En juin, quelques jours après la mise en œuvre de l’obligation de présenter un passe sanitaire, nous attaquions le dispositif utilisé en raison des nombreuses données personnelles présentes. Nous estimions ainsi que le code en deux dimensions présent sur les passes et qui est scanné à l’entrée de divers lieux banalise un contrôle d’identité permanent et inutile. Nous attaquions également le fait que le passe sanitaire – que ce soit le format français utilisé avant le 25 juin ou le format européen utilisé depuis – permet à n’importe quelle personne scannant les codes en deux dimensions de consulter les données de santé (en plus du nom, prénoms, date de naissance) des personnes détentrices des documents : date, lieu et type de test RT-PCR, résultat du dépistage ; nom et fabricant du vaccin, nombre de doses reçues et nombres de doses nécessaires, date de la dernière injection. Comme l’a relevé un groupe de chercheur·euses, dont NextINpact résumait l’analyse, ces données sont particulièrement bavardes, et permettent par exemple de déterminer si une personne est immunodéprimée.

Dans son ordonnance, le Conseil d’État se pose comme tutelle du gouvernement. Le ministère des solidarités et de la santé n’a absolument pas défendu le dossier, produisant d’abord quatre pages creuses de défense, enchaînant ensuite les contres-vérités techniques à l’audience et assumant avoir fait le choix de mettre en danger les données personnelles des personnes. Malgré tout, le juge des référés estime que ce passe n’est pas manifestement illégal (une condition de recevabilité du référé liberté ; autrement dit, le doute profite à l’administration).

La plus haute juridiction administrative enchaîne également les erreurs pour sauver le passe. Le Conseil d’État dénature ainsi notre requête en affirmant que nous estimions que « [les] données ne sont pas lisibles par les personnes habilitées à contrôler le passe sanitaire ». Au contraire, nous affirmions – preuves techniques à l’appui – que les données du passe sanitaire peuvent être détournées par n’importe quelle personne scannant un passe sanitaire (dont, bien évidemment, les personnes chargées de vérifier ces passes à l’entrée d’un festival ou d’un concert).

L’analyse d’impact produite par le gouvernement estimait pourtant elle-même que ce risque de fausse application de lecture permettant de détourner les données était d’une gravité et d’une vraisemblance importante. Cela n’empêche pas le Conseil d’État de juger que ce risque « semble peu élevé. ».

Par ailleurs, alors que nous ne contestions pas devant le Conseil d’État l’application officielle de vérification des passes sanitaires (nous précisions en outre dans notre requête que cette question était sans conséquence sur l’issue du litige), ni la fonction « Carnet » de TousAntiCovid qui permet de sauvegarder sur son téléphone un passe sanitaire, la décision d’aujourd’hui revient sur ces deux éléments. Le Conseil d’État précise que la version numérique est facultative, alors même que la version papier des passes sanitaires met en danger de la même manière les données personnelles contenues dans le code en deux dimensions…

Résumons cette triste décision : la CNIL, tout en admettant que le détournement des données est possible, se fait depuis le début la porte-parole du gouvernement ; le Conseil d’État laisse pourrir la situation avant de sauver in extremis le gouvernement ; le Parlement a quant à lui été ignoré. Naturellement, le gouvernement prépare donc déjà l’extension du passe sanitaire. Nous avons donc particulièrement besoin de votre soutien pour continuer ces luttes.