Accueil
Le quotidien du droit en ligne
-A+A
Article

Mise en garde de la CNIL sur le « pass sanitaire »

Face à la volonté du gouvernement d’instaurer un « pass sanitaire », la CNIL insiste sur le caractère exceptionnel que doit revêtir un tel dispositif, tout en précisant la teneur des garanties qui doivent être apportées.

par Cécile Crichtonle 20 mai 2021

Saisie le 4 mai 2021 par le secrétaire d’État chargé du numérique et le ministre des solidarités et de la santé, la CNIL s’est prononcée en urgence sur le projet de mise en place d’un « pass sanitaire ». Cette urgence, relève-t-elle, est regrettable, ce d’autant plus que l’avis intervient le jour même de l’adoption du texte en première lecture par l’Assemblée nationale (V. J.-M. Pastor, Feu vert pour le « pass sanitaire », Dalloz actualité, 17 mai 2021 ; C. Stoclin-Mille, Le projet de loi relatif à la gestion de la sortie de crise sanitaire à l’Assemblée, Dalloz actualité, 6 mai 2021).

Sur la gravité du dispositif

La CNIL semble insister sur le fait que son avis n’est ni politique (pt 9), ni scientifique (pt 18), bien qu’elle rappelle que le « pass sanitaire » ne se suffit pas à lui-même et doit s’inscrire dans une politique « globale et cohérente » (pt 26). Son rôle n’est pas non plus, selon ses dires, d’apprécier « la proportionnalité globale entre la contribution d’un pass sanitaire à la protection de la santé de la population » et d’autres droits fondamentaux, comme « la liberté d’aller et venir, la liberté d’entreprendre ou encore la liberté de consentir à un traitement médical ou à subir un acte médical » (pt 11). Toutefois, certaines expressions témoignent de la gravité d’un tel dispositif, lorsque sont par exemple soulignés « les impacts substantiels […] sur les droits et libertés fondamentaux » (pt 2) ou « le caractère sensible et inédit du dispositif envisagé » (pt 7) ou encore « le risque de créer un phénomène d’accoutumance préjudiciable » (pt 8). De la même manière, le caractère nécessairement exceptionnel d’un tel dispositif apparaît à plusieurs reprises, notamment lorsque la CNIL « estime que la mise en œuvre d’un tel dispositif doit être envisagée avec une grande prudence, de façon tout à fait exceptionnelle, au regard de l’ampleur de la crise sanitaire actuelle et pour une durée temporaire » (pt 17). Sa fermeté transparaît d’autant plus lorsqu’elle énonce que « le recours à ce type de dispositif ne saurait en aucun cas être maintenu au-delà de la crise sanitaire. En effet, le maintien du dispositif doit être limité à la durée strictement nécessaire à la réponse à la situation sanitaire exceptionnelle, compte tenu des paramètres épidémiologiques pertinents disponibles, et devra, en tout état de cause, prendre fin dès que cette nécessité disparaîtra » (pt 19).

Sur les lieux visés par le dispositif

Le projet conditionne l’accès à « certains lieux, établissements ou événements impliquant de grands rassemblements de personnes pour des activités de loisirs ou des foires ou salons professionnels ». À cet égard, la CNIL regrette l’imprécision du texte, qui devrait définir précisément ces lieux au lieu de laisser ce soin au pouvoir réglementaire (pt 24). Plus encore, la loi devrait explicitement exclure, d’une part « les lieux qui ont trait aux activités quotidiennes (restaurants, lieux de travail, commerces, etc.) où il est difficile de ne pas se rendre » et, d’autre part, « les lieux qui sont liés à certaines manifestations habituelles de libertés fondamentales (notamment la liberté de manifester, de réunions politiques ou syndicales et la liberté de religion) » (pt 23). Enfin, la loi devrait proscrire explicitement l’accès conditionné par un « pass sanitaire » aux lieux qui ne sont pas visés par le texte (pts 24 et 30).

Relevant qu’un seuil de 1 000 personnes serait envisagé pour restreindre l’accès aux lieux visés par le projet de loi (pt 22), la CNIL recommande également que celui-ci devrait être fixé par voie législative, et non par voie réglementaire (pts 24 et 30).

Sur les modalités de délivrance du « pass sanitaire »

Trois moyens sont envisagés : résultat d’un examen de dépistage virologique ne concluant pas à une contamination ; justificatif de l’administration d’un vaccin ; document attestant d’un rétablissement à la suite d’une contamination. La CNIL insiste sur l’importance de ne pas différencier ces moyens et de préciser expressément que les lieux, établissements ou événement concernés ne doivent pas « sélectionner les types de preuves certifiées qu’ils acceptent » (pt 25).

Le format papier doit en tout état de cause être permis (pt 27) et présenter les mêmes garanties que la version numérique « en matière d’accessibilité et de protection des données à caractère personnel » (pt 38).

La CNIL approuve la volonté du gouvernement de mettre en œuvre une « solution de lecture des preuves numériques certifiées qui traiterait les informations contenues dans les certificats numériques afin de ne restituer à l’écran, lors de la vérification, qu’un résultat de conformité (couleur verte ou rouge) en complément de l’identité de la personne concernée, sans qu’apparaisse la catégorie de preuve mobilisée » (pts 35 et 36) pourvu qu’il mette en place des mesures destinées à ne pas accéder à davantage d’informations que le résultat de conformité (pt 37).

Sur l’encadrement législatif et réglementaire

Outre les éléments précisés supra, la CNIL énonce que la loi devra a minima prévoir que la base légale du traitement repose sur un objectif d’intérêt public, et préciser les finalités du traitement ainsi que la nature des activités ou lieux concernés (pt 30). Les dispositions réglementaires devront, quant à elles, préciser un certain nombre d’éléments listés au point 31.

Si « la puissance publique qui aura mis en place [le] dispositif » est responsable (pt 39), les personnes gérant les lieux, établissements ou événements en cause le sont également pour ce qui concerne le traitement des données « dans le cadre de l’opération de vérification » (pt 40). Les obligations de transparence et d’information leur incombent, mais la CNIL demande à ce que des modèles d’information soient mis à disposition par le gouvernement (pt 41).

L’exercice des droits des personnes doit en tout état de cause être pleinement effectif (pt 42).

Sur l’évaluation des risques

Eu égard à la nature des données traitées, une analyse d’impact sur la protection des données est nécessaire avant toute mise en œuvre du dispositif (pt 33). Quelques recommandations sont détaillées aux points 43 à 51.

L’impact du dispositif sur la stratégie sanitaire globale doit, ajoute-t-elle, « être étudié et documenté de manière fréquente, à intervalle régulier et à partir de données objectives afin que l’utilité et la proportionnalité de celui-ci au cours du temps puissent être évaluées » (pt 20).