[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-067 du 7 juin 2021 portant avis sur le projet de décret portant application du II de l'article 1er de la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire (demande d'avis n° 21010600)

Données personnelles
Justice et droit
Culture et patrimoine
Déposé le 6 juin 2021 à 22h00, publié le 8 juin 2021 à 22h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé et le secrétaire d'État chargé de la transition numérique et des communications électroniques d'une demande d'avis relative au projet de décret portant application du II de l'article 1er de la loi n° 2021- 689 du 31 mai 2021 relatif à la gestion de la sortie de crise sanitaire ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, et notamment son article 1.II.E ;
Vu la délibération n° 2021-054 du 12 mai 2021 portant avis sur le projet de mise en place d'un passe sanitaire conditionnant l'accès à certains lieux, évènements ou établissements impliquant de grands rassemblements de personnes ;

Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie en urgence, le 31 mai 2021, par le ministre des solidarités et de la santé et le secrétaire d'Etat chargé de la transition numérique et des communications électroniques, d'une demande d'avis relative au projet de décret portant application du II de l'article 1er de la loi n° 2021-689 du 31 mai 2021 relatif à la gestion de la sortie de crise sanitaire. Elle tient néanmoins à souligner que le principe du passe sanitaire a très certainement fait l'objet de réflexions au sein du Gouvernement depuis plusieurs semaines, voire plusieurs mois. Ainsi, bien que la loi prévoyant l'adoption du projet de décret dont elle est saisie ait été adoptée le 31 mai dernier, la Commission regrette vivement de ne pas avoir été associée, en amont, à ces réflexions.
Cette loi prévoit que le Premier ministre peut, du 2 juin au 30 septembre 2021 et si cela est strictement proportionné aux risques sanitaires encourus, prendre un certain nombre de mesures adaptées à la gestion de la crise sanitaire. Parmi celles-ci, les dispositions du paragraphe II de l'article 1er de loi n° 2021-689 précitée, jugées conformes à la Constitution par le Conseil constitutionnel (décision n° 2021-819 DC du 31 mai 2021), autorisent le Premier ministre à subordonner à la présentation d'un « passe sanitaire », d'une part, certains déplacements en provenance ou à destination de la France métropolitaine, de la Corse ou des Outre-mer et, d'autre part, l'accès à certains lieux, établissements ou évènements pour les grands rassemblements de personnes. Le déplacement ou l'accès ne sont alors autorisés que sur présentation de trois justificatifs alternatifs : un test de dépistage à la covid-19 négatif, un justificatif de vaccination ou un certificat de rétablissement à la suite d'une contamination. Un décret détermine, après avis du conseil scientifique, les éléments permettant d'établir ces justificatifs.
Outre, d'une part, le décret par lequel le Premier ministre décide de recourir à la mesure de police administrative consistant à subordonner certains déplacements ou grands rassemblements à la présentation d'un passe sanitaire et, d'autre part, le décret pris après avis du conseil scientifique, le E du paragraphe II de l'article 1er de la même loi prévoit qu'un troisième décret, pris après avis de la Commission, vient déterminer les modalités d'application du passe sanitaire, pour toute la période s'étendant du 2 juin au 30 septembre 2021. Ce décret doit notamment venir préciser les personnes autorisées à contrôler les justificatifs ainsi que leurs modalités d'habilitation et les conditions dans lesquelles les systèmes d'information constitués au sein des Etats membres de l'Union européenne sont reconnus comme supports de présentation.
