Après quelques chamboulements parlementaires, le Pass sanitaire a finalement été adopté par l’Assemblée nationale. Et c’est dans l’urgence absolue que la Cnil a dû formuler un avis sur la question. Si le régulateur n’est pas fondamentalement hostile au dispositif, il appelle néanmoins à la mise en place de nombreux garde-fous pour protéger les données de santé et éviter les discriminations.
Surprise à l'Assemblée le 11 mai dernier ! Les députés rejettent l'article 1 du projet de loi sur le déconfinement. Or cette disposition du texte concerne le Pass sanitaire, objet d'âpres débats parmi les élus de l'Assemblée. Ici, ce sont les élus Modem qui lâchent la majorité présidentielle : par 108 voix contre 103, le premier article est rejeté. Mais dans la nuit, nouveau retournement de situation : le gouvernement modifie le texte, le Modem rentre dans le rang. 208 voix pour, 85 contre, le Pass sanitaire est adopté.
Mais les aventures du Pass sanitaire ne sont pas finies, loin de là ! Car c'est au tour de la Cnil de se prononcer sur le projet. Et le gendarme des données personnelles n'est pas franchement enchanté d'être consulté "en extrême urgence". Il regrette "d’avoir à se prononcer dans un délai si bref et postérieurement aux débats intervenus, en première lecture, à l’Assemblée nationale, le principe du passe sanitaire ayant pourtant été évoqué de longue date". Toujours est-il que la Cnil devait se prononcer : elle a rendu son avis au lendemain du vote à l'Assemblée nationale.
Des garanties nécessaires
Un avis prudent, puisque le régulateur ne fait pas preuve d'un enthousiasme débordant quant à ce projet. A ses yeux, le dispositif doit être strictement limité dans le temps, à la durée nécessaire à la réponse à la situation sanitaire. Et si la Cnil ne peut se prononcer sur l'intérêt scientifique du Pass sanitaire, elle demande néanmoins que "l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière fréquente, à intervalle régulier et à partir de données objectives", de sorte à déterminer si oui ou non ce dispositif est encore utile.
En outre, le gouvernement a précisé que le Pass sanitaire serait limité aux événements à risque et en a exclu les activités quotidiennes (commerces, restaurants, etc.) et celles ayant trait à une liberté fondamentale (culte, manifestation, etc.). Ce qui était une condition sinequanone à l'utilisation de ce dispositif, selon la Cnil. Pourtant, elle déplore les imprécisions du texte, sur les lieux concernés, le seuil de fréquentation ou encore les restrictions d'usage du Pass sanitaire.
Risques de divulgation et de discrimination
En effet, la Cnil entend que soit explicitement interdit aux “responsables des lieux qui ne sont pas visés par le dispositif” de conditionner leur accès à la présentation dudit Pass. De même, elle appelle que soient précisées diverses modalités, des finalités aux personnes autorisées, ainsi que les garanties permettant d’éviter toute atteinte au respect de la vie privée et à la protection des données personnelles. Sur ce point, afin d’éviter la divulgation de données de santé, le gendarme des données personnelles demande au gouvernement de mettre en place un dispositif limitant l’accès à ces données. Soit, plutôt que de permettre la consultation par l’organisateur d’un festival des certificats de tests ou de vaccination, simplement fournir un code couleur indiquant si oui ou non la personne est à risque.
Se pose enfin la question du risque de discrimination afférant au dispositif, qu’il s’agisse de l’état de santé ou du type de preuve. Un certificat de rétablissement aura-t-il la même valeur qu’un certificat de vaccination au moment d’entrer dans une salle de concert ? C’est bien là tout l’enjeu du texte, selon la Cnil. Le régulateur soutient qu’il faut “interdire toute discrimination entre les différents types de preuves”, d’où probablement ce concept de code couleur unique. De même, il “invite le Gouvernement à réfléchir au format et au contenu des preuves papier certifiées de sorte à ce qu’elles présentent les mêmes garanties que leur version numérique en matière d’accessibilité et de protection des données personnelles”. Car tout ne doit pas reposer exclusivement sur l’application TousAntiCovid et ça, la Cnil n’a pas fini de le marteler.