le 25 août 2021, par le ministre des solidarités et de la santé, puis le 30 août 2021 par saisine rectificative, d’une demande d’avis relative à un projet de décret modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire.

L’élargissement du passe sanitaire, le 9 août dernier, à de nombreuses activités dont certaines ont trait à la vie quotidienne (restaurants, débits de boissons, transports publics interrégionaux de longue distance, etc.) a entraîné une multiplication des fraudes. Le ministère, en qualité de responsabilité du traitement, entend mettre en œuvre un traitement de données permettant la révocation des certificats identifiés comme frauduleux afin que ces derniers ne puissent plus être utilisés dans le cadre des déplacements et de l’accès aux lieux, établissements et évènements soumis à la présentation du passe sanitaire.

Par ailleurs, afin de répondre aux recommandations formulées par la CNIL dans ses précédents avis du 7 juin et du 6 août 2021, le ministère a souhaité développer un dispositif permettant la génération d’un passe sanitaire activités temporaire, d’une validité maximale de 48 heures, et contenant un nombre plus limité de données.

Compte tenu de la gravité des conséquences sanitaires que l’usage de certificats frauduleux est susceptible d’entraîner et du nombre croissant de fraudes, ainsi que pour les motifs développés ci-après, la Commission considère que les évolutions proposées sont légitimes et proportionnées. Pour autant, s’agissant des dispositions relatives à la lutte contre la fraude, le projet de décret devra être modifié afin de limiter expressément les finalités du traitement de données à caractère personnel envisagé ainsi que les données inscrites dans la liste d’exclusion, et préciser les durées de conservation de ces dernières. Elle insiste également sur la nécessité d’assurer une information des détenteurs des certificats inscrits dans la liste au moment de l’inscription, au regard des impacts que le traitement est susceptible d’avoir sur ces derniers. Enfin, s’agissant de la génération temporaire d’un passe sanitaire activité , la Commission, qui accueille favorablement un tel dispositif, invite le ministère à préciser le projet de décret sur les données traitées dans ce cadre.

Sur la lutte contre la fraude au passe sanitaire

Le ministère entend compléter l’article 2-3 du décret n° 2021-699 du 1er juin 2021 susvisé afin de prévoir la création d’une base de référencement (ci-après la liste d’exclusion ) permettant le stockage d’une empreinte numérique de certaines informations des codes-QR et 2D-DOC identifiés comme frauduleux.

La Commission précise que le dispositif envisagé doit permettre l’inscription et la conservation, dans la liste d’exclusion, de l’empreinte numérique des certificats identifiés comme frauduleux, afin de s’assurer que ces derniers ne puissent plus être utilisés dans le cadre de l’obligation de présentation du passe sanitaire. Le ministère a précisé que le dispositif doit permettre de lutter ainsi contre deux types de fraudes : l’usage d’un certificat par un tiers, ainsi que l’utilisation d’un certificat délivré illégalement par une personne habilitée. En pratique, lorsqu’un certificat sera identifié comme frauduleux, les informations relatives à celui-ci seront extraites des systèmes d’information du ministère des solidarités et de la santé pour que l’empreinte numérique du certificat puisse être calculée avant l’intégration de celle-ci au sein de la liste d’exclusion. Afin de permettre l’identification des certificats considérés comme frauduleux, une copie de la liste d’exclusion sera conservée localement au sein des applications TousAntiCovid et TousAntiCovid Verif , ainsi que sur le convertisseur de certificats. Dès lors, lorsque les personnes ou les services habilités à contrôler un passe sanitaire scanneront un QR-Code, la liste d’exclusion sera interrogée afin de détecter une éventuelle concordance entre le certificat présenté et ceux déclarés comme frauduleux. A cette fin, le projet de décret pose le principe d’un traitement automatisé de données ayant pour finalité de lutter contre la fraude, en révoquant les passes sanitaires faux ou détournés.

