Accueil Réglementation RGPD : Pass sanitaire, les recommandations de la CNIL

RGPD : Pass sanitaire, les recommandations de la CNIL

Le Pass Sanitaire et son QR code posent on le sait des problèmes de mise en place notamment pour les commerçants, restaurateurs, lieux de spectacle. La Cnil s’en mêle, ajoutant un casse-tête – juridique – supplémentaire au gouvernement.

La Commission nationale de l’informatique et des libertés (Cnil) a rendu en effet  le 9 août un avis sur  le dispositif promulgué le 5 aout. Alors qu’il a été validé quasi intégralement par le Conseil constitutionnel, la Cnil s’inquiète à propos des données personnelles – nom, prénom et date de naissance, informations sur l’état de vaccination ou d’immunité… – recueillies par TousAntiCovid Verif, l’application fournie par le gouvernement aux professionnels (restaurateurs, commerçants, gérants d’établissements sportifs ou culturels…).

Ci-dessous, des extraits de l’avis de la CNIL :

Compte tenu de la sensibilité du dispositif, la CNIL invite le Gouvernement à revoir le projet de décret sur plusieurs aspects.

 La nécessité de contrôler les dispositifs de lecture alternatifs à TousAntiCovid Verif

La CNIL souligne que le Gouvernement devra vérifier que les dispositifs de lecture alternatifs à l’application TousAntiCovid Verif respectent les conditions fixées par arrêté du ministre chargé de la santé, avant de pouvoir être utilisés par les acteurs devant contrôler le passe sanitaire.

Elle estime que le Gouvernement devrait notamment contrôler le respect de l’ensemble des conditions posées par les textes, la conformité au RGPD (notamment l’absence de transfert illicite de données en dehors de l’Union européenne) ainsi que la sécurité du dispositif. Il devrait aussi prévoir des garanties complémentaires permettant d’assurer la transparence du dispositif (par exemple, la publication d’une liste des applications de lecture conformes et du code source de ces dispositifs).

 L’accès élargi aux données devrait être limité aux déplacements à l’étranger

Le projet de décret prévoit un accès élargi aux informations relatives à l’examen de dépistage ou au vaccin réalisé pour certains contrôles du passe sanitaire. Si cela semble justifié par le fait que les règles imposées par les pays étrangers sont variables et peuvent fréquemment évoluer, la CNIL considère que cela devrait être limité à certains déplacements à l’étranger. (…)

 La conservation temporaire des données devrait se limiter au résultat de la lecture du passe

La possibilité de vérification du passe sanitaire en ligne peut, dans certains cas, justifier la conservation d’informations résultant d’un tel contrôle jusqu’à ce que la personne concernée puisse effectuer son déplacement ou accéder au lieu où elle souhaite se rendre. La CNIL invite toutefois le Gouvernement à limiter la conservation temporaire au seul résultat de la vérification opérée conformément au principe de minimisation des données.

 Le passe sanitaire en cas de vaccination en dehors de l’Union européenne

Afin de faciliter le séjour en France des Français de l’étranger et des touristes étrangers, le Gouvernement a mis en place un portail dédié, connecté au « convertisseur de certificats », permettant la génération d’un passe sanitaire valable en France. Ce passe est généré par des agents habilités sur la base d’informations transmises par les demandeurs.

La CNIL rappelle la nécessité de sécuriser l’envoi des informations nécessaires à la génération du certificat au format européen (par exemple via la mise en place d’un portail web sécurisé) et de s’assurer de la suppression des informations une fois le certificat transmis à leurs détenteurs.

Enfin, elle relève que si le « convertisseur de certificats » faisait intervenir un prestataire étatsunien, le Gouvernement a pris des mesures satisfaisantes afin de garantir la conformité au RGPD des transferts de données opérés en prévoyant de changer de prestataire, dans les jours à venir, au profit d’une société soumise à des juridictions relevant exclusivement de l’Union européenne

 Garantir la conformité au RGPD des transferts de données opérés en prévoyant de changer de prestataire, dans les jours à venir, au profit d’une société soumise à des juridictions relevant exclusivement de l’Union européenne