Pourquoi la CNIL ne peut pas valider l'extension du pass sanitaire (mais pourquoi elle le fera quand même)

A l'heure où Olivier Véran répond aux questions des parlementaires en agitant le nombre de contaminations journaliers alors que les taux de mortalité ou de réanimation n'ont jamais été aussi bas, à l'heure où le Conseil d'Etat semble opérer un revirement incroyable de ses positions les plus fermes sur la protection des libertés individuelles, la CNIL peut-elle incarner le dernier rempart contre la fin de nos libertés ?

C’est aujourd’hui que le Conseil des Ministres a validé dans l’urgence et sans concertation publique un projet de loi visant à étendre l’utilisation du pass sanitaire. D’abord réservé aux événements de plus de 1 000 personnes, ce dernier a vocation à été étendu par décret du 19 juillet 2021, d’abord, à des établissements culturels, sportifs et de loisirs accueillant plus de 50 personnes, et devrait être étendu aux activités quotidiennes et aux personnels soignants dans le cadre d’un projet de loi en débat cet après-midi à l’Assemblée Nationale.

Pour rappel, le projet de loi du Gouvernement prévoit : 

  • L’extension du pass sanitaire aux établissements accueillant des activités sportives, ludiques, culturelles (y compris les musées ou bibliothèques), festives ou de culte, dés lors que la capacité d’accueil y est supérieure à 50 personnes, et ce à partir du 21 juillet
  • L’isolement obligatoire de 10 jours pour les personnes testées positives à la Covid-19
  • L’obligation vaccinale pour les personnels soignants (avec des sanctions pouvant aller jusqu’au licenciement en cas de refus)
  • L’extension du pass sanitaire aux déplacements de longue distance sur le territoire hexagonal (train, avion, bus, etc.), les services et établissements accueillant des personnes vulnérables, les activités de restauration ou débit de boissons, et les grands établissements et centres commerciaux.

Ce mercredi 21 juillet 2021, la CNIL est invitée à se prononcer au Sénat sur ce projet de loi. Que peut-elle vraiment en dire ?

Sur le principe même de l’extension du pass sanitaire

D’un point de vue purement juridique, la CNIL rappelait dans son avis du 12 mai 2021 combien ce dispositif inédit depuis l’entrée en vigueur de la loi Informatique & Libertés comportaient des impacts substantiels sur les droits et libertés des personnes physiques. Elle estimait que l’accès à un lieu ne saurait en principe être conditionné à la divulgation d’informations relatives à l’état de santé d’un individu. La Commission justifiait cependant cette atteinte aux libertés fondamentales par un contexte sanitaire spécifique. 

Or, si en mai 2021 les chiffres faisaient état d’une situation dramatique, à savoir 150 décès en moyenne par jour de la Covid-19 (soit 7% des décès quotidiens) selon l’Insee, un taux d’occupation des lits en réanimation de 88% par des patients Covid, un taux de vaccination de la population adulte de 16,4% selon les chiffres du Ministère de la Santé et des Solidarités, ils sont bien différents aujourd’hui : malgré une forte hausse des contaminations, le nombre de décès est désormais de 15 par jour en moyenne (soit 0,7% des 2 150 décès quotidiens répertoriés par l’INSEE), un taux d’occupation des lits en réanimation à 17,83%, et un taux de vaccination de la population adulte de 45%

Ces chiffres parlent d’eux-mêmes et font état d’une très nette amélioration de la situation sanitaire, et ce grâce à une campagne de vaccination très active des personnes vulnérables et notamment des personnes âgées qui représentent plus de 91% des décès des personnes atteintes de Covid-19 en France depuis le début de la pandémie, et qui sont désormais vaccinés à 85%. 

Dans sa décision du 12 mai 2021, la CNIL avait estimé que le fait que l’usage de ce pass soit limité aux événements impliquant de grands rassemblements de personnes, à l’exclusion notamment des activités de la vie courante (lieux de travail, restaurants, commerces, etc.) permettait de limiter l’atteinte aux droits et libertés individuelles.

Dans ses considérants 8, 9 et 10, elle rappelait que la situation exceptionnelle que nous vivons, et notamment cet « état d’urgence sanitaire » induit par la lutte contre l’épidémie de Covid-19 pouvait justifier, dans certaines conditions, une atteinte aux libertés fondamentales. Les conditions qu’elle impose sont notamment : 

  • Le fait que les activités de la vie courante ne soient pas concernées
  • La définition de façon extrêmement précise de la nature des lieux et du seuil envisagé
  • Le caractère temporaire du dispositif
  • Les garanties d’usage en matière de sécurité, compte tenu du traitement de données de santé

Mais avec une représentation de moins de 1% des décès journaliers, peut-on encore parler d’urgence sanitaire ? La question mérite d’être posée.

