CONTACT

TousAntiCovid : La CNIL précise les garanties devant être respectées par la fonctionnalité de « carnet numérique »

06 mai 2021 | Derriennic Associés|

Dans une publication en date du 22 avril dernier (accessible ici), la CNIL a précisé les garanties devant être respectées par la fonctionnalité de « carnet numérique » de l’application TousAntiCovid.

Pour mémoire, le 19 avril 2021, une nouvelle fonctionnalité de « carnet numérique » a été intégrée à l’application TousAntiCovid (« TousAntiCovid-Carnet »). Cette fonctionnalité permet de stocker, de manière électronique, les certificats de résultats de tests (PCR et antigéniques) ainsi que, prochainement, les certificats de vaccination.

TousAntiCovid-Carnet s’inscrit dans le cadre des travaux européens autour du « certificat vert numérique ».

La CNIL, qui a été interrogée afin de garantir que le dispositif soit respectueux du droit à la protection des données personnelles et de la vie privée des citoyens, a émis les recommandations suivantes :

  • L’utilisation de TousAntiCovid-Carnet doit être basée sur le volontariat des personnes, lesquelles peuvent démontrer les résultats de tests et vaccination par d’autres moyens (par exemple, en présentant la version papier remise par les professionnels de santé) ;
  • L’utilisation de cette fonctionnalité doit rester limitée à certains déplacements et la CNIL restera vigilante quant à l’éventuel déploiement d’un tel système ;
  • Cette fonctionnalité doit notamment respecter les garanties suivantes :
    • l’utilisateur doit pouvoir en garder le contrôle ;
    • le certificat doit être accessible également au format papier ;
    • les données doivent être exactes, certifiées par une autorité et leur intégrité doit être garantie ;
    • les données contenues dans le certificat communiqué sur TousAntiCovid-Carnet doivent être limitées à ce qui est nécessaire ;
    • les autorités qui vérifieront le code-barres du certificat présenté par l’utilisateur ne doivent pas avoir accès aux données de santé qui ont permis sa délivrance et ne doivent, en aucun cas, générer la création d’une base centralisée de données ;
    • des mesures de sécurité doivent être apportées (données chiffrées, intégrité des données vérifiée, audits des systèmes d’information, etc.) ».

Enfin, après avoir rappelé qu’elle détient un pouvoir de contrôle pouvant être mis en œuvre pour s’assurer que les garanties nécessaires sont respectées, la CNIL indique qu’elle portera une attention particulière aux modalités d’implémentation de la fonctionnalité et de l’usage qui en sera fait.