Sur les modalités d’inscription des certificats identifiés comme frauduleux dans la liste d’exclusion

La Commission prend acte des précisions du ministère selon lesquelles l’inscription, par le ministère, d’un certificat dans la liste d’exclusion peut être la conséquence des évènements suivants :

  • Le détenteur légitime du certificat adresse un signalement à la plateforme de support de TousAntiCovid et du passe sanitaire, ou dépose une plainte auprès des autorités compétentes, après avoir constaté un usage frauduleux ou une atteinte à la confidentialité de son passe sanitaire ;
  • Le certificat fait l’objet d’une procédure en cours, peu importe que cette dernière ait été initiée à la suite d’un dépôt de plainte du ministère dans le cadre d’une dénonciation (par exemple, une personne qui a signalé la vente de certificats sur les réseaux sociaux) ou directement par les autorités compétentes.

En premier lieu, s’agissant de l’intégration de l’empreinte numérique d’un certificat à la liste d’exclusion dans le cadre d’une procédure en cours, la Commission relève que l’inscription se fait à l’initiative des pouvoirs publics dans le cadre d’une suspicion de fraude et, par conséquent, sans attendre que celle-ci soit établie par les autorités compétentes en la matière. La Commission s’est interrogée sur la pertinence de l’inscription dans la liste d’exclusion d’empreintes numériques de certificats correspondants à des infractions suspectées mais non établies, eu égard aux conséquences pour les personnes concernées. En effet, il est possible que des certificats non frauduleux soient ainsi révoqués, bloquant pour la personne concernée l’accès à des lieux de la vie quotidienne, voire la conduisant à perdre l’usage de titres de transport, jusqu’à l’obtention d’un nouveau certificat.

La Commission relève qu’un tel choix est justifié au regard de l’objectif de protection de la santé publique poursuivi par le traitement, qui nécessite de limiter le risque de contamination en conditionnant certains déplacements ainsi que l’accès à certains lieux, établissements et évènements à la détention du passe sanitaire valable. Par ailleurs, elle prend acte de ce que le dispositif prévoit des garanties afin d’assurer un équilibre entre les divers intérêts en cause, telles que la possibilité de générer un nouveau certificat (avec un nouvel identifiant et une nouvelle signature numérique) et ce, de manière quasi-instantanée, suite à la demande de la personne, soit directement en ligne (via la plateforme sidep.gouv.fr ou via le téléservice attestation-vaccin.ameli.fr.), soit auprès de professionnels habilités (professionnels de santé, caisse primaire d’assurance maladie, centres de vaccination, etc.), ainsi que la mise à jour de la liste d’exclusion en fonction de l’issue des procédures judiciaires. Elle insiste cependant sur le fait que toute suspicion de fraude ne doit pas conduire à la révocation d’un passe sanitaire. A cet égard, elle invite le ministère à apporter des précisions sur la nature de ces suspicions dans l’analyse d’impact relative à la protection des données (AIPD) liée au passe sanitaire. La Commission souligne également que la bonne information des personnes concernées au moment de l’inscription de l’empreinte numérique de leur certificat dans la liste d’exclusion est un élément central pour assurer l’effectivité de certaines de ces garanties.

Dans ces conditions, et sous réserve des observations formulées ultérieurement, la Commission considère que le dispositif envisagé permet d’assurer un équilibre entre les droits des personnes concernées et les objectifs de santé publique poursuivis.

En deuxième lieu, s’agissant de l’intégration d’une empreinte numérique de certificat à la liste d’exclusion à la suite d’un signalement effectué par le détenteur légitime du certificat auprès de la plateforme de support téléphonique de l’application TousAntiCovid et du passe sanitaire, la Commission insiste sur la nécessité de s’assurer de l’identité dudit détenteur avant de procéder à l’intégration effective du certificat dans la liste, afin d’éviter toute inscription malveillante.

En troisième et dernier lieu, la Commission prend acte des précisions selon lesquelles la liste d’exclusion sera mise à jour en fonction de l’issue des procédures judiciaires engagées, par le biais de communications ponctuelles avec les services compétents. Elle considère, sous réserve qu’une telle mise à jour soit susceptible de conduire tant à l’ajout de nouveaux certificats qu’à la suppression de ceux se trouvant déjà dans la liste d’exclusion et pour lesquels les infractions suspectées ne seraient finalement pas caractérisées à l’issue de la procédure, que le dispositif est de nature à permettre le respect du principe d’exactitude des données, consacré par l’article 5.1.d du règlement (UE) 2016/679 relatif à la protection des données à caractère personnel (RGPD).

