Le gouvernement a publié aujourd’hui son décret précisant la mise en place pratique du Pass vaccinal. Si la majorité des mesures sont d’ordre pratique et suivent l’esprit de la loi de gestion de la crise sanitaire votée par le parlement il y a quelques jours, une disposition annoncée par Jean Castex lors de son intervention du 20 janvier pose de graves problèmes sur la gestion des données personnelles des français·es.
Comme je l’ai écrit dans ma contribution extérieure sur le projet de loi instaurant le Pass vaccinal, le système des Pass sanitaires et vaccinaux reposent sur des technologies peu sécurisées. Les QR codes divulguent d’eux-même de nombreuses informations mais les personnes en charges du contrôle du Pass n’ont pas accès à ces informations. Ce jeu d’équilibriste est subtil mais une disposition qui peu sembler anodine va tout chambouler.
Le premier ministre a annoncé jeudi dernier à la surprise générale cette mesure. Les personnes qui souhaitent recevoir leur première injection dans les prochains jours pourront bénéficier d’un Pass de niveau équivalent à un Pass vaccinal avec une seule condition : faire un test valable 24h. Voici l’annonce faite par Jean Castex sur le sujet :
Je vous annonce que nous allons permettre à celles et ceux qui feront leur première dose d’ici le 15 février de bénéficier d’un pass vaccinal valide, à deux conditions : bien faire leur 2ème dose un mois plus tard et, dans l’intervalle, justifier également d’un test négatif de moins de 24h.Déclaration du 20 janvier 2022
Le décret du 22 janvier publié aujourd’hui instaure cette dérogation. Voici la rédaction de la mesure dans le décret :
Par dérogation, les personnes justifiant de l’injection depuis au plus quatre semaines d’une première dose de l’un des vaccins mentionnés au troisième alinéa du a du 2° de l’article 2-2 peuvent accéder aux établissements, lieux, services et évènements mentionnés aux II et III sur présentation du justificatif de l’administration de leur première dose et du résultat d’un test ou examen de dépistage mentionné au 1° de ce même article réalisé moins de 24 heures avant l’accès à l’établissement, au lieu, au service ou à l’évènement. Les dispositions du présent alinéa sont applicables aux injections intervenues au plus tard le 15 février 2022.Décret n° 2022-51 du 22 janvier 2022
Si cette mesure peut paraitre anodine, elle est en réalité dévastatrice au niveau des données personnelles des français·se. En effet, d’un point de vu technique pour appliquer cette mesure, il faut produire un certificat combinant le justificatif de dépistage et le justificatif de vaccination. Si le QR code peut supporter facilement cette modification, cela implique également une interconnexion des bases de données de dépistage et des bases de données de la vaccination, ce qui n’avait jamais été fait auparavant.
Certes le Ministère de la santé a déjà fait un appariement de ces bases pour publier des statistiques en données ouvertes, mais cela était censé être fait grâce à une pseudonymisation respectueuse de la vie privée. La CNIL avait d’ailleurs évoqué le sujet dans sa délibération du 21 octobre 2021.
Sur les interconnexions entre CONTACT COVID, SI-DEP et VACCINCOVID. Relevant que ces systèmes d’information font l’objet d’interconnexions, la Commission a rappelé que chacun d’entre eux s’inscrit dans la lutte contre l’épidémie de Covid-19 et poursuit des finalités propres, préalablement définis par la loi du 11 mai 2020. Appelant l’attention du Gouvernement sur le principe de minimisation des données prévu par le RGPD, la Commission l’a invité à ne pas dupliquer les mêmes informations au sein de différentes bases. Délibération n° 2021-139 du 21 octobre 2021 (point 19)
Avec la mesure anodine du Pass vaccinal valide avec un test pour les primo-vacciné, un mélange des données s’opère. Le gouvernement fais un pas de plus vers la centralisation et l’interconnexion de nos données sans que cela ne le fasse sourcillé, ni lui, ni la CNIL. Celle-ci a publié une autre délibération sur ce nouveau décret et donne son avis sur le dispositif.
