La Commission nationale informatique et libertés (CNIL) a rendu un avis favorable sur le projet de mise en place d’un pass sanitaire à la demande du secrétaire d’Etat chargé du numérique et le ministre des solidarités et de la santé. Le gouvernement actuel entend mettre en œuvre le « certificat vert numérique », outil « proposé par la Commission européenne, dont l’objectif est de faciliter l’exercice de la libre circulation au sein de l’Union européenne dans un contexte de crise sanitaire ».

Parce que ce certificat contient des données personnelles, « le Gouvernement a ainsi déjà initié le développement d’un recueil de preuves numériques certifiées par le déploiement de la fonctionnalité « TousAntiCovid Carnet » ». La Commission émet plusieurs recommandations.

Sur les conditions d’admissibilité du pass sanitaire, « la Commission estime que l’accès à un lieu ne saurait, par principe, être conditionné à la divulgation d’informations relatives à l’état de santé des personnes, y compris s’agissant de lieux qui n’ont pas trait à la vie quotidienne ». La mise en œuvre du certificat doit être limitée à certains lieux « au regard de la nature du lieu ou de l’événement fréquenté et dans le cadre de la stricte application du principe de minimisation de la collecte de ces données ». En effet, ce dispositif porte atteinte à plusieurs droits fondamentaux (droit au respect de la vie privée et à la protection des données à caractère personnel, droit d’aller-venir, etc.) dans un objectif honorable, lutter contre la covid-19, néanmoins ces atteintes doivent être « non seulement justifiées par un motif d’intérêt général mais (…) également nécessaires et proportionnées à la réalisation de cet objectif ». La Commission indique que des garanties entourant le certificat sont primordiales car certaines données personnelles sont susceptibles d’être divulguées à des tiers.

Sur le projet du gouvernement, la Commission estime qu’il doit envisager ce dispositif « avec une grande prudence ». Il doit d’abord être limité dans le temps, c’est-à-dire durant la crise sanitaire. De plus, « la Commission considère que l’impact du dispositif sur la stratégie sanitaire globale doit être étudié et documenté de manière fréquente, à intervalle régulier et à partir de données objectives afin que l’utilité et la proportionnalité de celui-ci au cours du temps puissent être évaluées ». La Commission juge que le projet de loi n’introduit pas suffisamment de garanties. En plus de limiter le pass sanitaire aux seuls lieux à haut risque, le gouvernement aurait dû définir « la nature des lieux, établissements et évènements concernés ».  Ensuite, la Commission met en garde contre le risque de « discrimination entre les différents types de preuves certifiées ». En conséquence, « elle considère que les textes devraient préciser l’interdiction pour les lieux, établissements et évènements concernés de sélectionner les types de preuves certifiées qu’ils acceptent ». Enfin, les individus doivent pour avoir accès en parallèle aux « preuves certifiées en format « papier » ».  Sans oublier, la Commission souhaite que le gouvernement réalise « une analyse d’impact sur la protection des données (AIPD), avant toute mise en œuvre d’un tel dispositif, dès lors que le traitement de telles données est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques (données de santé, usage à grande échelle, utilisation d'une nouvelle solution technologique) ».