A titre liminaire, la Commission relève que plusieurs des garanties complémentaires demandées dans sa délibération n° 2021-054 du 12 mai 2021 portant avis sur le projet de mise en place d'un passe sanitaire conditionnant l'accès à certains lieux, évènements ou établissements impliquant de grands rassemblements de personnes, ont été prévues par la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire. Il en est ainsi, notamment, de la limitation de la divulgation des informations contenues dans les justificatifs, aux personnes habilitées à procéder aux vérifications, dans le respect du principe de minimisation des données ainsi que de l'absence de conservation des données dans le cadre du processus de vérification. De même, la loi consacre l'absence de possibilité de réutilisation des données à d'autres fins et proscrit explicitement et sous peine de sanctions pénales, conformément à la recommandation de la Commission, la possibilité pour les responsables des lieux qui ne sont pas visés par le dispositif de subordonner, de leur propre initiative, leur accès à la présentation des preuves numériques certifiées. Enfin, la nécessité de garantir la mise à disposition des justificatifs certifiés en format « papier », pour assurer l'inclusion de chacun dans le dispositif, est également prévue par les dispositions législatives. La Commission se prononce désormais sur le décret d'application dont sa saisine est prévue par la loi.
Sur les lieux, établissements ou événements susceptibles d'être concernés par le passe sanitaire :
En premier lieu, le Gouvernement a indiqué à la Commission que la liste des lieux, établissements ou événements concernés par le passe sanitaire, ainsi que le nombre de personnes à partir duquel les justificatifs conditionneront l'accès, ont vocation à être fixés dans le décret par lequel le Premier ministre déclenche, en application des pouvoirs de police que lui a conférés la loi du 31 mai dernier et si cela est nécessaire, la mesure du passe sanitaire. Cet acte de police, distinct des règles générales applicables au passe sanitaire, doit édicter les seules mesures « strictement proportionnées aux risques sanitaires », ainsi que le prévoit le paragraphe IV de l'article 1er de la loi, et pourra éventuellement être modifié au cours de la période allant jusqu'au 30 septembre pour tenir compte d'une évolution de la situation sanitaire. Le décret dont est saisi la Commission, qui vient compléter le cadre juridique du précédent, a quant à lui vocation à s'appliquer durant toute cette période. La Commission ne remet pas en cause cette lecture de l'article 1er de la loi du 31 mai 2021 précitée mais suggère au Gouvernement de clarifier l'articulation des textes.
En deuxième lieu, elle prend acte des précisions selon lesquelles le Gouvernement envisage de limiter strictement le périmètre de mobilisation du passe sanitaire pour les seuls lieux, établissements et événements suivants, dès lors qu'ils impliquent des rassemblements de plus de 1 000 personnes :



- chapiteaux, salles de théâtre, salles de spectacles sportifs ou culturels, salles de conférence ;
- salons et foires d'exposition (par hall d'exposition) ;
- stades, établissements de plein air et établissements sportifs couverts ;
- parcs à thèmes « pour les catégories d'établissements recevant du public qui le compose et pour lesquels le déploiement du passe sanitaire est prévu dans le droit commun » ;
- grands casinos ;
- festivals assis et debout de plein air ;
- compétitions sportives de plein air « si les conditions de faisabilité sont établies » ;
- croisières et bateaux à passagers avec hébergements au-delà de 1 000 personnes ;
- autres événements, lorsqu'ils sont spécifiquement localisés.



La Commission relève que les lieux qui ont trait aux activités quotidiennes (restaurants, lieux de travail, commerces, etc.) et ceux liés à certaines manifestations habituelles de libertés fondamentales (notamment la liberté de manifester, de réunions politiques ou syndicales et la liberté de religion) ne sont donc pas concernés, conformément à l'avis de la Commission en date du 12 mai 2021.
Elle s'interroge toutefois sur la référence aux « autres événements, lorsqu'ils sont spécifiquement localisés » et considère qu'une telle formulation ne permet pas d'apprécier les types d'événements concernés, et notamment les événements qui en sont exclus. A tout le moins, il convient de rappeler que ces autres événements ne peuvent être, conformément à la loi, que des événements de « loisirs ». Par ailleurs, elle demande au Gouvernement de clarifier, pour les parcs à thèmes, ce que recoupe la formulation « pour les catégories d'établissements recevant du public qui le compose et pour lesquels le déploiement du passe sanitaire est prévu dans le droit commun », notamment s'agissant de la référence au droit commun. Enfin, la Commission prend acte des précisions apportées par le Gouvernement selon lesquelles le passe sanitaire ne sera pas exigé pour les cinémas. Elle attire néanmoins l'attention du Gouvernement sur le fait que certains établissements de cinéma ont une capacité d'accueil supérieure à 1 000 personnes et l'invite à préciser si ces établissements devront faire usage du passe sanitaire.
