France : selon le Conseil d'État, le pass sanitaire n'est pas manifestement illégal,
En réponse aux critiques adressées par la Quadrature du Net
Le 2021-07-06 22:47:39, par Stan Adkens, Expert éminent sénior
Les autorités se félicitent d'observer que depuis le 1er juillet, le pass sanitaire européen soit utilisé au sein de l'UE. Et note que le « QR Code présent sur le pass sanitaire français pourra être lu partout en Europe, directement dans l’application TousAntiCovid ». De quoi faciliter les voyages et permettre de traverser les frontières avec une plus grande aisance. Si des vacanciers y voient un relâchement des contraintes liées à la situation sanitaire, une partie de la population reste sceptique et craint notamment pour la confidentialité des données qui seront stockées dans l'application. C’est le cas de la Quadrature du Net, qui a saisi en juin le Conseil d’État. Dans son ordonnance rendue mardi, le juge des référés de la haute juridiction a finalement balayé les critiques adressées par l’association et rejeté la demande de suspension du passe sanitaire.
Le pass sanitaire a deux fonctions. Une fois « activité », il doit permettre la reprise de diverses activités interrompues en raison de la crise sanitaire et la réouverture des lieux fermés impliquant de grands rassemblements de personnes (à partir de 1 000 personnes). Le pass sanitaire « frontières », mis en œuvre dans le cadre du futur certificat numérique covid de l’Union européenne (qui est entré en vigueur le 1er juillet). Il doit permettre de faciliter la libre circulation au sein de l’Union européenne.
Le document, papier ou électronique, porte de nombreuses informations personnelles. Outre le résultat d'un examen de dépistage virologique négatif, un justificatif de statut vaccinal ou un certificat de rétablissement à la suite d'une contamination par le covid-19, on y trouve de nombreuses données nominatives, accessibles via un code en deux dimensions. La Quadrature du Net a pointé de multiples contrariétés avec les textes, notamment la loi relative à la sortie de l’état d’urgence sanitaire qui demande que cette présentation soit « réalisée sous une forme ne permettant pas aux personnes habilitées ou aux services autorisés à en assurer le contrôle de connaître la nature du document ni les données qu'il contient ».
Le ministère de la Santé a défendu le passe sanitaire devant le Conseil d’État
Lors d’une audience le 22 juin, le Conseil d’État a examiné le référé déposé par la Quadrature du Net. Le ministère de la Santé a tenté de défendre la solidité juridique du passe sanitaire, dont le cadre de mise en œuvre est critiqué par l’association de défense des libertés. Une fois la loi adoptée en mai, il est revenu à un décret de prévoir les modalités pratiques d’application. Or, ce décret du 7 juin 2021 est apparu aux yeux de la Quadrature en pleine contrariété avec le texte législatif.
En effet, on y découvre que les justificatifs générés par le passe sanitaire comportent « les noms, prénoms, date de naissance de la personne concernée et un code permettant sa vérification ». Mieux, le pass contient également un code en deux dimensions derrière lequel on trouve, outre ces informations nominatives, de nombreuses données de santé. Un code facilement lisible par des tiers non autorisés, au point que la CNIL a appelé le gouvernement, dans son avis, « à mettre en place des mesures d’information des personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler ».
Pour l’avocat de la Quadrature, Me Alexis Fitzjean Ó Cobhthaigh, pas de doute : « la présence de ces informations sur l’état civil et sur la santé des personnes détentrices de pass sanitaire constitue une ingérence grave et manifestement illégale dans plusieurs libertés fondamentales parmi lesquelles le droit à la vie privée et le droit à la protection des données personnelles ».
Dans sa défense, s’agissant des données relatives à l’état civil des personnes, le ministère de la Santé a opposé en réponse une mesure de « bon sens ». Pour son directeur des affaires juridiques et le DSSI présents à l’audience, ces données d’identification sont « rigoureusement nécessaires ». Elles permettent de prouver que ces éléments se rapportent bien à la personne qui les présente lorsqu'elle désire accéder à des concerts ou d’autres manifestations.
Plutôt qu’un système local, le ministère a conclu que son choix d’un système décentralisé « remplit un motif d’intérêt public dans le domaine de la santé publique ». Quand bien même la Quadrature du Net avait mis sur la table une alternative, à savoir un traitement national générant un simple feu rouge ou vert, l’option choisie par le gouvernement ne viole pas le RGPD, selon le ministère.