La Commission relève que, dans un premier temps, seule la mention « primo-vaccination » (via le sigle « PV ») sera intégrée afin de permettre l’émission d’un justificatif d’engagement dans un schéma vaccinal valant justificatif de statut vaccinal pour la durée nécessaire à l’achèvement de ce schéma. La rédaction du projet de décret permettra toutefois de rendre opérationnels d’autres cas d’usages envisagés par les textes, tel que le cumul des justificatifs pour certains lieux. La Commission considère que la limitation des informations relatives à la vaccination à celles mentionnées au 2° de l’article 9 du décret est pertinente au regard des objectifs poursuivis. Délibération n° 2022-004 du 20 janvier 2022
Si on peut légitimement se demander l’intérêt de gouvernement pour une telle mesure aussi limité dans le temps (puisqu’elle n’est en place que jusqu’au 15 février prochain soit seulement pour une vingtaine de jours), la CNIL répond en partie à cette question puisqu’elle émet son avis sur cette mesure tout en évoquant le Pass dit « 2G+ ». Venu d’Allemagne, ce Pass requiert une vaccination et un test pour être valide. Le Conseil constitutionnel dans sa décision du 21 janvier a d’ailleurs évoqué cette disposition.
Enfin, si le législateur a prévu que le Premier ministre pourrait dans certains cas prévoir que serait exigée la présentation cumulée d’un justificatif de statut vaccinal et du résultat d’un examen de dépistage virologique ne concluant pas à une contamination par la covid-19, il n’a réservé une telle possibilité que pour les activités qui, par leur nature même, ne permettent pas de garantir la mise en œuvre des mesures de nature à prévenir les risques de propagation de la covid-19. Ces dispositions ne sauraient toutefois, sans méconnaître la liberté d’aller et de venir, s’appliquer aux déplacements de longue distance par transports publics interrégionaux. Décision n° 2022-835 DC du 21 janvier 2022 (paragraphe 20)
En citant ce paragraphe, le Conseil constitutionnel a émis des réserves et a interdit la mise en place de ce Pass « 2G+ » pour les transports inter-régionaux. Pour l’instant, seul le dispositif des primo-vaccinés jusqu’au 15 février utilisera ce super-Pass combinant vaccination et test… à moins que le gouvernement renonce par difficulté technique de mise en place ? On peut toujours l’espérer surtout qu’il est bien plus complexe à mettre en place que le Pass « 2G+ » qui pourrait simplement demander la vérification de deux QR codes successifs (un vaccinal et un de dépistage) alors que la mesure jusqu’au 15 février implique une analyse précise de la date de l’injection du vaccin. Un traitement de plus de nos données personnelles qui est à déplorer.
Mise à jour du 29 janvier
La dérogation voulu et mise en place par le gouvernement a permis d’éclaircir certains points. Selon les informations que j’ai pu dénicher au fur et à mesure de cette semaine, il apparait que les bases de données ne vont pas être interconnectées. Cependant, la solution choisie pas le gouvernement n’est pas sans conséquence non plus. En réalité, il ne fait que déplacer le problème voir en créer de nouveaux.
La solution de l’interconnexion était très préoccupante pour nos données mais avait le mérite d’être la plus simple et la plus intuitive. Pourtant le gouvernement a choisi la complexité sans que cela ne résolve de problèmes sur les données personnelles. A l’heure actuelle, les professionnels de santé qui réalise un dépistage doivent contrôler le certificat des personnes testées et vérifier qu’iels ne bénéficient pas de la dérogation. Il faut vérifier que le patient a un certificat d’une dose « 1/2 » et que la date d’injection soit avant le 15 février et récente de moins de 28 jours. Outre la complexité de la vérification, le professionnel doit ensuite pindique dans la base SI-DEP le résultat de sa vérification dans le champ « Dérogation accordée suite à une première injection ». Une donnée de vaccination est donc bien enregistrée dans la base des dépistages.
Les personnes qui bénéficie de la dérogation peuvent obtenir leur Pass vaccinal également depuis l’application TousAntiCovid. Une fonctionnalité permet de combiner les deux certificats (vaccinal et de dépistage) en un Pass vaccinal de 24h. Tout cela est fait sur un serveur distant et non en local sur l’application. On assiste donc encore a un traitement supplémentaire de nos données. Mais ce qui est intéressant avec cette fonctionnalité, c’est qu’on comprend mieux pourquoi le gouvernement a mis tant de moyen pour une mesure qui ne va s’appliquer qu’une vingtaine de jours. En réalité, le gouvernement expérimente le pass « 2G+ » qui va devoir combiner un Pass vaccinal avec un test tout comme cette mesure qui combine un certificat incomplet de vaccination avec un test. Grâce à cette fonctionnalité, il implémente les briques techniques pour cette disposition prévue dans la loi en cas de pic épidémique fort.
Je trouve que cette stratégie des petits pas vers la surveillance est détestable. Avec cette expérimentation, le gouvernement n’assume pas ce qu’il fait, manque de transparence et détourne une mesure tel un apprenti sorcier.