Par ailleurs, s'agissant de la jauge déclenchant la mise en œuvre du passe sanitaire (1 000 personnes), la Commission estime nécessaire de préciser, dans ce décret ou dans le décret qui déclenchera l'obligation du passe sanitaire, la façon dont le nombre de personnes sera apprécié : il doit s'agir d'un nombre de personnes dont le responsable de l'établissement ou de l'événement peut prévoir qu'elles seront simultanément présentes sur le site, soit à partir des réservations effectuées par les personnes intéressées, soit à partir de prévisions raisonnables. Sur ce point, elle estime indispensable que le Gouvernement clarifie la conduite à tenir dans le cas où la jauge serait atteinte sans avoir pu raisonnablement l'anticiper et pour lequel il sera difficile, au dernier moment, de mettre en place le dispositif et ce, notamment afin de garantir l'information préalable des personnes concernées le plus en amont possible.
En troisième lieu, elle rappelle qu'une attention particulière devra être portée aux usages du passe sanitaire, susceptibles de révéler des informations sensibles, et notamment à la nécessité de sanctionner toute utilisation frauduleuse par les responsables des lieux, établissements ou les organisateurs des événements qui ne seraient pas autorisés à y recourir, tel que prévu par la loi n° 2021-689 du 31 mai 2021.
En quatrième et dernier lieu, la Commission réitère son observation s'agissant de la nécessité de préciser, dans le projet de texte, le partage de responsabilité entre les différents acteurs intervenant dans le dispositif.
Sur les données à caractère personnel présentes sur les justificatifs :
Les dispositions du paragraphe II de l'article 1er du projet de décret prévoient que les justificatifs comportent les nom, prénoms, date de naissance de la personne concernée et un « code » permettant la vérification de chacun de ces justificatifs.
La Commission relève que la mention du « code » renvoie au code-barres à deux dimensions présent sur les justificatifs, lequel contient les données à caractère personnel nécessaires au contrôle du passe sanitaire. Elle prend acte des précisions du Gouvernement selon lesquelles ces données correspondent à l'ensemble commun normalisé de données prévu par la proposition de règlement relatif au certificat numérique européen Covid (précédemment le « certificat vert numérique ») et que l'analyse d'impact relative à la protection des données (AIPD), en cours de réalisation, renverra à l'ensemble de données défini au niveau européen.
Néanmoins, la Commission observe que si le Parlement européen et le Conseil ont voté un accord provisoire sur la proposition de règlement, celui-ci n'a pas encore été soumis pour adoption et n'est donc pas encore applicable. De plus, la proposition de règlement européen a pour seul objectif de faciliter les voyages au sein de l'Union européenne (UE) dans le contexte de la crise sanitaire et non d'encadrer la présentation des justificatifs pour d'autres usages nationaux tels que la régulation de l'accès à certains lieux, établissements ou évènements. Aussi la Commission estime-t-elle que, conformément au droit commun des traitements de données à caractère personnel mis en œuvre par les personnes publiques dont les modalités sont précisément encadrées par un acte réglementaire, la liste des données doit en principe figurer dans l'acte. Dès lors, elle demande au Gouvernement de compléter le projet de décret en détaillant, pour chacun des justificatifs, les catégories de données à caractère personnel incluses dans le code ci-dessus mentionné.