Enfin, il a considéré que le choix de ne pas saisir la CNIL de l’analyse d’impact associée à ce traitement n'est pas illégal, au regard justement des faibles risques d’accès illégitimes à ces données.
Rejet des critiques contre le pass sanitaire
Son ordonnance rendue mardi, le Conseil d’État a rejeté tour à tour les critiques de l’association. Cette contrainte légale a surtout été posée pour empêcher que des tiers n'apprennent si la personne est vaccinée, rétablie ou non contaminée. Elle n’interdit pas « la présence dans le justificatif de données d’identité de la personne concernée ». Avant de considérer que le pass sanitaire n'est donc pas manifestement illégal, le juge des référés a rappelé, dans une analyse de proportionnalité, que cet instrument est aussi de nature à permettre de réduire la circulation du virus dans le pays.
Face à la critique de violation du principe de minimisation des données, cher au RGPD, la plus haute juridiction administrative a trouvé qu’il n’en est absolument rien. « Ces données d’identification sont nécessaires pour contrôler que le pass présenté est bien celui de la personne qui s’en prévaut ».
La Quadrature estimait par ailleurs que le code en deux dimensions ne pouvait, sans violer la loi, contenir des données de santé. Elle pointait aussi le risque de détournement de ces informations classées comme sensibles par le règlement général sur la protection des données. Le Conseil d’État a au contraire considéré que le résultat de l’examen de dépistage et les autres informations assimilées peuvent figurer dans le traitement.
Le même juge des référés a été par ailleurs convaincu des arguments portés par le ministère de la Santé : d’un, il y avait une contrainte de temps. De deux, une telle solution a été préférée à un système centralisé générant les pass et croisant les données de santé. De trois, le risque de fuite à l’échelle individuelle « semble peu élevé », puisqu’il suppose qu’un tiers non autorisé dispose d’un logiciel de lecture et surtout d'un accès à l’écran du smartphone.
Le juge des référés a également relevé que le pass sanitaire numérique est facultatif et repose sur la conservation et le contrôle par chacun, sur son propre téléphone mobile, de certaines de ses données de santé (module « Carnet » de l’application TousAntiCovid). Ce choix limite la collecte et le traitement des données de santé sur des bases nationales et réduit les risques de piratage ou d’erreur.
Pour rappel, Christian Quest (porte-parole d’OpenStreetMap France, entre autres) a noté en juin que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».
Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées, a-t-il dit.
Source : Le Conseil d’État
Et vous ?
Que pensez-vous des critiques de la Quadrature du Net ?
Quels commentaires faites-vous de la l’ordonnance du Conseil d’État qui balaie ces critiques ?
Voir aussi :
Application TousAntiCovid et Pass sanitaire : les informations personnelles et médicales sont disponibles en clair, prévient Christian Quest
Application TousAntiCovid et Pass sanitaire : des données conservées en clair, des doutes quant à la sécurité des données transmises, la CNIL relève les défaillances de l'application
Covid-19 : accord trouvé sur le pass sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
Que contient le code QR du passeport vert de l'UE ? Environ seize pays auraient déjà commencé à utiliser le pass sanitaire de l'UE
Le pass sanitaire a deux fonctions. Une fois « activité », il doit permettre la reprise de diverses activités interrompues en raison de la crise sanitaire et la réouverture des lieux fermés impliquant de grands rassemblements de personnes (à partir de 1 000 personnes). Le pass sanitaire « frontières », mis en œuvre dans le cadre du futur certificat numérique covid de l’Union européenne (qui est entré en vigueur le 1er juillet). Il doit permettre de faciliter la libre circulation au sein de l’Union européenne.
Le document, papier ou électronique, porte de nombreuses informations personnelles. Outre le résultat d'un examen de dépistage virologique négatif, un justificatif de statut vaccinal ou un certificat de rétablissement à la suite d'une contamination par le covid-19, on y trouve de nombreuses données nominatives, accessibles via un code en deux dimensions. La Quadrature du Net a pointé de multiples contrariétés avec les textes, notamment la loi relative à la sortie de l’état d’urgence sanitaire qui demande que cette présentation soit « réalisée sous une forme ne permettant pas aux personnes habilitées ou aux services autorisés à en assurer le contrôle de connaître la nature du document ni les données qu'il contient ».
