Mis en œuvre le 9 août, le passe sanitaire soulève la question de la gestion des données de santé. Conseils pour assurer leur confidentialité.
Lorsque votre QR Code est scanné à l’entrée d’un restaurant, d’un centre commercial ou d’une salle de sport, seules des données bien précises s’affichent sur l’écran de la personne chargée du contrôle.
Il s’agit de votre nom, de votre prénom, de votre date de naissance et du type de certification (vaccin une/deux doses ou test négatif).
Ces données sont considérées comme sensibles par le règlement européen de protection des données personnelles (RGPD). Leurs possession et traitements sont donc strictement encadrés, notamment par l’article 6.1.e du RGPD.
C’est pourquoi, les personnes chargées de contrôler le passe sanitaire doivent normalement le faire via l’application TousAntiCovid Verif, développée pour cette situation particulière.
L’avantage ? D’après le décret n°2021-1060 du 7 août 2021, les données récoltées ne peuvent pas être stockées ni dans l’application ni par le serveur central. Le code source de l’application est aussi en libre accès et les serveurs sont situés dans l’Union européenne.
Ni collectées ni stockées sur TousAntiCovid Verif
Néanmoins, des experts en cybersécurité n’ont pas hésité à exposer quelques critiques en ce qui concerne le développeur – le gouvernement – et l’hébergeur de l’application, la société américaine Akamai.
Le fait que l’hébergeur soit américain représente clairement un risque de transmission de ces données de santé hors de l’Union européenne à des fins commerciales ou de recherches médicales privées.
Cependant, dans un document relatif à la confidentialité des données de cette application, l’Imprimerie nationale – institution de l’État chargée de la confection des documents officiels créateur de TousAntiCovid Verif – assure qu’ « aucune donnée personnelle concernant l’utilisateur n’est collectée. Seules des données techniques anonymes sont agrégées et consolidées à des fins statistiques ».
« Il n’y a aucun enregistrement ni aucun stockage de données dans l’application. Une fois le résultat du contrôle généré, toutes les informations sont supprimées et le résultat du contrôle affiché sur l’écran de l’utilisateur disparaît (selon la configuration de la fonction veille de l’équipement de l’utilisateur et au maximum au bout de 30 secondes) », ajoute l’organisme étatique.
De quoi a priori rassurer un minimum sur le risque d’utilisation des données de santé par des entreprises privées.
Limiter le risque de piratage
Toutefois, le risque de piratage n’est pas à négliger. En effet, n’importe qui peut télécharger l’application TousAntiCovid Verif disponible gratuitement sur l’Apple Store et le Google Play Store. Il n’est pas utile de créer de compte ou de justifier son identité.
Elle peut donc être facilement utilisée par des personnes malveillantes ou mal intentionnées sur leur téléphone portable personnel et non le lecteur fournit par l’entreprise légalement obligée de contrôler les passes sanitaires.
Même si vous n’avez pas totalement la main sur la gestion de vos données de santé, il existe plusieurs moyens de limiter le risque d’utilisation de ces données personnelles.
D’abord, évitez de partager votre QR Code sur les réseaux sociaux et de montrer votre passe sanitaire dans les lieux où il n’est pas obligatoire.
Sachez aussi que sur l’application TousAntiCovid une option peut être activée afin d’afficher uniquement le QR Code sur un fond blanc sans aucune information supplémentaire.
Si vous n’avez pas téléchargé l’application – ce qui rappelons le n’a rien d’obligatoire –, il est aussi possible en format papier de ne présenter que la première colonne de son certificat de vaccination où se situe le QR Code.