Sur les personnes concernées et les modalités de présentation du passe sanitaire :
Sur les personnes concernées par l'exigence de présentation du passe sanitaire :
La Commission prend acte des précisions apportées par le Gouvernement selon lesquelles le passe sanitaire ne concernera pas les salariés, les organisateurs et les professionnels qui se produisent dans les lieux concernés ainsi que les mineurs de moins de onze ans, mais sera demandé aux visiteurs, y compris les touristes étrangers, souhaitant accéder aux lieux concernés par le dispositif. Le Gouvernement a précisé que ces éléments seraient inclus dans le décret qui déclenchera le passe sanitaire. Toutefois, elle considère que ce périmètre n'a pas vocation à varier au cours des mois à venir et relève du régime même du passe sanitaire. Dès lors, ces précisions devraient figurer dans le projet de décret dont elle est saisie afin de délimiter clairement les personnes visées par l'obligation de présentation des justificatifs prévus par la loi.
S'agissant, plus particulièrement, de l'application du passe sanitaire aux mineurs de plus de onze ans, tel que précisé dans le courrier de saisine du Gouvernement, la Commission ne dispose d'aucune information, notamment d'éléments scientifiques ou de comparaison internationale, concernant les justifications ayant conduit le Gouvernement à retenir cette limite d'âge alors même que le traitement de données relatives aux mineurs doit faire l'objet de justifications et de précautions particulières. Par ailleurs, le Gouvernement a récemment annoncé l'ouverture de la vaccination aux personnes âgées de douze à dix-huit ans et ce, à partir du 15 juin 2021. La Commission s'interroge donc, sous réserve des justifications scientifiques qui ont motivé le choix du Gouvernement et afin de prévenir tout risque de discrimination, sur l'opportunité d'aligner l'âge à partir duquel le passe sanitaire sera applicable à celui de la vaccination.
Sur les modalités de présentation du passe sanitaire :
Le paragraphe I de l'article 2 du projet de décret prévoit que les justificatifs peuvent être présentés sous format papier ou sous forme numérique, conformément au B du paragraphe II de la loi n° 2021-689 du 31 mai 2021. S'agissant, plus particulièrement, de la forme numérique, le projet de décret précise que les justificatifs peuvent être enregistrés sur l'application mobile TousAntiCovid ou sur « tout autre support numérique » au choix de la personne concernée.
La Commission relève que la possibilité de stocker les justificatifs sur tout autre support numérique renforce le caractère volontaire de l'application TousAntiCovid, ce qui constitue une garantie essentielle comme évoqué à plusieurs reprises par la Commission. Elle réitère les observations formulées dans son avis en date du 12 mai 2021 dernier sur la nécessité de réfléchir au format et au contenu des preuves papier certifiées, afin qu'elles présentent les mêmes garanties que leur version numérique en matière d'accessibilité et de protection des données à caractère personnel (par exemple, en indiquant les consignes de pliage de manière visible sur le justificatif ou en fournissant un second document qui ne contiendrait que les données nécessaires au contrôle, par l'intégration d'une information claire sur le document, etc.).
Sur les modalités de vérification du passe sanitaire :
Sur les personnes autorisées à contrôler les justificatifs et les modalités de leur habilitation :
Les personnes et organismes autorisés à contrôler les justificatifs, dans la limite de ce qui est nécessaire au contrôle des déplacements et de l'accès aux lieux, établissements ou évènements concernés par le passe sanitaire, sont les suivants :



- les exploitants de services de transport de voyageurs ;
- les personnes chargées du contrôle sanitaire aux frontières ;
- les responsables des lieux et établissements ou les organisateurs des évènements dont l'accès est subordonné à leur présentation en application du décret désormais mentionné au premier alinéa du A du paragraphe II de l'article 1er de la loi n° 2021-689 du 31 mai 2021 ;
- les agents de contrôle habilités à constater les infractions prévues à l'article L. 3136-1 du code de la santé publique (CSP).



