Posted by Bénéfice /Risque du Pass Sanitaire
RÉDUCTION DES RISQUES DE CONTAGION VS AUGMENTATION DES RISQUES DE VIOLATION DES DONNÉES DE SANTÉ
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats & Partenaires
La divulgation sur les réseaux sociaux du QR-Code du Président de la République, comme celle du Premier Ministre, met l’accent sur le risque généré par le Pass sanitaire comme outil de gestion de sortie de crise, au regard des données personnelles. Quel est le bénéfice /risque du Pass Sanitaire ? Eviter le confinement vs risque de violation des données de santé.
I- PASS SANITAIRE : UN OUTIL INSCRIT DANS LA STRATÉGIE GLOBALE DE RÉDUCTION DES RISQUES DE CONTAGION
1.1-UN PASS sanitaire entouré de garanties : version loi du 31 mai 2021
Dans son avis du 11 mars 2021 intitulé « Anticiper et différencier les stratégies pour sortir des phases aiguës de l’épidémie », le Conseil scientifique COVID-19 abordait « la question de la création d’un pass sanitaire « numérique » regroupant des informations personnelles de santé en vue d’exercer un meilleur contrôle de l’accès des personnes à certaines activités ».
La loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire a institué le pass sanitaire : un instrument qui permet de conditionner l’accès à certains lieux à la présentation d’une preuve de l’état de santé (certificat de vaccination, résultat d’un examen virologique ne concluant pas à une contamination, ou certificat de rétablissement à la suite d’une contamination par la covid-19).
Le « pass sanitaire » doit permettre d’attester de l’immunité et/ou de la non contagiosité de son porteur et donc de préciser son « statut ». Il s’agit d’une mesure relevant de l’état d’urgence sanitaire (art L 3131-15 CSP) présenté la mesure avant la mesure de confinement.
Cet outil s’inscrit dans un contexte européen, et tout particulièrement le règlement (UE) 2021/953 du 14 juin 2021 relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19. Les Etats membres sont compétents pour adopter des mesures restrictives de circulation pour des motifs de santé publique, en réponse à la pandémie de COVID-19, en tenant compte des preuves scientifiques disponibles, sous réserve du respect du principe de proportionnalité.
Les garanties
Dans sa version loi du 31 mai 2021, le pass sanitaire limite l’accès à certaines activités (loisirs, foire ou salons professionnels) impliquant de grands rassemblements de personnes, dont le nombre de personnes a été fixé à 1000 personnes, par décret du 1 juin 2021 (Décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire).
Position de la Cnil
« La Commission considère que le fait de limiter l’usage du passe sanitaire aux seuls événements les plus à risques de diffusion épidémique en raison du grand nombre de personnes présentes, d’exclure les lieux qui ont trait aux activités quotidiennes (restaurants, lieux de travail, commerces, etc.) où il est difficile de ne pas se rendre, et d’exclure enfin les lieux qui sont liés à certaines manifestations habituelles de libertés fondamentales (notamment la liberté de manifester, de réunions politiques ou syndicales et la liberté de religion) sont des garanties de nature à minimiser l’impact du dispositif sur les droits et libertés des personnes. »
Délibération n° 2021-067 du 7 juin 2021 portant avis sur le projet de décret portant application du II de l’article 1er de la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire
Outre le caractère proportionné, nécessaire, adéquate de la mesure : la Cnil tient à dénoncer le risque de l’accoutumance au recours à des mesures fondées sur la divulgation de données
1.2- UN PASS SANITAIRE ÉTENDU : VERSION DE LA LOI DU 5 AOUT 2021
Le paragraphe I de l’article 1er de la loi du 5 aout 2021, proroge jusqu’au 15 novembre 2021 le régime de gestion de la sortie de crise sanitaire prévu par l’article 1er de la loi du 31 mai 2021. Le législateur a entendu permettre aux pouvoirs publics de prendre des mesures visant à lutter contre la propagation de l’épidémie de covid-19. Il a estimé, au regard de la dynamique de l’épidémie, du rythme prévisible de la campagne de vaccination et de l’apparition de nouveaux variants du virus plus contagieux, qu’un risque important de propagation de l’épidémie persisterait jusqu’au 15 novembre 2021. Cette appréciation est corroborée par les avis des 6 et 16 juillet 2021 du comité de scientifiques prévu par l’article L. 3131-19 du code de la santé publique.
