Votre attestation de vaccination ou votre test négatif PCR sont des données de santé personnelles : ne les partagez pas.

Cela peut être tentant : vous venez de recevoir votre deuxième dose du vaccin contre le covid, vous êtes satisfait d’en avoir « fini » avec le processus de vaccination. On vous remet le précieux sésame, estampillé « ministère des solidarités et de la Santé », intitulé « Attestation de vaccination Covid-19 ».

Votre premier réflexe sera peut-être de prendre la feuille en photo en entier pour l’envoyer à vos proches. Votre deuxième sera peut-être de la publier sur un de vos réseaux sociaux (Instagram, Twitter, Facebook) afin de partager votre contentement. Restreignez-vous.

Les informations qui se trouvent sur votre attestation de vaccination sont des données personnelles de santé : elles sont sensibles. On y trouve votre prénom, nom, date de naissance, date de vaccination, nombre de doses et avec quel vaccin.

On y trouve également deux codes : un code 2D-DOC et un QR Code.

Une attestation de vaccination (floutée par Numerama qui a bien lu son propre article)

Une attestation de vaccination (floutée par Numerama qui a bien lu son propre article)

Ces deux codes sont importants et contiennent toutes les informations vous concernant susmentionnées.

  • Le QR Code (à droite sur l’image d’illustration ci-dessus) ne sert qu’à une chose : vous permettre de télécharger votre pass sanitaire en version dématérialisée dans l’application TousAntiCovid. À l’intérieur de l’app du gouvernement, le certificat s’affichera ensuite sous forme de 2D-DOC.
  • Le 2D-DOC (à gauche sur l’image d’illustration) sert à être scanné dans les endroits où le pass sanitaire sera obligatoire à compter du 9 juin 2021. Il sera scanné notamment par les personnes à l’entrée de lieux rassemblant plus de 1 000 personnes, via une autre app appelée TousAntiCovid-Vérif, développée dans ce but — et qui n’est pas sans soulever quelques critiques.

Qu’est-ce que je risque ?

Dans ces deux cas, si vous publiez les codes sur les réseaux sociaux, ou même si vous les envoyez à vos proches (par exemple, une boucle de messages avec votre famille, où un cousin éloigné pourrait être tenté de transmettre votre photo à d’autres personnes en dehors de votre cercle familial), vous vous exposez à de gros risques.

D’une part, des personnes mal intentionnées pourraient avoir accès très facilement à vos données personnes de santé, et pourraient les utiliser pour vous faire tomber dans des pièges numériques comme du phishing ciblé.

D’autre part, il se déploie de plus en plus (et cela ne risque pas de s’amenuiser dans les mois qui viennent) de réseaux de trafic de faux certificats de vaccination. Cela peut être directement par des personnels soignants ou des laboratoires corrompus, mais aussi sur le web, où se développe un vrai marché noir de revente de faux certificats.

Imaginez la mine d’or que pourraient être vos codes qui montrent que vous êtes vacciné ou vaccinée : il suffirait aux malfrats de copier numériquement votre 2D-DOC pour le revendre ensuite à quelqu’un qui voudrait disposer d’une attestation de vaccination sans avoir à passer par la piqûre. Alors, certes, les données sont associées à un nom, un prénom et une date de naissance, visibles au moment du scan. Mais à l’entrée d’un festival par exemple, il est possible que l’on ne demande pas une carte d’identité pour prouver que le nom correspond bien au pass que vous montrez — il s’agit toutefois d’un point de désaccord entre le gouvernement et la Cnil, qui a rendu un avis le 8 juin mentionnant ce point : le gouvernement souhaite que la présentation d’un justificatif d’identité soit obligatoire, alors que la Cnil encourage à simplement vérifier que le nom sur le billet du festival corresponde à celui du pass.

De même, quelqu’un qui dispose de votre Code QR pourrait le scanner dans sa propre application TousAntiCovid, et disposer ensuite de votre 2D-DOC pour le montrer dans les situations qu’il ou elle le souhaite.

Même raisonnement pour les résultats de tests PCR

Tout ce raisonnement est également valable lorsque vous réalisez un test PCR : l’assurance maladie vous remet un QR Code que vous pouvez ensuite scanner dans l’onglet Carnet de TousAntiCovid. Une fois que vous l’avez intégrée à l’application, l’attestation du test PCR est convertie elle aussi en 2D-DOC, qui peut être scanné à l’entrée d’un festival, ou par des compagnies aériennes quand vous voyagerez.

Il convient ici de rappeler à nouveau que le pass sanitaire n’est pas forcément une attestation de vaccination. Le pass sanitaire est une sorte de « dossier » virtuel dans lequel vous devez glisser un de ces trois documents :

  • Une attestation de vaccination
  • Un test PCR négatif récent
  • Un certificat de rétablissement (qui montre que vous avez eu le covid entre 3 semaines et 6 mois)

Les conseils de protection de vos données en ligne que nous vous donnons ci-dessus valent également pour l’attestation papier dont vous disposez : si vous montrez vote code à deux dimension, n’hésitez pas à plier la feuille pour cacher le reste de vos données personnelles — dans l’app TousAntiCovid-Vérif, la personne en face n’est censée voir que votre nom, prénom et date de naissance. Le reste ne devrait pas lui être accessible.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !