Saisie par la Quadrature du Net, le juge des référés de la haute juridiction a finalement rejeté la demande de suspension du passe sanitaire. Son ordonnance rendue à l'instant balaye les critiques adressées par l’association.
Après l’audience du 22 juin dernier, le Conseil d’État a finalement estimé que le passe sanitaire n’était pas entaché d’illégalité.
Le document, papier ou électronique, porte de nombreuses traces personnelles. Outre le résultat d'un examen de dépistage virologique négatif, un justificatif de statut vaccinal ou un certificat de rétablissement à la suite d'une contamination par le Covid-19, on y trouve de nombreuses données nominatives, accessibles via un code en deux dimensions.
L’association a pointé de multiples contrariétés avec les textes, notamment la loi relative à la sortie de l’état d’urgence sanitaire qui demande que cette présentation soit « réalisée sous une forme ne permettant pas aux personnes habilitées ou aux services autorisés à en assurer le contrôle de connaître la nature du document ni les données qu'il contient ».
Des critiques balayées l'une après l'autre
Le Conseil d’État a rejeté tour à tour ces critiques. Cette contrainte légale a surtout été posée pour empêcher que des tiers n'apprennent si la personne est vaccinée, rétablie ou non contaminée. Elle n’interdit pas « la présence dans le justificatif de données d’identité de la personne concernée ».
Une violation du principe de minimisation des données, cher au RGPD ? Absolument pas. « Ces données d’identification sont nécessaires pour contrôler que le passe présenté est bien celui de la personne qui s’en prévaut ».
La Quadrature estimait par ailleurs que le code en deux dimensions ne pouvait, sans violer la loi, contenir des données de santé. Elle pointait aussi le risque de détournement de ces informations classées comme sensibles par le règlement général sur la protection des données.
Le Conseil d’État a au contraire considéré que le résultat de l’examen de dépistage et les autres informations assimilées peuvent figurer dans le traitement.
Le même juge des référés a été par ailleurs convaincu des arguments portés par le ministère de la Santé : d’un, il y avait une contrainte de temps. De deux, une telle solution a été préférée à un système centralisé générant les passes et croisant les données de santé. De trois, le risque de fuite à l’échelle individuelle « semble peu élevé », puisqu’il suppose qu’un tiers non autorisé dispose d’un logiciel de lecture et surtout d'un accès à l’écran du smartphone.
Ce choix d’un système décentralisé « remplit un motif d’intérêt public dans le domaine de la santé publique », conclut-il. Quand bien même la Quadrature avait mis sur la table une alternative, à savoir un traitement national générant un simple feu rouge ou vert, le cap choisi par le gouvernement ne viole pas le RGPD.
Enfin, il a considéré que le choix de ne pas saisir la CNIL de l’analyse d’impact associée à ce traitement n'est pas illégal, au regard justement des faibles risques d’accès illégitimes à ces données.
Avant de considérer que le passe sanitaire n'est donc pas manifestement illégal, le juge des référés a rappelé, dans une analyse de proportionnalité, que cet instrument est aussi de nature à permettre de réduire la circulation du virus dans le pays.