Extension du périmètre à des activités quotidiennes
Comme dans ses avis du 12 mai et 7 juin 2021 et, plus récemment, lors de l’audition de sa Présidente par le Sénat au cours de l’élaboration de la loi, le collège de la CNIL, réuni le 6 août, rappelle que le contexte sanitaire actuel peut justifier des mesures exceptionnelles uniquement si elles restent limitées dans le temps et si elles sont nécessaires pour lutter contre le rebond épidémique et éviter un nouveau confinement.
Position du Conseil Constitutionnel sur l’extension du Pass Sanitaire
« L’extension du passe sanitaire constitue avant toute chose un outil sanitaire pour renforcer la lutte contre la Covid-19. En effet, et même si le risque zéro n’existe pas, les chances de contamination ou de transmission la maladie sont considérablement réduits lorsqu’une personne est vaccinée, rétablie ou qu’elle vient de réaliser un test de dépistage négatif. Dès lors, l’extension du passe sanitaire, dans la mesure où elle poursuit l’objectif de valeur constitutionnelle de protection de la santé proclamé par le onzième alinéa du Préambule de la Constitution de 1946, apparaît comme : i) nécessaire compte-tenu de la situation sanitaire qui ne cesse de se dégrader et des prévisions épidémiologiques qui prédisent une quatrième vague particulièrement intense ;ii) adaptée pour maintenir les activités précédemment affectées par les mesures prises pour lutter contre crise sanitaire, du fait de leur nature, et pour permettre aux personnes qui présentent le moins de risques de transmettre le virus d’en bénéficier ; »
Décision n° 2021-824 DC du 5 août 2021
II- PASS SANITAIRE ÉTENDU : BÉNÉFICE /RISQUE
2.1 L’OBLIGATION DE VÉRIFICATION PAR L’EXPLOITANT DES SITES
Compte-tenu du déploiement considérable du dispositif, les personnes chargées de son contrôle ne devront plus être formellement habilitées comme prévu pour le pass sanitaire version 31 mai 2021 mais simplement nommément désignées par leur employeur pour la version du pass sanitaire version du 5 aout 2021.
Sanction pour défaut de contrôle : contravention de 5ème classe
Défaut de contrôle de la détention du « passe sanitaire : amende prévue pour les contraventions de la cinquième classe. Si infraction verbalisée à plus de trois reprises au cours d’une période, selon le cas, de trente ou quarante-cinq jours, personne physique : 1 an d’emprisonnement et de 9 000 € d’amende personne morale : 45 000 €, en application des dispositions de l’article 131-38 du code pénal.
Application de vérification : Tous-AntiCovid Vérif (solution propriétaire : Groupe Imprimerie Nationale détenue par l’Etat français) : un outil conforme au RGPD
L’application TousAntiCovid Verif permet de vérifier l’authenticité du certificat de vaccination ou de test ou de rétablissement à la Covid-19 au format 2D-Doc/DCC.
L’application TousAntiCovid Verif s’inscrit dans le périmètre de la certification ISO 27001 d’IN Groupe. Le code source de l’application, dans sa version initiale, a fait l’objet d’un audit et de tests techniques par l’ANSSI permettant de garantir la sécurité de l’application
• L’utilisateur scanne un certificat au format 2D-Doc/DCC grâce au lecteur dans l’application, et appelle l’application sur le serveur central.
• La requête est relayée par les serveurs d’Akamaï qui assurent une protection (bouclier) entre l’application et Internet et prévient les attaques en déni de service : il n’y a pas de stockage sur disque des requêtes, elles sont déchiffrées à la volée en mémoire puis transférées vers le serveur central d’IN Groupe
• Le certificat est transmis au serveur central d’IN Groupe pour 3 opérations :
- Vérification de la signature du certificat ;
- Décodage du certificat grâce à la clé de déchiffrement qui est conservée dans le serveur central ;
- Application des règles de gestion sanitaire qui sont fonction (i) du type de preuve présenté et (ii) du contexte dans lequel est réalisé le contrôle
• Le résultat du contrôle, sous la forme d’un statut vert ou rouge, le nom, prénom et la date de naissance du détenteur du certificat est renvoyé vers l’équipement de l’utilisateur de l’application
Pas de création d’une base de données centralisée.
