Face à l’explosion des faux pass sanitaires, le gouvernement vient de durcir les sanctions avec la loi de vigilance sanitaire. Il projette également de créer une liste d’exclusion pour détecter leurs détenteurs et invalider les QR-codes. Mais la CNIL (Commission nationale de l’informatique et des libertés) veille au grain. Et s’il devenait de plus en plus complexe pour les autorités de concilier lutte antifraude et respect des données personnelles ? 

Instauration du pass, obligation vaccinale et fuite du QR-code présidentiel…

Depuis l’été 2021, les Français et les Françaises vivent au rythme du pass sanitaire. Le 21 juillet, il est devenu nécessaire d’être doublement vacciné, muni d’un test Covid-19 négatif ou d’une preuve de guérison pour accéder aux lieux de loisirs et de culture. Puis, le pass a été étendu le 9 août et rendu obligatoire dans les cafés, bars, restaurants, transports de longue distance… Enfin, les professionnels de santé sont soumis à l’obligation vaccinale depuis le 15 octobre sous peine de suspension. 

Mais cette obligation, et l’utilisation du pass sanitaire, ne sont pas du goût de tous. Et depuis, rares sont les semaines sans que des cas de fraudes fassent la une de l’actualité. Point d’orgue en septembre : la divulgation en ligne des QR-codes des pass sanitaires du président de la République Emmanuel Macron, et du Premier ministre Jean Castex. Des fuites qui ont fait le « buzz », mais auxquelles s’ajoutent régulièrement d’autres exemples.

Près de 36 000 faux pass sanitaires recensés à la mi-octobre 2021

Le 15 octobre, un médecin généraliste de l’île de La Réunion a ainsi été mis en cause pour l’établissement d’au moins 100 certificats frauduleux. Fin octobre, une vaste fraude a été mise au jour près de Toulouse, impliquant une bénévole d’un centre de vaccination et son compagnon. Ils sont suspectés d’avoir établi, contre rémunération, au moins 140 faux certificats de vaccination. Parmi les « bénéficiaires » : des aides-soignantes, employés d’Ehpad, kinés… Le 1er novembre, deux agents administratifs du commissariat de Bastia ont également été mis en examen pour avoir pris part à une fraude au pass sanitaire. Liste non exhaustive…

35 634 faux pass avaient été recensés à la mi-octobre, et 270 soignants mis en cause.

Ministère de la Santé

À la mi-octobre, le ministre de la Santé Olivier Véran indiquait effectivement que 35 634 faux pass avaient été recensés à cette date, et 270 soignants mis en cause. Des chiffres très probablement sous-estimés, car très évolutifs. L’Assurance Maladie précise que depuis fin août, les caisses locales d’assurance maladie reçoivent chaque jour entre 6 et 10 réquisitions des services de police et de justice pour procéder à des vérifications.

Un durcissement des sanctions avec la loi de vigilance sanitaire

Âprement discutée entre l’Assemblée nationale et le Sénat, la loi de vigilance sanitaire a été définitivement adoptée le 5 novembre. Outre qu’elle rend possible la prolongation du recours au pass sanitaire jusqu’au 31 juillet 2022, elle renforce les sanctions à l’encontre des fraudeurs.  

Gare à la personne qui prête son pass sanitaire à quelqu’un pour entrer dans un lieu qui l’exige. Il lui en coûtera une amende minimum de 135 euros, possiblement majorée jusqu’à 750 euros. L’utilisation, l’établissement et la vente de faux pass sanitaires, notamment via les réseaux sociaux, seront punis, eux, d’un maximum de 5 ans de prison et de 75 000 euros d’amende. Le législateur tente ainsi la carte de la dissuasion.

Un projet de « liste d’exclusion » sur les rails

Le gouvernement pourrait cependant buter sur un obstacle. En effet, en matière de lutte contre les récalcitrants au pass, il compte bien ajouter une nouvelle arme à son arsenal, et planche sur la création d’une liste d’exclusion qui ne fait pas l’unanimité.

Ainsi, les personnes utilisant un faux pass sanitaire seraient inscrites sur une liste noire. Les certificats identifiés comme frauduleux seraient annulés et ne pourraient plus être utilisés.

