La « crise sanitaire » a accéléré le « besoin » d’une « identité numérique » généralisée et le passeport sanitaire est donc une aubaine pour le renforcement des systèmes de surveillance numérique !
Le passeport sanitaire et la vie privée
Les informations personnelles
Le passeport sanitaire se présente sous la forme d’un code barre en deux dimensions dans lequel sont inscrits les informations personnelles, médicales et techniques suivantes [1] :
● Informations personnelles
○ Nom, prénom
○ Date de naissance
● Information médicales
○ Type de certificat et résultat éventuel
○ Date et heure du certificat
○ Nom du vaccin reçu, type de molécule injectée, nombre de doses reçues et
date de vaccination
● Informations techniques
○ L’émetteur du pass sanitaire, la date d’émission et son sceau d’authenticité (une signature numérique)
Les technologies utilisées
Le passeport sanitaire utilise la norme de code barre en deux dimensions 2D-Doc, celui-ci pouvant être affiché sur smartphone ou sur papier. Les applications TousAnticovid et TousAnticovid Verif (l’application de lecture pour les professionnels) ont été développées par l’entreprise d’État IN Groupe. L’ensemble des données sont stockées sur le serveur central mis en place par IN Groupe.
Ces applications utilisent notamment des technologies américaines comme Firebase (de Google) pour le requêtage et Akamai Technologies [2] pour les serveurs de proxy (serveurs intermédiaires entre l’application et les serveurs centraux d’IN Groupe).
Bien que ces prestataires soient conformes aux normes RGPD pour assurer la protection des données personnelles, la totalité des informations contenues dans le code barre passerait chez le prestataire américain Akamai Technologies via une requête sécurisée HTTPS entraînant alors un potentiel risque de captation de données sensibles. [3]
Le code informatique des applications n’est pas open source c’est-à-dire qu’il n’est pas divulgué et qu’il n’est donc pas possible de l’auditer. Le caractère non public du code de ces applications a été souligné par la CNIL et n’est pas conforme aux recommandations du Règlement général sur la protection des données (RGPD).
La confidentialité des données
La Commission nationale de l’informatique et des libertés (CNIL) a émis un avis réservé sur la quantité d’informations inscrite dans le code barre qui dépasserait le cadre et la finalité du passeport sanitaire et qui ne respecterait pas le principe de minimisation des données. [4]
En effet, le lecteur pour les professionnels obtiendrait ou permettrait de déduire davantage d’informations de santé qu’un simple résultat de conformité. L’objectif du passeport sanitaire étant simplement la fourniture d’une preuve de test ou de vaccination, or celui-ci est une obligation d’identification et un support d’informations complémentaires qui ne sont pas strictement nécessaires pour accéder à des lieux publics (hormis dans les aéroports internationaux).
De plus, il serait techniquement possible de localiser le smartphone de l’utilisateur professionnel exécutant l’application de lecture TousAnticovid Verif. En effet, celle-ci se connecte au serveur d’IN Groupe à partir de son adresse IP. Les informations récoltées permettraient de tracer le porteur d’un passeport sanitaire (qu’il soit sous format numérique ou papier [5]) en combinant les données d’identification (Qui ?), de localisation (Où ?) et de le suivre en temps réel (Quand ?) entravant ainsi l’anonymat et la libre circulation dans l’espace public. Le passeport sanitaire est ainsi une atteinte majeure à la liberté d’aller et venir, à la liberté de conscience (de se faire vacciner), à la vie privée et aux données personnelles de santé.
L’application TousAntiCovid Verif lit également le code QR du certificat sanitaire européen affiché sur smartphone ou sur papier. Le passeport européen étant calqué sur les mêmes principes techniques avec les mêmes informations et les mêmes risques.
Les enjeux économiques pour la France
IN Groupe (ex-Imprimerie nationale), entreprise d’État et fleuron industriel français est leader mondial de l’identité et des services numériques sécurisés avec un demi-milliard de chiffre d’affaires annuel. L’entreprise fabrique des passeports, des cartes nationales d’identité, des permis de conduire, des cartes de séjour pour une trentaine de gouvernements dans le monde dont l’État chinois (par exemple, les hologrammes incrustés sur les papiers officiels chinois sont fabriqués en France) et avec des clients privés répartis dans près de 130 pays. 60 % des résultats du groupe viennent désormais de l’étranger. 1 passeport sur 2 et sur 1 carte d’identité sur 4 dans le monde.
Grâce à IN Groupe, la France a aujourd’hui une autonomie stratégique en matière de maîtrise des données d’identité des citoyens, ce que beaucoup de pays dans le monde ont perdu. IN Groupe a mis au point la technologie utilisée par les forces de l’ordre et les compagnies aériennes pour lire les codes barres de l’application TousAntiCovid. Ils travaillent sur l’interopérabilité avec le futur passeport sanitaire annoncé par Bruxelles. Ils se sont récemment spécialisés via des rachats dans les portiques de sécurité à reconnaissance faciale présents dans des aéroports en France. IN Groupe vend ses logiciels de recensement des citoyens, mais aussi des titres vierges, protégés contre la fraude et prêts à l’emploi pour les services d’État civil.