• Aucun log identifiant l’utilisateur ou son équipement n’est collecté ou généré : l’application fonctionne en session active qui envoie la requête et réceptionne la réponse, seuls des logs a vocation de facturation sont réalisés;
• Aucune donnée personnelle n’est conservée ni au niveau du serveur central, ni dans l’application. Des données statistiques sont agrégées (date/heure du contrôle, résultat, type d’équipement utilisé pour réaliser le contrôle, type de certificat contrôlé).
Conseil d’État
La présentation, sur papier ou sous format numérique, des documents est réalisée sous une forme qui ne permet pas de connaître la nature du document ni les données qu’il contient. Le vérificateur a Accès à un résultat de conformité (rouge/vert) : principe de minimisation des données(art 5 du RGPD).
Dans une ordonnance du 6 juillet 2021, le Conseil d’État a estimé, sur le fondement de l’avis de la CNIL du 7 juin 2021, que l’affichage de ces informations était conforme au principe de minimisation proclamé par le RGPD et que l’affichage de ces données d’identification sont nécessaires pour contrôler que le pass présenté est bien celui de la personne qui s’en prévaut. Il ne s’agit pas d’un contrôle d’identité au sens du code de procédure pénale.
Les responsabilités liées au traitement
Sécurité :
La Privacy by Design : principal enjeu du module du Pass sanitaire en matière de respect du RGPD
L’intégration dès la conception de l’application sur l’état de l’art des recherches en sécurité et en protection de la vie privée permet de supprimer ou de réduire au mieux le risque :
Journalisation / Traçabilité
Le service dispose de logs techniques permettant de réaliser des agrégats statistiques. Ces logs techniques ne sont accessibles qu’au service Exploitation d’IN Groupe et au Responsable de traitement (RT). Traçage pour chaque interrogation/ vérification : L’horodatage : date + heure + minutes du contrôle, Résultat du contrôle, Type d’équipement ayant réalisé le contrôle, Type de 2D-Doc scanné. Ces traces sont anonymes et agrégées.
Les dispositifs de lecture alternatifs à TousAntiCovid-Vérif : augmentation du risque de violation des données de santé
Position de la Cnil
« L’utilisation obligatoire d’un unique instrument de lecture des passes sanitaires, développé sous le contrôle de la puissance publique et facilement identifiable par les citoyens, constituait une garantie importante pour éviter les détournements de données. Si elle considère légitime que d’autres instruments soient utilisés pour des cas d’usage auxquels l’application gouvernementale ne peut répondre, elle relève que ces dispositifs devront, en tout état de cause, répondre à des conditions fixées par arrêté. Les personnes qui recourent aux dispositifs alternatifs pour le contrôle du passe sanitaire devront en informer le ministère de la santé ».
Délibération no 2021-097 du 6 août 2021 portant avis sur un projet de décret modifiant le décret no 2021-699 du 1er juin 2021 et le décret no 2021-901 du 6 juillet 2021
Procédure : le projet d’arrêté des ministres chargés de la santé et du numérique a été notifié à la Commission européenne conformément aux dispositions de la directive UE 2015/535 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la SI).
Vérification Le Directeur Général de la Santé est chargé de vérifier la conformité aux conditions fixées par la charte applicable aux dispositifs de lecture des justificatifs mentionnés à l’article 2-2 du décret n° 2021-699 du 1er juin 2021 modifié prescrivant les mesures générales nécessaires à la gestion de sortie de crise sanitaire, autres que l’application mobile dénommé « TousAntiCovid Verif » (annexée au projet d’arrêté)
Les grandes lignes du projet de charte applicables aux dispositifs alternatifs à TAC-Vérif :
2.2. L’OBLIGATION DE VÉRIFICATION PAR LES ARS
Vaccination obligatoire : justificatif de statut vaccinal imposé aux soignants à partir du 15 septembre 2021
La vaccination contre le Covid-19 est rendue obligatoire, sauf contre-indication médicale, pour les personnes travaillant dans les secteurs sanitaire et médico‑social. Sont en particulier concernés.
