Posted by Eléonore Scaramozzino, Avocat
Service passerelle et Loi n°2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire : Pass Sanitaire
EU Digital COVID Certificate :
1er juin 2021 : plateforme technique européenne (interconnexion avec les systèmes nationaux) fonctionne. L’Union européenne vient de lancer sa plateforme technique permettant de vérifier les signatures numériques contenues dans les QR codes de tous les certificats sanitaires. La Bulgarie, la Tchéquie, le Danemark, l’Allemagne, la Grèce, la Croatie et la Pologne sont les premiers pays à se connecter à cette passerelle.
1er juillet 2021 : La version européenne du certificat numérique COVID entrera en application dans les Etats membre (Règlement).
1er juillet -12 Aout 2021 : Pendant , d’autres formats peuvent être utilisés et devraient être acceptés dans les autres Etats membres
Le service passerelle a été mis en place par T-Systems et SAP. Il est hébergé au data center de la Commission européenne au Luxembourg. Il permet de vérifier les certificats nationaux grâce à la lecture d’un QR code sans traitement des données personnelles. L’UE ne propose pas de certificat sanitaire mais une structure permettant l’interopérabilité entre chaque système national pour qu’une preuve de vaccination contre le Covid-19, un test PCR ou antigénique négatif ou encore une preuve d’immunité soit reconnu partout au sein de l’UE.
Les clés de signature nécessaires à cette vérification sont stockées sur des serveurs au niveau national. Elles peuvent être consultées par des applications ou systèmes de vérification nationaux dans toute l’UE. La Commission européenne a mis au point un logiciel de référence et des applications pour la délivrance, le stockage et la vérification des certificats. Ils sont publiés sur GitHub.
En France, l’application de contact tracing TousAntiCovid permet de stocker numériquement une preuve d’immunité, de vaccin ou de non infection. Les français pourront présenter un certificat papier.
La loi n°2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire a été promulguée le 31 mai 2021, et publiée au journal officiel du 1 juin 2021. Elle instaure un régime transitoire du 2 juin au 30 septembre 2021, aux termes duquel le gouvernement peut adopter certaines mesures. Le pass sanitaire, qui s’inscrit dans une initiative européenne (green pass) pourra être imposé pour les voyageurs en provenance ou à destination de la France, de la Corse ou des outre-mer et pour les grands rassemblements de personnes, si les gestes barrières ne peuvent pas être assuré. Le seuil au-dessus duquel ce pass sera nécessaire n’a pas été fixé par la loi.
Avis de la Cnil
Dans sa délibération n°2021-054 du 12 mai 2021 portant avis sur le projet de mise en place d’un passe sanitaire conditionnant l’accès à certains lieux, évènements ou établissements impliquant de grands rassemblements de personnes, la Commission Nationale de l’Informatique et des Libertés (Cnil) a souligné le caractère temporaire de ce dispositif (durée strictement limitée à ce qui est nécessaire, avec une réévaluation régulière de cette nécessité). La Cnil souligne que, comme le relèvent le Comité européen de la protection des
données et le Contrôleur européen de la protection des données dans leur avis conjoint sur la proposition de règlement relative au « certificat vert numérique », la mise en place d’un tel dispositif nécessite une « base légale » en droit national, au sens du RGPD. Cette disposition légale, qui repose sur un objectif d’intérêt public, devra a minima préciser les finalités du traitement, la nature des activités ou lieux concernés,
et encadrer le contenu des dispositions règlementaires. La loi devrait encadrer le seuil de fréquentation et proscrire la possibilité, dans les cas qui ne sont pas visés par le dispositif, de subordonner l’accès à
la présentation des preuves numériques certifiées. La Cnil attire l’attention du Gouvernement sur la nécessité, pour le ou les responsable(s) de traitement, de réaliser une analyse d’impact sur la protection des données (AIPD), avant toute mise en œuvre d’un tel dispositif, dès lors que le traitement de telles données est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques (données de santé, usage à grande échelle, utilisation d’une nouvelle solution technologique). Elle demande que cette
analyse lui soit transmise, le cas échéant, en parallèle de toute nouvelle saisine relative à ce dispositif et notamment dans l’hypothèse d’une modification du décret “TousAntiCovid ». La Commission est favorable à un dispositif visant à ne permettre la vérification que sur la base d’un résultat de conformité. Ce qui permet de réduire les données accessibles aux personnes habilitées à vérifier le statut des personnes concernées. Un tel dispositif implique le téléchargement, du côté des vérificateurs, d’une application permettant de décoder les signaux, probablement sous forme de code-QR, qui contiendront l’information permettant de faire apparaître un résultat vert ou rouge et d’en vérifier l’authenticité.
Responsable de traitement : Pour la Cnil, la puissance publique qui aura mis en place le dispositif sera responsable de traitement. Dans le cadre de l’opération de vérification, les personnes gérant les lieux, établissements ou événements nécessitant la présentation du pass sanitaire seront responsables de traitement. Ils devront assurer l’obligation d’information (art 12 à 14 du RGPD). Cette information devrait être disponible le plus en amont possible de la vérification et placée à des emplacements accessibles et visibles lors de l’accès au lieu, à l’établissement ou à l’évènement concerné par le dispositif.
La Cnil a donné des précisions sur l‘AIDP de la fonctionnalité de gestion des preuves numériques.
Les apports du Sénat à la mise en œuvre du Passe Sanitaire pour accroître la protection des droits et des libertés individuels : adoptés par la Commission Mixte Paritaire
Suivant les recommandations de la Cnil, le sénat s’est attaché à renforcer les garanties attachées au passe sanitaire afin de mieux protéger les droits et libertés individuels. Il a limité le recours au passe sanitaire aux lieux qui ne permettent pas d’assurer le respect des gestes barrières, et aux grands événements, mais ne sera pas applicables aux activités de la vie quotidienne. Il s’est opposé à l’inscription dans la loi d’une jauge minimale pour exiger un passe sanitaire. Les preuves peuvent être papier ou numériques. Les preuves numériques ou papier ne sont pas conservées par les vérificateurs (pas de base de données dans le cadre du processus de vérification). Le vérificateur ne pourra pas connaître la nature du document ( résultat d’un examen de dépistage virologique ne concluant pas à une contamination par la covid-19, d’un justificatif de statut vaccinal concernant la covid-19 ou d’un certificat de rétablissement à la suite d’une contamination par la covid-19), ni les données qu’il contient. Le fait de conserver ces documents dans le cadre du processus de vérification ou de les réutiliser à d’autres fins est puni d’un an d’emprisonnement et de 45 000 € d’amende.
Un décret déterminera, après avis du comité de scientifiques mentionné à l’article L. 3131-19 du CSP, les éléments permettant d’établir le résultat d’un examen de dépistage virologique ne concluant pas à une contamination par la covid-19, le justificatif de statut vaccinal concernant la covid-19 ou le certificat de rétablissement à la suite d’une contamination par la covid-19.
Les demandes de passe sanitaire hors du cadre légal sont passibles de sanctions pénales.
A suivre ……