«Pass sanitaire» : «les garanties sont suffisantes», selon D. Kadar

La semaine dernière, un accord a été scellé entre les députés et les sénateurs sur le texte de la loi pour gérer la sortie de crise sanitaire. Il prévoit l’instauration, de début juin à fin septembre, d’un « pass sanitaire » prédéterminant l’accès aux « grands rassemblements pour des activités de loisirs ou des foires ou salons professionnels ». Il faudra donc pouvoir démontrer, par voie électronique ou papier, que l’on a obtenu un résultat négatif à un test virologique, que l’on a été vacciné ou que l’on est en possession d’un certificat de rétablissement après avoir contracté la Covid-19. En dehors de tels rassemblements, nul ne pourra imposer la présentation de ce pass, précise la loi. A défaut, 45 000 euros d’amende et jusqu’à un mois d’emprisonnement pourraient être encourus. Le texte détaille également de nombreuses exigences à respecter quant aux traitements des données de santé réalisés. Dont celles de ne pas conserver de telles données ou de les réutiliser à d’autres fins.  

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Que pensez-vous de ce « pass sanitaire » ?

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Je pense que les garanties en terme de protection des données personnelles sont suffisantes. C’est extrêmement encadré et la loi votée correspond, dans ses grandes lignes, à l’avis rendu par la CNIL du 12 mai. La Commission a validé la proposition du gouvernement en soulignant le caractère temporaire du dispositif et les cas d’usage limités aux grands rassemblements. La CNIL regrettait, toutefois, que le texte du projet de loi ne précise pas les seuils à partir desquels un grand rassemblement est constitué. 

La validation de la CNIL montre qu’une attention particulière est prêtée, en France, aux respect de la confidentialité des données et de leur contrôle par l’utilisateur. Il pourra accéder à l’information, exercer son droit de retrait, etc. On applique donc les grands principes de protection des données personnelles avec une ouverture salutaire car on cherche à gérer une situation exceptionnelle - une pandémie mondiale - où des données de santé sont impliquées.  

Cette ouverture ne va pas de soi en France : on tourne en effet autour du pot depuis plusieurs mois sur le sujet des données de santé. On pourrait avoir l’impression que certains cherchent à transformer le droit découlant de la protection des données personnelles en un rempart infranchissable des libertés publiques. Actuellement, comme dans d’autres pans du droit, ces libertés entrent en collision avec d’autres grands principes. Et sur ce point, nous allons déjà très loin en France. En Allemagne, par exemple, les commerçants de magasins « non essentiels » peuvent demander la présentation de l’équivalent d’un tel « pass sanitaire » à leurs clients. Il faut raison garder : la vie privée est très protégée en France. 

Selon vous, la règlementation sur les données personnelles n’aurait pas empêché l’extension du « pass sanitaire » à des lieux de vie quotidienne, comme les restaurants, les commerces, etc. ?

C’est pour moi une question d’interprétation. De quelle données de santé parle-t-on ? Ici, la donnée consiste à dire qu’on a été vacciné, que l’on est négatif à un test PCR ou rétabli de la Covid-19. Il ne s’agit pas de savoir quel est votre taux de glycémie, votre rythme cardiaque et de décliner les caractéristiques de votre état de santé. Nous sommes face à une pandémie où se pose effectivement la question de savoir quelles sont les conditions dans lesquelles il est possible de se rassembler. Le curseur [les grands rassemblements, ndrl] est porté très haut en France par rapport à d’autres pays que l’on ne peut pas qualifier de régimes totalitaires. Nous avons une interprétation très restrictive en France qui est en ligne avec les grands principes fixés par la CNIL dans ce domaine. 

Les données de santé sont des données dites sensibles. La CNIL se montre très protectrice de ces données. A titre d’exemple, au début de la pandémie s’est posée la question de l’accès aux bureaux pour les salariés. La CNIL a imposé aux employeurs d’organiser un système permettant non pas de demander à un salarié s’il était malade ou s’il avait des symptômes, mais de faire en sorte qu’il y ait une obligation déclarative de la part du salarié afin de ne pas se rendre sur son lieu de travail s’il était malade. La CNIL a aussi demandé que les tests proposés par les entreprises ne puissent pas être imposés aux salariés (donc seul fonctionnait un test sur la base du volontariat) et que l’employeur n’ait pas accès aux résultats. C’est ce que l’on peut appeler une position rigoureuse car la question simple était : « avez-vous des symptômes » ? C’est la question qu’on ne pouvait pas poser. 