Les personnels non vaccinés ont jusqu’au 15 septembre 2021 pour le faire, voire jusqu’au 15 octobre 2021 s’ils ont déjà reçu une première dose de vaccin.
À défaut d’avoir été vaccinés dans les temps, les salariés et les agents publics pourront être suspendus, sans salaire
Position du Conseil Constitutionnel : Décision n° 2021-824 DC du 5 août 2021 :« (…) 123. Dès lors, en adoptant les dispositions contestées, le législateur qui a poursuivi l’objectif de valeur constitutionnelle de protection de la santé, n’a porté aucune atteinte au droit à l’emploi ou à la liberté d’entreprendre (…) »
Vérification de l’obligation vaccinale pour les PS par les ARS
Pour contrôler le respect de l’obligation vaccinale de certains professionnels, la loi a autorisé les agences régionales de santé (ARS) à accéder, avec le concours des organismes d’assurance maladie, aux données relatives à la vaccination des professionnels placés sous leur contrôle.
Dérogation au secret médical : L’article 11 de la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions fixe le cadre juridique général de ces systèmes d’information. Il autorise expressément que le partage de données traitées dans le cadre de ces systèmes d’information puisse déroger à la fois au secret médical protégé par l’article L. 1110-4 du code de la santé publique5 et à la nécessité de recueillir le consentement des intéressés.
Position de la Cnil
Délibération no 2021-097 du 6 août 2021 portant avis sur un projet de décret modifiant le décret no 2021-699 du 1er juin 2021 et le décret no 2021-901 du 6 juillet 2021
- RT de la vérification de l’obligation de vaccination est l’ARS
- Principe de minimisation : compétence territoriale et matérielle des ARS , données nécessaires à la vérification
- Gestion des habilitations : accès limités au SI Vaccin COVID aux seuls agents ayant comme mission le suivi et le contrôle de l’obligation de vaccination des professionnels
Constitution des listes des PS non-vaccinés par la CNAM : conformité au RGPD
CNAM : RT de la constitution des listes de PS non-vaccinés
En pratique, le ministère a précisé que les données transmises prendraient la forme de listes de professionnels non vaccinés, par rapprochement avec le Fichier national des professionnels de santé (FNPS), sous la responsabilité de la CNAM.
Bénéfice/ risque violation de données
L’atteinte portée aux libertés et droits fondamentaux par l’élargissement du passe sanitaire est particulièrement forte. Elle ne peut être admise que si l’État peut démontrer que le surplus d’efficacité qu’apporte le pass sanitaire, par rapport à tout ce qui est déjà fait, apparaît nécessaire à la bonne gestion de la crise. Le maintien du dispositif doit être limité à la durée strictement nécessaire à la réponse à la situation sanitaire exceptionnelle, compte tenu des paramètres épidémiologiques pertinents disponibles, et devra, en tout état de cause, prendre fin dès que cette nécessité disparaîtra. Une réévaluation régulière de cette nécessité est impérative.
Le risque de la violation des données, comme le montre la divulgation du QR-Code sur les réseaux sociaux, et bien que des mesures techniques et organisationnelles aient été prises, est bien réel. En cybersécurité, le risque zéro n’existe pas.
A plus long terme, le risque est l’accoutumance ou le glissement vers un contrôle numérique. Comme le précise la Cnil dans sa délibération du 7 juin 2021. « Il faut, enfin, prêter une attention particulière à l’effet de cliquet d’une telle mesure. Il y a un risque certain d’accoutumance à de tels dispositifs de contrôle numérique, de banalisation de gestes attentatoires à la vie privée, de glissement, à l’avenir et potentiellement pour d’autres considérations que la seule protection de la santé publique ici recherchée dans un contexte exceptionnel, vers une société où de tels contrôles seraient la norme et non l’exception ».