Contesté dans son principe par une partie de la population depuis sa mise en œuvre le 9 août, le passe sanitaire soulève la question de la gestion des données de santé. Conseils pour assurer leur confidentialité.
Lorsque votre QR Code est scanné à l’entrée d’un restaurant, d’un centre commercial ou d’une salle de sport, seules des données bien précises s’affichent sur l’écran de la personne chargée du contrôle. Il s’agit de votre nom, de votre prénom, de votre date de naissance et du type de certification (vaccin une/deux doses ou test négatif).
Ces données sont considérées comme sensibles par le règlement européen de protection des données personnelles (RGPD). Leurs possession et traitements sont donc strictement encadrés, notamment par l’article 6.1.e du RGPD. C’est pourquoi, les personnes chargées de contrôler le passe sanitaire doivent normalement le faire via l’application TousAntiCovid Verif, développée pour cette situation particulière. L’avantage ? D’après le décret n°2021-1060 du 7 août 2021, les données récoltées ne peuvent pas être stockées ni dans l’application ni par le serveur central. Le code source de l’application est aussi en libre accès et les serveurs sont situés dans l’Union européenne.
Ni collectées ni stockées sur TousAntiCovid Verif
Néanmoins, des experts en cybersécurité n’ont pas hésité à exposer quelques critiques en ce qui concerne le développeur – le gouvernement – et l’hébergeur de l’application, la société américaine Akamai. Le fait que l’hébergeur soit américain représente clairement un risque de transmission de ces données de santé hors de l’Union européenne à des fins commerciales ou de recherches médicales privées.
Cependant, dans un document relatif à la confidentialité des données de cette application, l’Imprimerie nationale – institution de l’État chargée de la confection des documents officiels créateur de TousAntiCovid Verif – assure qu’ « aucune donnée personnelle concernant l’utilisateur n’est collectée. Seules des données techniques anonymes sont agrégées et consolidées à des fins statistiques ». « Il n’y a aucun enregistrement ni aucun stockage de données dans l’application. Une fois le résultat du contrôle généré, toutes les informations sont supprimées et le résultat du contrôle affiché sur l’écran de l’utilisateur disparaît (selon la configuration de la fonction veille de l’équipement de l’utilisateur et au maximum au bout de 30 secondes) », ajoute l’organisme étatique. De quoi a priori rassurer un minimum sur le risque d’utilisation des données de santé par des entreprises privées.
Limiter le risque de piratage
Toutefois, le risque de piratage n’est pas à négliger. En effet, n’importe qui peut télécharger l’application TousAntiCovid Verif disponible gratuitement sur l’Apple Store et le Google Play Store. Il n’est pas utile de créer de compte ou de justifier son identité. Elle peut donc être facilement utilisée par des personnes malveillantes ou mal intentionnées sur leur téléphone portable personnel et non le lecteur fournit par l’entreprise légalement obligée de contrôler les passes sanitaires.
Même si vous n’avez pas totalement la main sur la gestion de vos données de santé, il existe plusieurs moyens de limiter le risque d’utilisation de ces données personnelles. D’abord, évitez de partager votre QR Code sur les réseaux sociaux et de montrer votre passe sanitaire dans les lieux où il n’est pas obligatoire.
Sachez aussi que sur l’application TousAntiCovid une option peut être activée afin d’afficher uniquement le QR Code sur un fond blanc sans aucune information supplémentaire. Si vous n’avez pas téléchargé l’application – ce qui rappelons le n’a rien d’obligatoire –, il est aussi possible en format papier de ne présenter que la première colonne de son certificat de vaccination où se situe le QR Code.
Articles sur le même thème
Le consommateur, acteur principal de la régulation des influenceurs
Entre plaintes en justice et sanctions de la DGCCRF, les consommateurs sont au cœur de la régulation des activités des influenceurs.
Comment savoir à qui ses données personnelles sont communiquées
Sans l’identité des destinataires de ses données personnelles, la personne concernée ne pourra pas exercer son droit à l’oubli reconnu par le RGPD.
Modération des réseaux sociaux, l’utilisateur au cœur du DSA
L’Union européenne continue d’attendre que Twitter se conforme à la législation européenne sur la modération des contenus. La clé pourrait être l’utilisateur.
Vidéosurveillance intelligente, le Conseil d’État autorise une expérimentation
Saisi pour avis sur le projet de loi relatif à l’organisation des JO 2024, le Conseil d’État donne son feu vert à une surveillance vidéo intelligente expérimentale.
Influenceurs, une nécessaire réglementation
Le gouvernement et les parlementaires s’intéressent de près aux activités des influenceurs, demandant une réglementation. Pourtant, des outils juridiques existent déjà pour les encadrer.
La Commission européenne dessine l’avenir des drones
La Commission européenne planche sur une réglementation autorisant l’usage des drones comme moyens transports de personnes.
Coupe du monde 2022, souriez vous êtes filmé et reconnu
Le Qatar se félicite de l’usage de la reconnaissance faciale comme outil de surveillance de masse durant la Coupe du Monde de football. L’Union européenne, elle, tente de maintenir l’équilibre entre surveillance des stades et protection des droits fondamentaux.
Comment effacer ses données des annuaires
Vous pouvez demander l’effacement de vos coordonnées des annuaires publics à tout moment, même si vous aviez accepter auparavant de les donner.
Crypto-actifs, vers une meilleure protection de l’investisseur
Avec le règlement MiCa, adopté le 5 octobre, l’Union européenne entend réguler le marché des crypto-actifs et protéger un peu plus les investisseurs particuliers.
Comment protéger sa base de données
En mettant fin au contentieux opposant Le Bon Coin à Entreparticuliers.com, la Cour de cassation explique aux producteurs de base de données comment se protéger.
Quels droits d’auteur pour les œuvres créées par une intelligence artificielle ?
L’interdiction de contenus générés par une intelligence artificielle sur la plateforme Getty Images relance le débat des droits d’auteur de ces œuvres pas comme les autres.
Assurance cyber, des clauses trop imprécises
La direction générale du Trésor, dans un rapport récent, invite vivement les assureurs à améliorer la rédaction des contrats d’assurance cyber pour une meilleure information des entrepreneurs.