Depuis le 9 juin, en France, l’entrée en vigueur du pass sanitaire, papier ou numérique, permet de justifier de son statut vaccinal ou d’un test PCR négatif de moins de 48 heures. Quelles sont les conséquences pour les individus et les points de vigilance portant sur les données personnelles et médicales ?
Entretien avec Nathalie Devillier, Docteure en droit international, spécialisée dans la protection des données et le RGPD, professeure associée au département gestion, droit et finance et membre de la chaire Digital Organization and Society, à Grenoble Ecole de Management.
La mise en place d'un pass sanitaire, en France, suscite la controverse. Existe-t-il, selon vous, une pierre d'achoppement en matière de protection des données personnelles et de santé ?
Le gouvernement français a « offert » voici deux ans le marché des données sensibles de santé à Microsoft. En effet, The Health Data hub, la plateforme nationale des données de santé a été confiée, de fait, et sans appel d'offres, en sous-traitance à Microsoft. Ceci, alors même que la France souhaite conserver sa souveraineté numérique. On peut donc dire aujourd'hui que les serveurs Microsoft sont « open bar » – passez-moi l'expression – pour tout ce qui concerne l'accès, le traitement et l'utilisation des données personnelles sensibles.
Les 11 et 12 mai dernier, les députés français ont entériné le projet d'une plateforme nationale des données de santé, gérée par la société américaine. Les serveurs sont basés aux Etats-Unis et les données seront donc exploitées. C'est d'autant plus problématique que ces données échappent à la souveraineté nationale, alors même que la protection des données sensibles est beaucoup plus forte aux Etats-Unis…
Il n'existe pas de technologies et de ressources disponibles, en France et dans l'Union européenne.
Qu'est-ce qui, selon vous, a motivé cette décision gouvernementale ?
Il n'existe pas de technologies et de ressources disponibles, en France et dans l'Union européenne. D'où ce choix en faveur de Microsoft. En France, particulièrement, la santé et le numérique sont marqués depuis des années par l'absence de dossier médical personnel (DMP). Quelques projets ont été mis en place dans 17 fragments de régions, mais qui n'ont jamais abouti.
Aujourd'hui, en France, les plateformes d'inscription à la vaccination, comme Doctolib, Keldoc.... sont privées. Cela signifie que des sociétés privées ont la main mise sur l'ensemble du marché de la téléconsultation et de la vaccination, et sur toutes les données de santé à l'échelon national !
Quels sont les principaux enjeux ?
Aura-t-on accès à une meilleure qualité de services ? Pour toute réponse, on nous renvoie sur le site Internet de Microsoft. Et, pourtant, le chantier de la santé est colossal pour dresser des corrélations pertinentes entre les datas et produire des recommandations ajustées aux individus dans le champ de la santé. Un exemple : j'exerce une profession sédentaire, j'ai telle ou telle pathologie, je prends tel ou tel traitement, je cours régulièrement, j'enregistre mes performances, je m'alimente de telle façon, etc. Le traitement pertinent des données personnelles de santé pourrait aboutir à des recommandations pour ce qui concerne mon hygiène de vie en termes de prévention… Mais dans cette configuration, la fuite des données vers Microsoft ne produit aucun retour sur le partage des données ! Tout ceci est absent.
Au total, il n'existe aucune transparence. Une étude d'impact aurait été nécessaire afin de mesurer les risques. Rien de tout cela n'a été fait. Plusieurs Etats membres de l'Union européenne – l'Allemagne, l'Espagne... – ont publiées des études d'impact, qui sont accessibles en ligne, mais la France, non.
Quels problèmes spécifiques pose l'application TousAntiCovid ?
Depuis l'an dernier, le gouvernement a souhaité gérer la propagation du virus via le projet d'application Stop Covid tout d'abord, qui a été retoqué par la CNIL. Aujourd'hui, TousAntiCovid permet d'enregistrer son statut vaccinal et, à défaut, ses tests PCR, etc. Cette application pose d'abord le problème de l'interopérabilité. Si vous vous rendez en Italie, par exemple, les autorités italiennes ne pourront pas lire votre statut vaccinal. Cette dernière application n'est toujours pas interopérable ! C'est une hérésie et un gros problème au plan technologique, corrigé par le recours à un code QR…
En l'état, la France est impardonnable : la Commission européenne a publié quantité de « boîtes à outils » et a fait état, depuis avril 2020, de la problématique du backtracking (ou retour sur trace) : la fonctionnalité de l'application permettant d'être notifié en cas de périmètre trop proche.
En théorie, cette application devrait favoriser la libre-circulation des personnes – c'est d'ailleurs pour cette raison essentiellement que beaucoup se font vacciner. Le problème est qu'il n'existe pas de format européen qui garantit l'absence de fraude ! En Grande-Bretagne, aux Pays-Bas, à Paris Charles de Gaulle… de faux certificats de vaccination ou de faux tests PCR négatifs sont vendus via l'application Snapchat pour 40 euros. Ainsi, le niveau de sécurité requis du pass sanitaire n'est pas garanti. Il existe même un risque de fraude avéré sur le code QR. C'est très problématique.
Il existe par ailleurs une confusion dans l'esprit du public entre la libre-circulation et la liberté de se faire vacciner (ou pas) : certains ne sont pas dans les critères d'exigibilité, et d'autres ne souhaitent pas se faire vacciner Le présence ou l'absence du certificat vert ne doit pas entraver la libre-circulation des individus.
Enfin, rappelons que le RGPD ne peut pas corriger les écueils de la sécurité au plan national. En France, c'est la Loi Informatique et Libertés, qui prévaut.
