Outil central du déconfinement, le passe sanitaire ne serait pas aussi sûr que le gouvernement le prétend, selon la Cnil. Sa vérification pourrait laisser accès à des données confidentielles.
À chaque application sa faille. Après Stop Covid puis Tous Anti Covid, c’est au tour de Tous AntiCovid-Vérif d’être pointé du doigt par la Cnil. Cette application, dernier outil en date lancé par le gouvernement pour vérifier le passe sanitaire, pourrait laisser filtrer des données personnelles. Elle permet par un simple scan d’un QR code, d’indiquer si le passe sanitaire est valide ou non (si la personne a réalisé un test négatif dans les trois derniers jours, si elle a été vaccinée ou a déjà été contaminée).
Le prénom, le nom et la date de naissance de l’utilisateur sont également affichés, afin de les comparer avec ceux d’un ticket d’entrée ou de papier d’identité. Elle a par exemple été utilisée mardi 8 juin pour vérifier les 5 000 supporters venus assister au match France-Bulgarie. Lors des vérifications, les données médicales ne doivent pas être transmises. C’est en tout cas ce qui est prévu par la loi et ce à quoi s’est engagé le gouvernement. Pourtant, dans une note datée du 7 juin, la Cnil révèle que « les données relatives aux preuves sont conservées en clair au sein des codes-barres présents sur les justificatifs » .
Des informations toujours lisibles
Après avoir été scanné par l’application, le passe sanitaire se présente sous la forme d’un code-barres en deux dimensions. À l’image d’un code-barres classique en supermarché, il encode des informations dans une suite chiffrée. Dans ces informations se cachent de nombreuses données de santé confidentielles. Il indique si la personne est vaccinée ou testée négative, le type de test, le nom du vaccin, le nombre de doses, les dates d’injection et si elles suffisent à la protection contre le virus.
Or pour lire ce genre de codes, il suffit d’un simple lecteur basique QR-Code ou de datamatrix. « Cette décision est en totale contradiction avec la loi qui limite drastiquement l’apparition des infos en 2D », s’étonne Bastien Le Querrec, juriste à La Quadrature du net. Il précise que l’association a pu développer une application annexe pour collecter directement les données personnelles exploitables en une seule journée. Même si le gouvernement précise que toute vérification du passe sanitaire réalisée avec une autre application que TousAntiCovid Verif est illégale, tout comme la conservation ou l’utilisation des données collectées, le risque est bel et bien présent.
Comment des acteurs privés pourraient détourner ces données
Les utilisateurs de cette application seront des acteurs privés. Des bénévoles de festival aux employés de sécurités, en passant par des sous-traitants, tous pourraient donc avoir accès aux données personnelles des usagers qui se rendront dans un événement qui réunit plus de 1 000 personnes. Une personne mal intentionnée aurait alors les moyens de détourner les données scannées.
« Quand on recoupe avec énormément de données, on peut en déduire des informations très précises sur les personnes, précise Bastien le Querrec. Un assureur pourrait par exemple connaître les risques que peut courir une personne et les utiliser pour augmenter ou réduire les primes. » De la même manière, un recruteur pourrait discriminer des demandeurs d’emploi pour ne prendre que des personnes vaccinées. Ce genre de détournement est condamné d’emprisonnement et de 45 000 euros d’amende. Même si on peut aussi juger ces scénarios…catastrophes et alarmistes.
Le gouvernement en cavalier seul
Pourquoi ne pas avoir alors recours à une simple attestation papier ? Elle est autorisée et présente moins de risques. « Le gouvernement essaie de faire de son application un incontournable, explique Bastien le Querrec. À coups de pubs et d’agréments pratiques, il incite les personnes à utiliser l’application pour gagner du temps. »
Ces décisions irritent d’autant plus le juriste que le code source de l’application n’a toujours pas été révélé. Il est donc impossible d’avoir la certitude que l’application fonctionne comme annoncé. « On doit se contenter de déclaration d’intentions », s’agace Alexandre Archambault, avocat numérique au barreau de Paris. Le juriste regrette que le gouvernement ait voulu faire cavalier seul. Il n’a pas cherché par exemple une « interopérabilité » de son application avec les autres pays européens. Elle aurait permis à la fois un fonctionnement plus simple pour les départs à l’étranger mais aussi un devoir de plus grande transparence. « Sur le numérique, c’est très présomptueux de penser que la France peut à elle seule solutionner cette problématique », conclut-il amèrement.
A LIRE AUSSI : Le "pass sanitaire", chiffon rouge de la sphère anti-restrictions sur les réseaux sociaux
