[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-097 du 6 août 2021 portant avis sur un projet de décret modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire et le décret n° 2021-901 du 6 juillet 2021 relatif au traitement automatisé de données à caractère personnel dénommé « Convertisseur de certificats » (demande d'avis n° 21013690)

Données personnelles
Cybersécurité
Institutions publiques
Déposé le 5 août 2021 à 22h00, publié le 7 août 2021 à 22h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis relative au projet de décret modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire et le décret n° 2021-901 du 6 juillet 2021 relatif au traitement automatisé de données à caractère personnel dénommé « Convertisseur de certificats » ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire, notamment son article 2-3 ;
Vu le décret n° 2021-901 du 6 juillet 2021 relatif au traitement automatisé de données à caractère personnel dénommé « Convertisseur de certificats » ;
Après avoir entendu le rapport de Mme Marie-Laure DENIS, Présidente, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie en urgence, le 27 juillet 2021, par le ministre des solidarités et de la santé, puis le 3 août 2021 par saisine rectificative, d'une demande d'avis relative à un projet de décret modifiant, d'une part, le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire et, d'autre part, le décret n° 2021-901 du 6 juillet 2021 relatif au traitement automatisé de données à caractère personnel dénommé « Convertisseur de certificats ».
Cette modification s'inscrit dans le cadre de la loi relative à la gestion de la crise sanitaire, qui prévoit notamment un élargissement très conséquent du champ d'application du passe sanitaire. Dans un contexte de reprise épidémique, le Gouvernement a fait le choix d'étendre le dispositif, initialement limité à certains déplacements à l'étranger ou en dehors du territoire hexagonal et aux événements rassemblant un grand nombre de personnes présentes, à certains lieux d'activités de la vie quotidienne (restaurants, débits de boissons, transports publics interrégionaux de longue distance, etc.), indépendamment du nombre de personnes présentes. La Commission constate que Conseil constitutionnel a validé les dispositions relatives au passe sanitaire à l'exception de celles relatives à la création d'un nouveau motif de rupture anticipée applicable aux contrats à durée déterminée et aux contrats de mission mais dont la censure n'impacte pas le projet de décret soumis à l'avis de la Commission.
L'importante extension du recours obligatoire au passe sanitaire soulève des questions inédites et complexes d'articulation entre protection de la santé publique et exercice de libertés fondamentales. Ainsi que l'a relevé le collège de la CNIL dans ses précédents avis sur le passe sanitaire en date du 12 mai et du 7 juin dernier, la mise en place d'un contrôle sanitaire à l'entrée de certains lieux ou moyens de transport questionne la frontière entre ce qui relève de la responsabilité individuelle et ce qui relève du contrôle social. L'utilisation du passe sanitaire pour des lieux de la vie courante entraîne en outre la mise en œuvre d'un traitement automatisé de données de santé à grande échelle.
A cet égard, la Commission alerte sur le risque d'accoutumance et de banalisation de tels dispositifs attentatoires à la vie privée et de glissement, à l'avenir, et potentiellement pour d'autres considérations, vers une société où de tels contrôles deviendraient la norme et non l'exception. Ainsi, elle considère que le contexte sanitaire peut justifier des mesures exceptionnelles uniquement si, d'une part, ces mesures sont limitées dans le temps et, d'autre part, s'il est démontré que leur mise en œuvre s'avère nécessaire pour lutter contre le rebond de l'épidémie et éviter des mesures encore plus attentatoires aux libertés, notamment un nouveau confinement. En tout état de cause, ces mesures doivent être limitées au strict nécessaire, qu'il s'agisse de leur durée, des personnes ou des lieux où elles s'appliquent et être assorties de garanties de nature à prévenir efficacement les abus.
Si la loi relative à la gestion de la crise sanitaire prévoit que le dispositif doit prendre fin le 15 novembre 2021, sous réserve d'une extension qui ne pourrait avoir lieu que suite à de nouveaux débats parlementaires, la Commission appelle l'attention du ministère sur le fait que la multiplication des dispositifs numériques mis en œuvre dans le cadre de la gestion de l'épidémie rend absolument nécessaire une évaluation quantifiée et objective de leur efficacité dans la lutte contre la covid-19, ce qu'elle a rappelé à de nombreuses reprises depuis le début de l'épidémie afin de s'assurer que le recours à ces dispositifs prenne fin dès que cette nécessité disparaîtra. Elle considère que cet exercice devient une exigence impérieuse avec le nouveau projet de passe sanitaire envisagé quelques semaines seulement après la création du précédent, et sans que soient connus et documentés les éventuelles carences du dispositif actuel et/ou les avantages comparatifs de son extension en soi ou par rapport à d'autres méthodes pour éviter un nouveau rebond de la pandémie (obligation vaccinale générale, mesures de confinement total ou partiel, traçage rigoureux, etc.).
