Passe vaccinal : combat de normes autour de la vérification d’identité

La loi sur le passe vaccinal est entrée en application aujourd’hui. Le texte autorise des personnes privées à vérifier les passes mais aussi à en contrôler la concordance avec les pièces d’identité. Le député Philippe Latombe avait déjà regretté ce choix, qui tient à l’usage d’une norme technique. Retour sur le sujet avec Gilles Barré, l’un des spécialistes de ces questions.

La loi sur le passe vaccinal a été publiée dimanche au Journal officiel pour entrer en application aujourd’hui. Le texte vient remplacer le passe dit sanitaire demandé à l’entrée des salles de cinéma, des restaurants ou des cafés. La loi autorise par ailleurs les personnes en charge du contrôle de ce document de faire une vérification d’identité.

Plus exactement, « lorsqu'il existe des raisons sérieuses de penser que le document présenté ne se rattache pas à la personne qui le présente », elles pourront demander au détenteur « de produire un document officiel comportant sa photographie ». Une vérification dite « de concordance ».

La mesure est passée sans encombre devant le Conseil constitutionnel. D’un, « le refus de la personne de produire un tel document ne peut avoir pour autre conséquence que l'impossibilité pour elle d'accéder à ce lieu ». De deux, le législateur a voulu « assurer l'effectivité de l'obligation de détention d'un "passe" » à des fins sanitaires. De trois, les données de concordance ne sont pas enregistrées. Enfin, ces contrôles devront se faire en respectant le principe d'égalité devant la loi, et donc « qu'en se fondant sur des critères excluant toute discrimination de quelque nature que ce soit entre les personnes ». 

Durant les débats parlementaires, le député Philippe Latombe avait néanmoins regretté les choix opérés par la France. Celui-ci aurait préféré un TAC ou Tous Anti Covid qui s’appuie sur une autre norme que celle choisie par les autorités françaises. La norme 105 plutôt que la 101, qualifiée de norme « rigide » en ce sens qu’il n’est pas possible d’y ajouter d’autres éléments que ceux prévus initialement, comme la photo. Une mesure qui aurait évité les tergiversations légistiques sur ces vérifications d’identité de personnes privées par des personnes privées.

• Passe vaccinal : la solution du député Philippe Latombe pour éviter la vérification d'identité 

Nous avons interrogé Gilles Barré, qui fut administrateur de la Fédération des Tiers de Confiance du Numérique, une association loi 1901 présidée par la Chambre Nationale des Commissaires de Justice. il a été cocréateur du groupe de travail sur le Cachet Électronique Visible.

Cette fédération avait fondé l’Association Internationale de Gouvernance du Cachet Electronique Visible, qui elle-même avait travaillé avec l’Agence nationale des titres sécurisés sur le projet de norme « 101 », avant de travailler seule sur la « 105 ».

Quelle est l’histoire de la norme 101 et la 105 et quelle a été votre implication sur ces sujets ?

Le passage à la normalisation des spécifications du « 2D-DOC », forme initiale du Cachet Electronique Visible développée par l’ANTS (Agence Nationale des Titres Sécurisés, sous tutelle du Ministère de l’Intérieur), a été proposé et financé par la FnTC dont j’étais administrateur et cocréateur du Groupe de Travail sur le CEV en 2011. La FnTC intervenait déjà en soutien de l’ANTS qui l’avait sollicitée, en labellisant les solutions de génération et de lecture du CEV « 2D-DOC ».

L’ANTS et l’AIGCEV (Association Internationale de Gouvernance du Cachet Electronique Visible, créée en octobre 2016 à l’initiative de la FnTC pour prendre son relai sur le CEV) ont travaillé de concert, dès le début des travaux en 2016, à l’élaboration de la norme AFNOR XP Z42-101 dite « 101 » qui a été publiée début 2019.

Publiée en 2020, la norme XP Z42-105 dite « 105 » a été financée et élaborée à l’initiative de l’AIGCEV et une importante contribution de ses experts, en l’absence de l’ANTS qui manquait temporairement d’experts à cette période. Pour autant, l’ANTS et le Ministère de l’Intérieur ont continué de soutenir et de se tenir informés de nos travaux de normalisation en participant de manière très régulière et attentive à nos Conseil d’Administration depuis fin 2016.

Quels sont les points communs, mais surtout les différences techniques entre l’une et l’autre ?

