2021/09/07

Omission importante dans le décret sur le passeport vaccinal

Je n’ai pas remarqué, à la première lecture du décret sur l’implantation du passeport vaccinal, qu’on y a fait une omission importante. Malgré les déclarations réitérées des autorités politiques et sanitaires à l’effet qu’on veille à la protection des renseignements personnels et qu’il n’y a pas de collecte de données au moment de la vérification des passeports vaccinaux par les commerçants et les organisateurs des activités, aucune disposition n’est prise à ce sujet dans le décret. Bien sûr, on dit ceci au dixième alinéa du décret :

« QUE, sous réserve du huitième alinéa, il soit interdit à quiconque de conserver, en tout ou en partie, les renseignements obtenus pour les fins de toute vérification effectuée en vertu du présent décret. »

Mais c’est trop peu et ça concerne surtout ou seulement, d’après le contexte du décret, les opérateurs des lieux et les organisateurs des activités qui vérifient les preuves de vaccination grâce à l’application gouvernementale, et pas le gouvernement ou une autre entité.

Pourtant on se donne la peine de rassurer la population à ce sujet sur la page portant sur l’application VaxiCode du site du gouvernement consacré à la COVID-19.

Voici ce qu’on déclare à propos de la protection des données dans l’application VaxiCode :

« Vos données personnelles sont protégées. Lorsque vous enregistrez une preuve de vaccination dans VaxiCode, elle y est conservée de manière cryptée. VaxiCode ne communique pas avec Internet et les preuves ne sortent jamais de l’application, qui agit comme un portefeuille sécurisé. »

On ajoute ensuite ceci à propos de la vérification de la preuve vaccinale grâce à l’application VaxiCode Vérif :

« Une personne qui utilise VaxiCode Vérif pour vérifier votre preuve de vaccination ne peut voir vos données personnelles. En plus d’un indicateur « vert » (adéquatement protégé) ou « rouge » (non adéquatement protégé), VaxiCode Vérif n’affiche que le nom complet du détenteur de la preuve. Aucun autre renseignement d’identification ou médical n’est affiché. La personne vérifiant les preuves ne pourra pas, par exemple, connaître votre date de naissance, quels vaccins vous avez reçus ou les résultats de vos tests de dépistage à la COVID-19.

De plus, lors de la vérification de votre preuve de vaccination, aucune information n’est sauvegardée par le téléphone ou la tablette qui l’a balayée. Vos informations seront affichées pendant 10 secondes. Aucune information transmise. Il n’existe aucun historique des vérifications de preuve et personne ne peut connaître cette information. Il n’est donc pas possible de connaître vos vérifications, vos déplacements, ou de savoir où vous avez présenté votre preuve. »

À défaut d’avoir accès au code source des deux applications, il faudrait croire sur parole les autorités politiques et sanitaires, ou bien trouver une manière de vérifier si ces applications transmettent des données par internet, quand elles sont ouvertes ou quand elles sont utilisées pour afficher ou interpréter des codes QR. Il existe certainement des applications pour faire ce genre de vérifications.

Même si aucune donnée n’était transmise à propos des personnes qui ont fait vérifier leur preuve de vaccination dans un établissement, il se pourrait que le nombre de vérifications faites dans un établissement soit surveillé par les autorités et servent éventuellement à permettre aux forces policières de faire des « visites de courtoisie » dans les établissements qui se rendraient suspects en n’atteignant pas les quotas de vérification de codes QR.

Ce pourrait être une bonne idée, pour les commerçants, les organisateurs d’activités, les clients et les participants qui sont contraints d’utiliser ces applications pour se conformer au décret, de ne pas se fier à la « compartimentisation » des applications par Android et par iOS, d’isoler ces applications dans une « sandbox » grâce à une application spécialisée, et aussi de contrôler les services auxquels ont accès ces applications (notamment pour désactiver l’accès à internet, au Bluetooth et à la géolocalisation), afin de réduire les chances que le système d’exploitation et les autres applications collectent des données pour les transmettre au gouvernement ou à des tiers, et que les deux applications gouvernementales informent les autorités des lieux publics fréquentés par telles personnes et des personnes en compagnie desquelles elles les fréquentent.

N’étant pas un utilisateur aguerri des systèmes d'exploitation mobiles et des applications mobiles pour la simple raison que je considère que ces technologies représentent, en elles-mêmes et malgré les précautions qu’on pourrait prendre, une menace pour la vie privée des utilisateurs et la sécurité des renseignements personnels et devraient par conséquent être évitées autant que possible, je conseille à mes lecteurs de faire leurs propres recherches sur internet à ce sujet ou de consulter quelqu’un de beaucoup plus compétent que moi en la matière.

