Sauter la navigation

Passeport vaccinal COVID-19 et protection des renseignements personnels numériques

Par Alexandra Luchenko et Konrad Spurek (stagiaire)
22 octobre 2021

La pandémie de COVID-19 a donné lieu à une série de mesures sanitaires mises en place par les divers paliers de gouvernement, dont la création d’un passeport vaccinal, lequel soulève bien des questions relatives à la protection des renseignements personnels numériques, comme le soulignent les commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée du Canada (les « commissaires à la vie privée »).

Le présent bulletin passe en revue les différents systèmes de passeport vaccinal mis en place en Colombie-Britannique, en Alberta, en Ontario et au Québec, en en faisant ressortir certains éléments qui touchent à la vie privée et à la cybersécurité.

CONTEXTE

Les passeports vaccinaux peuvent prendre diverses formes. Certains sont en version papier, mais la plupart sont numériques et consistent en des applications capables de lire des codes QR (Quick Response) que l’on peut télécharger sur un appareil mobile. Dans tous les cas, en revanche, ils nécessitent la collecte, le stockage et la divulgation de renseignements personnels. Les commissaires à la vie privée ont donc émis des réserves quant à ces passeports vaccinaux, car ils posent un risque sur le plan de la sécurité des données et du respect des lois sur la protection des renseignements personnels en vigueur.

Avant même l’adoption officielle de tout passeport vaccinal au Canada, les commissaires à la vie privée avaient publié une Déclaration commune dans laquelle ils faisaient valoir leurs considérations relatives à la protection de la vie privée, et mettaient en évidence certains risques connexes, à l’égard d'un tel système, lequel consiste à exiger à des personnes qu’elles communiquent des renseignements personnels au sujet de leur santé en échange de biens et de services

Plus particulièrement, dans leur déclaration commune, les commissaires à la vie privée insistaient sur l’importance d’établir la nécessité, l’efficacité et la proportionnalité des passeports vaccinaux pour chacun des contextes dans lesquels ils seraient utilisés. Plus particulièrement, ils convenaient de ce qui suit :

  • Les passeports vaccinaux doivent être nécessaires pour atteindre les objectifs prévus en matière de santé publique;
  • Les passeports vaccinaux doivent être efficaces pour atteindre les objectifs prévus;
  • Les risques d’atteinte à la vie privée associés aux passeports vaccinaux doivent être proportionnels à chacun des objectifs de santé publique qu’ils visent à atteindre.

PASSEPORTS VACCINAUX

Depuis septembre 2021, les résidents de la Colombie-Britannique, de l’Ontario et du Québec sont tenus de fournir une preuve de vaccination avant d’entrer dans certains établissements non essentiels, comme des restaurants, des centres de conditionnement physique, des cinémas et des salles de spectacle. L’Alberta a adopté pour sa part un programme à adhésion volontaire aux termes duquel les entreprises et les responsables de sites d’événements ont le choix d’exiger une preuve de vaccination ou un résultat négatif à un test de dépistage de la COVID-19 pour autoriser les personnes à accéder aux installations, ou encore peuvent décider de se conformer aux limites de capacité applicables à certains lieux.
 
Bien que les différents systèmes de passeport vaccinal comportent des similitudes, notamment pour ce qui est des lieux et des activités dits « non essentiels », ils n’abordent pas tous de la même façon le problème lié au fait d’exiger à des personnes qu’elles communiquent des renseignements personnels au sujet de leur santé. Par conséquent, les types de renseignements personnels demandés, et les risques liés à la protection de la vie privée que comportent les différents systèmes, varient d’une province à l’autre. Voici un résumé des principales caractéristiques des passeports vaccinaux, par province :
 

 

Renseignements personnels{^widget|(singleimagelinktarget)_parent|(singleimagesize)third|(name)BLKWP.InlineImage|(singleimageshowornament)False|(singleimageurl)%7e%2fgetmedia%2fee9766f9-1dbd-4ea8-9bfc-720eef5ff103%2fID.png.aspx|(widget_displayname)Blakes+Inline+Image|(singleimagealignment)center|(singleimagealttext)ID+graphic|(width)|(height)^}

Exigé quand?{^widget|(singleimagelinktarget)_parent|(singleimagesize)third|(name)BLKWP.InlineImage|(singleimageshowornament)False|(singleimageurl)%7e%2fgetmedia%2fe81f8f87-a1e9-4b5a-8287-72e73867a348%2fNon-Essential-Businesses.png.aspx|(widget_displayname)Blakes+Inline+Image|(singleimagealignment)center|(singleimagealttext)house+icon|(width)|(height)^}