Dans ces deux Normes, le Cachet Electronique Visible (CEV, qui est une déclinaison de la signature électronique) garantit l’origine et les données clés d’un document, quel que soit le support, électronique ou papier. Il permet de vérifier à la fois l’intégrité des données (y a-t-il eu ou non falsification des données ?) et si le signataire est un signataire légitime (le certificat de signature utilisé, délivré par une autorité de certification labellisée, est-il celui d’un signataire autorisé ?).

Il s’agit donc de deux normes d’encodage qui remplissent toutes les deux les fonctions que je viens de citer, mais selon des modalités techniques d’encodage distinctes.

Dans les deux cas, les données sont « encapsulées » dans un code 2D qui facilite leur acquisition par un lecteur ad hoc. Ces deux normes ne concernent que le contenu du CEV, elles laissent libre le choix du code 2D à utiliser, les CEV pouvant être représentés indifféremment par un Datamatrix, un QR Code ou tout autre code propriétaire ou non.

Alors qu’en est-il des différences ?

Il y a quatre différences majeures.

Première différence, dans la norme « 101 » contrairement à la norme « 105 », les données encapsulées sont nativement en clair, donc lisibles et décodables avec n’importe quel lecteur de code 2D (qui ne permet pas de savoir s’il s’agit d’un CEV authentique, puisque seule une application de lecture spécifique peut décoder et interpréter la signature électronique garante de l’authenticité et de l’intégrité).

Cela s’explique, puisqu’à l’origine le CEV siglé « 2D-DOC » (la marque déposée de l’ANTS/Ministère de l’Intérieur) a été créé pour assurer la protection des données du « bloc adresse » des justificatifs de domicile présentés à l’occasion des demandes de Passeport. Nul n’était besoin alors de masquer les données du CEV puisqu’elles figuraient déjà en clair sur le justificatif de domicile sécurisé par le CEV. Nul besoin non plus de masquer les données quand le CEV se limite à la sécurisation d’un document, ce qui a été jusqu’ici son cas d’usage le plus fréquent, donc pas de problème de respect du RGPD dans ces cas d’usage.

En revanche le RGPD n’a plus été respecté, quand la norme « 101 » a été utilisée pour sécuriser le Passe sanitaire français (avant l’utilisation du CEV « QR Code » européen) puisque contrairement au règlement, alors même qu’il s’agit de données sensibles de santé, les données personnelles étaient lisibles en clair avec un quelconque lecteur de code 2D. Next INpact avait alors bien identifié cette faille.

En norme « 105 », nativement, les données encapsulées n’apparaissent pas en clair lors de la lecture par un simple lecteur de code2D. De plus, il est possible avec le mécanisme de manifeste dont je vous parlerai plus avant, de limiter le nombre de données au strict nécessaire pour l’application de lecture (article 5.1 du RGPD sur la minimisation des données), fonction impossible à réaliser avec la norme « 101 ». Ce qui veut dire que, quel que soit le cas d’usage, la norme « 105 » est compatible avec le RGPD.

Deuxième différence, la norme « 101 » utilise un dictionnaire de données qui doit être complété de nouvelles données nécessaires pour les nouveaux cas d’usage. De plus à ce jour, le dictionnaire n’est qu’en langue française. Le multilinguisme nécessiterait de créer un dictionnaire pour chaque langue utilisée. Au contraire, la norme « 105 » qui n’utilise pas de dictionnaire de données, permet nativement le multilinguisme en toute simplicité. Avec la norme « 105 », ceux qui définissent un nouveau CEV sont totalement libres de définir et d’utiliser les données qui correspondent à leurs besoins en toutes langues. Cette norme « 105 » répondait donc totalement aux besoins du Passe sanitaire européen, mais n’a pas été proposée par les autorités françaises.

Troisième différence, les applications de lecture de CEV « 101 » doivent systématiquement être mises à jour (avec intervention sur chacune des applications de lecture) à l’apparition de chaque nouveau CEV, ce qui rend le process extrêmement lourd, coûteux et susceptible d’engendrer des décalages temporels importants lors de la mise à jour des différentes applications de lecture du marché. Cela était acceptable lors de la création et la diffusion des premiers CEV et pour quelques nouveaux CEV par an, mais devient peu compatible avec une large diffusion. Contrairement à la norme « 101 », la norme « 105 » permet la mise à jour des applications de lectures instantanément, quels que soient les cas d’usage et quelles que soient les langues utilisées. Ceci est rendu possible grâce à l’utilisation d’un « manifeste » indépendant et téléchargeable dans l’application de lecture, qui contient un « descripteur » de CEV. Ce descripteur se présente techniquement comme un fichier au standard XML ; pour des raisons de sécurité, ce fichier est signé électroniquement par l’entité de gouvernance de l’environnement de confiance. Cette signature électronique garantit son authenticité.