Sur la mise en œuvre du dispositif

Le 7 juin 2021, la CNIL s’est à nouveau prononcée, cette fois sur les conditions de mise en œuvre du dispositif. Elle a à nouveau rappelé que le dispositif ne devrait être applicable que jusqu’au 30 septembre 2021, qu’il ne devait en aucun cas concerner les activités de la vie courante et qu’il devait également s’effectuer par des personnes habilitées à contrôler les justificatifs. Le respect de ces conditions étaient capitales à plusieurs points de vue.

D’abord car ces conditions permettaient d’éviter que chacun ait accès à des données sensibles sur l’état de santé d’un individu. Ainsi, n’importe qui pourra désormais scanner le QR code de n’importe qui, QR code qui contient lui-même des données de santé selon la définition de l’article 9 du RGPD. Si la base légale du traitement pourrait éventuellement se fonder sur la sauvegarde des intérêts publics dans le domaine de la santé publique, il n’en demeure pas moins que l’accès à ces informations devraient être limitées à des personnes « habilitées ». Valider ce projet de loi reviendrait à permettre au personnel d’un restaurant, d’une bibliothèque ou encore d’un supermarché d’avoir accès à des données sensibles, personnel qui n’est ni formé ni habilité à traiter ce type de données (le simple accès à ces données constituant un traitement).  

Ensuite parce que c’est l’employeur, dont il est pourtant par principe clairement établi qu’il ne peut en aucun posséder des informations médicales sur son personnel, qui devra s’assurer de l’état de santé de ce dernier. La CNIL l’a rappelé à de nombreuses reprises, c’est bien au seul médecin du travail de connaître des éléments de santé relatifs à un employé. Valider le principe selon lequel un employeur aurait donc la charge de vérifier si son collaborateur a contracté à un moment la Covid, serait vacciné ou ferait l’objet d’un test positif, est proprement contraire à tous les principes du RGPD (minimisation, limitation des destinataires, égalité de traitement des salariés). 

Qui plus est, rappelons que si un responsable de traitement collecte ou héberge des données de santé, il doit non seulement effectuer une AIPD mais également mettre en place des mesures de sécurité adéquates. On voit mal comment un patron de restaurant pourra former son personnel à la protection des données personnelles, disposer d’un système d’information sécurisé pour héberger tout cela, etc.

Enfin, parce que la disposition relative à l’isolement en cas de tests positifs entraine nécessairement la création d’une infraction, la centralisation effective des données relatives aux tests PCR, le traçage généralisé de la population, et la surveillance de personnes stigmatisées. Si les modalités de ces dispositions restent bien floues, il n’en demeure pas moins qu’à ce jour et conformément à l’article 10 du RGPD, seules les autorités publiques sont en mesure d’accéder à ces informations. Or, si le test d’un employé se révèle positif et qu’il ne peut alors plus venir au travail car il est contraint à l’isolement, son employeur devra bien connaître la raison de son absence (surtout pour une durée de 10 jours) et donc tracer quelque part le suivi de cette mesure de sûreté en totale contradiction avec la réglementation applicable. 

Pourquoi la Commission validera quand même le texte

Estimant que les conditions garantissant un usage limité des données n’étaient pas réunies et craignant un usage de données sensibles, la Quadrature du Net a demandé au juge des référés du Conseil d’Etat de suspendre le pass sanitaire dans sa version du mois de juin (c’est-à-dire limité à des événements de plus de 1 000 personnes). Le 6 juillet 2021, c’est-à-dire il y a moins de 2 semaines, le Conseil d’Etat a refusé de suspendre son utilisation aux motifs, d’une part, que ce dispositif n’était pas requis pour les activités du quotidien ou l’exercice de certaines libertés fondamentales (manifestations, réunions, exercice de culte), mais également car sa version numérique est facultative et que les informations sont conservées sur le téléphone mobile des personnes concernées. 

Ce matin mardi 20 juillet 2021, le Conseil d’Etat semble complètement se dédire en validant l’extension du pass sanitaire aux activités du quotidien ainsi que le principe d’un isolement contrôlé à domicile pour les personnes positives. Difficile pour autant de connaître les raisons exactes de ce revirement ou les arguments associés, car l’avis est tout bonnement introuvable sur le site du Conseil d’Etat ou sur la toile.

La CNIL suivra-t-elle l’avis du Conseil d’Etat ? Rappelons que le Conseil d’Etat est la plus haute juridiction administrative en France. Plus clairement, cela signifie que les juges qui le composent s’expriment en dernier ressort sur des litiges intervenant entre les particuliers et l’Etat, ou encore en cas de recours dirigés contre des décrets. En donnant un avis globalement favorable au décret ainsi qu’au projet de loi du Gouvernement, le Conseil d’Etat empêche tout recours contre ces deux textes sur le fondement de la protection des données personnelles (ce qui n’empêchera pas de nombreux recours sur d’autres fondements). 

On voit ainsi mal comment l’autorité chargée de contrôler le respect des lois applicables sur le sujet pourrait contredire l’échelon suprême de la juridiction administrative.