Format{^widget|(singleimagelinktarget)_parent|(singleimagesize)third|(name)BLKWP.InlineImage|(singleimageshowornament)False|(singleimageurl)%7e%2fgetmedia%2f2678f30f-ebf4-460b-8fb5-179c98595c4f%2fQR_Code.png.aspx|(widget_displayname)Blakes+Inline+Image|(singleimagealignment)center|(singleimagealttext)QR+code+icon|(width)|(height)^}

Colombie-Britannique

Nom; date de naissance; dates de vaccination; type de vaccin; numéros de lot des doses reçues; clinique où chacune des doses a été administrée.

Avant d’accéder à certains lieux non essentiels.

Carte de vaccination de la C.-B.
 
Peut être enregistrée dans un appareil mobile ou être imprimée. Reproduit le format des cartes santé SMART munies d'un code QR.

Ontario

Nom; numéro de carte santé; date de naissance; dates de vaccination; type de vaccin; site d’injection; nombre de doses; numéros de lot des doses reçues; clinique où chacune des doses a été administrée.

Avant d’accéder à certains lieux non essentiels et de pratiquer certaines activités non essentielles.

Preuve de vaccination contre la COVID-19
 
Certificat de vaccination amélioré muni d’un code QR.

Québec

Nom; statut de protection.

Avant d’accéder à certains lieux non essentiels et de pratiquer certaines activités non essentielles.

Code QR.
 
L’application VaxiCode Verif est utilisée dans certains lieux au Québec pour vérifier le statut de protection d’une personne.

Alberta

Nom; date de naissance; genre; dates de vaccination; nom et description du vaccin; source du vaccin.
 

Selon le cas : les entreprises et les responsables de sites d’événements ont le choix de : (i) soit exiger une preuve de vaccination, d’un résultat négatif à un test de dépistage de la COVID-19 ou d’exemption médicale valide, et ainsi pouvoir exercer leurs activités comme à l’habitude; (ii) soit respecter les limites de capacité et les restrictions d’exploitation applicables.

Dossier d’immunisation contre la COVID-19
 
Application Alberta Covid Records Verifier munie d’un Code QR (utilisée uniquement après le 15 novembre).
Possibilité de présenter une preuve de vaccination papier; un résultat négatif à un test antigénique rapide ou à un test PCR (amplification en chaîne par polymérase) réalisé dans les 72 heures précédentes; ou une preuve d’exemption médicale.

CONSIDÉRATIONS

Les systèmes du passeport vaccinal adoptés au Canada n’en sont qu’à leurs balbutiements. On ignore toujours si la structure actuelle sera conforme aux recommandations et aux pratiques exemplaires établies par les commissaires à la vie privée, et quelles seront les conséquences pour les organisations qui utiliseront les renseignements fournis par le passeport.
 
Le respect de la vie privée demeure un enjeu de taille pour les organisations qui utilisent les passeports vaccinaux de façon régulière, puisque les lois fédérale et provinciales sur la protection de la vie privée limitent la collecte, l’utilisation, le stockage et la divulgation de renseignements personnels par les organisations des secteurs privé et public. Il est donc impératif que ces organisations tiennent compte des considérations évoquées par les commissaires à la vie privée au moment d’élaborer leur stratégie, afin de s’assurer de bien gérer les renseignements personnels relatifs à la santé qui leur sont transmis par leurs employés et leurs clients.
 
L’utilisation répandue des passeports vaccinaux soulève également des préoccupations au chapitre de la sécurité des données. Les organisations qui recueillent des renseignements liés à la vaccination (et même celles qui envoient ces renseignements à une tierce partie aux fins de stockage) ont en leur possession ou contrôlent des renseignements personnels de nature délicate qu’il n’aurait pas été convenable de recueillir jusqu’à tout récemment. Dans la mesure où des millions de Canadiens utilisent leur passeport vaccinal chaque jour pour accéder à des lieux et pratiquer des activités, les organisations devraient s’assurer de comprendre les risques auxquels elles s’exposent si elles faisaient l’objet d’une atteinte à la protection des données. Elles devraient également songer à appliquer les pratiques exemplaires susceptibles de minimiser les conséquences de tout incident lié à la cybersécurité éventuel, d’autant plus à la lumière des réserves émises par certains quant aux mesures de protection technologiques utilisées par certaines applications de « preuve vaccinale ».
 
Des changements apportés récemment à la législation sur la protection de la vie privée pourraient par ailleurs avoir une incidence importante sur la mise en place de systèmes de passeports vaccinaux dans les secteurs privé et public au sein de certains territoires au Canada. Au Québec, par exemple, le Projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (les « nouvelles dispositions législatives adoptées au Québec »), a reçu la sanction royale le 22 septembre 2021. Ces nouvelles dispositions n’entreront pas en vigueur avant deux ans, mais il est déjà clair qu’elles vont transformer le droit en matière de vie privée au Québec. Entre autres nouvelles exigences, ce projet de loi prévoit le renforcement des obligations qui incombent aux organismes publics relativement à l’obtention d’un consentement préalable pour divulguer les renseignements personnels de nature délicate d’une personne. À cet effet, l’article 12 précise que les renseignements personnels « sensibles », c’est-à-dire les renseignements médicaux, biométriques ou autrement intimes, suscitent un haut degré d’attente raisonnable en matière de vie privée.
 
Les nouvelles dispositions législatives adoptées au Québec prévoient des sanctions administratives pécuniaires beaucoup plus importantes pour les personnes physiques et morales qui contreviendront aux lois sur la protection de la vie privée. Un particulier pouvait se voir imposer une amende pouvant aller jusqu’à 50 000 $ CA, et une entreprise, une amende correspondant au montant le plus élevé entre 10 M$ CA ou 2 % de son chiffre d’affaires mondial pour le dernier exercice financier terminé. Toutefois, en vertu des nouvelles dispositions, en cas d’infraction, l’amende pour un particulier grimpera à 100 000 $ CA, et pour une entreprise, au montant le plus élevé entre 25 M$ CA ou 4 % de son chiffre d’affaires mondial pour l’exercice financier précédent. Pour consulter un résumé des nouvelles dispositions législatives adoptées au Québec, veuillez vous reporter au Bulletin Blakes intitulé Le point sur la protection de la vie privée : le projet de loi no 64 reçoit la sanction royale.
 
Il ne serait pas étonnant que des changements similaires aux nouvelles dispositions législatives adoptées au Québec en matière de vie privée soient éventuellement adoptés ailleurs au Canada. D’ailleurs, le 17 juin 2021, le gouvernement de l’Ontario a publié un livre blanc (le « livre blanc de l’Ontario ») dans lequel il propose un cadre pour la collecte, l’utilisation et la divulgation de renseignements personnels par les organisations du secteur privé. Des renvois aux nouvelles dispositions législatives adoptées au Québec sont faits tout au long du livre blanc de l’Ontario, y compris lorsqu’il est question du consentement et des utilisations licites des renseignements personnels. L’Alberta, quant à elle, est en train d’étudier les résultats d’une consultation publique qui a été menée dans le cadre d’un processus visant à moderniser les lois sur la protection de la vie privée de la province. Enfin, en Colombie-Britannique, une note d’information a été publiée par le commissaire à la vie privée en 2020. Ce dernier y aborde les différents changements qui pourraient être apportés aux lois en vigueur dans la province concernant la protection de la vie privée.
 
Le libellé de ces nouvelles lois variera très certainement, mais nous nous attendons à ce qu’une très grande partie du contenu des nouvelles dispositions législatives adoptées au Québec se retrouve dans les projets de loi provinciaux ou fédéral qui seront introduits au cours des mois à venir. Du reste, l’entrée en vigueur des changements apportés à la législation aura sans doute une incidence sur l’utilisation des passeports vaccinaux dans l’ensemble des secteurs.

CONCLUSION

Il est évident que les mesures prises relativement à la pandémie continueront d’évoluer en fonction de la situation. Cela dit, le taux de vaccination étant de plus en plus élevé au Canada, il y a fort à parier que les passeports vaccinaux resteront un élément clé des politiques de santé publique de nombreuses provinces canadiennes. Reste à savoir comment les gouvernements aborderont les questions inévitables liées à la protection de la vie privée que soulèvent les passeports vaccinaux. Blakes suivra la situation de près et fera régulièrement le point.
 
Pour en savoir davantage, communiquez avec l’un des membres de notre groupe Cybersécurité.

Plus de ressources