Édition internationale
Radio les français dans le monde
--:--
--:--

Passeport vert et utilisation des données : un "cadre très strict"

Arnold Zephir Arnold Zephir
Écrit par Caroline Chambon
Publié le 31 mars 2021

D’ici l’été, un système de « passeport vert » numérique devrait permettre de voyager au sein de l’Union européenne. Le data scientist Arnold Zephir revient sur l’utilisation des données personnelles.

 

La Commission européenne l’a annoncé le 17 mars dernier, un « passeport vert » sera mis en place dans l’Union européenne. Disponible en version papier ou numérique, il prendra la forme d’un QR code à scanner qui indiquera si la personne a été vaccinée, si elle a guéri du Covid-19, ou si elle a obtenu un résultat négatif à un test. A priori, ce certificat sanitaire ne devrait pas être obligatoire, mais aurait pour objectif d’éviter les quarantaines obligatoires dans certains pays. Arnold Zephir, data scientist chez prévision.io, revient sur les tenants et les aboutissants d’un tel système en matière d’utilisation des données.

 

Mises à part les informations sur la vaccination, la présence d’anticorps, ou le résultat d’un test PCR, d’autres données seront-elles accessibles via ce QR code?

 

Non, justement. L’utilisation d’un QR code permet de présager qu’il s’agira d’un système de clefs publiques, et que le QR code ou l’application - s’il y en a une - serviront juste à interroger un serveur. Ce serveur se contentera sans doute de répondre sur la base d’une information codée. A priori, il ne sera pas relié au réseau des données de santé. En plus, l’identité des personnes ne sera certainement pas diffusée, mais une sorte de hash cryptographique (un fichier converti en une chaîne de caractères et permettant de vérifier le caractère identique d’un fichier) servira à protéger les informations qui permettent d’identifier les gens. 

Il va probablement se passer la chose suivante : nous aurons sur chacun de nos téléphones un QR code unique qui sera notre clef publique, sans doute généré à partir du numéro d’identification de notre téléphone. Si quelqu’un scanne le QR code, il sera uniquement en mesure de recevoir les informations précédemment citées.

 

les données ne seront pas exportées avec les identifiants et noms de chaque personne

 

Une personne tient dans sa main un téléphone avec un QR code pour le passeport vert

 

Comment et où ces données seront-elles stockées?

 

Aucune décision n’a été prise pour l’instant. Actuellement, trois réseaux de données existent en France. Il y a un réseau public, avec data.gouv par exemple, qui sont les données statistiques. Il est impossible de retrouver des informations individuelles. Le deuxième niveau est un projet qui s’appelle « Health Data Hub », où les données sont plus fines, mais quand même anonymisées, ce qui permet de faire de la recherche. Il est possible d’y accéder sur demande, avec une bonne justification. Enfin, le troisième réseau est totalement détaché d’Internet et des réseaux publics. Il s’agit du réseau Ameli et de la Sécurité sociale, dans lequel votre médecin regarde avec votre carte vitale. Il va être alimenté avec les données de vaccination, mais le plus probable est que ce serveur ne soit pas exploité, et qu’un second soit créé et récupère uniquement les informations nécessaires. De toute façon, les données ne seront pas exportées avec les identifiants et noms de chaque personne, mais avec des hash et des clefs cryptographiques. Ainsi, même s’il y a une fuite, la personne n’aura que des identifiants.

 

Les gouvernements européens vont probablement être encore plus rigoureux qu’avant.

 

Les citoyens ont-ils des raisons de s’inquiéter quant à la sécurité et l’utilisation de leurs données?

 

Le problème existe en fait depuis bien plus longtemps et personne ne s’en était inquiété. L’Etat n’a pas de raison d’exploiter nos données. Par contre, de plus en plus de connexions sont créées entre les données de santé et les applications de santé privées. En France et dans l’Union européenne, il y a un organisme qui protège cela. Dans le cadre de la législation française, si votre application récupère des données des santé, elle ne peut pas les diffuser. Mais, si vous avez sur votre smartphone une application américaine ou chinoise, elle ne dépend pas de la loi européenne. Si une application américaine me demande si j’ai du diabète et que je réponds oui, il est possible qu’une société d’assurance américaine récupère cette donnée-là. Le but d’une application comme celle-là n’est pas nécessairement de nous vendre quelque chose, mais plutôt de collecter un maximum de données de santé et de les revendre. Il est clair que les gouvernements européens ne feront jamais ça, car le cadre est très strict. Et même s’ils le font, en France par exemple le gouvernement s’expose à la CNIL (Commission Nationale de l’Informatique et des Libertés), qui a un pouvoir d’investigation et peut condamner l’Etat. Les gouvernements européens vont probablement être encore plus rigoureux qu’avant.

 

les cartes biométriques fonctionnent de la même façon que le QR code du « passeport vert »

 

Des nouvelles cartes d’identité sont également en phase de test dans l’Oise depuis peu, en vue d’une généralisation à l’ensemble du territoire français en août. De la même taille qu’une carte bancaire, elles seront équipées d’une puce permettant de scanner l’information. Un tel dispositif permet-il d’assurer la sécurité des données?

 

Le but de ces systèmes est que chacun de nous soit représenté. Partager les données a des avantages certains pour la recherche et la gestion de l’Etat, mais il n’est jamais très bon d’avoir un fichier centralisé qui contienne toutes les données des citoyens. Pour ce qui est de la partie technique, les cartes biométriques fonctionnent de la même façon que le QR code du « passeport vert ». Chacun de nous porte sur lui sa clef privée, son identifiant unique, qui permet d’interroger des systèmes.

Aujourd’hui, pour déclarer nos impôts en ligne, nous nous connectons via un portail qui s’appelle France Connect, qui est une forme de clef unique très sécurisée. L’idée est ici que cette clef soit distribuée, soit sur un support physique comme dans le cas de la carte d’identité, soit sur une application dans le smartphone. Mais, effectivement, la clef d’une carte d’identité permettrait d’accéder à des informations particulièrement personnelles. Les aéroports encouragent beaucoup ce type de projet, car avoir un système de passeports biométriques permet de faciliter les accords entre les Etats.

Pensez aussi à découvrir nos autres éditions