Le ministère de la Santé a défendu le passe sanitaire devant le Conseil d’État
Lors d’une audience le 22 juin, le Conseil d’État a examiné le référé déposé par la Quadrature du Net. Le ministère de la Santé a tenté de défendre la solidité juridique du passe sanitaire, dont le cadre de mise en œuvre est critiqué par l’association de défense des libertés. Une fois la loi adoptée en mai, il est revenu à un décret de prévoir les modalités pratiques d’application. Or, ce décret du 7 juin 2021 est apparu aux yeux de la Quadrature en pleine contrariété avec le texte législatif.
En effet, on y découvre que les justificatifs générés par le passe sanitaire comportent « les noms, prénoms, date de naissance de la personne concernée et un code permettant sa vérification ». Mieux, le pass contient également un code en deux dimensions derrière lequel on trouve, outre ces informations nominatives, de nombreuses données de santé. Un code facilement lisible par des tiers non autorisés, au point que la CNIL a appelé le gouvernement, dans son avis, « à mettre en place des mesures d’information des personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler ».
Pour l’avocat de la Quadrature, Me Alexis Fitzjean Ó Cobhthaigh, pas de doute : « la présence de ces informations sur l’état civil et sur la santé des personnes détentrices de pass sanitaire constitue une ingérence grave et manifestement illégale dans plusieurs libertés fondamentales parmi lesquelles le droit à la vie privée et le droit à la protection des données personnelles ».
Dans sa défense, s’agissant des données relatives à l’état civil des personnes, le ministère de la Santé a opposé en réponse une mesure de « bon sens ». Pour son directeur des affaires juridiques et le DSSI présents à l’audience, ces données d’identification sont « rigoureusement nécessaires ». Elles permettent de prouver que ces éléments se rapportent bien à la personne qui les présente lorsqu'elle désire accéder à des concerts ou d’autres manifestations.
Plutôt qu’un système local, le ministère a conclu que son choix d’un système décentralisé « remplit un motif d’intérêt public dans le domaine de la santé publique ». Quand bien même la Quadrature du Net avait mis sur la table une alternative, à savoir un traitement national générant un simple feu rouge ou vert, l’option choisie par le gouvernement ne viole pas le RGPD, selon le ministère.
Enfin, il a considéré que le choix de ne pas saisir la CNIL de l’analyse d’impact associée à ce traitement n'est pas illégal, au regard justement des faibles risques d’accès illégitimes à ces données.
Rejet des critiques contre le pass sanitaire
Son ordonnance rendue mardi, le Conseil d’État a rejeté tour à tour les critiques de l’association. Cette contrainte légale a surtout été posée pour empêcher que des tiers n'apprennent si la personne est vaccinée, rétablie ou non contaminée. Elle n’interdit pas « la présence dans le justificatif de données d’identité de la personne concernée ». Avant de considérer que le pass sanitaire n'est donc pas manifestement illégal, le juge des référés a rappelé, dans une analyse de proportionnalité, que cet instrument est aussi de nature à permettre de réduire la circulation du virus dans le pays.
Face à la critique de violation du principe de minimisation des données, cher au RGPD, la plus haute juridiction administrative a trouvé qu’il n’en est absolument rien. « Ces données d’identification sont nécessaires pour contrôler que le pass présenté est bien celui de la personne qui s’en prévaut ».
La Quadrature estimait par ailleurs que le code en deux dimensions ne pouvait, sans violer la loi, contenir des données de santé. Elle pointait aussi le risque de détournement de ces informations classées comme sensibles par le règlement général sur la protection des données. Le Conseil d’État a au contraire considéré que le résultat de l’examen de dépistage et les autres informations assimilées peuvent figurer dans le traitement.
Le même juge des référés a été par ailleurs convaincu des arguments portés par le ministère de la Santé : d’un, il y avait une contrainte de temps. De deux, une telle solution a été préférée à un système centralisé générant les pass et croisant les données de santé. De trois, le risque de fuite à l’échelle individuelle « semble peu élevé », puisqu’il suppose qu’un tiers non autorisé dispose d’un logiciel de lecture et surtout d'un accès à l’écran du smartphone.
Le juge des référés a également relevé que le pass sanitaire numérique est facultatif et repose sur la conservation et le contrôle par chacun, sur son propre téléphone mobile, de certaines de ses données de santé (module « Carnet » de l’application TousAntiCovid). Ce choix limite la collecte et le traitement des données de santé sur des bases nationales et réduit les risques de piratage ou d’erreur.
Pour rappel, Christian Quest (porte-parole d’OpenStreetMap France, entre autres) a noté en juin que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».
Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées, a-t-il dit.
Source : Le Conseil d’État
Et vous ?