Une finalité limitée à la révocation des passes sanitaires identifiés comme frauduleux

La Commission prend acte des précisions apportées par le ministère selon lesquelles la mise en œuvre du traitement de données à caractère personnel envisagé a pour seule finalité de permettre la révocation des certificats identifiés comme frauduleux, révocation qui aura pour conséquence d’interdire les déplacements ainsi que l’accès à certaines activités, soumis à l’obligation de présentation du passe sanitaire, aux personnes ne disposant pas d’un certificat valable. La Commission relève, à cet égard, que les personnes et les services habilités à contrôler le passe sanitaire devront se limiter à interdire l’accès à leur établissement et à informer les personnes concernées des mesures à prendre pour obtenir un nouveau certificat (notamment en contactant la plateforme de support téléphonique de l’application TousAntiCovid et du passe sanitaire).

Dès lors, la Commission considère qu’il convient d’écarter l’application de la directive n° 2016/680 du 27 avril 2016, dite police-justice , transposée au titre III de la loi n° 78-17 du 6 janvier 1978 modifiée, dès lors que le dispositif envisagé n’a pas en lui-même pour finalité de permettre la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution de condamnations pénales. Par conséquent, elle estime que le traitement de données à caractère personnel est soumis au RGPD et invite le ministère à s’assurer du respect de l’ensemble des obligations posées par le texte, notamment s’agissant du respect des principes prévus à l’article 5 du RGPD.

Par ailleurs, elle invite le ministère à compléter le projet de décret afin de limiter explicitement la finalité poursuivie par le traitement de données envisagé à la seule révocation des certificats signalés comme frauduleux, afin de permettre l’interdiction des déplacements et l’accès aux activités soumis à l’obligation de présentation du passe sanitaire aux personnes dépourvues d’un certificat valable.

Sur les données à caractère personnel incluses dans la liste d’exclusion des certificats

Le projet de décret prévoit l’intégration des codes associés aux justificatifs au sein d’une liste d’exclusion et précise que celle-ci sera mise à la disposition du public afin de faciliter le contrôle du passe sanitaire.

Le ministère a précisé que la liste d’exclusion ne contiendra que les empreintes numériques générées à partir de certaines informations des Codes-QR identifiés comme frauduleux, à l’exclusion de tout autre donnée à caractère personnel et notamment des données nominatives ainsi que celles concernant la santé des personnes concernées.

La Commission approuve ce procédé. Elle considère que celui-ci est de nature à assurer le respect du principe de minimisation des données consacré par l’article 5.1.c du RGPD et qu’une telle limitation est indispensable notamment au regard de la publicité de la liste. Toutefois, la Commission relève que la rédaction du V de l’article 2-3 tel que modifié par le projet de décret objet de la présente saisine, ne permet pas de restreindre le traitement des données aux seules empreintes numériques des certificats en cause : bien qu’en principe les mesures techniques et architecturales de mise en œuvre d’un traitement n’aient pas à figurer dans l’acte réglementaire qui le régit, elle considère en l’espèce indispensable que cette garantie, essentielle pour la protection des données à caractère personnel, figure dans le décret. La Commission prend acte de l’engagement du ministère à modifier le texte sur ce point.

Par ailleurs, la Commission relève que le projet de décret entend modifier l’alinéa 3 de l’article 2-3-III du décret n° 2021-699 du 1er juin 2021 susvisé, afin d’ajouter l’empreinte technique du certificat à la liste des données que les personnes et services habilités pour les contrôles des justificatifs requis en application du 2° du A du II de l'article 1er de la loi du 31 mai 2021 modifiée peuvent lire, dans la mesure où une telle lecture est indispensable pour identifier une éventuelle concordance avec les empreintes numériques présentes dans la liste d’exclusion. Elle attire l’attention du ministère sur le fait qu’en l’état de la rédaction du projet, la lecture de cette nouvelle donnée n’est pas prévue pour les contrôles des justificatifs liés au passe sanitaire voyages .

Enfin, si le projet de texte n’a pas vocation à modifier le décret encadrant l’application TousAntiCovid , qui prévoit la réalisation d’analyses statistiques, la Commission invite le ministère à ne pas collecter de données d’usage supplémentaires liées à ce nouveau traitement, c’est à dire concernant la fraude et la liste d’exclusion afférente. En tout état de cause et de manière générale, elle rappelle au ministère que le décret encadrant l’application TousAntiCovid ne permet que la réalisation d’analyses statistiques à partir de données anonymes.

Sur l’information des personnes concernées

La Commission relève que l’information des personnes concernées sera délivrée par l’intermédiaire de plusieurs canaux de communication mis à la disposition du public depuis le début de la crise sanitaire. Il s’agit, en l’espèce, des sites web institutionnels, de la politique de confidentialité de l’application TousAntiCovid , ainsi que de l’ajout d’une mention sur les justificatifs papier. Sur ce dernier point, la Commission considère que l’intégration d’une information relative a minima à la finalité du dispositif et aux modalités d’exercice des droits et voies de recours (notamment, le numéro de téléphone de la plateforme support) directement sur les justificatifs papier (avec un renvoi sur une information plus complète en ligne) est indispensable, dès lors qu’elle permet d’assurer la transparence du dispositif pour l’ensemble de la population, y compris pour les personnes dont la capacité d’accès et d’usage aux outils numériques demeure limitée.

Par ailleurs, le ministère a précisé que le détenteur légitime du certificat ne sera pas nécessairement informé de l’inscription de ce dernier sur la liste d’exclusion au moment de l’intégration effective de l’empreinte numérique dans la liste. Or, si la Commission accueille favorablement le fait que l’utilisateur du certificat en cause, qu’il s’agisse du détenteur légitime ou non du passe sanitaire, sera alerté postérieurement à l’inscription dans la liste d’exclusion (au moment de l’import du certificat dans la fonctionnalité Carnet de l’application TousAntiCovid ou lorsque l’utilisateur se rend au sein de cette fonctionnalité ainsi que lors d’un contrôle du certificat), elle considère que le ministère devrait prévoir la mise en œuvre d’une procédure permettant l’information du détenteur légitime au moment de l’intégration de son certificat dans la liste d’exclusion.

En premier lieu, elle estime qu’une telle information s’avère essentielle au regard de l’impact qu’un tel dispositif est susceptible d’avoir sur les personnes et notamment sur les détenteurs légitimes du passe sanitaire pour lesquels l’intégration dans la liste d’exclusion ne découlerait ni d’une plainte ni d’un signalement à leur initiative ou qui n’ont pas recours à la fonctionnalité Carnet de l’application TousAntiCovid . De manière concrète, un tel défaut d’information pourra, par exemple, conduire une personne à se voir refuser l’accès à un établissement de santé dans lequel elle doit se rendre pour des soins programmés (hors situation d’urgence qui n’exige pas la présentation du passe sanitaire) ou encore à ce qu’un salarié ne puisse pas accéder temporairement à son lieu de travail, ou lors de l’embarquement dans un moyen de transport. La mise à disposition d’une procédure permettant aux personnes concernées de générer, de manière quasi-instantanée, un nouveau certificat (avec un nouvel identifiant unique et une nouvelle signature) ne permet pas, selon la Commission, de limiter de manière suffisante l’impact pour les personnes et, plus particulièrement, celles pour lesquelles la capacité d’accès et d’usage aux outils numériques demeure limitée.

En deuxième lieu, la Commission relève que l’importance d’une telle information ressort également de l’esprit du législateur européen qui précise, à l’attention des Etats-membres qui mettent en œuvre une telle liste d’exclusion, que les titulaires de certificats révoqués devraient être rapidement informés de la révocation de leurs certificats et des motifs de la révocation (considérant 19 du règlement relatif au certificat numérique européen Covid).

En dernier lieu, la Commission relève qu’il appartiendra au ministère d’identifier les modalités par lesquelles l’information pourra être délivrée, que celles-ci soient automatisées ou nécessitent une intervention humaine, et notamment la procédure qui permettra de récupérer les coordonnées des personnes à contacter. A cet égard, elle rappelle que, dans l’hypothèse où l’information des personnes impliquerait d’accéder et de réutiliser les informations de contact de la personne concernée via le système d’information national de dépistage (SI-DEP) et le système d’information pour la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la covid-19 (SI VACCIN COVID ), le ministère devra s’assurer de la licéité d’un tel dispositif au regard des textes encadrant ces traitements, notamment s’agissant des finalités poursuivies ainsi que des personnes habilitées à accéder aux données.

