Mise à jour du 29 septembre 2021: La CNIL a publié une FAQ documentée sur les sujets abordés dans cet article, qui prévalent sans hésitation en cas de contradiction : https://www.cnil.fr/fr/covid-19-questions-reponses-sur-le-passe-sanitaire-et-lobligation-vaccinale

Dernière mise à jour le 13/08/2021

Résumé

Le contrôle du passe sanitaire exigé depuis le 21 juillet 2021 et probablement renforcé par l’entrée en application de la loi relative à la gestion de la crise sanitaire (quand elle sera amendée/validée par le Conseil Constitutionnel le 5 août 2021) ouvre de nombreux défis organisationnels pour les structures concernées, même en se bornant comme ici aux seuls traitements de données à caractère personnel.

Il s’agit d’habiliter dans les formes les personnes autorisées à effectuer ces contrôles, de tenir un registre de ces habilitations, de traiter en toute sécurité les données des personnes concernées (dont des personnes vulnérables à compter de l’application de ces dispositions aux salariés concernés). Un tel dispositif élargit la surface de contact aux risques, autant pour les données des personnes concernées que pour les organisations elles-mêmes (risque civil, pénal, etc.).

Gardez en tête que ces contrôles sont éphémères, qu’ils ne doivent pas corrompre la sécurité de votre système d’information ni exposer les personnes outre-mesure, que la justification des identités des personnes doit être la moins intrusive possible, que vous devez mettre à jour votre registre des traitements de données…

De bien belles activités pour ce milieu d’été.

De quoi parle-t-on ?

Le passe sanitaire est le dispositif décidé par le Gouvernement dans le cadre de la gestion de la situation sanitaire Covid-19 que nous vivons depuis mars 2020. Il a été décidé par le Décret N°2021-724 du 7 juin 2021 (modifiant le Décret n°2021-699 du 1er juin 2021) et complété par la LOI n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire.

Depuis le 21 juillet 2021

Le passe sanitaire est obligatoire depuis le 21 juillet 2021 pour toutes les personnes (à partir de 12 ans) se rendant dans des salles d’auditions, de conférences, de projection, de réunions ; des chapiteaux, tentes et structures ; Les salles de concerts et de spectacles ; des cinémas ; des festivals (assis et debout) ; des événements sportifs clos et couverts ; des établissements de plein air ; des salles de jeux, escape-games, casinos ; des lieux de culte lorsqu’ils accueillent des activités culturelles et non cultuelles ; des foires et salons ; des parcs zoologiques, les parcs d’attractions et les cirques ; des musées et salles d’exposition temporaire ; des bibliothèques (sauf celles universitaires et spécialisées) ; des manifestations culturelles organisées dans les établissements d’enseignement supérieur ; des fêtes foraines comptant plus de 30 stands ou attractions ; tout événement, culturel, sportif, ludique ou festif, organisé dans l’espace public susceptible de donner lieu à un contrôle de l’accès des personnes ; des navires et bateaux de croisière avec hébergement ; des discothèques, clubs et bars dansants regroupant plus de 50 personnes. Cette obligation est opposable au responsable du lieu accueillant les-dites personnes.

Élargissement probable de l’application du passe sanitaire au 05 août 2021

Depuis le 9 août, le passe sanitaire devient obligatoire pour les personnes se rendant dans les cafés, restaurants, centres commerciaux, hôpitaux, maisons de retraite, établissements médico-sociaux, ainsi que pour les voyages en avion, train et car pour les trajets de longue distance, sans question de jauge, sauf pour les mineurs de plus de 12 ans qui en sont exemptés jusqu’au 30 septembre 2021. Cette obligation est opposable au responsable du lieu accueillant les-dites personnes.

Les salariés et autres personnes intervenant sur place

Les personnes intervenant dans ces lieux (comprendre « salariés », « bénévoles »…), quant à eux, n’ont aucune obligation de présenter un tel passe d’ici au 30 août 2021. Alors la non présentation d’un passe sanitaire les exposera à une possible suspension de leur contrat de travail et au refus de pénétrer sur le site. Cette obligation est opposable à l’employeur ou assimilé.

Enjeux

Ces différentes restrictions exposent les organisations à de nouvelles obligations, à de nouveaux traitements. La loi se veut précise et ne laisse pas de marge de manœuvre, d’autant qu’il s’agit de données de santé (interdites de traitement par défaut, selon l’article 9.1 du RGPD). Il convient donc d’encadrer convenablement ces opérations pour éviter toute dérive, tout traitement illicite.

Les organisations devront suspendre certaines personnes dans leurs activités, y compris des employeurs vis-à-vis de salariés, ce qui est tout sauf anodin, tant pour les personnes que pour la bonne activité des organisations.

Les organisations seront face à un problème logistique parfois très important, pour faire face à ce nouveau contrôle. Elles pourront être tentées d’innover ou trouver des modalités particulières de contrôle pour alléger leurs tâches.

