"Cahier de rappel" dans les restaurants : "Il faut être certains que toutes ces données seront bien détruites" après la crise, alerte un avocat

Parmi les outils évoqués par le gouvernement pour la poursuite du déconfinement figure notamment un "cahier de rappel", dans les bars et restaurants. Les clients devront scanner un QR code et renseigner leurs coordonnées à leur arrivée afin d'être avertis si s'ils sont cas contact d'une personne atteinte du Covid-19. Ce cahier virtuel fera partie du pass sanitaire sur lequel travaille l'éxécutif. "Il faut être certains que toutes ces données seront bien détruites" une fois la crise terminée, alerte Yann Padova, avocat chez Baker McKenzie et spécialiste en droit des données personnelles.

franceinfo : Que pensez-vous du dispositif dans son ensemble ?

Yann Padova : Le cahier de rappel n'est pas totalement nouveau, ça a existé à l'automne dernier, mais c'était uniquement en papier. On pouvait se demander ce qu'il advenait de toutes ces informations qui n'étaient ni très fiables ni très sécurisées. Et finalement, moi, je l'ai rempli, et j'ai appris que j'avais déjeuné à côté de Johnny Hallyday et Juliette Binoche. Les gens se sont amusés. Le cahier de rappel avec un QR code, au moins, ça va être plus robuste et plus rigoureux. C'est un premier élément qui va permettre de retrouver une vie normale et des lieux qui nous ont tous manqué. Les cahiers de rappel papier vont encore exister en parallèle, puisqu'évidemment, tout le monde n'a pas l'application, mais c'est quand même une incitation forte.

J'ai vu les communications officielles en disant que ce serait anonymisé. Là, je suis plus réservé parce qu'on peut remonter du QR code à votre numéro, même si ce n'est pas l'objectif de vous identifier.

Yann Padova

à franceinfo

On a un moyen de vous recontacter, donc ce n'est pas anonymisé au sens du droit des données personnelles. L'enjeu, ça va être la confiance et la transparence des personnes dans la conservation de ces données. Et puis la durée de conservation. C'est évidemment très légitime, très nécessaire de mettre en place ces mesures-là mais, une fois qu'on en sortira, il faut être certains que toutes ces données seront bien détruites.

Peut-il y avoir un risque pour la vie privée via ces données ?

Il peut y avoir un risque de sécurité de la base centrale, puisqu'elle fait le lien entre le QR code et un identifiant, puisqu'on va vous prévenir avec alerte orange, alerte rouge... Le risque, c'est la sécurisation de la base de données, mais toutes les grandes bases de données ont ce risque-là. J'espère que les mesures ont été prises. Après, l'application ne sait pas où vous étiez. Elle sait juste qu'à telle heure, tel jour, vous étiez près de tel QR code qui a été déclaré comme contaminé. Donc, du point de vue de la protection de la vie privée, ce n'est pas extrêmement intrusif. Simplement, il ne faut pas que ça serve à d'autres choses. C'est toujours le risque d'une base centrale comme ça, c'est qu'elle soit utilisée à d'autres fins. La finalité bien encadrée et la durée de conservation des données sont deux gardes fous importants pour qu'il n'y ait pas de risque pour les données et la vie privée.

Est-ce que c'est comparable à quand on rentre nos coordonnées sur des comptes sur les réseaux sociaux, sur Facebook, sur Instagram ?

C'est beaucoup moins intrusif, puisque finalement, vous avez juste un QR code qui est capable de savoir que vous étiez tel jour, à telle heure, près d'un autre QR code, point. Il n'y a pas vos préférences comme sur les réseaux sociaux, vos opinions politiques, vos orientations sexuelles, vos lieux de villégiature, vos amis, etc. C'est assez limité, mais ça doit être néanmoins sécurisé parce que cela va concerner des millions de personnes. C'est le volume des données qui va être important, ce n'est pas l'intrusivité. La donnée en tant que telle n'est pas très sensible, en revanche, le volume est très important.

Les professionnels vont télécharger l'application qui s'appelle TousAnticovid vérif, pour vérifier les données contenues sur son pass, avec pour les compagnies aériennes, une version plus détaillée avec dates et type de vaccin. N'y a-t-il pas de risque de rupture du secret médical, par exemple ?

Le fait d'être vacciné, est-ce une donnée médicale en tant que tel ? Je ne suis pas expert en droit médical, mais c'est quand même une donnée minimale, parce que finalement, c'est quand même une pandémie extrêmement dangereuse et qui peut mettre en danger la vie des autres.

L'essentiel va être la sécurisation du canal de transmission des informations, leur stockage et leur destruction au bout d'un certain temps.

Yann Padova

à franceinfo

Moins on sécurise la transmission, plus on garde longtemps les données, plus le risque est élevé. Il faut jouer sur toutes ces variables pour encadrer au maximum et limiter au maximum les risques. Il n'y a pas de risque zéro en informatique, mais il faut au moins mettre tout en place pour que le risque soit limité et maîtrisé.