En premier lieu, la Commission s'interroge sur ce dernier alinéa. En effet, la Commission s'interroge sur les raisons pour lesquelles des agents de contrôles, habilités à constater les infractions relatives au passe sanitaire, devraient pouvoir être également habilités à contrôler les justificatifs pour autoriser, en dehors de leur mission de police judiciaire, les déplacements ou l'accès aux lieux, établissements et événements concernés par le passe sanitaire, tel que semble le supposer la rédaction du premier alinéa de l'article 2.II du projet de décret. Elle demande donc au Gouvernement de clarifier le décret sur ce point.
En deuxième lieu, le dernier alinéa du paragraphe II de l'article 2 du projet de décret prévoit notamment que les exploitants de services de transport de voyageurs, les personnes chargées du contrôle sanitaire aux frontières et les responsables des lieux et établissements ou les organisateurs des évènements concernés par le passe sanitaire, tiennent un registre détaillant les personnes nommément habilitées ainsi que les jours et horaires des contrôles effectués par ces personnes. La Commission estime qu'un tel dispositif s'avère satisfaisant sous réserve d'ajouter, au titre des informations renseignées, la date d'habilitation de chaque personne, et à condition que les responsables s'assurent de la mise à jour régulière du registre. Elle rappelle, par ailleurs, qu'un tel registre constitue un traitement de données à caractère personnel et que sa mise en œuvre devra se faire dans le respect des dispositions du règlement général sur la protection des données (RGPD), notamment s'agissant de l'obligation d'information des personnes et du respect des droits qui leur sont reconnus en vertu des articles 15 à 21 du RGPD.
En troisième et dernier lieu, le paragraphe IV de l'article 2 du projet de décret prévoit que « l'accès à l'application TousAntiCovid Vérif » est conditionné à un « consentement » aux obligations légales qui incombent aux exploitants de service de transports de voyageurs, aux personnes chargées du contrôle sanitaire aux frontières et aux responsables des lieux, établissements et événements concernés. En l'état, ce paragraphe ne vise pas, explicitement, les personnes habilitées nommément à procéder aux contrôles des justificatifs par les organismes mentionnés ci-dessus, alors qu'en pratique, l'information sera délivrée par l'application elle-même à toutes ces personnes. La Commission considère donc nécessaire de modifier la formulation du décret sur ce point. Par ailleurs, elle suggère au Gouvernement que cette information inclue notamment les sanctions pénales fixées par le législateur. Elle rappelle qu'il reviendra aux responsables de former correctement les personnes qu'ils habilitent à ce contrôle. Si le décret prévoit, à juste titre, qu'une information appropriée et visible est mise à disposition sur le lieu du contrôle des justificatifs, elle rappelle que, dans l'intérêt des personnes contrôlées comme des contrôleurs, cette information devra avoir été dispensée le plus en amont possible.
Sur les modalités d'accès, par les personnes en charge du contrôle des justificatifs, aux données à caractère personnel des personnes concernées :
Les dispositions du paragraphe III de l'article 2 du projet de décret viennent limiter les données accessibles lors de la vérification des justificatifs, aux nom, prénoms et à la date de naissance de la personne concernée ainsi qu'au résultat positif ou négatif de détention d'un justificatif conforme.
La Commission considère qu'un tel dispositif est de nature à assurer le respect du principe de minimisation des données, en limitant strictement la divulgation d'informations privées aux personnes habilitées à procéder aux vérifications, notamment s'agissant de la nature de la preuve mobilisée, comme relevé dans son avis en date du 12 mai 2021.
Elle relève, par ailleurs, que ce système a vocation à s'appliquer à l'ensemble des personnes autorisées à contrôler les justificatifs, tant pour la régulation de l'accès aux lieux, établissements et évènements concernés que pour les déplacements qui entrent dans le champ du passe sanitaire, dès lors que ces personnes sont soumises au droit national. Par conséquent, elle souligne qu'un agent des douanes d'un autre Etat membre qui contrôlerait un justificatif d'un résident français pourrait, en fonction des dispositions qui lui sont applicables dans le droit de son Etat, visualiser davantage de données, y compris la nature du document présenté.
