Après avoir émis un avis positif sur le pass sanitaire pour les rassemblements de plus de 1000 personnes, la Cnil demande au gouvernement de préciser les conditions de sa mise en œuvre. Elle demande aussi de se tourner vers une architecture décentralisée pour la vérification des preuves d’absence de contamination, de vaccination ou de rétablissement.
Pour rappel, du 2 juin au 30 septembre prochain, le Premier Ministre peut décider de subordonner l’accès à certains lieux ou départements à la présentation d’un pass sanitaire électronique. Les gens peuvent présenter : un test négatif, une preuve de vaccination ou un certificat de rétablissement.
Ce pass sanitaire a été établi pour les rassemblements de plus de 1000 personnes dans des lieux tels que : des chapiteaux, des salles de théâtre, des salles de spectacles sportifs ou culturels, des salles de conférence, des salons et foires d’exposition, des stades, des grands casinos, des croisières et bateaux à passagers avec hébergements… et « les autres événements lorsqu’ils sont spécifiquement localisés ».
Pour la Cnil, cette dernière formulation est trop vague, car « elle ne permet pas d’apprécier les types d’événements concernés et notamment ceux qui en sont exclus ».
La Cnil demande également des précisions sur la façon dont le nombre de personnes sera comptabilisé et quelle sera la conduite à adopter une fois le nombre de personnes atteint dans un lieu, « sans avoir pu raisonnablement l’anticiper et pour lequel « il sera difficile au dernier moment de mettre en place le dispositif ».
En ce qui concerne la sécurité des données contenues dans le pass sanitaire, la Cnil regrette que « ni de dossier technique ni d’AIPD [analyse d’impact relative à la protection des données, ndlr] » ne lui ait été transmis par le gouvernement.
Elle rappelle donc que « cette analyse devra être finalisée avant la mise en œuvre effective du dispositif ».
De plus, la Cnil déplore l’absence de publication du code source de l’application « TousAntiCovid Vérif », car c’est cette application mobile qui permet la vérification de justificatifs de tests négatifs, de vaccins ou de preuve de guérison, sous forme d’un code barre 2D (2D-Doc ou QR-Code).
La Cnil rappelle aussi qu’aucune donnée ne devra être conservée par le serveur central. C’est prévu, d’après le cabinet de Cédric O, secrétaire d’Etat au Numérique, et la Direction générale de la santé (DGS).