Compte-tenu des éléments rappelés ci-dessus, la Commission formule les observations suivantes.
Sur les dispositions modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire
S'agissant du recours possible à d'autres dispositifs de lecture que l'application TousAntiCovid Verif
Le paragraphe III du projet d'article 2-3 du décret n° 2021-699 du 1er juin 2021 modifié ouvre la possibilité, pour les personnes et services habilités à contrôler le passe sanitaire, de recourir à d'autres dispositifs de lecture que l'application dénommée TousAntiCovid Verif, sous réserve que ceux-ci répondent à des conditions fixées par un arrêté du ministre chargé de la santé. Il précise également que les personnes et services qui recourent à ces dispositifs alternatifs pour le contrôle du passe sanitaire devront en informer le ministère.
Une telle ouverture doit permettre, d'une part, la vérification des justificatifs sur des terminaux n'ayant pas accès aux magasins d'applications dans lesquels l'application TousAntiCovid Verif est actuellement disponible et, d'autre part, un contrôle en ligne du passe sanitaire (par exemple, lors de l'enregistrement en ligne dans le cadre d'un voyage) afin d'en faciliter la vérification dans certains environnements caractérisés par une volumétrie importante et ce, afin notamment de diminuer les files d'attente (aéroports, gares, etc.).
En premier lieu, la Commission rappelle que l'utilisation obligatoire d'un unique instrument de lecture des passes sanitaires, développé sous le contrôle de la puissance publique et facilement identifiable par les citoyens, constituait une garantie importante pour éviter les détournements de données. Si elle considère légitime que d'autres instruments soient utilisés pour des cas d'usage auxquels l'application gouvernementale ne peut répondre, elle relève que ces dispositifs devront, en tout état de cause, répondre à des conditions fixées par arrêté. Elle recommande que le décret pose comme condition à l'utilisation des dispositifs alternatifs, soit que l'utilisation de TousAntiCovid Vérif s'avère matériellement impossible (par exemple, dans les cas où les contrôleurs sont équipés de terminaux n'accédant pas aux magasins d'applications pré-cités), soit que le choix soit offert, aux personnes concernées par le contrôle de leur passe sanitaire, d'utiliser l'un ou l'autre des dispositifs (par exemple, enregistrement en ligne avec un dispositif alternatif avant de prendre un avion ou contrôle à l'aéroport par des personnes utilisant l'application TousAntiCovid Verif).
En deuxième lieu, le projet de décret ne précise pas les conditions que devront remplir les dispositifs de lecture alternatifs à l'application TousAntiCovid Verif et renvoie, sur ce point, à un arrêté du ministre chargé de la santé. La Commission prend acte des précisions apportées par le ministère selon lesquelles le cahier des charges définissant les éléments pris en compte dans l'évaluation de ces dispositifs est actuellement en cours de finalisation et tiendra compte du respect des obligations établies par les textes encadrant le passe sanitaire, de la conformité au règlement général sur la protection des données (RGPD) ainsi que des éléments relatifs à la sécurité des systèmes d'information. Si elle accueille favorablement ces précisions, la Commission considère que celles-ci appellent les observations suivantes.
Tout d'abord, la Commission considère que le projet de décret devrait être complété afin de préciser que les conditions fixées par l'arrêté mentionné ci-dessus feront l'objet d'un contrôle du ministère avant que le dispositif de lecture ne soit connecté au système de l'Imprimerie nationale (afin de récupérer les clés publiques de signature des Etats utilisant le format DCC pour leurs certificats, et ainsi de permettre la vérification de leur validité) et puisse être, de ce fait opérationnel. Elle considère que le ministère devrait contrôler, a minima, le respect de l'ensemble des conditions posées par la loi et le décret d'application, la justification du niveau de sécurité au regard des exigences de l'article 32 du RGPD ainsi que l'absence de transfert illicite de données à caractère personnel en application du chapitre V du RGPD.
