COVID-19 : la CNIL rend son avis sur les conditions de mise en œuvre du passe sanitaire

08 juin 2021

La CNIL s’est prononcée, le 7 juin 2021, sur les modalités de mise en œuvre du passe sanitaire conditionnant certains déplacements ainsi que l’accès à certains lieux publics recevant de grands rassemblements de personnes.

L’essentiel

  • Le principe du passe sanitaire, accompagné d’un certain nombre de garanties, a été décidé par la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire.
  • Après avoir rendu un premier avis sur le principe du passe sanitaire le 12 mai dernier, la CNIL s’est prononcée, le 7 juin 2021, sur les conditions de sa mise en œuvre.
  • La CNIL a recommandé que la durée et le périmètre d’application du passe sanitaire soient clairement définis, notamment concernant les lieux, établissements et évènements visés ainsi que les personnes concernées par l’obligation de présenter un passe sanitaire.
  • Le passe sanitaire sera en vigueur jusqu’au 30 septembre 2021. Il concerne les déplacements en dehors de France ou entre la métropole et la Corse ou l’outre-mer, ainsi que certains lieux et événements de loisir de plus de 1 000 personnes. Les lieux de la vie quotidienne ou liés à l’exercice de libertés fondamentales ne sont pas concernés.
  • Pour ces déplacements et ces lieux, il sera nécessaire de présenter un justificatif indiquant soit que la personne est vaccinée, soit qu’elle a été testée négative à la COVID-19, soit qu’elle a été testée positive il y a suffisamment longtemps pour être rétablie et immunisée.
  • Le passe sanitaire se présentera sous forme de code QR. Conformément aux recommandation de la CNIL, les contrôleurs liront le passe sanitaire avec une application dédiée, TousAntiCovid Verif, qui ne leur donnera accès qu’aux noms, prénoms, date de naissance et une information globale sur le caractère valide du justificatif (« bouton vert » ou « bouton rouge »)
  • La CNIL a formulé un certain nombre de recommandations pour la bonne mise en œuvre du passe sanitaire.

Le contexte

Le mercredi 9 juin 2021, dans le cadre de la troisième phase de déconfinement, le Gouvernement déploie le passe sanitaire, dont le principe et un certain nombre de garanties ont été prévus par la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire.

Le passe sanitaire doit permettre de limiter le risque de contamination en conditionnant certains déplacements ainsi que l’accès à certains lieux, établissements et évènements à la présentation d’un des trois justificatifs suivants : un test de dépistage à la COVID-19 négatif, une attestation de vaccination ou un certificat de rétablissement à la suite d’une contamination antérieure à la COVID-19.

Le passe aura deux fonctions :

  • Le passe sanitaire « activités » doit permettre la reprise de diverses activités interrompues en raison de la crise sanitaire et la réouverture des lieux fermés impliquant de grands rassemblements de personnes (à partir de 1 000 personnes).
  • Le passe sanitaire « frontières », mis en œuvre dans le cadre du futur certificat numérique Covid de l’Union européenne (qui entrera en vigueur le 1er juillet prochain). Il doit permettre de faciliter la libre circulation au sein de l’Union européenne.

L’avis de la CNIL sur les conditions de mise en œuvre du passe sanitaire

Le périmètre du passe sanitaire : lieux et personnes concernés

Les lieux, établissements et événements concernés par le passe sanitaire

La CNIL relève que les lieux concernés par le passe sanitaire (salles de spectacles sportifs ou culturels, les établissements sportifs de plein air, etc.), dont la liste est désormais précisée dans le décret du 7 juin 2021, ne concernent pas les activités de la vie courante (restaurants, lieux de travail, commerces, etc.) et ne sont pas liés à certaines manifestations habituelles de libertés fondamentales, conformément à ses recommandations du 12 mai 2021.

Les personnes concernées par l’obligation de présentation du passe sanitaire

La CNIL a invité le Gouvernement à délimiter, dans le projet de décret dont elle a été saisie, les personnes visées par l’obligation de présentation des justificatifs prévus par la loi.

Le décret précise que le passe sanitaire « activités » s’applique aux mineurs âgés d’au moins onze ans.

Concernant le passe sanitaire « activités », la CNIL avait invité le Gouvernement à préciser explicitement que celui-ci ne concernera pas les salariés, les organisateurs et les professionnels qui se produisent dans les lieux concernés.

Le fonctionnement de l’application TousAntiCovid Verif

Le contrôle du passe sanitaire doit se faire par les personnes habilitées à contrôler les justificatifs, au moyen de l’application mobile TousAntiCovid Verif.

Conformément au principe de minimisation des données, les personnes habilitées à contrôler les justificatifs à l’aide de l’application TousAntiCovid Verif n’auront accès qu’aux seuls noms, prénoms et date de naissance de la personne concernée ainsi qu’au résultat positif ou négatif de détention d’un justificatif conforme.

La CNIL rappelle toutefois qu’il est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé. Elle a invité le Gouvernement à mettre en place des mesures d’informations afin de sensibiliser le public sur la nécessité de protéger leurs justificatifs et de ne pas les exposer en dehors des contrôles prévus par le passe sanitaire (ne pas présenter les justificatifs dans des lieux qui ne sont pas concernés par le passe sanitaire, ne pas les publier sur les réseaux sociaux etc.).

La CNIL rappelle qu’aucune donnée personnelle ne devra être conservée ni par le serveur central ni par l’application TousAntiCovid Verif à l’issue de la vérification du justificatif.

Les autres observations de la CNIL

Compte tenu de la sensibilité du dispositif, la CNIL a également formulé, dans cet avis, plusieurs recommandations complémentaires parmi lesquelles :

  • La mention, dans le décret, des catégories de données personnelles présentes sur les justificatifs (similaires à celles prévues par la proposition de règlement relatif au certificat numérique européen Covid).
  • La nécessité de s’assurer que le format papier des justificatifs puisse permettre aux personnes concernées de ne présenter que les données nécessaires au contrôle de leur passe sanitaire (par exemple, en indiquant clairement les consignes de pliage de manière visible sur les attestations ou en fournissant un second document, par l’intégration d’une information claire sur les justificatifs, etc.).
  • La publication du code source de l’application TousAntiCovid Verif.
  • La CNIL a par ailleurs formulé des recommandations sur l’évolution de l‘architecture technique du dispositif.