Sur les droits des personnes concernées

La Commission rappelle que l’information délivrée aux personnes (aux différentes étapes du traitement, tel que rappelé ci-dessus) devra préciser les droits dont celle-ci dispose s’agissant du traitement envisagé, ainsi que les modalités d’exercice de ces droits. Par ailleurs, les précisions apportées par le ministère sur l’exercice de certains droits garantis par le RGPD appellent les observations suivantes.

En premier lieu, s’agissant du droit d’opposition, la Commission prend acte des précisions apportées par le ministère selon lesquelles le droit d’opposition, consacré par l’article 21.1 du RGPD, demeure applicable au traitement de données envisagé. La Commission s’interroge sur l’intérêt de prévoir, en l’espèce, un droit d’opposition au regard des finalités poursuivies, dès lors que ce droit ne saurait être justifié lorsque la fraude est caractérisée, d’autant que, lorsqu’il s’avère qu’elle ne l’est pas, les empreintes des certificats doivent être effacées en application du principe d’exactitude des données (article 5.1.d du RGPD) et du droit à l’effacement (article 17 du RGPD). Elle rappelle au ministère que l’article 23 du RGPD permet d’écarter ce droit et, le cas échéant, attire son attention sur la nécessité de s’assurer du respect de l’article 23.2 du RGPD.

En deuxième lieu, le ministère a précisé que le droit d’accès pourra être exercé en prenant connaissance de la liste d’exclusion, accessible publiquement, et souligne que l’information sur le fait que le certificat se trouve ou non dans le traitement considéré sera également présente au sein de la fonctionnalité Carnet de l’application TousAntiCovid. La Commission attire l’attention sur le fait que ces éléments ne sauraient constituer des modalités valables de réponse à l’exercice du droit d’accès des personnes concernées dès lors que :

  • d’une part, le renvoi à la liste d’exclusion, publiquement accessible, ne permet pas aux personnes concernées de savoir si leurs données à caractère personnel sont présentes dans le fichier, celui-ci ne contenant que les empreintes numériques des certificats, illisibles pour le grand public ;
  • d’autre part, l’information délivrée via la fonctionnalité Carnet , si elle permet de savoir que des données à caractère personnel de la personne se trouvent ou non dans le fichier, ne concerne que les personnes utilisant la fonctionnalité Carnet de l’application TousAntiCovid ; en outre, elle ne permet pas d’en obtenir une copie au sens de l’article 15.3 du RGPD.

En dernier lieu, la Commission attire l’attention du ministère sur les efforts de pédagogie qui devront être mis en œuvre pour informer les personnes sur les voies de recours possibles, une fois celles-ci informées de l’intégration de l’empreinte numérique de leur certificat dans la liste d’exclusion. En effet, les personnes concernées devront être clairement informées des modalités leur permettant de générer un nouveau certificat comprenant un nouvel identifiant unique et une nouvelle signature numérique.

Sur la durée de conservation

La Commission relève que le décret reste silencieux sur la durée de conservation des données (empreintes numériques des certificats) au sein de la liste d’exclusion.

Elle prend acte des précisions apportées par le ministère selon lesquelles la durée de conservation des données est liée à l’obligation de présentation du passe sanitaire pour les activités concernés qui, s’agissant des déplacements à l’étranger, devrait a minima perdurer jusqu’au 31 décembre 2021.

A cet égard, la Commission invite le ministère à compléter le projet de décret afin soit d’indiquer une date précise à partir de laquelle les données devront être supprimées, soit de préciser les critères utilisés pour déterminer cette durée. En tout état de cause, la Commission rappelle que les empreintes numériques des certificats pour lesquels les infractions suspectées ne seraient finalement pas établies à l’issue de la procédure doivent être supprimées de la liste d’exclusion, en application notamment du principe d’exactitude des données prévu à l’article 5.1.d du RGPD.

Sur la génération temporaire d’un passe sanitaire activité

L’article 1er prévoit d’ajouter un 4° à l’article 2-2 du décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire afin d’intégrer, aux certificats prévus par les textes, un passe dit activités valable pour une durée maximale de 48 heures, sur présentation de l’un des certificats composant le passe sanitaire.