La Commission appelle l'attention du ministère sur la nécessité de tenir compte, dans l'évaluation de la sécurité du dispositif de lecture, des risques spécifiques à la vérification du passe sanitaire en ligne, tels que l'impossibilité, pour le dispositif concerné, de conserver les données au-delà de ce que permettent les textes, de les transmettre à des tiers ou de les modifier. Les mesures de sécurité de ces dispositifs devront être conformes à l'article 32 du RGPD, en particulier concernant le recours à des algorithmes de chiffrement robustes et réputés à l'état de l'art. En outre, elle invite le ministère à s'assurer que les dispositifs de lecture agréés soit conforme au référentiel général de sécurité (RGS).
La Commission appelle également l'attention du ministère sur la nécessité de s'assurer que les dispositifs évalués n'entraînent pas de transfert de données en dehors de l'Union européenne dans le cadre de l'opération de vérification ou, à défaut, de vérifier que ces transferts fassent l'objet d'un encadrement, tant juridique que technique, permettant d'en garantir la licéité.
Par ailleurs, elle invite le ministère à prévoir des garanties complémentaires permettant d'assurer la transparence du dispositif dans sa globalité : celles-ci pourraient comprendre la publication, sur le site web du ministère, d'une liste officielle recensant les dispositifs de lecture pour lesquels le ministère a estimé qu'ils répondaient aux conditions définies par l'arrêté mentionné ci-dessus après vérification, ainsi qu'une publication des personnes ou services utilisant ces dispositifs alternatifs. Elle estime également que la publication du code source de ces dispositifs devrait être systématique afin d'apporter des garanties fortes en termes de transparence.
En dernier lieu, la Commission considère que le ministère devra renforcer significativement ses efforts de pédagogie à l'égard des professionnels afin de s'assurer du respect des obligations qui leur sont imposées par les textes, et notamment de l'utilisation de l'application TousAntiCovid Verif ou d'un dispositif de lecture conforme aux conditions fixées par arrêté. A cet égard, il a été porté à l'attention de la Commission que l'application TousAntiCovid pouvait être utilisée, par erreur, pour contrôler le passe sanitaire. L'application TousAntiCovid n'est pas, contrairement à TousAntiCovid Verif, un dispositif de lecture du passe sanitaire et ne devait, en aucun cas, être utilisée dans le cadre des opérations de contrôle dès lors qu'elle permettrait un accès illégitime aux données et une conservation illicite des justificatifs. Elle demande au ministère d'identifier des solutions techniques et fonctionnelles, en complément d'une sensibilisation des professionnels concernés telle qu'évoquée ci-dessus, afin de minimiser considérablement le risque d'erreur. En outre, s'agissant de la possibilité de vérifier que le détenteur du passe sanitaire est légitime, la Commission considère que le contrôleur ne devrait pouvoir exiger d'informations supplémentaires qu'en cas de doute fondé sur des éléments objectifs.
Sur l'élargissement des données accessibles aux personnes ou services habilités à contrôler le passe sanitaire dans le cadre de certains déplacements
L'article 1er du projet de décret vient modifier le paragraphe III de l'article 2-3 du décret n° 2021-699 du 1er juin 2021 afin d'élargir les données auxquelles auront accès les personnels et les services habilités pour le contrôle du passe sanitaire requis en application du 1° du A du II de l'article 1er de la loi du 31 mai 2021 telle que modifiée par la loi n° 2021-1040 du 5 août 2021.
En effet, alors que le décret actuellement en vigueur ne prévoit qu'un accès limité aux noms, prénoms, date de naissance de la personne concernée ainsi qu'au résultat positif ou négatif de détention d'un justificatif conforme, les dispositions visées ci-dessus prévoient désormais que ces acteurs accéderont également aux informations relatives à l'examen de dépistage ou au vaccin réalisé.
La Commission relève qu'une telle extension est permise par la loi relative à la gestion de la crise sanitaire, à condition que l'accès à ces données soit « strictement nécessaire » pour le contrôle du passe sanitaire dans ce contexte. La Commission précise que les dispositions concernées de la loi et du projet de décret doivent s'entendre, selon elle, comme désignant l'accès direct aux données par les personnes physiques contrôlant le passe sanitaire : dans tous les cas, l'ensemble des données est lu et traité par les outils informatiques utilisés pour le contrôle.