La liste serait intégrée dans « TousAntiCovid » et l’application de contrôle « TousAntiCovidVérif ». Un pass inscrit dans cette liste déclencherait un signal dès lors qu’il serait scanné à l’entrée d’un lieu soumis au pass ou sur le lieu de travail des professionnels soumis à l’obligation. En pratique, lorsque les personnes ou les services habilités à contrôler un pass sanitaire scanneront le QR code, la liste d’exclusion sera interrogée afin de détecter une éventuelle concordance entre l’empreinte technique du certificat présenté et celles des certificats déclarés comme frauduleux.

La CNIL vigilante sur l’utilisation de la « liste noire »

Dans un avis publié le 14 octobre, la CNIL (Commission nationale de l’informatique et des libertés) s’est prononcée sur la proposition de décret instituant cette liste de révocation. Sans s’y opposer, elle insiste sur plusieurs points fondamentaux à respecter. 

En préambule, elle précise ainsi que « compte tenu de la gravité des conséquences sanitaires que l’usage de certificats frauduleux est susceptible d’entraîner et du nombre croissant de fraudes, la CNIL considère que les évolutions proposées sont légitimes et proportionnées ». 

Selon elle, le gouvernement devrait cependant préciser que la liste d’exclusion servira uniquement à révoquer les pass frauduleux. Et uniquement à cela. Impossible pour la CNIL que cette liste serve à « faire le gendarme » : « le dispositif envisagé par le gouvernement ne doit pas avoir pour objectif la poursuite des infractions commises en lien avec l’usage de certificats identifiés comme frauduleux », prévient-elle, indiquant qu’aucune précision n’a été apportée sur ce point par les autorités.

Pour la CNIL, il conviendrait également de notifier clairement aux personnes concernées qu’elles figurent sur la liste noire. Sujet important pour la CNIL, l’instance rappelle que la liste d’exclusion ne doit contenir que les empreintes numériques des certificats identifiés comme frauduleux (principe de minimisation des données). Elle ne doit absolument pas contenir de données personnelles et notamment d’informations nominatives ou de santé. « Ce que le décret prévoit désormais de façon explicite », relève la CNIL. Sur cette question, donc, c’est un grand non. 

Enfin, la liste d’exclusion devra avoir une limite de durée, « en même temps que l’obligation de présentation du pass sanitaire pour les activités concernées ». Jusqu’au 31 juillet 2022 maximum, en vertu de la loi de vigilance sanitaire récemment votée.

Depuis le début de la crise sanitaire, les autorités semblent donc soumises à une complexe combinaison entre la lutte antifraude et le respect des libertés et données personnelles.

Lire aussi

L’Europe de la cyberdéfense se construit
brique après brique

Route devant la Commission européenne à Bruxelles
Technologie & Systèmes
18 janvier 2022

Face à une menace cyber qui semble sans limites et accentuée par la crise sanitaire, l’Union européenne tente de s’organiser pour maîtriser le risque à l’échelle des 27. Objectifs : établir des niveaux de protection communs toujours plus exigeants, et coordonner plus efficacement les réponses aux attaques. Mais où en…

Pénuries de matières premières :
alerte mondiale sur la sécurité et la défense

Bateau porte-conteneurs vu de face en mer
Technologie & Systèmes
21 décembre 2021

C’est une des conséquences inattendues de la pandémie de Covid-19. Depuis des mois, les chaînes d’approvisionnement mondiales sont sous tension, dans tous les domaines. Une pénurie mondiale de certaines matières premières et certains composants électroniques affecte tous les secteurs. Et la sécurité n’est pas épargnée.  Après les confinements successifs à…

Et si écouter la ville permettait
d’améliorer les systèmes
de vidéosurveillance ?

Image de la ville avec la foule qui traverse.
Technologie & Systèmes
16 novembre 2021

À la recherche de nouvelles technologies, les villes font désormais appel à des start-up et à leurs dispositifs innovants en termes de sécurité et de sûreté, afin de maîtriser les menaces et de prévenir certains risques. De Cleveland aux États-Unis, à Orléans et la région Sud en France, les communes…