Archives

La Cnil déplore les imprécisions sur les événements concernés par le pass sanitaire

La Cnil a rendu publique sa délibération sur le décret du 7 juin 2021 précisant le déploiement du pass sanitaire. L’autorité indépendante pointe notamment des imprécisions sur les événements concernés et le partage des responsabilités en cas de dépassement accidentel de la jauge de 1.000 personnes.

Dans une délibération adoptée le 7 juin et publiée le lendemain, la Cnil "regrette vivement de ne pas avoir été associée en amont" à la rédaction du décret balisant le pass sanitaire (voir notre article du 8 juin). Elle l’avait pourtant explicitement demandé en avril, quand le gouvernement l’avait saisie du projet d’étendre les fonctionnalités de l'application TousAntiCovid. Elle regrette également que le gouvernement ne lui ait transmis "ni de dossier technique ni d’AIPD" (analyse d'impact relative à la protection des données). L’étude d’impact sur la vie privée, obligatoire pour une application qui traite de données sensibles, n’était en effet pas finalisée à la date de transmission du projet de décret. Elle devait cependant lui être transmise avant la mise en œuvre effective du dispositif.

Précisions sur les événements concernés

Dans son avis, l’autorité note qu’elle a été suivie sur la définition des lieux, établissements et événements de plus de 1.000 personnes pour lesquels le pass sanitaire devra être présenté. Pour les collectivités, on notera ainsi que les festivals, les salles de spectacles et les stades et établissements sportifs couverts sont concernés. La Cnil déplore cependant les incertitudes sur la catégorie des "autres événements lorsqu’ils sont spécifiquement localisés" qui "ne permet pas d’apprécier les types d’événements concernés, et notamment les événements qui en sont exclus" (on ne retrouve toutefois plus cette catégorie "autres événements" dans le décret publié mardi). Elle souligne avec satisfaction qu’il ne peut s’agir que d’évènements "de loisir", les lieux ayant trait aux activités "quotidiennes" ou à l’exercice de la liberté religieuse ou de manifester en étant explicitement exclus. Elle relève en revanche des ambiguïtés sur les obligations pesant sur les parcs à thèmes (le décret évoquant "les établissements sportifs de plein air autres que les parcs zoologiques, d'attractions et à thème").

Quel partage des responsabilités ?

L'autorité demande aussi des clarifications sur la manière dont le nombre de personnes sera apprécié et la conduite à tenir dans le cas de "dépassement non anticipé". Elle souhaite par ailleurs qu’une attention particulière soit portée sur l’usage qui sera fait du pass sanitaire par les gestionnaires de lieux ou d’événements et demande de sanctionner toute utilisation frauduleuse des données (ce que prévoit en tout cas la loi du 31 mai : "Est puni d'un an d'emprisonnement et de 45.000 euros d'amende le fait d'exiger la présentation des documents (...) pour l'accès à d'autres lieux, établissements ou événements que ceux mentionnés"). De même, elle exige des précisions sur le "partage des responsabilités entre les différents acteurs intervenant dans le dispositif". Un point qui intéresse plus particulièrement les collectivités en tant que coorganisateur de nombreux événements.

Informer l’usager de la sensibilité des données

Si la Cnil approuve la liberté laissée à l’usager de présenter son attestation via l’application TousAntiCovid ou sur "tout autre support numérique", elle déplore que le gouvernement n’ait pas proposé de "preuves papier certifiées" présentant les mêmes garanties que leur version numérique. Face à des données accessibles en clair via le QR code figurant sur l’attestation papier (voir notre article du 8 juin 2021), elle invite à mieux informer l’usager du caractère sensible des données et à recommander le pliage de l’attestation.

Préférences pour un traitement local des données

Sur le volet technique, la Cnil déplore l'absence de publication du code source de l'application "TousAntiCovid Vérif" qui sera utilisée par les personnes habilitées à réaliser les contrôles. Elle "prend acte" de la transmission des données sur un serveur central et demande qu’aucune donnée ne soit conservée à l’issue de la vérification. Elle encourage les pouvoirs publics à "étudier la mise en place d’une version davantage décentralisée" permettant notamment un contrôle de validité des certificats "en local".