La fuite du pass sanitaire du Président

Publié par le dans , , | Consulté 108 Fois

Depuis quelques mois, les QR codes représentent un outil numérique pour lutter contre la crise sanitaire actuelle. Les premiers ont fait leur apparition en hiver dernier lors de la réouverture des commerces, comme dans certains restaurants par exemple où les menus sont désormais accessibles via ces codes à flasher et non plus sur des cartes. Par la suite, ils ont été affichés dans des lieux publics ce qui permettait de savoir si des personnes qui s’étaient rendues au même endroit et au même moment avaient été en contact avec d’autres personnes testées positives à la Covid-19. Aujourd’hui, ces QR codes sont utilisés pour le pass sanitaire. Ils contiennent des données à caractère personnel ce qui amène à une problématique majeure : la sécurité des données personnelles des citoyens français. C’est d’ailleurs une des raisons qui avait poussé l’association La Quadrature du Net à demander au juge des référés du Conseil d’Etat en juin dernier la suppression de ce pass sanitaire. La demande a été refusée au motif que la mise en place du QR code dans des lieux recevant du public présentant un risque élevé de contamination poursuivait un but légitime permettant de lutter contre la pandémie.

Mais récemment, ce sont les données d’une des personnes les plus protégées du pays qui sont apparues au grand jour. En effet, quelques jours après la fuite du QR code du Premier Ministre Jean Castex, c’est le pass sanitaire d’Emmanuel Macron qui a été diffusé fin septembre. Le QR code du Président a ainsi pu circuler entre les mains (ou plutôt les téléphones) des français.

Un QR code, des données personnelles

On considère qu’il y a une fuite de QR codes dès lors que ces derniers sont détenus et peuvent être utilisés par des personnes à qui ils n’appartiennent pas.
À la différence de la fuite du QR code du Premier Ministre qui aurait pour origine une photo publiée de lui-même présentant son pass sanitaire lors d’une apparition publique, la fuite du QR code du Président serait due à une faute du personnel médical.
En effet si la diffusion du passeport sanitaire de Jean Castex est plutôt due à une négligence de sa part, celle du président met en lumière la facilité de fuite des documents de santé. 

Si les QR codes simplifient la vie dans un monde sans contact, se pose tout de même la question de l’accès aux données personnelles contenues dans ceux-ci. Les données à caractère personnel représentent des informations permettant d’identifier une personne physique. Et on en retrouve ainsi dans les QR codes, ces derniers contenant des données de santé et des données relatives à l’identité du détenteur.
Mais les professionnels qui scannent les QR codes n’ont, eux, pas accès à toutes ces informations : s’afficheront seulement le nom et prénom, la date de naissance et la validité du pass sanitaire. Et celles-ci ne seront pas conservées dans le terminal qui a permis la scannérisation.
Fort heureusement, il ne contient pas le numéro de sécurité sociale ce qui limite donc le risque d’usurpation d’identité. L’accès à un QR code par un tiers ne présente donc pas réellement de danger si ce n’est son utilisation frauduleuse.

Quelle protection pour nos données personnelles ?

Depuis maintenant quelques temps, le personnel médical a accès aux données médicales de tous les Français vaccinés, via le système de téléservice Vaccin. Cette base centralisée collecte les données des personnes immunisées contre la Covid-19. C’est ainsi que certains professionnels de santé ont pu consulté le dossier médical du Président. Cependant, le QR code contenant des données personnelles, il ne peut être consulté qu’en présence d’un motif légitime. En effet l’intérêt légitime fait partie des bases légales permettant de recourir à un traitement de données personnelles selon le RGPD. La CNIL avait d’ailleurs rappelé que les atteintes à la protection des données à caractère personnel devaient être nécessaires à la poursuite d’un intérêt général, mais également être proportionnées à cet objectif.

La diffusion d’un QR code sans base légale peut ainsi caractériser une violation des données personnelles elle-même définie comme « entraînant, de manière accidentelle ou illicite (…) la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Ainsi, la diffusion du pass sanitaire du Président, qu’elle soit volontaire ou non, entrainera la sanction des professionnels de santé concernés, mais donc aussi celle de ceux ayant consulté le QR code sans finalité ou encore l’ayant utilisé. L’utilisation du passeport sanitaire d’autrui est sanctionnée d’une amende de 750€. Les personnes qui ont présenté le QR code d’Emmanuel Macron devront donc s’acquitter de cette somme, abaissée à 135€ si elle est réglée rapidement.
D’ailleurs, la sanction est la même pour une personne qui prêterait son pass sanitaire à une autre.

Quelles solutions face à la fuite d’un QR code ?

Une révocation des codes ayant fuité est possible pour mettre un terme à l’infraction : il existe une liste noire sur laquelle sont recensés les QR codes usurpés. Ces derniers ne seront plus valables lors de la présentation du pass sanitaire et deviendront donc inutilisables.
Le décret du 29 septembre 2021 créé une liste accessible de codes révoqués et permet le changement de QR code en cas de fraude. Ainsi, tout citoyen ayant des raisons de penser que son QR code est utilisé frauduleusement, peut le désactiver et en recevoir un autre. Cependant, ce dispositif est encore peu connu et donc peu utilisé. Depuis sa mise en place, seules 500 demandes ont été enregistrées.

À suivre

À l’automne le Parlement devra, à la demande de la CNIL, réaliser une évaluation des outils numériques utilisés depuis le début de la pandémie. Ceux jugés non nécessaires pour la lutte contre la covid-19 devront être supprimés.

SOURCES

  • Article L3136-1 du code de la santé publique
  • « Vaccination contre la Covid-19 : le point sur le téléservice Vaccin Covid », ameli.fr, 25 janvier 2021
  • Délibération n°2020-135 du 17 décembre 2020 portant avis sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » (demande d’avis n° 20020446)
  • Décret n° 2021-1268 du 29 septembre 2021 modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire
  • « Les mises en garde de la CNIL sur l’extension du passe sanitaire », cnil.fr, 21 juillet 2021