La CNIL rend son avis sur la lutte contre la fraude au passe sanitaire

14 October 2021

La CNIL s’est prononcée, le 9 septembre 2021, sur la mise en place d’un dispositif permettant d’améliorer la lutte contre la fraude au passe sanitaire. Elle a demandé à ce que le décret soit complété et que l’information des personnes concernées soit renforcée.

L’essentiel

  • La CNIL s’est prononcée, en urgence, sur le projet du gouvernement concernant, notamment, la mise en place d’un dispositif de lutte (dit « liste noire ») contre les passes sanitaires frauduleux.
  • Compte tenu de la gravité des conséquences sanitaires que l’usage de certificats frauduleux est susceptible d’entraîner et du nombre croissant de fraudes, la CNIL considère que les évolutions proposées sont légitimes et proportionnées.
  • Elle a recommandé au gouvernement de modifier le décret pour :
    • limiter les objectifs poursuivis à la seule révocation des certificats frauduleux ;
    • ne collecter que l’empreinte technique du certificat (sans information nominative ou donnée de santé) ;
    • fixer la durée du dispositif ;
    • renforcer l’information des personnes, pour que celles ayant des difficultés d’accès et d’usage aux outils numériques puissent générer, le plus tôt possible, un nouveau certificat.

Le contexte

L’élargissement du passe sanitaire, le 9 août dernier, à de nombreuses activités dont certaines ont trait à la vie quotidienne (restaurants, bars, transports publics interrégionaux de longue distance, etc.) a entraîné une multiplication des fraudes.

Ainsi, dans un objectif de protection de la santé publique, le gouvernement a prévu de mettre en œuvre une liste d’exclusion permettant la révocation (c’est-à-dire l’annulation) des certificats identifiés comme frauduleux afin que ces derniers ne puissent plus être utilisés. Une procédure permettant de générer un nouveau certificat sera alors mise à la disposition des personnes concernées.

Comment fonctionne la liste d’exclusion ?

La « liste noire » doit être intégrée au sein des applications « TousAntiCovid » et « TousAntiCovid Verif » (ou tout autre dispositif de lecture du passe sanitaire autorisé par le ministère) afin que les personnes concernées et celles habilitées à contrôler le passe sanitaire puissent vérifier la validité du certificat.

En pratique, lorsque les personnes ou les services habilités à contrôler un passe sanitaire scanneront le QR code, la liste d’exclusion sera interrogée afin de détecter une éventuelle concordance entre l’empreinte technique du certificat présenté et celles des certificats déclarés comme frauduleux.

La lutte contre la fraude au passe sanitaire

Un objectif limité à la révocation des passes sanitaires identifiés comme frauduleux 

La CNIL a invité le gouvernement à préciser, dans le projet de décret, que l’utilisation de la liste d’exclusion doit être limitée à la révocation des passes sanitaires identifiés comme frauduleux.

L’objectif de la révocation des passes sanitaires identifiés comme frauduleux permettrait d’interdire les déplacements ainsi que l’accès à certaines activités où le passe est obligatoire aux personnes ne disposant pas d’un certificat valable.

Cependant, le dispositif envisagé par le gouvernement ne doit pas avoir pour objectif la poursuite des infractions commises en lien avec l’usage de certificats identifiés comme frauduleux.

La CNIL relève que le décret du 29 septembre 2021 n’apporte pas de précisions en ce sens.

L’intérêt d’une information renforcée des personnes concernées

Le gouvernement a prévu d’informer les personnes sur l’existence du dispositif de lutte contre la fraude à travers différents canaux de communication mis à la disposition du public depuis le début de la crise sanitaire (sites web institutionnels, politique de confidentialité de l’application TousAntiCovid, certificats papiers) et plus particulièrement personnes concernées par l’inscription de leur certificat dans la liste d’exclusion (au moment de l’import du certificat dans la fonctionnalité « Carnet » de l’application TousAntiCovid ou lorsque l’utilisateur se rend au sein de cette fonctionnalité ainsi que lors d’un contrôle du certificat).

Toutefois, la CNIL a invité le gouvernement à renforcer l’information en prévoyant une procédure permettant d’informer les personnes concernées au moment de l’inscription de leur certificat dans la liste d’exclusion.

L’information doit permettre aux personnes concernées de générer, le plus tôt possible, un nouveau certificat directement en ligne ou auprès de professionnels habilités. L’objectif est de limiter, notamment, les conséquences pour les personnes dont la capacité d’accès et d’usage aux outils numériques demeure limitée (impossibilité d’accéder à un établissement de santé pour des soins programmés, refus d’accéder à un moyen de transport, etc.). Toutefois, le décret du 29 septembre 2021 ne prévoit pas un tel mécanisme.  

Les autres garanties

La CNIL a rappelé, dans ce nouvel avis, que le dispositif de lutte contre la fraude au passe sanitaire devait également respecter les garanties suivantes :

  • la liste d’exclusion ne doit contenir que les empreintes numériques des certificats identifiés comme frauduleux (principe de minimisation des données) et ne doit pas contenir de données personnelles et notamment d’informations nominatives ou de santé, ce que le décret prévoit désormais de façon explicite ;
  • une limitation dans le temps qui devra prendre fin en même temps que l’obligation de présentation du passe sanitaire pour les activités concernées qui, s’agissant des déplacements à l’étranger, devrait a minima perdurer jusqu’au 31 décembre 2021.