Voir aussi :
-
escartefigueModérateurJ'ai le sentiment pour avoir passé toute ma carrière dans le privé, que les grandes entreprises privées n'ont rien à envier à l'administration sur ce chapitre.
Plutôt que tomber dans le stéréotype public/privé, je crois que c'est surtout la taille des organisations qui provoque les lourdeurs, les lenteurs et la complexité.le 05/08/2021 à 10:42 -
Matthieu VergneExpert éminentSi tu lis mon analyse, ne serais-ce que sa conclusion pour ne prendre qu'une minute, tu te contrediras tout seul : il y a de très bonnes raisons de se faire vacciner. Juste que ces raisons ne sont pas absolues. Une réponse à géométrie variable est encore nécessaire, et je ne cautionne pas l'absolutisme prôné par nos dirigeants qui ne voient que tout noir (non vacciné =
) ou tout blanc (vacciné = ). Pour rappel, être vacciné ne fait que, a priori, diminuer la probabilité de contaminer ou de développer des formes graves du COVID. Pour autant, il y a des effets secondaires connus, et pour l'instant on n'a qu'un recul de moins d'un an en phase de pharmacovigilance (phase finale où on applique à la population tout en vérifiant les observations de laboratoire).
C'est précisément le discours absolutiste que je condamne. Certes les vaccins COVID ont montré des avantages, mais aussi des inconvénients. Et dans tous les cas, on ne peut pas se prononcer sur les effets à long terme de par le nouveau type de vaccin dont il est question. Préserver mes libertés à condition que je fasse confiance à des vaccins prônés par un gouvernement qui a démontré son incompétence en terme de gestion de crise et vendu par des grosses boîtes qui se protègent de toute responsabilité quant aux effets secondaires... désolé mais si c'est si fantastique je ne vois pas pourquoi ces grosses boites, qui ont pourtant les reins solides, ne prennent pas ces responsabilités. Dans un tel contexte de doute, je suis en prônant le doute, et donc pas de vaccination pour ceux qui n'ont pas besoin de prendre des risques.
Sur le vaccin contre la grippe ? Moi non plus, et ça tombe bien je ne critique pas le vaccin contre la grippe. Juste que la COVID est en de nombreux points comparable à la grippe, mais qu'on la traite presque comme si c'était le tétanos.
Et encore une fois, je n'ai rien contre les vaccins de manière général. Quand je suis allé au Japon je me suis fait vacciner sans y réfléchir à deux fois : il s'agit de vaccins bien connus qui ont fait leurs preuves, je n'ai pas plus de raison d'en douter que de ce que je mange tous les midi. Il s'agit là de parler des vaccins propres à la COVID, qui sont d'un tout autre genre. Les données montrant une quasi absence d'effets à long terme des vaccins déjà connus ne peut pas être utilisé comme argument pour motiver un nouveau type de vaccin.
Merci donc de ne pas appliquer un filtre aussi binaire "pro-vaccin vs anti-vaccin". Le sujet n'est pas aussi trivial et doit être nuancé.le 26/07/2021 à 21:01 -
Cpt AndersonMembre émériteJe pense qu'il n'y a aucune surprise par rapport à l'adoption de cette loi, dans le sens ou les parlementaires et les sénateurs sont totalement déconnectés de la réalité, corrompus et ne sont préoccupés que par leur réélection. Ces gens qui doivent être les représentants du peuple, nous pissent dessus, encore une fois.
Et que dire de la méthode ? qu'on fasse voter des lois pareils a 6h du mat' à la va-vite...viens me parler de démocratie après !
La prochaine étape, c'est la validation par le conseil constitutionnel et là aussi, aucun souci, ces types qui sont censés nous protéger des politiques n' y verront aucun problème.
En résumé, notre système est pire que la dictature du pire pays du monde car il te fait croire à la liberté et à la démocratie alors que c'est pas du tout le cas. C'est la pire forme de totalitarisme.le 27/07/2021 à 9:51 -
DannyKInactifTellement vrai ... pendant que je garais ma soucoupe volante hier, les illuminatis me l'ont confirmésle 06/07/2022 à 23:46
-
jacjacMembre avertiC'est dingue comment l'administration Française peut être rapide quand elle veut absolument faire passer quelque chose
On pourrait en profiter pour faire une refonte de notre système judiciaire dans la foulée, ça serait efficace vu comment ils sont bouillantsnos dictateursnos élus démocrates.le 27/07/2021 à 10:33 -
FagusMembre expertCe n'est que partiellement vrai.
Je suis le 1er à dénoncer cet autre problème, mais on peut faire une comparaison.
