Pass sanitaire : une passoire à données ? Abonnés

Officiellement, lors de la vérification du passe sanitaire, l’application TousAntiCovid Verif autorise seulement l’affichage d’une indication « valide » ou « non valide ». Le prénom, le nom et la date de naissance de l’utilisateur sont aussi affichés pour y comparer un ticket d’entrée nominatif ou un document d’identité. Théoriquement, il n’est donc pas possible de savoir si la personne présente un test virologique négatif de moins de soixante-douze heures, une attestation de vaccination complète ou un certificat de rétablissement, ce qui constituerait le cas échéant « une rupture du secret médical ne respectant pas les droits des usagers », avait prévenu, dès le 20 avril, le comité de liaison et d’information Covid-19.

En théorie seulement, car dans les faits, de nombreux experts en sécurité informatique ont découvert qu’avec une application générique de contrôle de code-barres, il était possible d’accéder à toutes les informations contenues dans le passe sanitaire (la date, le type de vaccin et le nombre de doses reçues) car ces dernières ne sont pas chiffrées et transitent en clair sur un serveur centralisé. Dans une délibération rendue seulement deux jours avant la mise en fonction du pass sanitaire, la Commission nationale informatique et libertés (CNIL)a conclut qu’une telle pratique peut être « admise compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs », tout en incitant le gouvernement à en informer les utilisateurs pour les encourager à ne pas exposer leurs données personnelles en dehors du cadre prévu.

Le gouvernement a bien prévu une sanction — un an d’emprisonnement et de 45 000 euros d’amende — pour les personnes qui utiliseraient une autre application que TousAntiCovid Verif afin de « conserver [ces] documents et les réutiliser à d’autres fins ». Mais...