Délibération n° 2021-103 du 9 septembre 2021 portant avis sur le projet de décret modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire (demande d'avis n° 21015378)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0229 du 1 octobre 2021 |
| Enactment Date | 09 septembre 2021 |
| Record Number | JORFTEXT000044138320 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Date de publication | 01 octobre 2021 |
La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis relative au projet de décret modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, et notamment son article 1.II.E ;
Vu le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire ;
Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie en urgence, le 25 août 2021, par le ministre des solidarités et de la santé, puis le 30 août 2021 par saisine rectificative, d'une demande d'avis relative à un projet de décret modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire.
L'élargissement du passe sanitaire, le 9 août dernier, à de nombreuses activités dont certaines ont trait à la vie quotidienne (restaurants, débits de boissons, transports publics interrégionaux de longue distance, etc.) a entraîné une multiplication des fraudes. Le ministère, en qualité de responsabilité du traitement, entend mettre en œuvre un traitement de données permettant la révocation des certificats identifiés comme frauduleux afin que ces derniers ne puissent plus être utilisés dans le cadre des déplacements et de l'accès aux lieux, établissements et évènements soumis à la présentation du passe sanitaire.
Par ailleurs, afin de répondre aux recommandations formulées par la CNIL dans ses précédents avis du 7 juin et du 6 août 2021, le ministère a souhaité développer un dispositif permettant la génération d'un passe sanitaire « activités » temporaire, d'une validité maximale de 48 heures, et contenant un nombre plus limité de données.
Compte tenu de la gravité des conséquences sanitaires que l'usage de certificats frauduleux est susceptible d'entraîner et du nombre croissant de fraudes, ainsi que pour les motifs développés ci-après, la Commission considère que les évolutions proposées sont légitimes et proportionnées. Pour autant, s'agissant des dispositions relatives à la lutte contre la fraude, le projet de décret devra être modifié afin de limiter expressément les finalités du traitement de données à caractère personnel envisagé ainsi que les données inscrites dans la liste d'exclusion, et préciser les durées de conservation de ces dernières. Elle insiste également sur la nécessité d'assurer une information des détenteurs des certificats inscrits dans la liste au moment de l'inscription, au regard des impacts que le traitement est susceptible d'avoir sur ces derniers. Enfin, s'agissant de la génération temporaire d'un passe sanitaire « activité », la Commission, qui accueille favorablement un tel dispositif, invite le ministère à préciser le projet de décret sur les données traitées dans ce cadre.
Sur la lutte contre la fraude au passe sanitaire
Le ministère entend compléter l'article 2-3 du décret n° 2021-699 du 1er juin 2021 susvisé afin de prévoir la création d'une base de référencement (ci-après la « liste d'exclusion ») permettant le stockage d'une empreinte numérique de certaines informations des codes-QR et 2D-DOC identifiés comme frauduleux.
La Commission précise que le dispositif envisagé doit permettre l'inscription et la conservation, dans la liste d'exclusion, de l'empreinte numérique des certificats identifiés comme frauduleux, afin de s'assurer que ces derniers ne puissent plus être utilisés dans le cadre de l'obligation de présentation du passe sanitaire. Le ministère a précisé que le dispositif doit permettre de lutter ainsi contre deux types de fraudes : l'usage d'un certificat par un tiers, ainsi que l'utilisation d'un certificat délivré illégalement par une personne habilitée. En pratique, lorsqu'un certificat sera identifié comme frauduleux, les informations relatives à celui-ci seront extraites des systèmes d'information du ministère des solidarités et de la santé pour que l'empreinte numérique du certificat puisse être calculée avant l'intégration de celle-ci au sein de la liste d'exclusion. Afin de permettre l'identification des certificats considérés comme frauduleux, une copie de la liste d'exclusion sera conservée localement au sein des applications « TousAntiCovid » et « TousAntiCovid Verif », ainsi que sur le convertisseur de certificats. Dès lors, lorsque les personnes ou les services habilités à contrôler un passe sanitaire scanneront un QR-Code, la liste d'exclusion sera interrogée afin de détecter une éventuelle concordance entre le certificat présenté et ceux déclarés comme frauduleux. A cette fin, le projet de décret pose le principe d'un traitement automatisé de données ayant pour finalité de lutter contre la fraude, en révoquant les passes sanitaires faux ou détournés.
Sur les modalités d'inscription des certificats identifiés comme frauduleux dans la liste d'exclusion
La Commission prend acte des précisions du ministère selon lesquelles l'inscription, par le ministère, d'un certificat dans la liste d'exclusion peut être la conséquence des évènements suivants :
- Le détenteur légitime du certificat adresse un signalement à la plateforme de support de « TousAntiCovid » et du passe sanitaire, ou dépose une plainte auprès des autorités compétentes, après avoir constaté un usage frauduleux ou une atteinte à la confidentialité de son passe sanitaire ;
- Le certificat fait l'objet d'une procédure en cours, peu importe que cette dernière ait été initiée à la suite d'un dépôt de plainte du ministère dans le cadre d'une dénonciation (par exemple, une personne qui a signalé la vente de...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI