France: Covid-19, Pass Sanitaire : La Cnil Rend Son Avis Sur Les Dispositifs

Depuis le 21 juillet, le pass sanitaire est exigé dans les endroits où le brassage du public est le plus à risque sur le plan sanitaire, par exemple dans les lieux culturels (festivals, musées, théâtres, etc.) ou encore les discothèques. Au mois d'août, l'obligation de présentation du pass sanitaire a été étendue aux lieux de restauration, transports de longue distance, hôpitaux et centres commerciaux de plus de 20 000 mètres carrés. Dans la continuité de ses  avis du 12 mai et  7 juin 2021, la CNIL (Commission nationale de l'informatique et des libertés) a rendu le 6 août dernier un  avis sur les évolutions apportées par la loi relative à la gestion de la crise sanitaire.

Ce nouvel avis intervient un mois après la  décision rendue par le Conseil d'Etat dans laquelle le juge des référés a affirmé que le dispositif actuel du pass sanitaire est conforme avec le RGPD (Règlement général de la protection des données) sur la question des données à caractère personnel.

Que prévoit la loi relative à la gestion de la crise sanitaire ?

Dans son communiqué du 9 août 2021, la CNIL rappelle les dispositions majeures de la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire, validée en grande partie par le Conseil constitutionnel :

• Une extension du pass sanitaire ;
• Un allongement de la durée de conservation des données du fichier contenant la centralisation des tests de dépistage (SI-DEP), pour permettre la production des certificats de rétablissement ;
• Un accès par les agences régionales de santé (ARS) aux données relatives à la vaccination des professionnels placés sous leur contrôle, dans le cadre de l'obligation vaccinale de certaines professions (médecins, infirmiers diplômés d'État, etc.).

Le Gouvernement avait saisi la CNIL de deux projets de décret qui modifient le pass sanitaire, le fichier SI-DEP et le système d'information pour la gestion et le suivi des vaccinations (Vaccin Covid).

La nécessité de limiter ces mesures exceptionnelles

Dans son avis, la CNIL rappelle que ces mesures exceptionnelles sont justifiées au vu du contexte sanitaire actuel et de la nouvelle vague de contaminations, mais « uniquement si elles restent limitées dans le temps et si elles sont nécessaires pour lutter contre le rebond épidémique et éviter un nouveau confinement ».

L'autorité ajoute qu'il est essentiel d'étudier et de documenter régulièrement  l'impact des différents dispositifs numériques sur la stratégie sanitaire globale.

De nouvelles garanties pour le contrôle du pass sanitaire

Rappel : qu'est-ce que le pass sanitaire ?  

Le Gouvernement précise que le pass sanitaire consiste en la présentation d'une preuve sanitaire, parmi les trois suivantes :

• La vaccination, à la condition que les personnes disposent d'un schéma vaccinal complet et du délai nécessaire après l'injection finale ;
• Le certificat de test négatif de moins de 72 heures  ;
• Le résultat d'un test RT-PCR ou antigénique positif attestant du rétablissement de la Covid-19, datant d'au moins 11 jours et de moins de 6 mois.

Cette preuve peut être numérique (via l'application TousAntiCovid) ou papier, et prend la forme d'un QR code. Les professionnels scannent ce dernier et contrôlent sa validité à l'aide d'une application fournie par le Gouvernement, TousAntiCovid Verif. De plus, cet outil permet de connaître l'identité de la personne contrôlée (nom, prénom et date de naissance), sans divulguer davantage d'informations de santé sur l'écran.

La nécessité de contrôler les dispositifs de lecture alternatifs à TousAntiCovid Verif

Alors que le pass sanitaire devient de plus en plus présent dans le quotidien des français, son contrôle pourra désormais être effectué en ligne à l'aide de nouveaux dispositifs alternatifs à l'application TousAntiCovid Verif.

Or, dans son avis, la CNIL précise que le contrôleur pourra accéder à d'autres informations, telles que celles relatives à l'examen de dépistage ou au vaccin réalisé, et certaines données pourront être conservées temporairement par ces dispositifs.

C'est pourquoi la CNIL soumet ces dispositifs à plusieurs garanties et invite le Gouvernement à  :

• Contrôler le respect de l'ensemble des conditions posées par les textes, la conformité au RGPD (notamment l'absence de transfert illicite de données en dehors de l'Union européenne) ainsi que la sécurité du dispositif ;
• Prévoir des garanties complémentaires permettant d'assurer la transparence du dispositif  (par exemple, la publication d'une liste des applications de lecture conformes et du code source de ces dispositifs) ;
• Limiter l'accès élargi aux données  aux déplacements à l'étranger ;
• Limiter la conservation temporaire au seul résultat de la vérification opérée conformément au principe de minimisation des données.

La nécessité de sécuriser la génération du certificat de vaccination au format européen

A propos de ce certificat, la CNIL rappelle dans son avis que l'envoi des informations pour le générer doit être sécurisé et que ces dernières doivent être supprimées dès sa transmission.

L'admission de l'allongement de la durée de conservation des données de SI-DEP

La CNIL ne conteste pas que les données des personnes testées positives à la Covid-19 soient désormais conservées jusqu'à 6 mois (et plus 3 mois) après leur collecte pour s'adapter à la durée de validité des certificats de rétablissement.

Des recommandations pour le contrôle de l'obligation vaccinale des professionnels par des ARS

Dans son avis, la CNIL constate qu'il s'agit ici d'une dérogation au secret médical  au bénéfice des ARS et émet ainsi les recommandations suivantes :

• Respecter la compétence territoriale et matérielle des ARS;
• Gérer les habilitations d'accès  des agents des ARS ;
• Mentionner dans le décret une liste précise des catégories de données qui seront transmises  aux ARS ;
• Modifier les finalités du FNPS¹ avant que ce fichier puisse être réutilisé  pour la constitution de listes de professionnels non vaccinés (sous la responsabilité de la CNAM²) ;
• Informer les personnes concernées par le FNPS(tous les professionnels de santé salariés ou libéraux) ;
• Donner la  possibilité pour ces personnes d'exercer les droits relatifs à la protection de leurs données ; 
• Limiter les  durées de conservation de ces listes :
• Conserver ces listes seulement jusqu'à la fin de l'obligation vaccinale ;
• L'effacement de ces listes par les organismes d'assurance maladie dès leur accusé de réception par les ARS ;
• Une transmission régulière et une conservation par les ARS uniquement de la liste la plus récente.

Footnotes

^{1 Fichier national des professionnels de santé.}

^{2 Caisse nationale d'assurance maladie.}

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.