Essayons alors ensemble d’y voir plus clair.

Ce qu’il ne faut pas faire

Il est interdit de créer un fichier des contrôles réalisés. Les contrôles doivent conserver leur caractère absolument éphémère.

La vérification des identités des personnes contrôlées doit être proportionnée. La justification d’une identité peut être apportée par tous moyens, ce qui indique qu’il n’est pas possible d’exiger la présentation d’une pièce d’identité (pour rappel en France, déclamer son identité et la faire confirmer par un tiers, est un justificatif acceptable face aux forces de l’ordre).

Ce qu’il faut faire

Tenir le registre des personnes habilitées à effectuer le contrôle du passe sanitaire (Décret N°2021-699 modifié art.2-3), incluant leur date d’habilitation, ainsi que les dates et horaires de leurs contrôles.

Définir des procédures précises de contrôle des passes sanitaires, de manière à pouvoir démontrer sa conformité à la loi sur le passe sanitaire, sans pour autant créer de registre des contrôles effectués.

Habiliter les personnes devant contrôler les passe sanitaires, après information sur leurs obligations, notamment en matière de protection des données à caractère personnel, et l’enregistrement de leur bonne compréhension des enjeux (même si le législateur a indiqué « consentement », nous pensons au regard des recommandations de la CNIL & autres, qu’il faut le comprendre comme une attestation d’une information suffisante).

Utiliser exclusivement TousAntiCovid Vérif pour vérifier les passes sanitaires, une application Android et iPhone dédiée, qui ne conserve aucune trace des contrôles effectués.

Créer trois fiches de traitement au registre des traitements de DCP (des exemples sont ajoutés en annexes) :

  1. Traitement « Habiliter les personnes en charge des contrôles du passe sanitaire »
  2. Traitement « Contrôler le passe sanitaire des visiteurs des lieux concernés »
  3. Traitement « Contrôler le passe sanitaire des personnes qui interviennent sur les lieux concernés »

Les risques

En tant qu’organisation concernée par le contrôle du passe sanitaire et en se limitant aux questions de protection des données, vous êtes exposés aux risques de :

  1. Collecte illicite de données à caractère personnel, passible :
    • de 300.000€ d’amende et de 5 ans de prison pour la personne physique responsable de la collecte, par le juge pénal (art.226-18 du Code Pénal) ;
    • d’un devoir de réparation du préjudice, par le juge civil ;
    • d’une sanction administrative pouvant aller jusqu’à 4% du chiffre d’affaire mondial consolidé ou de 20.000.000€ (le montant le plus élevé étant retenu) par la CNIL.
  2. Compromission de la sécurité de votre système d’information par l’utilisation de terminaux de contrôles « personnels » des personnes habilitées, enrôlées de manière moins stricte, pouvant vous exposer à :
    • de 300.000€ d’amende et de 5 ans de prison pour la personne physique responsable de la collecte, par le juge pénal (art.226-17 du Code Pénal) ;
    • d’un devoir de réparation du préjudice, par le juge civil ;
    • d’une sanction administrative pouvant aller jusqu’à 2% du chiffre d’affaire mondial consolidé ou de 10.000.000€ (le montant le plus élevé étant retenu) par la CNIL.

Pour éviter, ou du moins atténuer ces risques, il convient de fournir aux personnes habilitées aux contrôles

  1. les moyens professionnels de ces contrôles,
  2. la formation nécessaire en matière de protection des données dans ce cas particulier, ainsi que
  3. toute l’information nécessaire pour qu’ils puissent attesté avoir été suffisamment informés.

Annexes

Cas particulier des salariés vaccinés

Les salariés soumis au passe sanitaire peuvent présenter à leur employeur leur justificatif de statut vaccinal complet. Dans ce cas, l’employeur peut conserver le résultat du contrôle opéré et délivrer, le cas échéant, un titre spécifique permettant ensuite une vérification simplifiée.

En pratique, l’employeur ne peut pas conserver le QR code mais uniquement le résultat de l’opération de vérification, c’est-à-dire l’information selon laquelle le passe est valide ». Il peut ensuite « délivrer un titre spécifique permettant une vérification simplifiée ». Deux solutions sont préconisées : « soit l’employeur conserve une liste, dont l’accès est restreint aux seules personnes habilitées, des salariés à qui le titre spécifique a été délivré ; soit il délivre ce titre spécifique une seule fois, sans en garder la trace. Nous recommandons de ne pas en garder trace et de produire un document authentifiable.

Dans le cas où une telle option serait déployée, il faut penser à adapter ses fiches traitements.

Cas particulier des entretiens d’embauche

Les justificatifs de passe sanitaire sont à présenter « lors de l’entrée en fonction ». C’est donc à ce moment seulement que l’employeur peut les demander, et non pendant l’entretien d’embauche. Les personnes concernées par ce traitement ne sont donc pas les candidats à l’embauche.

