Délibération n° 2021-054 du 12 mai 2021
C’est désormais bien connu, à situation exceptionnelle, moyens exceptionnels. La crise sanitaire que traverse notre pays, depuis plusieurs mois, en est une parfaite illustration. Et le Gouvernement n’a eu d’autres choix que de recourir à des moyens nouveaux et exceptionnels pour tenter d’endiguer la propagation de l’épidémie de Covid-19.
Ainsi, l’obligation de présenter un passe sanitaire s’est progressivement imposée à l’ensemble de la population, y compris pour des actes de la vie courante, ne manquant pas d’interroger le droit sur la préservation et la conservation des données contenues dans ce passe sanitaire et, dans une moindre mesure, sur le respect du secret médical.
Sur la collecte et la conservation des données contenues dans le passe sanitaire soumis à l’avis de la CNIL
C’est l’article premier de la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de la crise sanitaire qui a, pour la première fois, instauré un dispositif de contrôle sanitaire pour l’accès à certains lieux de culture et de loisirs, le passe sanitaire.
Au regard des enjeux juridiques que ce texte emporte, tant pour les libertés publiques que pour la préservation des données personnelles, le Gouvernement a sollicité un avis de la Commission nationale de l’informatique et des libertés (CNIL), en préalable à l’adoption de la loi.
Dans une délibération n° 2021-054 du 12 mai 2021, la CNIL a tenté de fixer un cadre général à ce passe sanitaire, manifestement appelé à durer et se développer. Elle a, tout d’abord, insisté sur le fait que ce dispositif de contrôle devait être strictement encadré dans le temps et, en aucun cas, excéder la période de crise sanitaire. La CNIL a ensuite jugé nécessaire que l’impact réel de ce passe sanitaire sur l’évolution de la crise pandémique « soit étudié et documenté de manière fréquente, à intervalle régulier et à partir de données objectives ».
Ces bases posées, la CNIL a appelé le Gouvernement à définir avec précision les lieux concernés par cette première mise en œuvre du passe sanitaire et à interdire les contrôles de ce passe dans les endroits non explicitement mentionnés dans la loi et son décret d’application.
La CNIL a donc émis un avis favorable à la création du passe sanitaire sous réserve de sa limitation dans le temps, de sa limitation dans l’espace et de l’évaluation de son impact réel sur l’évolution de la pandémie, estimant que le passe sanitaire, par nature attentatoire aux libertés individuelles et à la confidentialité des données personnelles, devait être strictement encadré.
A la suite de l’adoption de la loi, le Gouvernement a publié le décret n° 2021-724 du 7 juin 2021 modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire. Ce décret a notamment prévu et organisé la mise en œuvre du passe sanitaire.
Dans une délibération n° 2021-067 du 7 juin 2021, la CNIL a été conduite à préciser son précédent avis et a continué à élaborer, au fil de l’eau, sa doctrine.
Cet avis a porté sur les moyens d’exercice du contrôle du passe sanitaire afin de s’assurer du respect de la confidentialité des données.
Sur le caractère sensible des données traitées et la difficile balance entre obligations de santé publique et préservation des libertés publiques
La CNIL a ainsi été sollicitée car le passe sanitaire contient des données à caractère personnel, à savoir les nom, prénom et date de naissance du titulaire, mais également des données de santé et donc des données sensibles relatives à la situation vaccinale, à la date de la dernière injection et au nom du vaccin utilisé.
Au regard de ces enjeux, la CNIL a rappelé « qu’aucune donnée personnelle ne devra être conservée ni par le serveur central, ni par l’application TousAntiCovid-Verif à l’issue de la vérification du justificatif ».
On notera que ce premier passe sanitaire ne régissant l’accès qu’à certains lieux recevant de grands rassemblement de personnes, les opérations de contrôle ont été le plus souvent confiées à des personnes dûment habilitées aux contrôles des accès, en général des agents de sécurité agréés.
La loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire a toutefois dû prendre acte du rebond épidémique en généralisant l’obligation vaccinale à l’ensemble de la population âgée de plus de onze ans et en déployant l’obligation de présenter un passe sanitaire pour l’accès à des lieux de la vie courante et la plupart des moyens de transport sur longue distance.
Alors qu’il avait, à chaque étape du déploiement du passe sanitaire, recueilli, en amont de ses décisions l’avis de la CNIL, le gouvernement ne l’a pas sollicité en préalable à l’adoption de cette loi.
A l’occasion de son audition devant le Sénat, le 21 juillet 2021, la Présidente de la CNIL a néanmoins tenu à faire connaître publiquement la position de son institution. Elle s’est ainsi interrogée sur les questions « inédites et complexes » d’articulation entre protection de la santé publique et exercice de libertés fondamentales que la très large extension du passe sanitaire allait entraîner. Elle s’est aussi interrogée sur « la frontière » entre ce qui relève de la responsabilité individuelle et ce qui relève du contrôle social, réaffirmant qu’« En principe, il ne doit pas y avoir de contrôle de l’état de santé à l’entrée des lieux de vie collective ».
Conformément à sa doctrine en construction sur ce sujet, la CNIL a rappelé, par la voix de sa Présidente, que l’extension du passe sanitaire devait être « paramétrée au plus près », c’est-à-dire circonscrite à des espaces limitativement énumérés et pour une durée limitée. Elle a renouvelé son souhait d’une évaluation rigoureuse et scientifique de l’impact de cette restriction des libertés individuelles sur l’évolution de la pandémie.
Sans être entendue par le législateur, la CNIL s’est inquiétée des modalités de contrôle du passe sanitaire ainsi que de l’éventuelle généralisation des contrôles d’identité à l’occasion de la vérification du passe sanitaire.
Or, les inquiétudes manifestées par la CNIL ne semblent pas sans fondements.
Les téléchargements de l’application TousAntiCovid-Verif se sont multipliés, chacun pouvant s’instituer contrôleur par simple téléchargement de l’application. La nature des données conservées sur les smartphones des contrôleurs n’a pas été fixée. Cette conservation est d’ailleurs sans limitation de durée. Des millions de données personnelles et de santé sont actuellement en circulation sans protection. La sécurité de la transmission entre le smartphone d’un contrôleur et le serveur central de l’application n’est pas assurée et les données sont non-cryptées.
Or, les lois du 31 mai et 5 août 2021 susvisées n’ont pas explicitement exclu du champ du secret médical la vaccination contre la COVID-19, de sorte qu’exiger d’un individu qu’il produise son passe sanitaire pourrait être regardé comme une violation du secret médical, au sens des article 226-13 et 226-14 du Code pénal.
* * *
La gestion de crise a ainsi montré le difficile équilibre à trouver entre obligations de santé publique et préservation des libertés publiques.
La sécurisation de l’accès aux données de santé est un enjeu majeur des prochaines années. La captation d’une partie de ces données par quelques grandes entreprises du numérique est un vrai sujet de préoccupation, tant il est vrai qu’elles se commercialisent aujourd’hui à des tarifs plus élevés encore que les données bancaires.
Sous l’impulsion des travaux de la CNIL, il sera sans doute souhaitable que le législateur se saisisse de l’impérieuse nécessité de fixer un cadre juridique à la conservation, l’accès et l’exploitation des données de santé, tirant en cela utilement les leçons de la crise.
D’ici là, la vigilance s’impose dans l’encadrement, par les acteurs publics locaux concernés, des contrôles des passes sanitaires opérés au sein de leurs établissements. Un cadre réglementaire à usage interne pourrait leur être fixé afin d’organiser et de vérifier l’effacement, si ce n’est instantané, à tout le moins régulier, des données contrôlées. Ce cadre pourrait suivre les recommandations de la CNIL. Même si cette dernière n’a pas été consultée à l’occasion de l’extension du passe sanitaire, les recommandations de cette commission, qui dispose de prérogatives de contrôle et de sanction importantes, constituent un véritable référentiel de bonnes pratiques.
Marie-Hélène PACHEN-LEFEVRE, avocate associée