Hier, le Conseil d’État a examiné le référé déposé par la Quadrature du Net. En face, le ministère de la Santé a tenté de défendre la solidité juridique du passe sanitaire, dont le cadre de mise en œuvre est critiqué par l’association de défense des libertés. Nous étions sur place. Compte rendu d’audience.
À l’index de cette procédure d’urgence, le « passe sanitaire » organisé par la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire. Son article 1er permet en effet au Premier ministre de conditionner la circulation ou l’accès des personnes à certains lieux à la présentation d’un tel document.
Ce document, au format papier ou électronique, embarque alors le résultat d'un examen de dépistage virologique négatif, un justificatif de statut vaccinal, ou bien enfin un certificat de rétablissement à la suite d'une contamination par le Covid-19.
La loi exige surtout que cette présentation soit « réalisée sous une forme ne permettant pas aux personnes habilitées ou aux services autorisés à en assurer le contrôle de connaître la nature du document ni les données qu'il contient ».
La loi adoptée, il est revenu à un décret de prévoir les modalités pratiques d’application. Or, ce décret du 7 juin 2021 est apparu aux yeux de la Quadrature en pleine contrariété avec le texte législatif.
On y découvre en effet que les justificatifs générés par le passe sanitaire comportent « les noms, prénoms, date de naissance de la personne concernée et un code permettant sa vérification ». Ce sont les données d’état civil.
Mieux, ces passes contiennent également un code en deux dimensions derrière lequel on trouve, outre ces informations nominatives, de nombreuses données de santé. Un code facilement lisible par des tiers non autorisés, au point que la CNIL a appelé le gouvernement, dans son avis, « à mettre en place des mesures d’information des personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler ».
Pour l’avocat de la Quadrature, Me Alexis Fitzjean Ó Cobhthaigh, pas de doute : « la présence de ces informations sur l’état civil et sur la santé des personnes détentrices des passes sanitaires constitue une ingérence grave et manifestement illégale dans plusieurs libertés fondamentales parmi lesquelles le droit à la vie privée et le droit à la protection des données personnelles ».
Les données d’état civil : le bon sens face à la loi
S’agissant des données relatives à l’état civil des personnes, la Quadrature a considéré lors de l’audience qu’aucune base légale ne permettait d’autoriser la présence de ces informations nominatives.
Elle dénonce une atteinte au principe de limitation des données, considérant par ailleurs que les personnes en charge de vérifier le passe sanitaire ne disposent d’aucune habilitation pour contrôler l’identité des détenteurs.
Le ministère de la Santé a opposé en réponse une mesure de « bon sens ». Pour son directeur des affaires juridiques et le DSSI dépêché pour l’occasion, ces données d’identification sont « rigoureusement nécessaires ». Elles permettent de prouver que ces éléments se rapportent bien à la personne qui les présente lorsqu'elle désire accéder à des concerts ou d’autres manifestations.
Des arguments entendus par Me Alexis Fitzjean Ó Cobhthaigh bien que, sur le seul autel du droit, il ait contesté la possibilité pour le pouvoir règlementaire d’ajouter des données au périmètre cadré par le législateur. Dit autrement, si la loi a pris soin de ne pas ajouter ces données, le gouvernement ne pouvait y passer outre.
Les données de santé
La Quadrature a relevé sans mal que le QR code généré sur les passes sanitaires contient de nombreuses données de santé : type de vaccin, date, résultats de test, etc. Et pour convaincre le magistrat de sa porosité, elle a pris soin de développer un petit lecteur permettant de passer au clair le code-barre en deux dimensions, pour révéler à tous, même aux tiers non autorisés, des informations considérées comme « sensibles » par le RGPD.
Le ministère de la Santé n’a pas contesté ce bas niveau de sécurisation, mais l’a justifié par la nécessité de permettre aux lecteurs, dans les mains des personnes chargées du contrôle, de pouvoir lire les données.
Questionné par Thomas Andrieu, juge des référés, le directeur des affaires juridiques et le DSSI du ministère ont défendu un système purement « local », sans interrogation avec les bases centralisées « SIDEP » ou « Vaccin Covid ». De fait, cette interrogation a déjà lieu pour générer le code, mais non lors du contrôle.
Avec un système totalement chiffré, il aurait été impossible de lire les données, ont-ils soutenu. Et coupler ce système à une base centralisée aurait généré davantage de problèmes de sécurité.
Bref, selon eux, la meilleure solution est celle choisie, où les données de santé sont finalement confiées entre les mains des personnes concernées, sur smartphone ou en format papier, à l’image d’une Carte vitale.
Le ministère a justifié encore ce régime non seulement par des contraintes de temps, mais aussi par l’arrivée du certificat européen où les données sont là aussi en clair. Il y a un impératif : celui d’assurer la fluidité des échanges entre le passe sanitaire français et ce certificat européen. Au contraire, avec un système non interopérable, il faudrait nécessairement demander aux citoyens de passer un nouveau test. Du moins pour ceux désireux de se rendre à l’étranger, a lourdement tempéré le juge des référés.
Sur le risque de fraude, le gouvernement a finalement fait porter le chapeau sur le détenteur du passe sanitaire, avec un exemple : lorsqu’une personne perd un certificat de vaccination, on ne peut reprocher au ministère de la Santé d’être responsable de cette fuite.
Système local ou système centralisé ?
En face, la Quadrature a défendu un autre système de vérification reposant sur une période de validité limitée, « sans avoir besoin de dévoiler autant d’informations sur les tests virologiques ou vaccins ayant permis la délivrance du passe sanitaire ».
Explications : plutôt qu’un système local, elle plaide pour une interrogation en amont de la base centralisée SIDEP ou Vaccin Covid, qui abritent déjà les données de santé. Elle réfute le moindre croisement de fichier, mais plaide pour une simple interrogation des bases et génération d’un feu vert ou rouge à l’occasion d’un contrôle de déplacement ou d’accès.
Avantage : ce traitement ne draine pas de données de santé, contrairement au QR Code, nettement plus bavard.
Quand l’analyse d’impact pointait des risques « importants »
D’autres questions ont émaillé les échanges et particulièrement celle de l’analyse d’impact associée à ce traitement (l’ « AIPD »). Lorsque le projet de décret lui fut présenté pour rédiger son avis, la CNIL avait ouvertement regretté « que le gouvernement ne lui ait transmis ni de dossier technique ni d’AIPD ». Elle avait, faute de mieux, rappelé au gouvernement que « cette analyse devra être finalisée avant la mise en œuvre effective du dispositif ».
Un document pourtant considéré comme « cardinal » par l’avocat de la Quadrature.
Le juge des référés a relevé que l’article 63 de la loi de 1978 modifiée demande que le responsable de traitement, ici le ministère, est « tenu de consulter la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement lorsqu'il ressort de l'analyse d'impact (…) que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».
Si le ministère n’a pas transmis cette analyse d’impact, c’est parce qu’il a jugé les risques finalement résiduels. Dans cette AIPD, que nous diffusons ci-dessous, le gouvernement a en effet jaugé la « gravité du risque pour les personnes » à un seuil « important », en estimant la « vraisemblance du risque » comme, là aussi, « importante ». Cependant, son « plan d’action » pour faire baisser ces seuils aura été le « passage de l’application en mode offline ».
Le juge des référés n’a pas encore révélé la date de sa décision, mais a déjà souligné qu’elle ferait nécessairement une mise en balance avec plusieurs poids sur les plateaux, entre l’atteinte à la vie privée et la nature des restrictions d’accès ou de déplacement.
