Le pass sanitaire s’appuie sur la technologie du QR code, sorte de code barre à deux dimensions qui n’est pas totalement sans risques en matière de protection des données personnelles, même si l’accès aux informations est circonscrit par le gouvernement dans le cas des contrôles assurés par les professionnels.
Qu’est-ce qu’un QR code ?
Le QR code (« quick response code », code à réponse rapide en français) est en quelque sorte une version améliorée du code barre, de plus en plus utilisé dans la vie quotidienne notamment sur les tables des restaurants.
Composé de carrés et de motifs géométriques noirs sur un fond blanc, le QR code sert à stocker des informations et à les rendre rapidement accessibles. Il suffit de le scanner via l’appareil photo d’un smartphone ou d’une tablette — avec ou sans l’aide d’une application de lecture selon le système d’exploitation (iOS d’Apple, Android de Google) du terminal — pour lire le QR code et accéder à ses informations.
Lien internet ou de téléchargement, fiche de contact, validation d’un ticket de transport ou d’un billet de cinéma, ou encore code d’accès pour se connecter à un réseau wifi, le champ d’utilisation des QR codes est infini.
A quelles informations ont accès les professionnels avec le pass sanitaire ?
Dans le cas du pass sanitaire, le QR code associé, qui contient des informations sur l’état de vaccination ou d’immunité de son détenteur ainsi que son identité, est scanné par TousAntiCovid Vérif, l’application fournie par le gouvernement aux professionnels (restaurateurs, commerçants, gérants d’établissements sportifs ou culturels…), pour contrôler sa validité.
Disponible gratuitement sur les magasins d’application d’Apple et de Google, TousAntiCovid Verif permet de lire les informations « avec un niveau de détail minimum », selon le gouvernement.
Concrètement, TousAntiCovid Verif permet seulement de savoir si le pass est valide ou invalide et de connaître les noms, prénoms et dates de naissance du client, informations à comparer avec ce qui est inscrit sur sa carte d’identité nationale, sans divulguer davantage d’informations de santé sur l’écran. Par ailleurs, même si l’application de vérification peut être utilisée sur des téléphones personnels, elle ne stocke aucune donnée sur les personnes contrôlées.
« En revanche, le gérant a l’obligation de tenir un cahier d’identification des contrôleurs avec les noms des agents ayant réalisé les examens des preuves sanitaires », exige le gouvernement.
Les données privées sont-elles totalement sécurisées ?
Dans sa dernière « mise en garde » fin juillet sur l’extension du pass sanitaire, la Commission nationale de l’informatique et des libertés (Cnil), qui veille sur la vie privée des Français, a toutefois « demandé certaines garanties supplémentaires » au gouvernement dans la protection des données personnelles.
Car si, en théorie, l’accès aux données de santé n’est pas permis, « il est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé », avait-elle prévenu début juin.
Autre risque pointé: la transmission des données personnelles via le réseau internet au serveur central, à savoir l’imprimerie nationale (IN Group), chargée de vérifier la validité du QR code.
Considérant qu’il n’y a « aucun obstacle » technique à ce que le contrôle de la validité des preuves soit effectué « en local », c’est-à-dire de terminal à terminal sans passage par un serveur, la Cnil a invité le gouvernement « à faire évoluer le fonctionnement de l’application afin de permettre un contrôle local des données des justificatifs » pour limiter les risques.
LQ/AFP