Face à l’explosion des faux pass sanitaires, le gouvernement vient de durcir les sanctions avec la loi de vigilance sanitaire. Il projette également de créer une liste d’exclusion pour détecter leurs détenteurs et invalider les QR-codes. Mais la CNIL (Commission nationale de l’informatique et des libertés) veille au grain. Et s’il devenait de plus en plus complexe pour les autorités de concilier lutte antifraude et respect des données personnelles ? 

Instauration du pass, obligation vaccinale et fuite du QR-code présidentiel…

Depuis l’été 2021, les Français et les Françaises vivent au rythme du pass sanitaire. Le 21 juillet, il est devenu nécessaire d’être doublement vacciné, muni d’un test Covid-19 négatif ou d’une preuve de guérison pour accéder aux lieux de loisirs et de culture. Puis, le pass a été étendu le 9 août et rendu obligatoire dans les cafés, bars, restaurants, transports de longue distance… Enfin, les professionnels de santé sont soumis à l’obligation vaccinale depuis le 15 octobre sous peine de suspension. 

Mais cette obligation, et l’utilisation du pass sanitaire, ne sont pas du goût de tous. Et depuis, rares sont les semaines sans que des cas de fraudes fassent la une de l’actualité. Point d’orgue en septembre : la divulgation en ligne des QR-codes des pass sanitaires du président de la République Emmanuel Macron, et du Premier ministre Jean Castex. Des fuites qui ont fait le « buzz », mais auxquelles s’ajoutent régulièrement d’autres exemples.

Près de 36 000 faux pass sanitaires recensés à la mi-octobre 2021

Le 15 octobre, un médecin généraliste de l’île de La Réunion a ainsi été mis en cause pour l’établissement d’au moins 100 certificats frauduleux. Fin octobre, une vaste fraude a été mise au jour près de Toulouse, impliquant une bénévole d’un centre de vaccination et son compagnon. Ils sont suspectés d’avoir établi, contre rémunération, au moins 140 faux certificats de vaccination. Parmi les « bénéficiaires » : des aides-soignantes, employés d’Ehpad, kinés… Le 1er novembre, deux agents administratifs du commissariat de Bastia ont également été mis en examen pour avoir pris part à une fraude au pass sanitaire. Liste non exhaustive…

35 634 faux pass avaient été recensés à la mi-octobre, et 270 soignants mis en cause.

Ministère de la Santé

À la mi-octobre, le ministre de la Santé Olivier Véran indiquait effectivement que 35 634 faux pass avaient été recensés à cette date, et 270 soignants mis en cause. Des chiffres très probablement sous-estimés, car très évolutifs. L’Assurance Maladie précise que depuis fin août, les caisses locales d’assurance maladie reçoivent chaque jour entre 6 et 10 réquisitions des services de police et de justice pour procéder à des vérifications.

Un durcissement des sanctions avec la loi de vigilance sanitaire

Âprement discutée entre l’Assemblée nationale et le Sénat, la loi de vigilance sanitaire a été définitivement adoptée le 5 novembre. Outre qu’elle rend possible la prolongation du recours au pass sanitaire jusqu’au 31 juillet 2022, elle renforce les sanctions à l’encontre des fraudeurs.  

Gare à la personne qui prête son pass sanitaire à quelqu’un pour entrer dans un lieu qui l’exige. Il lui en coûtera une amende minimum de 135 euros, possiblement majorée jusqu’à 750 euros. L’utilisation, l’établissement et la vente de faux pass sanitaires, notamment via les réseaux sociaux, seront punis, eux, d’un maximum de 5 ans de prison et de 75 000 euros d’amende. Le législateur tente ainsi la carte de la dissuasion.

Un projet de « liste d’exclusion » sur les rails

Le gouvernement pourrait cependant buter sur un obstacle. En effet, en matière de lutte contre les récalcitrants au pass, il compte bien ajouter une nouvelle arme à son arsenal, et planche sur la création d’une liste d’exclusion qui ne fait pas l’unanimité.

Ainsi, les personnes utilisant un faux pass sanitaire seraient inscrites sur une liste noire. Les certificats identifiés comme frauduleux seraient annulés et ne pourraient plus être utilisés.

La liste serait intégrée dans « TousAntiCovid » et l’application de contrôle « TousAntiCovidVérif ». Un pass inscrit dans cette liste déclencherait un signal dès lors qu’il serait scanné à l’entrée d’un lieu soumis au pass ou sur le lieu de travail des professionnels soumis à l’obligation. En pratique, lorsque les personnes ou les services habilités à contrôler un pass sanitaire scanneront le QR code, la liste d’exclusion sera interrogée afin de détecter une éventuelle concordance entre l’empreinte technique du certificat présenté et celles des certificats déclarés comme frauduleux.

La CNIL vigilante sur l’utilisation de la « liste noire »

Dans un avis publié le 14 octobre, la CNIL (Commission nationale de l’informatique et des libertés) s’est prononcée sur la proposition de décret instituant cette liste de révocation. Sans s’y opposer, elle insiste sur plusieurs points fondamentaux à respecter. 

En préambule, elle précise ainsi que « compte tenu de la gravité des conséquences sanitaires que l’usage de certificats frauduleux est susceptible d’entraîner et du nombre croissant de fraudes, la CNIL considère que les évolutions proposées sont légitimes et proportionnées ». 

Selon elle, le gouvernement devrait cependant préciser que la liste d’exclusion servira uniquement à révoquer les pass frauduleux. Et uniquement à cela. Impossible pour la CNIL que cette liste serve à « faire le gendarme » : « le dispositif envisagé par le gouvernement ne doit pas avoir pour objectif la poursuite des infractions commises en lien avec l’usage de certificats identifiés comme frauduleux », prévient-elle, indiquant qu’aucune précision n’a été apportée sur ce point par les autorités.

Pour la CNIL, il conviendrait également de notifier clairement aux personnes concernées qu’elles figurent sur la liste noire. Sujet important pour la CNIL, l’instance rappelle que la liste d’exclusion ne doit contenir que les empreintes numériques des certificats identifiés comme frauduleux (principe de minimisation des données). Elle ne doit absolument pas contenir de données personnelles et notamment d’informations nominatives ou de santé. « Ce que le décret prévoit désormais de façon explicite », relève la CNIL. Sur cette question, donc, c’est un grand non. 

Enfin, la liste d’exclusion devra avoir une limite de durée, « en même temps que l’obligation de présentation du pass sanitaire pour les activités concernées ». Jusqu’au 31 juillet 2022 maximum, en vertu de la loi de vigilance sanitaire récemment votée.

Depuis le début de la crise sanitaire, les autorités semblent donc soumises à une complexe combinaison entre la lutte antifraude et le respect des libertés et données personnelles.

Lire aussi

Comment concilier cybersécurité et sobriété numérique ?

Technologie & Systèmes
13 février 2024

Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…

Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ?

Technologie & Systèmes
30 janvier 2024

Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…

La cybersécurité des infrastructures critiques, un enjeu d’importance nationale

Technologie & Systèmes
23 janvier 2024

Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…