Quand il neige beaucoup dans un pays tempéré ou chaud, c'est la catastrophe : plus rien ne marche. La même chose au Canada est juste la normale saisonnière et ça se passe très bien.
En temps normaux, la réanimation est à flux tendu. Parfois il manque des places en effet et c'est un peu juste. Parfois elle est sous utilisée.
Si on a une croissance exponentielle des patients ayant besoin de réanimation à cause du covid, que fait-on ?
Si on en a 2x plus, 4x plus. On arrête toute l'activité chirurgicale (dont les patients finissent parfois en réanimation) et on demande à tous les anesthésistes de prendre un costume de réanimateur et on surcharge de travail tout le monde notamment les infirmières, infirmiers spécialisés et on met dans les soins intensifs de neurologie, cardiologie, etc, des gens qui normalement seraient en réa (et donc auront une prise en charge un peu juste)
Si on en a 5x plus, on fait du tri +++
Si on en a 10x plus, le système explose et les gens meurent dans les couloirs.
On ne peut même pas demander à d'autres médecins de suppléer aux réanimateurs car suite au tri, les patients qui restent en réanimation sont d'une gravité exceptionnelle par rapport à la normale et nécessitent donc des spécialistes;
Lors de la 1ère vague, le système n'a pas explosé à quelques jours près, car le confinement général a permis d'arrêter l'épidémie et de pouvoir transférer des effectifs et des patients entre les régions.
Tous ça pour dire, qu'on ne peut pas dimensionner a priori face à une épidémie exceptionnelle. On pourrait multiplier par 3 la taille des réanimations, à grand coût, , que face à une épidémie, ça ne tiendrait pas non plus sans mesures de santé publique.
Historiquement, seules les mesures de santé publiques peuvent affecter la santé de populations entières. Les médecins soignent des gens ; pour un échantillon énorme de la taille d'une population, il faut de la médecine préventive (ici des vaccins.)
Bien cordialement.le 27/07/2021 à 14:26 -
grunkModérateurLe pfizer à ARNm est apparu dans les année 90 avec premiers essais clinique en 2002-2003. Ce qui manquait principalement au développement de ces vaccins c'était la moulagua, qui tout d'un coup, c'est mise à tomber du ciel.
L'ARNm qu'on t'injectes à complètement disparu en quelques jours (demi vie de l'ordre de qlq heures) , il sert juste à entrainer tes globules blanc à reconnaitre la protéine du virus ... Tu comprendras donc bien facilement que les effets à long terme sur ce genre de vaccins c'est plus la protection contre le virus que de te transformer en robots asservi au parti politique de ton choix.
Concernant la phase IV je t'invite à consulter les documents du ministère de la santé israelien qui fait le bilan sur 650K injection. (spoiler alerte : 0.1% des répondants ont ressentie des effets secondaire de type inconfort , fiève, faiblesse , etc ...).
--
Ce qui me dérange avec le pass sanitaire c'est son calendrier d'application. J'ai pris rdv pour me vacciner le premier jour ou j'avais le droit de le faire , on m'a donner mes 2 dates de vaccinations. je viens seulement aujourd'hui de valider mon pass. Ce qui veux dire que c'est quasi mission impossible pour tout le monde d'avoir un pass valide même si il le souhaite et ca c'est pas normal.le 27/07/2021 à 16:59 -
FagusMembre expertle code est secret ? Le dépôt ne serait pas là par hasard ? https://gitlab.inria.fr/stopcovid19/accueil
Il faut se souvenir que la plupart des pays ont délégué à Google et Apple le soin de créer ce service. Pour une fois que la France décide de ne pas confier la santé aux GAFAM, ET de mettre le code sur gitlab, je trouve ça cher payé de leur faire un procès d'intentions.
Le principal échec de cette application est que les gens ne l'ont pas installée, plus à mon humble avis pour des questions d'ordre sociologiques qu'informatiques. Il faut quand même se rappeler qu'à part ici, au moins 99% des gens ne s'est jamais posé la question d’auditer le code source de tous anti covid...le 08/07/2022 à 13:44 -
setniMembre avertiUne usine à gaz juridique plutôt qu'une licence simple, libre et transparentele 04/08/2021 à 18:51
-
DevTroglodyteMembre extrêmement actifIl n'y a jamais eu besoin d'installer l'appli - voire même d'un téléphone - pour utiliser le passe sanitaire... Il y avait juste besoin d'un QR code.le 07/07/2022 à 8:54