La Commission nationale de l’informatique et des libertés (CNIL) a rendu le 9 août son avis sur plusieurs décrets d’application de la loi relative à la gestion de la crise sanitaire. Elle s’est prononcée notamment sur le pass sanitaire et l’accès aux données de vaccinations des professionnels de santé, soumis à l’obligation vaccinale.

Les lecteurs de QR Code alternatif autorisés

Le gouvernement a fourni aux professionnels concernés par le pass sanitaire une application, TousAntiCovid Verif, pour vérifier la validité du pass de leurs clients via la lecture d’un QR code. Ils sont informés alors de la validité ou non du pass, du nom et prénom du client et de sa date de naissance. Le moyen par lequel le pass a été obtenu, vaccin, dépistage, ou rétablissement du Covid-19 de moins de six mois, n’est pas indiqué, car relève du secret médical.

L’un des décrets d’application autorise l’utilisation de dispositifs alternatifs à TousAntiCovid Verif « répondant à des conditions fixées par un arrêté des ministres chargés de la santé et du numérique ».

C’est principalement sur ce point qu’a réagi la CNIL. Elle souligne « que le Gouvernement devra vérifier que les dispositifs de lecture alternatifs à l’application TousAntiCovid Verif respectent les conditions fixées par arrêté du ministre chargé de la santé, avant de pouvoir être utilisés par les acteurs devant contrôler le passe sanitaire ». Parmi ces conditions : la conformité au RGPD. La commission insiste sur l’absence de transfert de données hors Union européenne et la sécurité du dispositif.

La CNIL estime également que des garanties sur la transparence de ces dispositifs alternatifs doivent être prises. La Commission cite l’exemple de la publication d’une liste d’applications de lecture conformes et du code source de ces dispositifs.

La CNIL assure que des contrôles seront régulièrement menés

Autre point sur lequel s’est prononcée la Commission, la conservation temporaire des données. Pour la CNIL elle devrait « se limiter au résultat de la lecture du passe » au nom du « principe de minimisation des données ». Elle reconnaît néanmoins qu’elle peut se justifier dans certains cas, par exemple lors d'un déplacement de la personne contrôlée entre le moment du scan et l’arrivée au lieu de destination.

En ce qui concerne le personnel de santé, pour qui la vaccination est obligatoire, une dérogation au secret médical a été mise en place au bénéfice des Agences régionales de santé. Les listes de personnes non vaccinées vont être dressées par rapprochement avec le Fichier national des professionnels de santé. La CNIL préconise d’informer les personnes concernées et de leur laisser la possibilité d’exercer leurs droits relatifs à la protection des données. Elles devront être effacées des listes au plus vite après la vaccination et la liste devra être supprimée à la fin de l’obligation vaccinale.

La Commission conclue en rappelant que des contrôles seront menés régulièrement mener sur les dispositifs mis en place. Ces derniers se poursuivront sur toute la période d’utilisation des fichiers « jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent ».