Depuis l’entrée en vigueur de la LOI n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire, il incombe à votre employeur l’obligation de contrôler la validité du pass sanitaire élevé au rang de véritable ticket d’or.
Désormais, « les employeurs sont chargés de contrôler le respect de l’obligation prévue au I de l’article 12 par les personnes placées sous leur responsabilité ». Tous les employeurs ne sont pas concernés. En effet, cette obligation fort prévenante incombe uniquement en certains lieux et événements pour lesquels il y a un “risque de diffusion épidémique élevée”.
Nous retrouvons sous cette qualification : les secteurs de l’évènementiel, culturel, musical, artistique, sportif, loisirs ou encore les séminaires professionnels de plus de 50 personnes lorsqu’ils ont lieu dans un site extérieur à l’entreprise, les bibliothèques (sauf celles universitaires et spécialisées type Bibliothèque nationale de France), les fêtes foraines comptant plus de 30 stands ou attractions, les navires et bateaux de croisière avec restauration ou hébergement …
Il peut aussi s’agir de lieux de convivialitĂ© tels que les discothèques, clubs et bars dansants ; les bars, cafĂ©s et restaurants, Ă l’exception des cantines, restaurants d’entreprise, ventes Ă emporter et relais routiers, ainsi que lors des services en chambres et des petits-dĂ©jeuners dans les hĂ´tels.Â
A cela s’ajoute les grands centres commerciaux supĂ©rieurs Ă 20 000 m2, selon une liste dĂ©finie par le prĂ©fet du dĂ©partement concernĂ©, et lorsque la circulation du virus est très active. Tout en veillant Ă Â garantir l’accès aux transports parfois compris dans ces centres, ou l’accès aux biens de première nĂ©cessitĂ©Â en mettant en place des solutions alternatives.Â
Le détail et la précision de cette liste pourrait presque nous empêcher de catégoriser les évènements et/ou personnes concernés par cette nouvelle obligation rendant sa dispense confusante puisque applicable à tout événement culturel, sportif, ludique ou festif, organisé dans l’espace public ou dans un lieu ouvert au public susceptible de donner lieu à un contrôle de l’accès des personnes.
Il en résulte pour les employeurs concernés, l’obligation de contrôler la validité du pass sanitaire de leurs employés, clients, patients… Un véritable pouvoir décisionnaire et disciplinaire puisque la non-obtention d’un pass sanitaire valide peut entraîner la suspension d’un contrat de travail, notamment.
CĂ´tĂ©s employĂ©s, cette vĂ©rification s’applique Ă tous les travailleurs, qu’ils soient salariĂ©s ou non de l’établissement. Il sera aussi question de vĂ©rifier en amont du contrĂ´le si l’employĂ© exerce une des activitĂ©s, services ou Ă©vĂ©nements visĂ©s par la loi. Une exception est prĂ©vue par le dĂ©cret du 7 aout le dĂ©cret du 1 er juin 2021 prescrivant les mesures gĂ©nĂ©rales nĂ©cessaires Ă la gestion de la sortie de la crise sanitaire et concerne les personnes prĂ©sentant un certificat mĂ©dical de contre-indication (motifs listĂ©s dans le mĂŞme dĂ©cret). Â
Relevons que les personnes chargĂ©es de l’exĂ©cution d’une tâche ponctuelle au sein des locaux ne sont pas concernĂ©es par cette obligation. Il s’agira d’“une intervention très brève et non rĂ©currente”. Cette dernière n’est pas liĂ©e Ă l’activitĂ© de l’entreprise et les travailleurs l’effectuant ne sont pas intĂ©grĂ©s dans le collectif de travail. Il peut s’agir en outre d’une livraison ou d’une rĂ©paration urgente. Les interventions brèves ne seraient donc pas concernĂ©es par la prĂ©sentation d’un pass sanitaire valide. Â
Le dĂ©cret prĂ©voit en rĂ©alitĂ© deux moyens de contrĂ´le : l’application star « TousAntiCovid VĂ©rif » mais Ă©galement : « tout autre dispositif de lecture rĂ©pondant Ă des conditions fixĂ©es par un arrĂŞtĂ© des ministres chargĂ©s de la santĂ© et du numĂ©rique ». Â
La CNIL a invitĂ© le Gouvernement Ă travers son avis du 9 aout 2021 Ă revoir le projet de dĂ©cret sur plusieurs aspects dont celui touchant aux dispositifs alternatifs Ă l’application « TousAntiCovidVerif ». Pourront ĂŞtre Ă©lus dans la catĂ©gorie « Moyens alternatifs de contrĂ´le » les dispositifs respectant « les conditions fixĂ©es par arrĂŞtĂ© du ministre chargĂ© de la santĂ©, avant de pouvoir ĂŞtre utilisĂ©s par les acteurs devant contrĂ´ler le pass sanitaire ». Les mesures de sĂ©curitĂ© doivent ĂŞtre conformes Ă l’article 32 du Règlement gĂ©nĂ©ral sur la protection des donnĂ©es et prĂ©voir des “algorithmes de chiffrement robustes et rĂ©putĂ©s Ă l’état de l’art”.  Le ministère chargĂ© de la santĂ© est invitĂ© Ă faire preuve de transparence en publiant sur son site internet la liste des nominĂ©s soit la liste officielle des dispositifs de lecture autorisĂ©s ainsi que leur code source. Â
Pour l’instant le recours Ă d’autres alternatives n’a pas Ă©tĂ© mis en place. Seul “TousAntiCovidVĂ©rif” permet de vĂ©rifier la validitĂ© d’un pass. De plus dans son avis, la CNIL rappelle que “l’utilisation d’un unique instrument de lecture des pass sanitaires, dĂ©veloppĂ© sous le contrĂ´le de la puissance publique et facilement identifiable pour les citoyens, constituait une garantie importante pour le dĂ©tournement de donnĂ©es”.  On comprend ici que la CNIL Ă©met de fortes rĂ©serves quant Ă l’admission d’autres alternatives à “TousAntiCovidVĂ©rif”. Â
Pour l’aider dans cette quĂŞte, un seul et unique outil est Ă sa disposition : l’application « TousAntiCovidVerif ». Â
Cette application présentée « sans faille et/ou ultra secur » permet au seul flash d’un QR Code unique et inattaquable de circuler dans les lieux précités. Le scan du QR code fait apparaître pass valide (en vert) ou non valide (en rouge). Il s’agit donc d’un contrôle visuel et instantané.
Le traitement des données personnelles doit pouvoir respecter les 5 grands principes issus du RGPD et rappelés régulièrement par la CNIL : le recueil du consentement des personnes concernées, le principe de minimisation, le respect des durées de conservation, la gestion des demandes d’exercice des droits des personnes concernées et le respect des principes privacy by design et privacy by default.
Concernant l’application “TousAntiCovidVérif”, sont renforcés le principe de minimisation et de finalité : l’objectif poursuivi n’étant que le contrôle de la validité du pass sanitaire. Ainsi que le principe de conservation des données imposant même une non-conservation des données. En effet, la durée doit coïncider avec le flash du QR Code lors de l’étape de contrôle.
« Les données ne sont traitées qu’une seule fois, lors de la lecture du justificatif, et ne sont pas conservées” et “ne peuvent être conservées et réutilisées à d’autres fins”.
Un simple code couleur : vert (valide) ou rouge (invalide) permettra d’entrer ou non sur son lieu de travail. Trois types de documents peuvent attester de la validitĂ© du pass sanitaire, que vous soyez ou non vaccinĂ©s. D’abord le test PCR nĂ©gatif de moins de 72h qui deviendra payant (sauf prescription mĂ©dicale) vers mi–octobre 2021. Gabriel Attal à  l’issu du Conseil des ministres du 11 aout 2021 a confirmĂ© la fin des tests gratuits estimant un tarif de 50 € pour un test PCR et 30 € pour un test antigĂ©nique. Puis, le rĂ©sultat d’un test positif attestant du bon rĂ©tablissement de la COVID19 depuis 11 jours et de moins de 6 mois. Enfin, le justificatif du statut vaccinal attestant d’un schĂ©ma vaccinal complet, soit 7 jours post dernière dose.
Ces preuves peuvent intĂ©grer en format numĂ©rique le « Carnet » de l’application « TousAntiCovid » pour les stocker et les prĂ©senter facilement. Il est Ă©galement possible de stocker les preuves pour ses proches. Pour le format papier, il suffit de prĂ©senter directement le QR code sur le document attestant d’un pass sanitaire valide. Â
Suite aux recommandations de la CNIL, le type de preuve (Test PCR de moins de 72h, certificat de rétablissement, schéma vaccinal complet) n’est pas accessible à l’employeur afin de répondre aux exigences du principe de minimisation et de ne pas porter atteinte au secret médical. C’est un niveau de lecture minimum comprenant uniquement « pass valide / invalide ».
Ce QR Code peut se présenter sous deux formes, l’une à partir de l’application « TousAntiCovid » installée sur votre téléphone et l’autre à partir du QR code délivré sous format papier lors d’un schéma vaccinal complet ou lors d’un test PCR négatif ou certificat de rétablissement.
La plateforme SI-DEP permet à une personne de générer un QR Code à partir d’un test PCR négatif ou d’un certificat de vaccination. En effet, les Français réalisant un test COVID reçoivent un mail ou un SMS pour se connecter à la plateforme SI-DEP. Cette plateforme a un avantage : éviter les falsifications. En effet, le QR Code généré possède un format unique d’authentification du test.
L’employeur est en mesure de conserver le rĂ©sultat du contrĂ´le de validitĂ© du pass sanitaire. Cela signifie qu’il ne peut pas conserver le justificatif mais uniquement le rĂ©sultat de l’opĂ©ration de vĂ©rification soit un pass valide ou invalide. Cette mĂ©thode de minimisation associĂ©e Ă la non-conservation doit « permettre seulement aux personnes ou aux services autorisĂ©s Ă en assurer le contrĂ´le de connaĂ®tre les donnĂ©es strictement nĂ©cessaires Ă l’exercice de leur contrĂ´le ».Â
L’employeur est chargé de contrôler la validité du pass sanitaire. Ce contrôle peut aussi être opéré par d’autres personnes nommément désignées et habilitées tels que le responsable des lieux, l’organisateur d’événement, un délégué clairement identifié ou bien encore un salarié ou un prestataire.
Il se peut que le responsable de l’établissement ne soit pas l’employeur lui-même. Dans ce cas, c’est au responsable de l’établissement de procéder au contrôle des justificatifs requis en informant l’employeur si son salarié n’a pas pu pénétrer dans les locaux. Ce type de situation se rencontre notamment quand le salarié intervient dans des locaux différents de son lieu de travail, par exemple un salarié réalisant des missions de longues durées de rénovations ou travaux.
De même, les données ne doivent pas être conservées par le contrôleur.
On peut noter une certaine incohérence dans les étapes du calendrier vaccinal des salariés. L’obligation pour les professionnels s’applique depuis le 30 aout 2021 créant une disparité entre les catégories de personnes : clients / salariés d’un même lieu. En effet, un restaurateur doit strictement soumettre ses clients au respect du pass sanitaire mais cette obligation est moins butée pour les employés créant des situations assez étranges : clients contrôlés « validés » en terrasse et milieu ouvert / serveur non contrôlés « validés » en cuisine et lieux clos.
Le Gouvernement indique et rappelle que « la vérification de l’identité du porteur du pass sanitaire n’incombe pas aux personnes en charge de mettre le pass (…) sauf en ce qui concerne les discothèques, ces dernières devant déjà effectuer un contrôle d’identité des personnes en raison de l’interdiction d’accès des mineurs ».
Le contrĂ´le porte sur la validitĂ© du pass sanitaire et non sur celui de l’identitĂ© pour savoir si celle-ci correspond au pass prĂ©sentĂ©. Seules les forces de l’ordre sont habilitĂ©es Ă procĂ©der Ă cette vĂ©rification : « Toute personne se trouvant sur le territoire national doit accepter de se prĂŞter Ă un contrĂ´le d’identitĂ© effectuĂ© dans les conditions et par les autoritĂ©s de police » (article 78-1 du code pĂ©nal).Â
Les sanctions pour la non-prĂ©sentation d’un pass ou son utilisation frauduleuse sont nombreuses. Ainsi, un pass non prĂ©sentĂ© ou frauduleux entraine une amende de 135 € pouvant aller jusqu’à 6 mois d’emprisonnement et 3 750 € d’amende si cela se produit plus de 3 fois en 30 jours. Â
A cela s’ajoute les sanctions pour le non-contrĂ´le du pass sanitaire. Les professionnels non diligents s’exposent Ă une amende de 1000 €, une mise en demeure et une Ă©ventuelle fermeture temporaire de l’établissement. En cas de rĂ©cidive l’amende peut s’élever Ă 9 000 € et s’accompagner d’un an de prison. Â
Qu’en est-il de la conservation des donnĂ©es ? Â
C’est interdit ni plus ni moins. La conservation et ou l’utilisation de ces donnĂ©es Ă d’autres fins est puni d’un an d’emprisonnement et de 45 000 € d’amende. Ce dĂ©lit apparaĂ®t dans la loi n°2021-1040 du 5 aout 2021 relative Ă la gestion de la crise sanitaire : « Le fait de conserver les documents (… ) dans le cadre d’un processus de vĂ©rification en dehors du cas prĂ©vu ( cf une forme ne permettant d’identifier que la nature de celui-ci et l’information selon laquelle le schĂ©ma vaccinal de la personne est complet ) ou de les rĂ©utiliser Ă d’autres fins est puni d’un an d’emprisonnement et de 45 000 € d’amende ». Â
NĂ©anmoins, une dĂ©rogation existe lorsque la forme choisie « ne perm[et] pas d’identifier que la nature de celui-ci et l’information selon laquelle le schĂ©ma vaccinal de la personne est complet ». Alors dans ce cas UNIQUEMENT, il est possible de conserver le rĂ©sultat de la vĂ©rification opĂ©rĂ©e et de dĂ©livrer, un titre spĂ©cifique donnant la possibilitĂ© d’une vĂ©rification simplifiĂ©e. Ces informations devront ĂŞtre conservĂ© dans le respect des dispositions du Règlement GĂ©nĂ©ral de la Protection des DonnĂ©es (RGPD ). Â
La CNIL dans son avis du 9 aout 2021 sur les Ă©volutions apportĂ©es par la loi relative Ă la gestion de la crise sanitaire invite le Gouvernement Ă limiter la conservation temporaire au seul rĂ©sultat de la vĂ©rification opĂ©rĂ©e conformĂ©ment au principe de minimisation des donnĂ©es « La conservation temporaire des donnĂ©es devrait se limiter au rĂ©sultat de la lecture du pass ». Â
En thĂ©orie, tout cela semble faisable, en pratique, un problème semble apparaĂ®tre : la rĂ©currence du contrĂ´le. Ce dernier doit respecter la non-conservation des donnĂ©es relatives au pass sanitaire à l’issue du contrĂ´le, Ă moins qu’il n’adopte un « format ne permettant d’identifier la nature de celui-ci et l’information selon laquelle le schĂ©ma vaccinal de la personne est complet ». En pratique, soit l’employeur procède quotidiennement au contrĂ´le du pass sanitaire de ses employĂ©s ; soit il adopte une forme alternative qui ne permet pas de rĂ©colter les donnĂ©es et qui respectent les recommandations de la CNIL ; bien que cette dernière ait invitĂ© le Gouvernement à  “limiter la conservation temporaire au seul rĂ©sultat de la vĂ©rification opĂ©rĂ©e conformĂ©ment au principe de minimisation des donnĂ©es”.Â
Le règlement intérieur devra intégrer les consignes à respecter et les mesures de contrôle du pass sanitaire et un traitement devra être spécifié au registre.
Notons que la loi prĂ©cise « l’application de cette rĂ©glementation ne dispense pas de la mise en Ĺ“uvre des mesures de nature Ă prĂ©venir les risques de propagation du virus si la nature des activitĂ©s rĂ©alisĂ©es le permet ». Â
L’utilisation du pass sanitaire est autorisĂ©e en vertu de la loi jusqu’au 15 novembre 2021.Â
– Talya Dostes