Elle prend acte des précisions du ministère selon lesquelles ces évolutions législatives et règlementaires sont liées au fait que les opérations de contrôle lors de déplacements vers l'étranger nécessitent parfois que le contrôleur s'assure lui-même du respect des diverses règles imposées par les pays vers lesquels les personnes se rendent, ces règles étant très variables et pouvant subir des modifications fréquentes. La Commission considère que ces éléments sont de nature à justifier que seuls les acteurs en charge de la vérification du passe sanitaire lors de déplacements à l'étranger aient un accès plus large aux données à caractère personnel présentes sur les justificatifs que les personnes et services habilités à contrôler le passe sanitaire lié aux activités dont les règles ne sont pas spécifiques d'une activité à l'autre et n'ont pas vocation à évoluer.
Néanmoins, la Commission relève que la référence au contrôle du passe sanitaire requis en application du 1° du A du II de l'article 1er de la loi du 31 mai 2021 telle que modifiée par la loi n° 2021-1040 du 5 août 2021 renvoie, d'une part, au contrôle des personnes âgées d'au moins douze ans lors de déplacements à destination ou en provenance du territoire hexagonal, de la Corse ou des Outre-mer (ci-après le passe sanitaire « voyages ») et, d'autre part, à celui des personnels intervenant dans les services de transport concernés. Elle considère qu'au regard de la justification apportée, seuls les voyageurs souhaitant se déplacer à l'étranger devraient être concernés par un tel élargissement, à l'exclusion tant des personnes qui se déplacent à destination ou en provenance de la Corse ou des Outre-mer que du personnel intervenant dans ces services de transport.
Par ailleurs, elle invite le ministère à réfléchir à la possibilité de développer un système dans lequel les règles de gestion pourraient être automatisées, de sorte que les personnes en charge de la vérification des certificats aient un accès plus limité aux données, au même titre que dans le cadre du passe sanitaire visant à réguler l'accès à certains lieux, établissements, services ou évènements. Cet objectif semble notamment possible pour les règles édictées par les pays membres de l'Union européenne.
Sur l'absence de conservation des données dans le cadre de la vérification du passe sanitaire
L'alinéa 4 du paragraphe III du projet d'article 2-3 du décret n° 2021-699 du 1er juin 2021 modifié prévoit que si les données ne sont pas conservées dans l'application TousAntiCovid Vérif, elles peuvent en revanche être conservées temporairement par les autres dispositifs de lecture évoqués ci-dessus et uniquement pour la durée d'un seul et même contrôle d'un déplacement ou d'un accès à un lieu, établissement ou service visés par l'obligation de présentation du passe sanitaire.
La Commission prend acte des précisions du ministère selon lesquelles la possibilité de conserver temporairement ces données se justifie par le fait que la vérification du passe sanitaire en ligne est réalisée en amont (parfois jusqu'à quelques jours) d'un déplacement ou de l'accès au lieu, établissement ou service concerné. Si elle ne remet pas en cause l'utilité, dans certains cas, de conserver des informations de manière temporaire, par exemple entre l'enregistrement en ligne et l'embarquement d'un passager, la Commission considère néanmoins que seul le résultat de la vérification opérée devrait être concerné, conformément au principe de minimisation des données consacré à l'article 5.1.c du RGPD. Elle invite donc le ministère à modifier le projet de décret sur ce point.
Sur les dispositions modifiant le décret n° 2021-901 du 6 juillet 2021 relatif au traitement automatisé de données à caractère personnel dénommé « convertisseur de certificats »
L'article 2 du projet de décret prévoit l'extension du « convertisseur de certificats » à la conversion des certificats de preuve internationaux en certificats répondant aux normes européennes ou nationales et pouvant être produits dans le cadre du passe sanitaire. Il s'agit ici de permettre aux Français de l'étranger ainsi qu'aux étrangers de pouvoir disposer d'un certificat pouvant être reconnu en France ou au sein de l'Union européenne et ce, dans un contexte où l'accès à un plus grand nombre de lieux, établissements et évènements seront soumis à la présentation du passe sanitaire.
Le 2° du paragraphe I du projet d'article 2 du décret n° 2021-901 du 6 juillet 2021 modifié précise ainsi que le « convertisseur de certificats » est désormais disponible par l'intermédiaire d'un portail de saisie dédié sur lequel la saisie est réalisée sur la base d'un certificat au format international qui permet à ses utilisateurs, qui agissent pour le compte d'un tiers, de le convertir dans un format respectant les normes européennes ou nationales.