Il est intéressant de noter que si les consultations médicales par internet ont été ouvertes notamment dans le cadre de la pandémie, ce n’est pas avec l’aval de la CNIL. La réglementation impose – avec une surveillance forte de la CNIL – que ces données soient hébergées via un système ultra sécurisé disposant d’une certification d’hébergeur de données de santé (HDS). Cette condition a « sauté » pour les consultations par internet : il est en effet possible de se connecter par n’importe quel réseau et d’enregistrer le contenu de la consultation vidéo sans recours à un hébergeur certifié HDS. Sur ce point, la CNIL n’a pas été consultée. 

Enfin, il y a eu un débat passionné autour de la mise en œuvre de la décision Schrems II, annulant le Privacy Shield. Doctolib, qui est devenu la plateforme utilisée par les pouvoirs publics pour la prise de rendez-vous dans la campagne vaccinale contre la covid-19, est hébergée par une filiale européenne d’une multinationale américaine, société potentiellement soumise aux lois de surveillance américaines contre lesquelles l’ONG de Max Schrems a beaucoup bataillé. Des associations ont introduit un recours devant le Conseil d’Etat sur le fondement de ce risque d’intrusion des lois de surveillance américaines. Si ce recours avait été accueilli favorablement, ceci aurait empêché Doctolib de fonctionner. On peut légitimement s’interroger sur la question de savoir s’il y a réellement un risque de voir lesdites lois de surveillance s’appliquer concernant un individu qui a rendez-vous dans un vaccinodrome.

C’est manifestement ce qu’a conclu le Conseil d’Etat, qui a validé la démarche de Doctolib, sous certaines conditions, mais en faisant l’impasse juridique sur ce qui est au cœur du sujet : la définition des données de santé. Pour le Conseil d’Etat, en effet, les données transmises sur Doctolib ne sont pas des données de santé. Ceci a permis de se soustraire au cadre normatif très strict applicable à de telles données. Pourtant, lorsqu’une personne prenait rendez-vous, elle devait à date indiquer qu’elle souffrait d’une comorbidité si elle avait moins de 70 ans, voire d’une comorbidité grave… 

Si on en revient au « pass sanitaire », il faut, sur la question de la définition des données, reconnaître que la différence entre des données de comorbidité et celles mentionnant que l’on est vacciné paraît pour le moins ténue. La difficulté revient à chaque fois que la définition de donnée de santé est appliquée, parce que cette définition entraîne ipso facto l’application d’un régime extrêmement strict, particulièrement en France. La problématique sous-jacente est que les exigences autour de ces données de santé pourraient aller, comme on le voit avec le contexte de la jurisprudence Doctolib, jusqu’à empêcher la politique de santé d’être efficace. C’est la tension réglementaire actuelle d’un débat qui reste très franco-français.  

Le fait d’empêcher l’accès à certains lieux, si le résultat négatif d’un test PCR ou si un certificat de vaccination ne peut être apporté, n’est-il pas contraire à la protection des données personnelles ?

Je répondrais par un parallèle. Depuis le 1^er avril, la CNIL contrôle le respect de la réglementation relative aux cookies. Certains sites internet ne fonctionnent que parce qu’ils utilisent les données collectées par ces traceurs. Il est permis en France, avec l’aval de la CNIL – à laquelle il faut le dire le Conseil d’Etat a demandé de revoir sa position en la matière – d’avoir ce que l’on appelle des « cookies walls ». Ainsi, si un internaute refuse les traceurs, l’accès au site internet peut lui être refusé. Je ne vois ici aucune contradiction, par ce parallèle issu de la réglementation des données personnelles, avec le fait de refuser l’accès à un grand rassemblement à une personne qui ne souhaiterait pas fournir de « pass sanitaire ». Les choses sont assez simples en réalité. 

Cela veut dire qu’on pourrait imposer le « pass sanitaire » en entreprise ?

Je ne vois, dans le principe, aucun obstacle à ce qu’on impose un « pass sanitaire » pour le retour d’un salarié en entreprise, mais cette interprétation n’est pas celle de la CNIL, qui a expressément exclu cette extension en la considérant incompatible avec la réglementation. Il s’agit à mon sens d’un seuil de tolérance maintenu résolument bas, dans la même veine que les tests de dépistage sur le lieu de travail qui ne pouvaient être effectués que sur la base du volontariat. La véritable question ici est de savoir en quelle mesure pourraient être mis en balance les contraintes d’une telle décision avec ses bénéfices immédiats, à savoir un allègement des conditions de travail en terme de respect des gestes barrières, suppression des barrières de plexiglas, le retour à la normale en restaurant d’entreprise. Cette notion coût/avantage mériterait d’être posée. Mais ceci impliquerait que l’on s’interroge sur une flexibilisation du carcan réglementaire entourant les données de santé. Il y a deux pistes à cet égard : le consentement et la confiance numérique. Je ne suis pas certain que nous y soyons encore.