TousAntiCovid : le pass sanitaire en quête de protection

Depuis le 27 mai, il est possible d'enregistrer son attestation de vaccination sur le site de l'Assurance Maladie, Ameli.fr ou d’en garder un exemplaire papier sur soi. Demain, le 9 juin, marquera une étape supplémentaire vers un retour à la normale avec l’ouverture de salles de sports, bars et restaurants en intérieur et l’allongement du couvre-feu à 23 heures. Pour le gouvernement, cela signifie aussi la mise en place du pass sanitaire français et du fameux QR Code 2D-DOC, que les utilisateurs devront faire scanner pour accéder aux lieux clos sous réserve d’une jauge maximale. « Le pass sanitaire s’appliquera à tous les grands événements, tels que Roland-Garros, le festival de Cannes, les Vieilles Charrues ou encore les événements liés au football débutant en août. Nous espérons que ce soit pour de bon », précise Cédric O, secrétaire d’Etat chargé de la transition numérique et des communications électroniques.

La Cnil valide l'architecture

De son côté, la Cnil a transmis son avis, validant le dispositif du pass sanitaire dans son ensemble, à savoir l’architecture de fonctionnement de TousAntiCovid Carnet et de TousAntiCovid Verif (l'application de vérification utilisée par les professionnels), conforme au RGPD. Elle a cependant émis des recommandations concernant les règles de stockage.

« Aujourd’hui il y a bien un envoi de données vers un serveur central, nécessitant une connexion internet. Dans les prochains jours, une mise à jour permettra de tout avoir en local sans nécessiter une connexion internet pour vérifier si la certification est en rouge ou en vert (cf image ci-dessous) », précise Antoine Darodes, directeur de cabinet de Cédric O. Le gouvernement souhaite in fine tendre vers un système plus protecteur mais affirme travailler dans l’urgence.

Exemple de scan de QR Code dans l'application TousAntiCovid-Vérif. (Crédit Photo: DR)

Il s'agit d'une réponse à la polémique qui a enflé ce week-end sur les réseaux sociaux, après la publication de tweets sur la protection des données du pass sanitaire. Ainsi, Mathis Harmel a réalisé du reverse engeneering sur le QR Code et a décelé un risque de découvrir plus d'informations que prévus. La faute est notamment liée à l'utilisation du format 2D-DOC. Une autre polémique, concernant l'implication des GAFAM a fait l'objet d'une précision par Achille Lerpinière, chef de division de l’aide à la décision de la direction générale de la santé, « des composants de Google ont été utilisés pour l’utilisation de TousAntiCovid Verif lors d’expérimentations, puis débranchés dans les mises à jour des applications à ce jour ».

L’objectif d’un pass sanitaire européen

Achille Lerpinière, précise que « pour des raisons de temps de développement, le pass sanitaire au format 2D-DOC ou QR code coexistera pendant un temps avec le pass sanitaire européen, intitulé EU Digital Covid Certificate ». Le but est de pouvoir faire lire le 2D-DOC par les applications de lecture des Etats membres et à terme au-delà de l’Europe (au format DCC).

« La version actuelle de l’attestation de vaccination, pliée en deux, cache les informations de santé. La version DCC à venir le 22 juin au soir se pliera en 4 pour n’afficher que le QR Code, avec nom, prénom, et date de naissance. Tout le reste sera caché ». Les 2D-DOC et QR-codes DCC seront valables en France et lisibles dans TousAntiCovid Verif. « Il sera possible de récupérer une nouvelle preuve à ce format sur sidep.gouv.fr et attestation-vaccin.ameli.fr, ou de demander à un professionnel de santé de le faire, ou d'utiliser un convertisseur de preuve intégré dans TousAntiCovid. Hors de France, il faudra le DCC », conclut Achille Lerpinière.

Par ailleurs, la Commission européenne recommande à ce que chaque injection soit certifiée. Pour le pass sanitaire, il faut néanmoins que le cycle vaccinal soit terminé incluant les délais post injection. Pour rappel, voici le schéma vaccinal présenté par Coralie Giese, cheffe du projet TousAntiCovid pour les cabinets du ministère des Solidarités et de la Santé et du Secrétariat d’Etat chargé de la Transition numérique et des Communications électroniques : « pour les vaccins à deux doses, le délai post-injection est de 14 jours, pour le vaccin à dose unique, il est de 28 jours et pour les personnes vaccinées à une dose après une infection, le processus de vaccination aboutit après le 15e jour. Le pass sanitaire sera demandé dès l’âge de 11 ans et tous les Etats membres de l’Union européenne comptent s’aligner sur cet âge. En-deçà, seul un test antigénique ou PCR négatif sera exigé pour voyager.