Pass sanitaire : la CNIL égratigne l’appli TousAntiCovid-Vérif

La Commission nationale des libertés et de l’informatique vient de rendre son avis concernant l’appli TousAntiCovid-Vérif. Sans surprise, il y a du travail sur la planche pour corriger certains défauts inquiétants.

Inutile de rappeler que le pass sanitaire est entré en vigueur depuis le 9 juin 2021. Ce document, accessible depuis la rubrique carnet dans TousAntiCovid, permettra d’apporter une preuve de votre bon état de santé, grâce à la présentation de trois documents distincts : une attestation de vaccination, un test négatif PCR de moins de 48h ou bien un résultat de test RT-PCR positif attestant du rétablissement de la maladie de moins de six mois.

La présentation de ce pass sanitaire sera obligatoire pour accéder à certains évènements sportifs ou culturels, à partir de 1000 personnes et jusqu’à une limite de 5000. Seulement, et vous le savez si vous êtes un lecteur régulier d’Android MT, ce pass sanitaire est accusé de porter atteinte aux libertés fondamentales des Français, notamment en poussant à la vaccination et en contraignant les utilisateurs à avoir une carte d’identité ou un passeport (pas de papiers d’identité, pas de pass sanitaire). Ce sont en tout cas les principaux griefs reprochés par la Quadrature du Net, l’association de défense et de promotion des droits et des libertés.

En outre, de nombreux spécialistes et associations ont fait savoir leurs inquiétudes concernant le fonctionnement de TousAntiCovid-Vérif, l’application destinée aux professionnels qui seront amenés à contrôler ces pass sanitaires. Après ces multiples polémiques sur le pass sanitaire et sur TousAntiCovid-Vérif, la CNIL a enfin décidé de rendre son avis sur ces sujets, et comme il fallait s’y attendre, il y a de nombreux axes d’amélioration comme le déplore la Commission.

Pass sanitaire : plusieurs points à corriger d’après la CNIL

En premier lieu, l’institution invite à ce que le gouvernement français rende le code source de TousAntiCovid-Vérif public (c’était pourtant le cas pour TousAntiCovid/StopCovid). Pour plus de transparence, la CNIL « appelle le gouvernement à rendre public ce code source expurgé le cas échéant des secrets permettant de sécuriser les transmissions de données avec les serveurs centraux ». 

La CNIL revient également sur le traitement des données issues de l’application TousAntiCovid-Vérif. En effet, il s’avère que toutes les données médicales récoltées sont envoyées sur les serveurs centraux d’une société française appelée IN Group, qui n’est autre que l’Imprimerie Nationale. La CNIL ne remet pas en cause ce fonctionnement, mais appelle néanmoins à la mise en place d’une solution décentralisée et locale, sans avoir à passer par un serveur lors des contrôles.

« La Commission estime que le contrôle de la validité des justificatifs pourrait être réalisé en local pour les opérations de contrôle du pass sanitaire. Il n’y a aucun obstacle à ce que le contrôle de la validité des preuves soit effectué en local, la seule donnée pouvant être échangée avec le serveur central étant la signature électronique de la preuve », recommande l’institution.

Ensuite, la CNIL est revenue sur les QR-Code et 2-DOC présents sur le pass sanitaire. Il est en effet avéré qu’il est possible d’accéder aux données médicales et personnelles de l’utilisateur via une simple application de lecture de QR-Code. En d’autres termes, il est vivement déconseillé de partager votre certificat de vaccination sur les réseaux sociaux, sauf si vous souhaitez laisser vos données en libre-service. Face à ce danger, la CNIL assure qu’il est impératif de rappeler au public « la nécessité de protéger leurs justificatifs et de ne pas les exposer en dehors des contrôles prévus par le pass sanitaire ».

Le problème ? La CNIL n’a qu’un rôle consultatif et à part rappeler comment « on doit faire », elle ne peut pas imposer de décision. Ça, c’est le rôle de Jupiter et de ses satellites…

Source : CNIL