Sur les possibles contrôles de l'identité des personnes détentrices des justificatifs :
La Commission prend acte des précisions du Gouvernement selon lesquelles les personnes en charge des contrôles devront demander aux personnes de prouver leur identité et que ces dernières pourront procéder via un justificatif d'identité.
La Commission rappelle que la personne doit pouvoir justifier son identité par tout moyen et invite le Gouvernement à rappeler aux exploitants de service de transports et aux responsables d'établissement et de lieux concernés, sous réserve des réglementations sectorielles, la nécessité de proportionner le contrôle à la réalité des risques. Elle souligne notamment, que, lorsque l'accès à un lieu est conditionné à la présentation d'un billet nominatif, et qu'un contrôle d'identité n'est en principe pas pratiqué habituellement lorsqu'il n'y a pas de passe sanitaire, la présentation du passe devrait pouvoir se faire par la seule comparaison du billet et du passe. Les personnes concernées devraient être clairement informées de ces éléments et ce, le plus en amont possible.
En tout état de cause, la Commission précise que les justificatifs ne pourront pas être conservés après leur consultation.
Sur la sécurité des données :
A titre liminaire, la Commission regrette que le Gouvernement ne lui ait transmis ni de dossier technique ni d'AIPD et rappelle au Gouvernement que cette analyse devra être finalisée avant la mise en œuvre effective du dispositif.
Elle constate que le code source de l'application « TousAntiCovid Vérif », déjà disponible sur les magasins d'applications mobiles (« AppStore » et « Playstore »), n'a pas été rendu public. La Commission regrette cette non-publication et appelle le Gouvernement à rendre public ce code source expurgé, le cas échéant, des secrets permettant de sécuriser les transmissions de données avec les serveurs centraux.
Concernant les modalités de fonctionnement de l'application « TousAntiCovid Vérif », la Commission prend acte de ce que les données relatives aux justificatifs présentés par les personnes seront transmises au serveur central afin de vérifier leur validité. Le Gouvernement justifie ce mode de fonctionnement par les conséquences pour les personnes concernées : les opérations de contrôles lors de déplacements vers l'étranger nécessitent de s'assurer du respect des diverses règles imposées par les pays vers lesquels les personnes se rendent, ces règles pouvant, par ailleurs, subir des modifications fréquentes.
La Commission ne remet pas en cause la conformité de cette architecture au RGPD. Cependant, elle rappelle qu'à l'issue de la vérification, aucune donnée ne devra être conservée par le serveur central. En outre, afin de mettre en place l'architecture la plus protectrice possible, la Commission invite le Gouvernement à étudier la mise en place d'une version davantage décentralisée, dans laquelle les règles de gestion pourraient être mises à jour dynamiquement et proactivement par le serveur central, afin de limiter les envois de données à ce serveur tout en garantissant l'application des règles mises à jour.
En particulier, la Commission estime que le contrôle de la validité des justificatifs pourrait être réalisé en local pour les opérations de contrôle du passe sanitaire relatif aux grands rassemblements de personnes. En effet, dans cette hypothèse les règles de gestion sont simples et maitrisées par le Gouvernement. La Commission considère donc qu'il n'y a aucun obstacle à ce que le contrôle de la validité des preuves soit effectué en local, la seule donnée pouvant être échangée avec le serveur central étant la signature électronique de la preuve. Elle invite donc le Gouvernement à faire évoluer le fonctionnement de l'application afin de permettre un contrôle local des données des justificatifs.
Enfin, la Commission relève que, d'une part, les données relatives aux preuves sont conservées en clair au sein des codes-barres présents sur les justificatifs et, d'autre part, que l'application « TousAntiCovid Verif » est librement accessible sur les magasins d'applications mobiles. Elle relève également que les codes utilisés pour le certificat européen contiendront également les données en clair. Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d'information des personnes, afin qu'elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu'ils prennent soin de ne les exposer qu'aux personnes spécialement habilitées à les contrôler.

La présidente,


M.-L. Denis