Il semble toutefois avisé d’informer le candidat en amont de la prise de poste de l’obligation qui s’impose à lui, et des conséquences qu’aurait sur le contrat le non-respect de cette obligation.

Traitement « Habiliter les personnes en charge des contrôles du passe sanitaire »

  • Finalités du traitement :
    • Permettre des contrôles dans les meilleures conditions des passes sanitaires ;
    • Permettre la traçabilité des actions de contrôle ;
    • Prévenir les violations de données et autres défaillances du système de contrôle.
  • Base de licéité : RGPD art.6.1.c respect d’une obligation légale (Décret n° 2021-699 du 1er juin 2021 article 2-3)
  • Catégorie de personnes concernées :
    • Salariés
    • Bénévoles
  • Catégories de données à caractère personnel :
    • Nom, prénom,
    • Matricule professionnel,
    • Date d’habilitation,
    • Dates, horaires et lieux des contrôles
  • Catégories de destinataires des données :
    • Direction de l’organisation
  • Durée de conservation des données : 5 ans (délai de prescription de droit commun)
  • Description des mesures de sécurité mises en œuvre :
    • Socle de sécurité de base de l’organisation

Traitement « Contrôler le passe sanitaire des visiteurs des lieux concernés »

  • Finalités du traitement : Contrôler les passes sanitaires des visiteurs
  • Base de licéité : RGPD art.6.1.c respect d’une obligation légale (Décret n° 2021-699 du 1er juin 2021 article 2-3 et loi relative à la gestion de la crise sanitaire) et 9.2.g (motifs d’intérêt public sur la base de la loi)
  • Catégorie de personnes concernées :
    • Personnes se rendant dans un lieu exigeant le contrôle du passe sanitaire
    • Personnes intervenant dans un lieu exigeant le contrôle du passe sanitaire (à compter de la validation de la disposition par le Conseil Constitutionnel)
  • Catégories de données à caractère personnel :
    • Nom, prénom, date de naissance
    • Données de santé (résultat du contrôle du passe sanitaire)
  • Catégories de destinataires des données :
    • La Direction de l’Organisation ou une personne dûment habilitée par celle-ci
  • Durée de conservation des données : Traitement unique par affichage à l’écran et autorisation d’entrée
  • Description des mesures de sécurité mises en œuvre :
    • Terminaux professionnels endurcis
    • Réseau Wifi dédié et sécurisé
    • Formation des personnels aux questions spécifiques de la protection des données dans le cadre du contrôle du passe sanitaire
    • Information des modalités de contrôle par voie d’affichage
    • Utilisation de TousAntiCovid Vérif

Traitement « Contrôler le passe sanitaire des personnes qui interviennent sur les lieux concernés »

Ce traitement ne peut être mis en œuvre avant la date figurant dans la loi relative à la gestion de la crise sanitaire, après validation par le conseil d’état.

  • Finalités du traitement : Contrôler les passes sanitaires des personnes intervenant sur site
  • Base de licéité :
    • RGPD art.6.1.c respect d’une obligation légale (loi relative à la gestion de la crise sanitaire) et 9.2.g (motifs d’intérêt public sur la base de la loi).
    • RGPD art.6.1.a consentement (si le salarié souhaite présenter un schéma vaccinal complet pour éviter un contrôle du passe sanitaire tous les jours)
  • Catégorie de personnes concernées : Personnes intervenant dans un lieu exigeant le contrôle du passe sanitaire, comme les bénévoles ou les salariés (personnes vulnérables)
  • Catégories de données à caractère personnel :
    • Nom, prénom, date de naissance
    • Données de santé (résultat du contrôle du passe sanitaire, ou schéma vaccinal complet)
  • Catégories de destinataires des données : La Direction de l’Organisation ou une personne dument habilitée par celle-ci
  • Durée de conservation des données :
    • Affichage simple à l’écran, sans conservation, pour le contrôle du passe sanitaire
    • Durée de l’obligation de la présentation d’un passe sanitaire, pour le contrôle du schéma vaccinal complet
  • Description des mesures de sécurité mises en œuvre :
    • Terminaux professionnels endurcis
    • Réseau Wifi dédié et sécurisé
    • Formation des personnels aux questions spécifiques de la protection des données dans le cadre du contrôle du passe sanitaire
    • Information des modalités de contrôle par voie d’affichage
    • Utilisation de TousAntiCovid Vérif (seule application autorisée à contrôler les passes, minimisation des données)

Limites de l’exercice

Ne voyez dans cet article aucun signe de maîtrise complète du sujet. Nous vous invitons à nous donner votre point de vue, signaler des erreurs ou des améliorations possibles, en laissant un commentaire éventuel.

Licence de publication

Auteurs : PiaLab et Baptiste LARVOL-SIMON

Licence de publication : Creative-Commons By-SA autorisation vous est donnée de recopier et modifier le contenu de cet article en respectant la licence ici indiquée et en citant l’auteur d’origine.