En Israël, en Chine et maintenant aux États-Unis, les passeports vaccinaux sont déjà là. En Europe, ils pourraient bientôt arriver. Comment s’assurer qu’ils offrent plus de bénéfices — le redémarrage progressif de nos pays — que de risques — la mise en danger, voire le fichage de millions de données de santé ?

Pourquoi est-ce important ? 🔥

• Une fois la vaccination bien avancée, le passeport vaccinal permet de rouvrir progressivement les établissements accueillant du public sans risque pour la circulation du virus. Il prend la forme d’une application certifiant la vaccination contre le COVID-19 (ou un test sérologique positif). À l’entrée du restaurant, de la salle de spectacle ou du stade, un rapide scan d’un QR code sur le téléphone et son possesseur est autorisé à entrer.

• En Israël, l’un des premiers pays à l’avoir déployé, le passeport vaccinal est requis pour entrer à l’intérieur des restaurants, dans les boîtes de nuit et, bientôt, dans les stades ou les salles de concert. Mais des voix s’élèvent pour dénoncer des choix techniques peu sûrs et un risque trop élevé sur les données de santé. À titre de comparaison, le passeport vaccinal qui entre en vigueur aujourd’hui dans l’État de New-York repose sur une architecture décentralisée censée mieux garantir la vie privée des utilisateurs.

• Il y a un mois, la présidente de la Commission européenne Ursula von der Leyen a assuré préparer un projet de passeport vaccinal européen. Elle a promis que ce futur “Digital Green Certificate”, qui devra respecter la protection des données, la sécurité et la vie privée, pourra aussi permettre de recommencer à voyager au sein de l’Union européenne et en dehors.

Plus précisément, quels sont les risques ? ⚠️

• Le premier risque est de créer un “honeypot” : un “pot de miel” virtuel qui attire des hackers trop heureux de pouvoir subtiliser d’un coup des informations sensibles sur des millions de personnes. La seule façon d’éviter ce risque est de ne pas recourir à une base unique mais à une architecture décentralisée, au sein de laquelle les données ne sont pas stockées sur un serveur central mais uniquement sur les appareils des utilisateurs. Tout le monde en Europe ne l’entend pas de cette oreille : la France en particulier est très attachée aux architectures centralisées, comme on l’a vu encore récemment avec l’application StopCovid/TousAntiCovid ou encore la carte d’identité électronique.

• Le second risque est d’exposer des données confidentielles non pas à des pirates mais, plus prosaïquement, aux commerçants et organisateurs d’événements. Il ne faudrait pas que l’application de passeport vaccinal, en affichant trop d’informations, permette aux entreprises de constituer des bases de données qu’elles pourront demain réutiliser à des fins de prospection, par exemple. La meilleure façon de limiter ce risque est de minimiser non seulement les données collectées par l’application, mais aussi celles transmises au commerçant. Un équilibre pas si facile à établir, dans la mesure où le passeport vaccinal doit aussi permettre d’authentifier l’identité de son détenteur.

• Enfin, le troisième risque est lié à la tentation, pour les États, d’utiliser le passeport vaccinal pour des finalités étrangères à sa vocation d’origine, comme par le traçage des utilisateurs ou l’établissement de statistiques sur les personnes vaccinées. Non seulement on risquerait de retomber dans l’écueil du premier risque, mais surtout les craintes générées par ce type d’initiative pourraient freiner l’utilisation du passeport vaccinal et donc le retour à la vie normale.

Que dit le RGPD ? 📘

• Le premier point à noter est qu’un dispositif comme le passeport vaccinal ne saurait reposer que sur le consentement des utilisateurs. À notre sens, rien dans le RGPD n’autorise un État à rendre le passeport vaccinal obligatoire. S’agissant du caractère obligatoire du passeport vaccinal pour accéder à un établissement, en revanche, rien ne devrait s’y opposer : le contrôle des passeports vaccinaux nous semble relever de l’intérêt légitime des établissements à assurer la santé de leurs clients et de leurs salariés. Les utilisateurs qui souhaitent cesser d’utiliser le passeport vaccinal devront en outre pouvoir exercer leur droit à l’oubli sans difficulté.

• Si le RGPD ne va pas jusqu’à recommander l’utilisation d’une architecture décentralisée ou centralisée, il pose néanmoins des contraintes qui doivent orienter ce choix : en particulier, l’objectif de minimisation des données — ne pas traiter plus d’informations que strictement nécessaire pour l’accomplissement de la finalité — et l’obligation de privilégier la protection des données “dès la conception” et “par défaut” doivent inciter les développeurs à limiter au maximum les risques pour les utilisateurs.

• S’agissant du traitement à grande échelle de données de santé, l’article 35 du RGPD impose la réalisation de ce qu’on appelle une “analyse d’impact relative à la protection des données” (AIPD en français, DPIA en anglais). Ce travail, qui doit être mené “avant le traitement”, remplit deux fonctions : d’une part il permet de mettre à plat l’ensemble des risques pouvant survenir et donc d’améliorer le projet en apportant des solutions dès la conception ; d’autre part, si le DPIA est rendu public, il fait œuvre de transparence et augmente la confiance des citoyens dans le dispositif proposé.

Et maintenant ? ⏭

• Il faut maintenant que la Commission européenne avance aussi vite que promis sur l’élaboration du Digital Green Pass, de manière à éviter que chaque État-membre ne développe son propre passeport vaccinal, ce qui aurait le double inconvénient de limiter son utilité pour les déplacements au sein de l’UE et de créer des problèmes d’interopérabilité entre les différents passeports nationaux.

• S’agissant des aspects techniques, à l’image de ce qui a été fait dans l’État de New-York, une architecture décentralisée est le seul choix raisonnable pour un dispositif appelé à traiter les données de santé de millions d’Européens. Les données traitées devront être réduites à la portion congrue : identité du détenteur et statut vaccinal ou sérologique (positif ou négatif).

• Enfin, la publication d’un DPIA clair, concis et transparent semble indispensable pour permettre à chacun, expert ou non, de choisir en toute conscience d’utiliser le passeport vaccinal.

Pour aller plus loin… 🧐

👉 En Israël, ce passeport pour les vaccinés leur ouvre les portes des concerts

👉 Bientôt un Digital Green Pass européen pour recommencer à voyager ?

👉 À New-York, dès vendredi, un passeport vaccinal basé sur la blockchain

👉 Vaccine passports gaining traction, privacy conversations key