La charte d'engagements pour encadrer les lecteurs tiers de passes sanitaires

TousAntiCovid Verif bis
Droit 4 min
La charte d'engagements pour encadrer les lecteurs tiers de passes sanitaires

Le ministère de la Santé prépare un arrêté pour permettre à d’autres dispositifs que TousAntiCovid Verif de se connecter à ses dispositifs techniques. Comme l'application officielle, ils permettront de contrôler les justificatifs du passe sanitaire. Le dispositif reposera sur une série d'engagements accompagnant un dossier technique. 

Depuis la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, le passe sanitaire permet d’attester de sa vaccination, de la réalisation d’un test PCR ou d’un certificat de rétablissement à la suite d’une contamination par le Covid-19.

Depuis quelques semaines, le document est en effet exigé pour l’accès aux activités de loisir, aux restaurants, aux cafés. Il est demandé pour certains accès aux hôpitaux, pour les déplacements de longue distance par transport public, ou encore pour accéder aux grands magasins et centres commerciaux, où doit néanmoins être toujours garanti « l'accès des personnes aux biens et services de première nécessité ».

Un décret est venu préciser le mode opératoire. Ainsi, pour les personnes physiques, les justificatifs peuvent ainsi être présentés sous format papier ou numérique, « enregistré sur l'application mobile TousAntiCovid ou tout autre support numérique au choix de la personne concernée ».

Pour les personnes en charge du contrôle, la lecture de ces pièces peut être réalisée via l’application mobile TousAntiCovid Vérif, mais aussi « de tout autre dispositif de lecture répondant à des conditions fixées par un arrêté des ministres chargés de la santé et du numérique ».

Une charte d'engagements

Cet arrêté appelé par le décret est d’ores et déjà sur la rampe. Il vient d’être notifié à la Commission européenne.

Pour être proposé, l’éditeur du lecteur tiers devra d’abord adresser au directeur général de la Santé un dossier de présentation « permettant de vérifier que le dispositif proposé satisfait aux conditions fixées par la charte annexée au présent arrêté, ainsi que la charte signée. »

Ce dossier détaille « la documentation des traitements et la cartographie des flux de données lors de la vérification », « l’architecture de sécurité et les mécanismes déployés pour répondre aux exigences de la charte en termes de SSI et de protection des données personnelles » et même fournir des pans de code source composant le logiciel intégré aux services IN Groupe (de l’Imprimerie nationale) « et de toute fonction manipulant les données du passe sanitaire ou le résultat de sa vérification »

Pour encadrer ce dispositif, l’exécutif se contente d’une simple charte d’engagement où l’éditeur du système tiers promettra de mettre en place et respecter « des mesures protectrices des droits des usagers », comme les droits d’accès ou de rectification chers au RGPD. Il s’engagera au surplus à informer les usagers à « d’une manière simple et accessible ».

Cette charte, annexée à l’arrêté en gestation, prévoit en outre que « les passes sanitaires (2DDOC et DCC) au format QR Code, DataMatrix, ou texte, ainsi que les données qui y sont encodées, constituent des données de santé ne pouvant être stockées sur un système non habilité HDS » (ou hébergeur de données de santé).

Volet sécurité

Toujours dans le flot des engagements, les éditeurs devront assurer la sécurisation de ces données, par recours à des algorithmes de chiffrement « robustes et à l’état de l’art ». La question de la sécurité est un peu plus détaillée dans un chapitre dédié :

arrêté lecteurs tousenticovid verif charte

Transferts de données interdits, en principe

Il faudra également « justifier de l’absence de transfert illicite de données », « ne pas conserver les données des passes sanitaires, ne pas les transmettre à des tiers ou les modifier ».

Interdit par ailleurs de transférer des données du passe sanitaire ou le résultat de son traitement en dehors de l’Union européenne. Ce principe souffre cependant d’une exception puisqu’à défaut, les éditeurs devront « justifier ces transferts et expliquer l’encadrement juridique et technique qui en garantit la licéité ».

Ces lecteurs concurrents devront être restreints au strict minimum pour opérer le contrôle (affichage des seuls nom, prénom, date de naissance, résultat de la vérification).

S’agissant des personnes chargées du contrôle, conformément à la loi sur la gestion de la crise sanitaire, elles devront être « identifiées, habilitées, et référencées dans un registre spécifique qui doit pouvoir être mis à disposition des autorités en cas de contrôle ».

Enfin, les systèmes de vérification tiers ne devront conserver que temporairement le résultat d’un traitement d’un passe sanitaire, « pour la durée d’un seul et même contrôle d’un déplacement ou d’un accès à un lieu, établissement ou service visés par l’obligation de présentation du passe sanitaire ».

Que se passera-t-il « en cas de constat de non-conformité d’un dispositif dont la connexion a été autorisée » ?  Le futur arrêté prévoit que l’accès aux dispositifs techniques développés par le ministère permettant le contrôle des justificatifs sera suspendu sans délai. L'éditeur en sera averti afin de corriger le tir.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !