CST: déjà des problèmes juridiques

D'application depuis le 1er novembre, le Covid Safe Ticket (CST) subit déjà une action en justice. Dès octobre, l'association de défense des libertés et de la vie privée Charta21 a introduit une action en référé devant le Tribunal de première instance de Bruxelles pour que soit suspendue l'application CovidScan qui permet le contrôle du CST. Au coeur du problème, une nouvelle fois, la plateforme eHealth.

...

L'application CovidScan est le fruit d'une collaboration entre les autorités fédérales et régionales, la plateforme eHealth et Sciensano. Dans le cas des personnes vaccinées, elle vérifie avant validation du ticket que la personne vaccinée n'a pas récemment été soumise à un test PCR qui se serait révélé positif, via une liste chiffrée. C'est à cette étape du processus de scan qu'une potentielle faille de sécurité a été observée relayée à l'autorité de protection des données (APD) début octobre. Cette potentielle faille de sécurité concernait plus de 39.000 personnes. L'agence Digitaal Vlaanderen, qui construit la solution en interne, affirme que l'application CovidScan ne peut pas être utilisée à mauvais escient. " L'application CovidScan est la seule autorisée par la loi en Belgique à scanner les identifiants des personnes et cette application ne stockera jamais ces identifiants sur l'appareil de ceux qui scannent. (...) Avec un identifiant en soi, vous n'êtes rien, parce que vous ne savez pas qui se cache derrière celui-ci. Pour le savoir, vous devez en fait obtenir le certificat de quelqu'un", explique le chef de projet Gert De Gelder. " La seule application autorisée à scanner en Belgique est l'application CovidScan et nous pouvons donc garantir que les données ne sont pas conservées ou transmises lors du scan."Une plainte est néanmoins introduite par Charta21, une association née durant le confinement regroupant essentiellement des juristes et qui a pour but de défendre les droits fondamentaux, singulièrement la vie privée. L'action vise à "mettre fin à de multiples infractions au Règlement général sur la protection des données (RGPD) et notamment à prévenir une fuite de données personnelles de santé des personnes vaccinées". L'action en référé vise eHealth, la plateforme organisant les échanges de données de santé dont Frank Robben est l'administrateur général. Une plainte a également été déposée devant l'Autorité de protection des données (APD), dont Frank Robben est aussi membre externe. "Quand la faille a été révélée, eHealth ne l'a pas signalée à l'APD. Elle n'a pas non plus prévenu les personnes concernées. eHealth aurait dû immédiatement prévenir qu'il y avait eu violation de données au sens du RGPD et avertir toutes les personnes impliquées, ce qu'elle n'a pas fait", souligne Jacques Folon, expert en RGPD et administrateur de l'asbl Charta21. La plateforme eHealth a tenu à apporter des précisions relatives à ce dispositif utilisé pour lire le code QR du Covid Safe Ticket. "L'application CovidScanBE a pour objectif de permettre aux citoyens d'accéder librement aux événements culturels et sociaux tout en assurant le respect des mesures de suivi et de précautions essentielles à la poursuite de la gestion sanitaire de la pandémie."eHealth explique qu'à l'origine, aucune mesure ne prévoyait d'intégrer le cas de personnes qui, disposant d'un certificat de vaccination valable, auraient néanmoins été contaminées par le Covid et de facto, ne pourraient temporairement pas obtenir d'accès à un événement . "Cette situation avait été considérée comme une lacune importante par les épidémiologistes, comme Erika Vlieghe et Steven Van Gucht."C'est la raison pour laquelle une liste publique des certificats qui, pour diverses raisons n'étaient temporairement plus autorisés à donner accès à un événement a été établie. "Il est essentiel de noter que cette liste contient uniquement les numéros des certificats qui ont été suspendus temporairement ou définitivement", souligne eHeath. "Cette liste comprend à la fois les numéros des certificats des personnes ayant été testées positives comme les numéros de certificats considérés comme invalides ou erronés. Aucune information relative à la raison de la suspension du certificat, ni à l'identité de la personne titulaire du certificat ne peut donc être déduite." D'après la plateforme, la mise en place de ce type de liste est un moyen standard dans la gestion de la validité des documents électroniques. Le 29 octobre, la justice a désigné un expert judiciaire indépendant afin d'analyser cette application. La prochaine audience est fixée au 1er décembre. "C'est une première étape qui permet de poursuivre l'action", conclut Jacques Folon.