Ce passe activités permet, d’une part, de limiter considérablement les données à caractère personnel présentes dans le code QR, celles-ci étant restreintes aux nom, prénoms, date de naissance ainsi qu’à la date et l’heure de fin de validité du passe activités et, d’autre part, de restreindre la durée durant laquelle le passe pourra être utilisé.

La Commission accueille favorablement la mise en œuvre d’un tel dispositif, qui permet de répondre aux observations que la Commission a formulées à plusieurs reprises dans le cadre de ses précédents avis, en contribuant au renforcement des garanties prévues par le passe sanitaire en matière de protection des données à caractère personnel.

En effet, la minimisation des données et le caractère temporaire du passe permettent de réduire considérablement le risque que des personnes, habilitées ou non à contrôler le passe sanitaire, puissent avoir accès à des données à caractère personnel dont elles ne devraient pas avoir connaissance (notamment les données concernant la santé des personnes) compte tenu de l’absence de chiffrement des informations stockées dans le code QR des justificatifs. Plus particulièrement, le passe activités permet notamment de répondre aux observations formulées par la Commission, dans sa délibération du 6 août 2021, sur la nécessité d'identifier des solutions techniques et fonctionnelles permettant de minimiser les risques induits par l’utilisation de l’application TousAntiCovid en lieu et place de l’application de lecture du passe sanitaire dénommée TousAntiCovid Verif . Elle attire toutefois l’attention du ministère sur la nécessité de s’assurer que le parcours utilisateur soit le plus simple possible afin d’assurer la compréhension du dispositif ainsi que son accessibilité par le plus grand nombre.

Par ailleurs, la Commission a rappelé, dans sa délibération du 12 juin 2021, que lorsqu’un traitement de données à caractère personnel, mis en œuvre par une autorité publique, est précisément encadré par un acte réglementaire, la liste des données traitées devait, en principe, figurer dans l’acte. Elle avait alors invité le ministère à compléter le projet de décret sur ce point, d’autant plus que le règlement relatif au certificat numérique européen Covid, qui venait lister les données présentes dans le passe sanitaire européen et auquel le ministère renvoyait dans ses écrits, n’avait pas vocation à encadrer la présentation des justificatifs pour des usages nationaux tels que la régulation de l’accès à certains lieux, établissements ou évènements. De la même façon, la Commission considère que le projet de décret, objet de la présente saisine, devrait être complété afin de préciser les données présentes dans ce nouveau passe activités .

Enfin, la Commission relève que la génération de ce passe activités n’est accessible que via l’application TousAntiCovid . Dans la mesure où celle-ci apporte des garanties supplémentaires en matière de protection des données à caractère personnel, elle s’interroge sur la possibilité de développer un dispositif similaire pour les personnes ne souhaitant pas ou ne pouvant pas utiliser l’application ci-dessus mentionnée, par exemple en permettant la génération d’un passe activités au sein de la plateforme sidep.gouv.fr ou via le téléservice attestation-vaccin.ameli.fr.

Sur les mesures de sécurité

A titre liminaire, la Commission rappelle que les AIPD des divers dispositifs impactés par les modifications du présent projet de décret (passe sanitaire, application TousAntiCovid ) devront être mises à jour préalablement à la mise en œuvre des évolutions prévues par le présent projet de décret et prend acte de l’engagement du ministère sur ce point. Elles devront notamment inclure une évaluation détaillée des risques pour les droits et libertés fondamentaux des personnes engendrés par la création du traitement de données relatif à la lutte contre la fraude au passe sanitaire.

La Commission rappelle que les mesures prises pour garantir la sécurité des données traitées dans le cadre des listes d’exclusion et pour informer les personnes dont l’empreinte numérique des certificats est inscrite dans la liste quant à la conduite à tenir, devront également être appliquées aux dispositifs de lecture du passe alternatifs à l’application TousAntiCovid Verif . Elle suggère, à ce titre, que les modalités précises de gestion de ces listes figurent explicitement dans l’arrêté mentionné à l’article 2-3-III du décret n° 2021-699 du 1er juin 2021 susvisé.

Enfin, la Commission rappelle au ministère que les modalités techniques de génération des empreintes numériques des certificats devront être conformes au référentiel général de sécurité (RGS) et notamment à son annexe relative aux mécanismes cryptographiques.

Marie-Laure DENIS

Retourner en haut de la page