Cet article est publié en accès libre vu l’importance de ces informations pour le débat public. Mais le journalisme a un coût, n'hésitez donc pas à nous soutenir en vous abonnant.

C’est un point dangereux pour certains. Un élément de détail pour d’autres. L’application du certificat covid permet d’accéder à des informations sensibles sur des tierces personnes, comme l’ont montré des tests réalisés par Le Temps. Cette app est en effet capable, lorsque l’on scanne le code QR de quelqu’un d’autre, de savoir si cette personne a été vaccinée, si elle a guéri du virus ou si elle a subi un test qui s’est révélé négatif. Cela pose un problème de confidentialité, qui déplaît au préposé fédéral à la protection des données. A ce jour, plus de 1,29 million de certificats ont été émis en Suisse.

Prenons un peu de recul pour saisir les enjeux. Deux applications sont désormais librement téléchargeables sur son téléphone. L’une, Covid Certificate, permet de scanner le code QR reçu, contenant son certificat. Cette app est donc le réceptacle de ce sésame, que l’on peut ensuite emporter avec soi n’importe où. L’autre application, Covid Certificate Check, permet de scanner un code QR d’une tierce personne pour savoir s’il est valide. Cette deuxième app n’est pas destinée à être utilisée par n’importe qui: ce serait un employé à l’entrée d’une discothèque, d’un festival ou travaillant pour une compagnie aérienne qui devrait l’employer.

Lorsqu’une personne vérifie un code QR avec cette app, Covid Certificate Check, elle ne voit sur l’écran de son téléphone que le nom, le prénom et la date de naissance de la personne contrôlée, en plus d’un signe montrant que le certificat est valable. Jusque-là, tout va bien.

Données personnelles

Le problème, c’est qu’il est possible de scanner, avec la première app, Covid Certificate, le certificat de n’importe qui. Pas seulement le code QR personnel que l’on a reçu, donc. Mais aussi tous les codes que des tierces personnes nous montrent. Et dans ce cas s’affichent à l’écran beaucoup plus d’informations: on y voit le prénom, le nom, la façon dont le certificat a été obtenu (guérison, test négatif ou vaccination). Dans ce dernier cas, on voit le type de vaccin (SARS-CoV-s mRNA vaccine, dans nos exemples), le nom du produit (COVID-19 Vaccine Moderna), le nom du fabricant (Moderna Biotech Spain), la date de vaccination, le pays de vaccination et la date et l’heure de l’établissement du certificat.

Pourquoi est-ce un souci? Car cela peut révéler des informations sur l’état de santé d’une personne, par exemple le fait qu’elle ait été précédemment malade. Ou qu’elle n’a pas pu, ou voulu, se faire vacciner. «Vous soulevez un point essentiel, estime Sylvain Métille, avocat et professeur en protection des données et droit pénal informatique à l’Université de Lausanne. Il y a en effet trois variantes du certificat covid (vaccination, guérison et test négatif), mais dans la plupart des cas, seul le fait d’une forte probabilité d’immunité est relevant et l’origine de cette immunité ne devrait pas être connue. C’était d’ailleurs une demande du préposé fédéral à la protection des données.»

«Il y a un problème»

Selon l’avocat, il faut régler ce problème: «L’application Covid Certificate est régie par les principes suivants: le contenu des certificats ne peut être diffusé qu’avec l’accord du titulaire concerné, le contenu des certificats doit être protégé par des mesures appropriées contre tout accès non autorisé et le code source est publié. Cela signifie que je ne devrais pas pouvoir utiliser l’application de stockage pour lire ou vérifier le certificat d’un tiers. Il y a effectivement un problème de confidentialité et de respect de l’Ordonnance COVID-19 sur les certificats. C’est un risque important et des mesures doivent être prises rapidement pour empêcher la lecture d’autres certificats.»

Non, «il ne s’agit pas du tout d’un problème de confidentialité», affirme l’Office fédéral de l’informatique et de la télécommunication (OFIT), chargé de la supervision du certificat. Sa porte-parole poursuit: «L’application Covid Certificate est destinée aux propriétaires des certificats et montre toutes les données contenues dans le code QR. Pour des raisons de transparence, il est important que les propriétaires connaissent ces détails. Il s’agit des données minimales requises par l’Union européenne. L’utilisation de cette app pour vérifier les certificats serait abusive (voir les conditions d’utilisation de l’application), et en plus, pas pratique du tout.» Mieux vaut ne pas montrer à n’importe qui son code QR, donc.

Deux certificats

Mais il y a tout de même un problème de confidentialité, estime le préposé fédéral à la protection des données. «Vos conclusions sont correctes. Etant donné que les informations contenues dans le certificat ne peuvent pas être chiffrées conformément aux spécifications de l’Union européenne, le contenu peut en principe être entièrement lu par des applications tierces. C’est pourquoi le préposé s’est engagé dès le début pour qu’un certificat réduit pour l’utilisation en Suisse (light) soit disponible en plus du «certificat européen», détaille une porte-parole du préposé.

On prend ainsi la direction d’un certificat standard, conforme aux directives européennes, et le douanier espagnol ou italien accédera à toutes les informations. Et il y aura un futur certificat suisse «light». «Il devrait avoir une validité de 24 heures et contiendra le nom, le prénom, la date de naissance et l’identifiant du certificat. Cela permettra de réduire les données existantes et donc lisibles au minimum nécessaire», espère la porte-parole du préposé.

Le 12 juillet?

L’OFIT confirme et ajoute: «Les caractéristiques concrètes du certificat «light» sont en cours d’élaboration. Une consultation des cantons est en cours sur la mise en œuvre, après quoi une décision sera prise.» On ne sait pas encore comment cette version «light» sera distribuée et s’il faudra la demander en plus de la version normale.

Le certificat «light» devrait entrer en vigueur le 12 juillet. Mais il ne servira à presque rien, les Chambres fédérales ayant décidé cette semaine, via une conférence de conciliation, de ne pas donner de privilèges aux titulaires d’un certificat covid. Le dossier est donc loin d’être clos, le Conseil fédéral devant prendre des décisions au sujet du certificat les 23 et 30 juin.


Lire aussi: Et si le certificat covid était quasi inutile en Suisse?