IN Groupe a la volonté de commercialiser, d’internationaliser son passeport sanitaire français (dont la dénomination commerciale est « IN COVID Pass ») et d’en faire un modèle technique de référence. [6]
Les enjeux politiques de la crise sanitaire
L’initiative ACT-A
L’initiative ACT-A (Access to COVID-19 Tools Accelerator) est un programme international mis en place en avril 2020 et visant à faciliter le partage d’outils, de données et de consolider les systèmes de santé afin de lutter contre l’épidémie de Covid-19.
Ce programme a été mise en place par le G20 et l’OMS incluant des partenariats avec les organisations suivantes :
● Fondation Bill-et-Melinda-Gates
● Coalition pour les innovations en matière de préparation aux épidémies (CEPI) : organisation créée à l’occasion du forum mondial de Davos en 2017, la fondation Bill-et-Melinda-Gates leur a récemment fait un apport de 250 millions de dollars
● GAVI Alliance : coalition américaine d’acteurs publics et privés travaillant sur les questions de l’immunisation et de la vaccination généralisée des enfants des pays en développement, partenaire du consortium ID2020 de Microsoft
● Fonds mondial : structure internationale de financement, la fondation Bill-et-Melinda-Gates est l’un de ses donateurs les plus importants
● UNITAID : organisation internationale d’achats de médicaments actuellement présidée par Marisol Touraine
● Wellcome Trust : une des plus riches fondations mondiales en médecine, deuxième plus grande après la fondation Bill-et-Melinda-Gates
● Banque mondiale
On note dans ces initiatives de créer un accélérateur de gestion de la crise une forte congruence entre les institutions internationales participant à ce programme et des grands groupes privés notamment la société Microsoft et ses consortiums via la fondation Bill-et-Melinda-Gates.
La géopolitique du passeport sanitaire
Une compétition d’influence sur les politiques vaccinales existe entre le monde anglo-saxon, la Russie, la Chine et l’Inde. Clément Beaune, secrétaire d’État français aux Affaires européennes, a annoncé que le pass sanitaire français ne reconnaîtra que les vaccins autorisés excluant notamment les vaccins russes et chinois et dénonçant le laxisme des pays européens qui le reconnaissaient comme c’est le cas de la Grèce ou de la Hongrie. [7]
L’apanage d’un État est de fournir la monnaie et l’identité. L’identité fait l’objet d’intérêts commerciaux importants entre États et grands groupes privés. L’identité régalienne est devenue numérique dans de nombreux pays et la crise sanitaire est désormais une justification pour accélérer la mise en place d’un passeport sanitaire et d’un traçage numérique.
Le passeport sanitaire et le système de crédit social
Le passeport sanitaire, inefficace et disproportionné
La mise en place du passeport sanitaire français pouvant être potentiellement adossé à une future identité numérique et regroupant un certain nombre d’informations personnelles est un premier pas vers un système de sanctions/récompenses tel qu’actuellement développé par le gouvernement chinois.
Le passeport sanitaire instaure un régime de ségrégation (« citoyens modèles » versus les autres) basé sur des données de santé.
Le passeport sanitaire est une réponse disproportionnée face à la crise sanitaire remettant en cause la légitimité de la politique de santé publique. En effet, si le rôle de l’État est de protéger le citoyen contre un danger extérieur, les non-vaccinés ne représentent un danger que pour eux-mêmes. Dans la mesure où les vaccins sont disponibles pour tous, la vaccination fait l’objet de la responsabilité civile individuelle plutôt qu’une politique de gestion sanitaire globale. La saturation des services hospitaliers qui sert de prétexte à la politique vaccinale n’est désormais plus d’actualité en France métropolitaine selon les données hospitalières relatives à l’épidémie de Covid-19. [8]
Il n’existe actuellement aucun contre-pouvoir (à part la CNIL) qui puisse s’assurer que le passeport ne contiendra pas plus d’informations que prévu. De même qu’il n’existe aucune garantie quant à son caractère temporaire. Les outils et les structures administratives mises en place pour gérer un système de contrôle dit temporaire trouvent souvent de bonnes raisons de pérenniser son existence.
La généralisation et la pérennisation des outils de surveillance de masse en France
Lundi 19 juillet 2021, Laurent Wauquiez a présenté à l’assemblée de la région Auvergne-Rhône-Alpes un projet de délibération pour lui permettre de déployer la reconnaissance faciale dans les gares, de financer l’achat de logiciel d’analyses comportementales et de multiplier les caméras de vidéosurveillance.
Les visages des photos de carte d’identité depuis 2015 sont numérisés et centralisée dans le fichier des titres électroniques sécurisés (TES). [9]
Le 29 juin dernier, les sénateurs ont examiné le nouveau projet de loi en matière d’anti-terrorisme et de renseignement. Cette nouvelle loi comporte l’utilisation de logiciels qui analysent l’ensemble des métadonnées (numéros de téléphone appelés, dates et durées des appels, etc.) transitant sur les réseaux afin de détecter des comportements qui, d’après les services de renseignement, pourraient révéler des activités terroristes.