Beaucoup trouveront que ce sont des précautions de paranoïaque ou de complotiste. Pourtant il est prudent de les prendre dans une situation où le gouvernement prétend lui-même protéger notre vie privée et ne pas surveiller nos déplacements et nos fréquentations, sans pourtant nous donner des garanties, car le code source des deux applications n’est pas accessible et ne peut pas être examiné par des experts indépendants pour vérifier les dires des autorités, et aussi parce que le gouvernement ne prend aucun engagement à ce sujet dans le décret qui porte sur l’implantation du passeport vaccinal. Dans ce décret comme dans les autres décrets, le gouvernement ne fait qu’ordonner des mesures sanitaires à la population et ne prend pas d’engagements contraignants. C’est ce qui distingue la gouvernance par décrets en situation dite d’urgence sanitaire et, en temps dit normal, l’adoption de lois qui seraient contraignantes non seulement pour les commerçants, les organisateurs d’activités et les citoyens, mais aussi pour le gouvernement. À défaut de tels engagements contraignants de la part du gouvernement, et compte tenu de l’impossibilité de faire vérifier le code source par des experts indépendants, le gouvernement mérite la méfiance de la population québécoise quant aux applications VaxiCode et VaxiCode Vérif, qui pourraient être utilisées, maintenant ou plus tard, à des fins de surveillance généralisée de la population. Si cela ne plaît pas à nos autorités politiques et sanitaires, elles n’ont qu’à se décider enfin à faire preuve de transparence et à prendre des engagements contraignants, au point de s’exposer à des poursuites si elles ne les respectent pas, afin de mériter notre confiance. Cela vaudrait mieux, pour elles et pour nous, que de se ménager toutes sortes d’échappatoires, de nous faire des promesses qu’elles pourraient décider impunément de ne pas tenir, et de se ménager une marge de manœuvre pour étendre l’utilisation du passeport vaccinal à des lieux et à des activités pour lesquels il ne devait pas servir initialement, et pour obtenir la pérennisation de ce dispositif de contrôle, dont on disait qu’il devait être temporaire.

Je rappelle qu’il ne s’agit pas simplement, pour résoudre les problèmes posés par le passeport vaccinal, de réclamer l’adoption d’une loi encadrant son implantation et son utilisation. Par opposition à un décret qui cesserait d’être en vigueur dès que l’état d’urgence sanitaire prendrait fin, une telle loi serait là pour rester tant qu’elle ne serait pas abrogée. L’adoption de cette loi serait une très mauvaise idée, compte tenu que le parti gouvernemental détient la majorité parlementaire et qu’il lui est facile de l’obtenir ou de la conserver en raison de notre système électoral, que les partis d’opposition collaborent avec le gouvernement, et que l'opposition officielle réclame l’extension de la vaccination obligatoire. L’adoption de cette loi pourrait donc être une manière de pérenniser le passeport vaccinal, dont on nous dit ou disait qu’il est temporaire, et ainsi faciliter son extension à toutes les sphères de la société.

Il est vrai qu’on pourrait chercher à adopter une loi qui empêcherait le gouvernement de faire ou de rendre possible la collecte de données de manière générale et qui permettrait de poursuivre en justice les ministres et les bureaucrates qui ne s’y conformeraient pas dans le cas du passeport vaccinal, ou encore dans d’autres cas. Outre le fait qu’une telle loi ne serait probablement pas adoptée par le parlement où le parti gouvernemental détient la majorité et où l’opposition ne joue pas son rôle, son application pose problème puisque l’état d’urgence sanitaire permet au gouvernement d’ignorer en partie ou en totalité les lois censées protéger nos droits et nos libertés et limiter son pouvoir et son ingérence dans tous les aspects de notre vie. Sans compter que les protections illusoires qu’elle semblerait procurer aux citoyens contre la surveillance pourraient être invoquées par le gouvernement, l’opposition et les journalistes pour justifier l’extension et la pérennisation de ce dispositif de contrôle.

Il semble donc n’y avoir qu’une chose à faire avec le passeport vaccinal : résister avec acharnement à son implantation, mais en nous demandant dans quelle mesure les moyens habituels de résistance sont efficaces dans la situation actuelle et en cherchant d’autres moyens de résistance plus efficaces.

Vous devriez aussi regarder :

Mise à jour de « Contre le passeport vaccinal » - ajout de la section 2

Contre le passeport vaccinal - section 1

Refus de la discussion et dogmatisme à propos du passeport vaccinal