France : selon le Conseil d'État, le pass sanitaire n'est pas manifestement illégal,

En réponse aux critiques adressées par la Quadrature du Net

Les autorités se félicitent d'observer que depuis le 1er juillet, le pass sanitaire européen soit utilisé au sein de l'UE. Et note que le « QR Code présent sur le pass sanitaire français pourra être lu partout en Europe, directement dans l’application TousAntiCovid ». De quoi faciliter les voyages et permettre de traverser les frontières avec une plus grande aisance. Si des vacanciers y voient un relâchement des contraintes liées à la situation sanitaire, une partie de la population reste sceptique et craint notamment pour la confidentialité des données qui seront stockées dans l'application. C’est le cas de la Quadrature du Net, qui a saisi en juin le Conseil d’État. Dans son ordonnance rendue mardi, le juge des référés de la haute juridiction a finalement balayé les critiques adressées par l’association et rejeté la demande de suspension du passe sanitaire.

Le pass sanitaire a deux fonctions. Une fois « activité », il doit permettre la reprise de diverses activités interrompues en raison de la crise sanitaire et la réouverture des lieux fermés impliquant de grands rassemblements de personnes (à partir de 1 000 personnes). Le pass sanitaire « frontières », mis en œuvre dans le cadre du futur certificat numérique covid de l’Union européenne (qui est entré en vigueur le 1er juillet). Il doit permettre de faciliter la libre circulation au sein de l’Union européenne.


Le document, papier ou électronique, porte de nombreuses informations personnelles. Outre le résultat d'un examen de dépistage virologique négatif, un justificatif de statut vaccinal ou un certificat de rétablissement à la suite d'une contamination par le covid-19, on y trouve de nombreuses données nominatives, accessibles via un code en deux dimensions. La Quadrature du Net a pointé de multiples contrariétés avec les textes, notamment la loi relative à la sortie de l’état d’urgence sanitaire qui demande que cette présentation soit « réalisée sous une forme ne permettant pas aux personnes habilitées ou aux services autorisés à en assurer le contrôle de connaître la nature du document ni les données qu'il contient ».

Le ministère de la Santé a défendu le passe sanitaire devant le Conseil d’État

Lors d’une audience le 22 juin, le Conseil d’État a examiné le référé déposé par la Quadrature du Net. Le ministère de la Santé a tenté de défendre la solidité juridique du passe sanitaire, dont le cadre de mise en œuvre est critiqué par l’association de défense des libertés. Une fois la loi adoptée en mai, il est revenu à un décret de prévoir les modalités pratiques d’application. Or, ce décret du 7 juin 2021 est apparu aux yeux de la Quadrature en pleine contrariété avec le texte législatif.

En effet, on y découvre que les justificatifs générés par le passe sanitaire comportent « les noms, prénoms, date de naissance de la personne concernée et un code permettant sa vérification ». Mieux, le pass contient également un code en deux dimensions derrière lequel on trouve, outre ces informations nominatives, de nombreuses données de santé. Un code facilement lisible par des tiers non autorisés, au point que la CNIL a appelé le gouvernement, dans son avis, « à mettre en place des mesures d’information des personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler ».

Pour l’avocat de la Quadrature, Me Alexis Fitzjean Ó Cobhthaigh, pas de doute : « la présence de ces informations sur l’état civil et sur la santé des personnes détentrices de pass sanitaire constitue une ingérence grave et manifestement illégale dans plusieurs libertés fondamentales parmi lesquelles le droit à la vie privée et le droit à la protection des données personnelles ».

Dans sa défense, s’agissant des données relatives à l’état civil des personnes, le ministère de la Santé a opposé en réponse une mesure de « bon sens ». Pour son directeur des affaires juridiques et le DSSI présents à l’audience, ces données d’identification sont « rigoureusement nécessaires ». Elles permettent de prouver que ces éléments se rapportent bien à la personne qui les présente lorsqu'elle désire accéder à des concerts ou d’autres manifestations.

Plutôt qu’un système local, le ministère a conclu que son choix d’un système décentralisé « remplit un motif d’intérêt public dans le domaine de la santé publique ». Quand bien même la Quadrature du Net avait mis sur la table une alternative, à savoir un traitement national générant un simple feu rouge ou vert, l’option choisie par le gouvernement ne viole pas le RGPD, selon le ministère.

Enfin, il a considéré que le choix de ne pas saisir la CNIL de l’analyse d’impact associée à ce traitement n'est pas illégal, au regard justement des faibles risques d’accès illégitimes à ces données.

Rejet des critiques contre le pass sanitaire

Son ordonnance rendue mardi, le Conseil d’État a rejeté tour à tour les critiques de l’association. Cette contrainte légale a surtout été posée pour empêcher que des tiers n'apprennent si la personne est vaccinée, rétablie ou non contaminée. Elle n’interdit pas « la présence dans le justificatif de données d’identité de la personne concernée ». Avant de considérer que le pass sanitaire n'est donc pas manifestement illégal, le juge des référés a rappelé, dans une analyse de proportionnalité, que cet instrument est aussi de nature à permettre de réduire la circulation du virus dans le pays.


Face à la critique de violation du principe de minimisation des données, cher au RGPD, la plus haute juridiction administrative a trouvé qu’il n’en est absolument rien. « Ces données d’identification sont nécessaires pour contrôler que le pass présenté est bien celui de la personne qui s’en prévaut ».

La Quadrature estimait par ailleurs que le code en deux dimensions ne pouvait, sans violer la loi, contenir des données de santé. Elle pointait aussi le risque de détournement de ces informations classées comme sensibles par le règlement général sur la protection des données. Le Conseil d’État a au contraire considéré que le résultat de l’examen de dépistage et les autres informations assimilées peuvent figurer dans le traitement.

Le même juge des référés a été par ailleurs convaincu des arguments portés par le ministère de la Santé : d’un, il y avait une contrainte de temps. De deux, une telle solution a été préférée à un système centralisé générant les pass et croisant les données de santé. De trois, le risque de fuite à l’échelle individuelle « semble peu élevé », puisqu’il suppose qu’un tiers non autorisé dispose d’un logiciel de lecture et surtout d'un accès à l’écran du smartphone.

Le juge des référés a également relevé que le pass sanitaire numérique est facultatif et repose sur la conservation et le contrôle par chacun, sur son propre téléphone mobile, de certaines de ses données de santé (module « Carnet » de l’application TousAntiCovid). Ce choix limite la collecte et le traitement des données de santé sur des bases nationales et réduit les risques de piratage ou d’erreur.

Pour rappel, Christian Quest (porte-parole d’OpenStreetMap France, entre autres) a noté en juin que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».

Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées, a-t-il dit.

Source : Le Conseil d’État

Et vous ?

Que pensez-vous des critiques de la Quadrature du Net ?
Quels commentaires faites-vous de la l’ordonnance du Conseil d’État qui balaie ces critiques ?

Voir aussi :

Application TousAntiCovid et Pass sanitaire : les informations personnelles et médicales sont disponibles en clair, prévient Christian Quest
Application TousAntiCovid et Pass sanitaire : des données conservées en clair, des doutes quant à la sécurité des données transmises, la CNIL relève les défaillances de l'application
Covid-19 : accord trouvé sur le pass sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
Que contient le code QR du passeport vert de l'UE ? Environ seize pays auraient déjà commencé à utiliser le pass sanitaire de l'UE