L’extension du Pass Sanitaire voté (on attend toujours la décision du Conseil Constitutionnel), nous entrons dans une période de flicage de certains citoyen·ne·s par d’autres en déléguant l’autorité de l’État sur n’importe quel responsable d’Établissement Recevant du Public (ERP). Les dérives potentielles de cette mesure peuvent être très nombreuses. Tentons ici de faire l’inventaire des dérives potentielles, annoncées ou déjà mises en place.

Pour clarifier les choses, politiquement, je pense que le Pass Sanitaire est une idiotie. En plus d’être une usine à gaz, cette mesure accroit la surveillance généralisée. Je l’écrivais en avril dernier lors de mon article sur CovidListe. « A l’heure des passeports vaccinaux, des contrôles inacceptables de nos données personnelles, cette base de données peut bien être utilisée pour identifier les personnes non-vaccinées. Imaginez simplement cette utilisation par certains gouvernants ou certaines entreprises… ». Certains lecteur·rice·s ont vu ici un argument anti-vaccin, anti-masque, ou je ne sais pas quoi encore. Je suis pour la vaccination et même l’obligation vaccinale dans le contexte de pandémie. Cependant, et je le répète, le Pass Sanitaire est bien une dérive liberticide inacceptable.

La présidente de la CNIL dénonce un fichier sanitaire qui se mue en un fichier de contrôle. Le Conseil d’Etat dans son avis écrit « qu’une telle mesure, en particulier lorsqu’elle porte sur des activités de la vie quotidienne, est susceptible de porter une atteinte particulièrement forte aux libertés des personnes concernées ainsi qu’à leur droit au respect de la vie privée et familiale ». La Défenseure des droits a publié 10 points d’alerte sur la Pass Sanitaire.

Essayons avec cet article d’énumérer des dérives qui sont parfois déjà en place, seulement annoncées ou simplement imaginer des dérives qui pourraient voir le jour. Je m’attarde ici surtout aux dérives technologiques du Pass Sanitaire. On pourrait aussi évoquer d’autres dérives d’ordre social avec les licenciements, par exemple, mais ce n’est pas l’objectif de cet article.

La liste noire (blocage à distance)

Dans l’épisode 1 de la saison 3 de Black Mirror, la protagoniste ne peut pas prendre un transport en commun car son score social n’est plus assez élevé. Si ici, nous ne sommes pas (encore) sur un système de notation, le gouvernement va pouvoir décider si une personne peut ou ne peut pas prendre le train ou l’avion (tout comme le reste des lieux avec pass sanitaire) grâce à la liste noire des certificats COVID. Dans un article de Libération, on a pu apprendre que « un QR Code a été identifié comme corrompu par une autorité, il [la Direction Générale de la Santé] nous est possible de le placer sur une «liste noire» via l’identifiant du certificat, dans TousAntiCovid Verif pour qu’il soit refusé à la lecture ». Ainsi, le Ministère de la Santé va pouvoir à distance désactiver des Pass Sanitaire. Pour l’instant, nous n’avons pas plus d’information sur cette « liste noire » : les raisons précises pouvant déclencher ces blocages sont encore inconnus. J’ai demandé au Ministère la liste anonymisée des QR Code bloqués pour en savoir plus. On notera que l’application TousAntiCovid Verif ne semble, pour l’instant, pas pouvoir refuser un QR Code qui serait sur une liste noire. Il faudra vérifier les prochaines mises à jour de l’application pour savoir si cela sera réellement implémenter comme annoncé dans la presse.

Le contrôle a priori (stockage sur serveur)

Les entreprises de transports vont devoir contrôler des centaines, parfois des milliers de voyageurs, en quelques minutes avant le départ d’un train, d’un avion ou d’un bateau. Ce contrôle va être compliqué à mettre en place. Le ministre Jean-Baptiste Djebbari a évoqué la possibilité de « lier le pass sanitaire au billet, c’est la chose la plus simple à faire mais ça nécessite un peu de temps [pour le mettre au point] ». Cependant, la SNCF semble avoir fait marche arrière puisque qu’on apprend des syndicats que ça serait potentiellement des contrôles aléatoires qui seront effectués. Air France de son côté a déjà mis en place un service de contrôle des documents sanitaires a effectué avant l’embarquement nommé « Ready To Fly ». Sur son site web, Air France indique que les voyageurs « sont invités par email, quelques jours avant le départ, à transmettre à Air France leurs documents d’ordre sanitaires via une plateforme en ligne ». Si ces services pourraient être pratiques, ils sont dangereux pour les données personnelles de santé des citoyen·ne·s. En transmettant en ligne nos certificats, ceux-ci sont exposés et toutes nos données de vaccination avec. Ils sont sauvegardé sur des serveurs ce qui peut être très problématique. Il s’agit ici d’une dérive qui semble déjà être en place.

Les clones de TousAntiCovid Verif

Il faut rappeler que le QR Code sur les certificats COVID comportent toutes les informations de vaccination ainsi que le nom, le prénom et la date de naissance de l’individu. L’application officielle TousAntiCovid Verif est censée cacher les informations de santé pour ne laisser apparaitre que le nom, le prénom et la date de naissance ainsi qu’une information binaire (vert si c’est bon, rouge si c’est pas bon). La CNIL considère ce système comme conforme à ses préconisations. Cependant, certains responsables d’ERP jugent que l’application officielle n’est pas assez rapide ou ne correspond pas à leurs exigences techniques. Par exemple, on a appris que le réseau d’entreprises Otentik est en train d’élaborer leur propre solution technologique nommée « French Quick Pass ». Ici encore, il semble que le certificat COVID doit être stocké sur un serveur et, en plus, le système a besoin de la carte d’identité ! Là-encore beaucoup trop de données personnelles et documents personnels sont demandés et le risque d’usurpation augmente. En plus, le décret n° 2021-699 du 1er juin 2021 précise bien que « La lecture des justificatifs par les personnes mentionnées au II est réalisée au moyen d’une application mobile dénommée « TousAntiCovid Vérif », mise en œuvre par le ministre chargé de la santé » ce qui rendrait cette solution illégale. Même si l’alternative est techniquement meilleure que l’application officielle (comme par exemple Sanipasse), le risque en utilisant des clones de TousAntiCovid Verif est que ces derniers peuvent sauvegarder votre certificat pour l’usurper. Sur ce point, on ne sait pas ce que les autorités ont prévues pour éviter cela.