Une boutique en ligne est très populaire sur les réseaux sociaux : elle vend des cartes personnalisées contenant un pass sanitaire. Bien que l'entreprise française ne semble pas mal intentionnée, la pratique est très risquée pour les utilisateurs et les utilisatrices.

La généralisation du QR code, dans l’usage du pass sanitaire, implique quelques bonnes pratiques. L’une des règles les plus fondamentales est de ne pas publier votre pass sur les réseaux sociaux. Mais la règle est encore plus universelle : votre pass sanitaire doit rester privé.

Ces derniers jours, une société baptisée Alomora a fait parler d’elle sur les réseaux sociaux et dans plusieurs médias. Sa proposition : elle imprime des cartes personnalisées, similaires à des cartes Pokémon, avec le QR code du pass sanitaire. Le tarif est de 15 euros. Sur Twitter, une publication parlant de cette boutique compte près de 50 000 j’aime et plus de 5 000 retweets. Le site indiquait récemment à BFM faire face à une demande constante.

Mais tout cela n’est-il pas risqué ?

Un tweet partagé plus de 6 000 fois sur Twitter

Contactée par Numerama sur ce sujet, la CNIL (Commission nationale de l’informatique et des libertés) a souhaité attirer l’attention sur la sensibilité des données stockées dans les QR codes et donc «  la nécessité de prendre soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler ». Transmettre votre pass sanitaire à une boutique en ligne relève donc d’une pratique à éviter, même si le site en question n’est pas forcément mal intentionné.

« La mise en œuvre d’un tel fichier (…) implique un haut niveau de sécurité »

Dans les mentions légales d’Alomora, on peut constater que l’entreprise est dans le domaine de la légalité puisqu’il respecte le RGPD — le règlement européen sur la protection des données personnelles — en mentionnant notamment ce que deviennent les données utilisées.

En dépit de la légalité du procédé, et que ce soit pour ce site en particulier ou un autre qui émergerait, le procédé reste toutefois problématique dans les faits. La CNIL nous a expliqué que deux problèmes, en particulier, se posent : la durée du stockage et la sécurisation des informations.

« La durée de conservation des données doit être strictement limitée aux finalités / objectifs poursuivi(e)s par le traitement/fichier. S’agissant du cas d’espèce, dès l’émission de la carte personnalisée, le QR code n’apparaît plus utile », nous indique Mathias Moulin, secrétaire général adjoint de la CNIL. Cela signifie qu’un service comme celui-ci doit absolument s’engager à la suppression du QR code dès lors que la carte est réalisée.

Or, dans une ancienne version des mentions légales d’Alomora que nous avons pu consulter le 21 octobre 2021, le site mentionnait : « Alomora s’engage à supprimer ou archiver les données Client au terme d’une durée de 3 ans suivant le dernier achat, et les données Prospect au terme d’une durée de 3 ans suivant la dernière interaction. »

Une telle durée de stockage est excessivement longue et il n’était alors nullement fait mention d’une suppression immédiate du fichier contenant le QR Code.

Ancienne version des mentions légales. // Source : Capture d’écran d’une ancienne version des mentions légales d’Alomora

Numerama a essayé de joindre le site à ce sujet, mais, quelques heures plus tard, le 22 octobre, il avait évolué, en précisant dorénavant : « Le fichier que vous avez enregistré avant de passer commande, pour nous permettre la réalisation de votre carte personnalisée sera supprimé immédiatement après l’expédition de votre commande. Nous ne conservons pas votre fichier plus longtemps que la durée nécessaire à la conception, l’impression et l’envoi de votre carte. Une fois la carte imprimée et expédiée, le fichier est détruit. »

Site d’Alomora au 22 octobre 2021. // Source : Capture d’écran

Que le site ait fait évoluer ses mentions (et éventuellement ses pratiques) n’est pas une mauvaise chose — au contraire, il n’est pas impossible qu’Alomora ait pris conscience de la sensibilité des données qu’il manipule. Mais cela rappelle cependant que qu’il ne s’agit pas là d’une vente comme les autres.

Le secrétaire général adjoint de la CNIL précise sur ce point à Numerama qu’un autre enjeu de taille se présente pour un tel service : « Par ailleurs la mise en œuvre d’un tel fichier, comportant des informations sensibles, implique un haut niveau de sécurité, en plus du respect des autres obligations liées à l’information et au recueil du consentement spécifique des personnes. » Les données présentes dans votre QR Code de pass sanitaire ne sont effectivement pas anodines. On y trouve votre identité complète, en plus de votre statut vaccinal. Nous n’avons pas pu savoir à quel point Alomora sécurise le processus.

« En tout état de cause la CNIL insiste sur le fait qu’il est recommandé aux personnes de ne pas transmettre leur QR code », conclut Mathias Moulin. En résumé : la transmission du QR code de votre pass sanitaire à une entreprise privée quelle qu’elle soit est fortement déconseillé.

Alomora n’a pas encore donné suite à nos prises de contact.

Partager sur les réseaux sociaux

La suite en vidéo