Et la quatrième différence ? 

Quatrième différence, outre un descripteur, le manifeste contient une vue de présentation, qui permet de personnaliser la présentation des données lues. Chaque vue de présentation pourra être spécifique au cas d’usage, en reprenant des logos ou des éléments graphiques du document protégé par le CEV, mais aussi être multilingue.

Ceux qui définissent un nouveau cas d’usage de CEV, choisissent les langues qui pourront s’afficher dans la vue de présentation. Par exemple le flamand et le français pour un usage domestique en Belgique, ou encore les 24 langues européennes pour un CEV intracommunautaire comme cela aurait pu être le cas pour le « QR code » du Passe sanitaire européen.

L’AIGCEV - Réseau OTENTIK a développé une application universelle de lecture de CEV encodés selon la norme « 105 ». Cette application gratuite est téléchargeable sur Playstore et sur l’Appstore. Quand vous l’utilisez, dès lors que le lecteur reconnait qu’il s’agit d’un CEV « 105 », fut-il créé la veille, il est à même de le décoder, même s’il n’a jamais décodé ce CEV spécifique à ce cas d’usage, ceci en téléchargeant le manifeste. La mise à jour du lecteur est alors automatiquement effectuée pour ce cas d’usage.

Quand le lecteur rencontrera à nouveau ce cas d’usage il pourra le décoder hors connexion (offline), car le manifeste, tout comme la clé publique du certificat de signature seront maintenus dans l’applicatif. C’est pour cela que l’on parle d’applicatif « universel », car avec la technique du manifeste, l’application de lecture est capable de lire tout CEV encodé en norme « 105 ».

Application universelle, aussi parce qu’elle implémentera, prochainement, de base plus d’une quarantaine de langues dont l’ensemble des 24 langues européennes. Ce qui veut dire par exemple si besoin, qu’un Allemand ou un Roumain pourra lire dans sa langue un CEV émis en italien ou en finlandais, comme cela aurait pu être le cas pour le Passe sanitaire européen

Le député Philippe Latombe a vanté les mérites de la « 105 », s’agissant de la photographie du titulaire. Comment se passe « l’intégration » d’une telle photo dans un QR Code ?

La photo est une donnée binaire, tout comme la signature électronique et peut donc être encapsulée dans le CEV. La problématique étant la taille de cette donnée qui est fonction de l’algorithme de compression utilisé et de la capacité du code 2D utilisé. A dimensions égales, le Datamatrix permet d’encapsuler plus de données qu’un QR-Code, mais certains encodages propriétaires sont encore beaucoup plus performants, tel le SealCrypt qui a été retenu (et diffusé depuis octobre 2021) pour le Passport Card irlandais et qui contient les données, y compris la photo du titre d’identité. 

Plusieurs amendements ont souhaité intégrer la photo dans le passe-vaccinal. Selon Philippe Bas, « le serveur informatique n'est pas dimensionné pour intégrer des photos qui sont lourdes ». Que répondez-vous ?

Que monsieur le sénateur Philippe Bas n’a probablement pas été correctement informé du sous-jacent technique demandé par cette fonctionnalité. En effet, pour des raisons de respect du RGPD et des avis de la CNIL, les photos ne doivent pas rester dans des serveurs où elles occuperaient effectivement une place énorme et ne seraient d’aucune utilité.

Cette photo doit être présente sur les serveurs seulement le temps de traitement pour être encapsulée dans le CEV, puis détruite ensuite car devenue inutile. L’utilisateur téléchargera le CEV qui contient sa photo, et gardé dans un applicatif dont il a le contrôle à l’instar de TousAntiCovid Carnet. Le dimensionnement des serveurs n’a alors plus d’influence sur le process. C’est ce qui était préconisé dans la solution que l’AIGCEV avait proposée au gouvernement dès juillet 2021, et expliquée très simplement dans une vidéo dans le but de favoriser l’acceptation du Passe sanitaire par tous les citoyens. 

Toujours selon le député Latombe, « l’administration a raté le coche et "emmerde" les Français ». Pourquoi, selon vous, la France a-t-elle fait le choix de la norme 101 ?

Ce n’est certainement pas par manque de diffusion de l’information de notre part. Comme nous n’avons jamais eu de réponse à nos différents courriers et messages d’alerte, ni même un accusé de réception, nous ne savons pas répondre à cette question.