Le Bouillon

Passeport vaccinal : nos données médicales sont-elles en danger ?

par · Publié le · Mis à jour à 12:14

Un passeport vaccinal permettrait de prouver que les Européens ont été vaccinés, ont été négatifs à un test Covid-19 ou ont été guéris du virus.

La Commission européenne a annoncé ce mercredi 17 mars le lancement d'un système de "certificat vert", une forme de passeport numérique pour faciliter les circulations dans l'Union des personnes vaccinées contre le Covid-19. Après le piratage des données de santé de 500.000 Français à l'automne, faut-il s'inquiéter de la mise en place de ce système informatique européen ?

La Commission européenne a dévoilé ce 17 mars son projet de créer un "certificat vert" dans le cadre de la crise sanitaire. Cet outil s'apparente à un passeport vaccinal : un document officiel permettant aux citoyens européens de prouver numériquement qu’ils ont reçu le vaccin, ou qu’ils sont négatifs à un test, et ainsi de voyager plus facilement dans l'Union.

Il s'agira "d'un message positif à l'appui de la relance", fait valoir Vĕra Jourová, la vice-présidente de la Commission chargée des valeurs et de la transparence. En effet, de nombreux pays, et notamment ceux dont l'économie est portée par le tourisme comme la Grèce, comptent sur ce système pour permettre la relance économique sans attendre la sortie complète de la crise. "Avec ce certificat, nous voulons aider les différents États membres à rétablir la liberté de circulation de façon sûre, responsable et avec un lien de confiance", a ajouté mercredi la présidente de la Commission, Ursula von der Leyen.

Exemple de visuel du certificat vert réalisé par la Commission européenne. (Capture d'écran)

Unification des données des Européens

Pour ce faire, l'Europe planche donc sur un système informatique qui permettra aux voyageurs à l'intérieur de l'Union de prouver, lorsqu'ils se rendent dans un autre pays, qu'ils ont été vaccinés, qu'ils ont été négatifs à un test Covid-19 ou bien qu'ils ont été guéris du virus, les trois situations qui permettent le passage des frontières actuellement.

Derrière ce principe, une infrastructure informatique unifiée doit permettre aux autorités, dans les aéroports par exemple, de consulter les données enregistrées par les centres de vaccination de n'importe quel pays européen. Une authentification nécessaire à l'heure où de faux résultats de test Covid au marché noir.

Dans la pratique, le certificat papier ou numérique, présenté aux autorités du pays de destination, dispose d'un QR-code unique et d'une signature numérique. En scannant ces éléments, les autorités du pays génèrent une requête vers un serveur capable de confirmer en retour que le document est authentique.

Un outil qui pose question chez les défenseurs de la vie privée, car il implique la réalisation d'un fichier de données vaccinales et médicales des citoyens, accessible à distance.

Le principe d'un serveur centralisé écarté

En l'état, le projet européen est d'une grande prudence sur le sujet de la confidentialité. L'infrastructure la plus simple - et la plus vulnérable - pour ce type d'outil serait une base de données unique, centralisée, contenant les informations sur l'état de vaccination de tous les Européens et que pourraient consulter tous les pays. Ce schéma est écarté par la Commission européenne.

"Le système de certificats ne nécessitera pas l'installation et la maintenance d'une base de certificats au niveau de l'Union", promet l'institution. Le seul système centralisé par l'UE serait un répertoire de clés publiques qui permettent d'authentifier les certificats.

Les données médicales, elles, resteront chez les pays membres, dans les bases de données sous la responsabilité d'une "autorité de santé référente". Ces bases peuvent être "centralisées au niveau national, ou bien plus largement distribuées", recommande la Commission.

Ce sont ces entités qui établissent un certificat de vaccination ou de test négatif, sous format papier ou numérique mais toujours avec un code à scanner. Elles génèrent ensuite une clé unique pour chaque certificat, envoyée au répertoire européen. Ce dernier ne contient donc pas, en théorie, les données médicales des citoyens.

"Data minimisation"

En France, des fichiers de ce type sont actuellement gérées par les laboratoires et les institutions comme les Agences régionales de santé (ARS). Mais ce système d'information, baptisé "SI Vaccin Covid", est prévu uniquement pour effectuer le suivi de la campagne vaccinale. Son utilisation pour le passeport vaccinal n'est pas prévue du point de vue juridique, et la Cnil veille au grain. Il faudra attendre pour savoir comment le fichier pour le certificat vert sera donc alimenté.

Schéma de principe du système proposé par la Commission européenne. (Capture d'écran)

Générés et stockés dans chaque pays, "les certificats comprendront un ensemble limité d'informations telles que le nom, la date de naissance, la date de délivrance, des informations pertinentes sur le vaccin/test/rétablissement et un identifiant unique du certificat", explique la Commission européenne. Dans sa documentation technique, elle invoque le principe de "data minimisation", qui suppose de ne pas utiliser plus de données que l'outil n'en a besoin pour réaliser sa mission. Une façon de protéger les informations des citoyens en plaçant la vie privée au point de départ de la conception technique.

Pas forcément de quoi lever toutes les inquiétudes chez les défenseurs de la vie privée. Le 23 février, le journal Libération révélait la fuite de données médicales de 500.000 patients Français, volées par des pirates à plusieurs laboratoires de l'Hexagone. Ces derniers utilisaient une solution informatique vendue par la société Dedalus pour gérer leurs fichiers, laquelle s'est révélée défaillante en termes de sécurité informatique. Les hôpitaux, de leur côté, subissent également de plus en plus l'assaut des pirates informatiques, et ces derniers arrivent parfois à leurs fins.

Chine et États-Unis : avec les géants de la tech

Aux États-Unis et en Chine, des systèmes de passeport vaccinaux sont également en cours de réflexion ou de déploiement. Les deux pays s'appuient largement sur leurs propres géants de la tech.

En Chine, un système de passeport sanitaire a été mis en place pour le compte du gouvernement par les géants chinois de la tech, Alibpay et Wechat. L'application Wechat collecte les données médicales, l’historique des voyages et des personnes contaminées croisées. Elle délivre un score rouge, orange ou vert sur le téléphone. Seuls les titulaires du code vert peuvent prendre les transports en commun par exemple, dans les villes où ce système est déployé.

Aux États-Unis, une initiative a été lancée, qui compte Microsoft, Salesforce ou Oracle parmi ses membres. De quoi être plus confiant sur le sort des données personnelles ? Début mars, Microsoft révélait que des failles de sécurité dans ses solutions de messageries avait été exploitées par des pirates.

Baptiste Queuche

Étiquettes :

🧑‍🍳 On vous recommande