A titre liminaire, la Commission prend acte des précisions du ministère selon lesquelles, en pratique, les personnes concernées, devront adresser, par courriel, les données nécessaires à la génération de l'attestation de vaccination au format DCC ainsi qu'une pièce d'identité, une preuve du pays de résidence et leurs dates de voyage en France. A réception de ces éléments, des agents assermentés du ministère de l'Europe et des affaires étrangères (MEAE) et de la Caisse nationale d'assurance maladie (CNAM) saisiront les informations strictement nécessaires à la génération du certificat sur le portail dédié mentionné ci-dessus, afin d'en obtenir une version au format DCC. Elle prend également acte de ce que le ministère a précisé que le service de conversion pourrait être proposé aux touristes étrangers dans les points d'information touristiques ouverts dans les aéroports parisiens et gérés par le comité régional du tourisme (CRT) d'Ile-de-France ; des agents spécialement habilités du CRT pourraient donc utiliser le portail dédié pour le compte des touristes étrangers.
En premier lieu, la Commission considère que la rédaction du projet de décret mériterait d'être clarifiée sur ce point. Elle invite ainsi le ministère à préciser que les utilisateurs visés dans cette hypothèse sont des agents publics ou spécialement habilités qui agissent pour le compte des demandeurs (notamment les Français de l'étranger).
En deuxième lieu, la Commission prend acte des précisions du ministère selon lesquelles le convertisseur de certificats, via le portail dédié, a vocation à permettre la conversion des certificats de vaccination et de rétablissement ainsi que des certificats de contre-indication introduits par la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire. Elle souligne, à cet égard, que le projet de décret devra être complété, d'une part, afin de prévoir l'intégration du certificat de contre-indication au titre des certificats visés par l'article 1er du décret n° 2021-901 du 6 juillet 2021 et, d'autre part, afin de mentionner les données strictement nécessaires à la conversion des certificats de rétablissement et de contre-indication à l'article 2-II du décret ci-dessus mentionné. Par ailleurs, elle s'interroge sur l'opportunité de modifier également le décret n° 2021-699 du 1er juin 2021 précité afin d'ajouter le certificat de contre-indication au passe sanitaire, eu égard à la possibilité de produire un tel certificat dans le cadre du passe sanitaire lié aux activités conformément au J du paragraphe II de l'article 1er de la loi du 31 mai 2021 telle que modifiée par la loi n° 2021-1040 du 5 août 2021.
En troisième lieu, la Commission rappelle la nécessité de s'assurer que les documents et données communiqués par les demandeurs soient supprimés une fois la conversion réalisée et le certificat transmis à leurs détenteurs, conformément au respect du principe de limitation de la conservation des données consacré à l'article 5.1.e du RGPD.
En quatrième lieu, elle appelle l'attention du ministère sur l'importance de sensibiliser les agents en charge de la saisie à leurs obligations en matière de respect de la protection des données à caractère personnel, notamment s'agissant du respect de la confidentialité des données traitées et de la nécessité de supprimer les éléments transmis à l'issue de l'opération de conversion.
Enfin, en dernier lieu, la Commission estime que cette procédure entre dans le champ d'application du référentiel général de sécurité s'appliquant aux téléservices. Or celui-ci interdit la transmission de telles données, notamment de données de santé, par simple courriel. Elle invite donc le ministère à restreindre la transmission des données nécessaires à la génération d'un passe sanitaire au format DCC à un canal de transmission autre que le courriel, tel qu'un portail web sécurisé et simple d'utilisation, de sorte à ce qu'il ne soit pas nécessaire de s'assurer des mesures de sécurité proposées par le fournisseur de messagerie électronique de la personne concernée, notamment concernant le chiffrement mis en œuvre lors de la transmission des données.
Sur les transferts de données en dehors de l'Union européenne
La Commission prend acte des précisions apportées par le ministère selon lesquelles a été mise en place un chiffrement de bout en bout des certificats à convertir durant leur transmission et ce, afin de garantir la conformité des transferts de données opérés du fait du recours à un prestataire étatsunien. Elle relève que la méthode de chiffrement utilisée est conforme aux recommandations 01/2020 du Comité européen de la protection des données lorsque les données peuvent faire l'objet d'un accès par les autorités du pays de destination et que ce dernier n'offre pas un niveau de protection essentiellement équivalent.
Par ailleurs, la Commission prend également acte de ce que le ministère a confirmé que le prestataire étatsunien devait être remplacé, dans les jours à venir, par un prestataire soumis à des juridictions relevant exclusivement de l'Union européenne. La situation lui paraît donc conforme au chapitre V du RGPD.

La présidente,


M.-L. Denis