Aujourd’hui, en plein confinement pour lutter contre le Covid-19 et alors que de lourdes questions se posent sur le traçage numérique (« Contact Tracing« ) de la population pour sortir du confinement, est sortie l’attestation de sortie dérogatoire numérique, sur base de QRCode. Il faut noter que, depuis des années, les tentations de l’État Français de surveiller la population est toujours plus forte. Cette concomitance entre les réflexions sur le Contact Tracing et l’attestation numérique n’a rien pour rassurer.

Dans ce contexte, nous avons testé et inspecté le fonctionnement de la génération de l’attestation numérique et du QRCode lié. Attention, ceci exclut toute étude du contrôle par les forces de l’ordre de cette attestation, nous n’avons pas pu aller aussi loin. Nous tenons à préciser qu’il ne s’agit pas de journalisme, mais d’une enquête libre de professionnels de la protection des droits et libertés des personnes eut égard à leurs données personnelles (RGPD). Notre position sur le confinement et sur le mécanisme de contrôle par les attestations de sortie dérogatoire est par ailleurs très claire : restons chez nous et imprimons nos attestations dès que sortir est absolument nécessaire !!

Ceci étant dit, voici ce que nous avons trouvé :

  1. La politique de confidentialité du formulaire de génération de l’attestation numérique est concise, précise et sans « petite ligne ». Elle indique qu’aucune donnée saisie dans le formulaire n’est conservée sur le serveur, qu’elles sont toutes utilisées exclusivement à la génération du PDF de l’attestation.
  2. La production du formulaire PDF semble en effet fidèle à ce qui est annoncé : simple, efficace, sans signe de duplicité.
  3. Aucune information n’est en effet, à date, envoyée aux serveurs du Ministère. Un PDF vierge est simplement récupéré et il est alors complété localement dans le navigateur avec les données personnelles saisies, avant d’être servi par le navigateur à l’internaute.
  4. L’attestation PDF générée est « propre », le QRCode n’a rien à cacher, il est standard, lisible par tout système de lecture de QRCode, ne contient bien que les informations visibles par ailleurs dans le formulaire.
  5. Aucune information n’est fournie dans la politique de confidentialité en ligne concernant le traitement réalisé par les terminaux des Forces de l’Ordre, et nous n’avons pas trouvé si une information (et laquelle) était communiquée aux personnes concernées lors d’un contrôle.

Informations brutes contenues dans le QRCode :

Cree le: 06/04/2020 a 09h55; Nom: Dupont; Prenom: Jean; Naissance: 01/01/1970 a Lyon; Adresse: 999 avenue de France 75001 Paris; Sortie: 06/04/2020 a 10h00; Motifs: travail

Donc à l’heure où nous écrivons ces lignes et en se souvenant que nous n’avons pas inspecté le fonctionnement du contrôle par les Forces de l’Ordre de ce QRCode, notre conclusion est techniquement positive sur ce système, bien qu’il eût été intéressant d’apporter l’information du traitement réalisé lors du contrôle au moment de la génération de l’attestation.

Cependant et dans la mesure où il ne nous a pas été possible à date d’inspecter le contrôle du QRCode et où ce travail est « à date », si vous lisez ce message pour chercher un conseil, le voici : continuez à utiliser des attestations papier sans QRCode, au moins aucun doute ne subsiste, et aucun traitement numérique n’est réalisé par le Ministère de l’Intérieur avant que vous en soyez informés.

« Boîte noire »: nous avons pris contact avec le DPO du Ministère de l’Intérieur (les 6 et 7 avril 2020) pour éclairer certaines zones d’ombre ce qui nous a permis de préciser certaines de nos appréciations.

Licence et auteur

Auteur: Baptiste LARVOL-SIMON et PiaLab
Licence: CC By-SA 2.5