Remarques supplémentaires sur le passeport vaccinal

Le mois de septembre approche et avec lui l’implantation du passeport vaccinal au Québec. Ce qui m’intéresse dans ce billet, c’est la mise à jour de la page gouvernementale portant sur le passeport vaccinal qui a été faite aujourd’hui.

 

L’application VaxiCode

Contrairement à ce que laissait entendre cette page web avant cette mise à jour, une application sera utilisée par les personnes vaccinées pour télécharger leur code QR et le présenter pour avoir accès entrer dans les commerces visés et pour participer aux activités visées, et pas seulement un fichier PDF qu’on devrait présenter à l’écran ou imprimer (cela demeure toutefois possible). Ce qui montre que le site du gouvernement n’est pas une source d’information fiable, même quand il est question des outils qu’il fait lui-même développer. Si on avait certes pu entendre des allusions dans les médias à propos de cette application, ça aurait été la moindre des choses d’en parler sur le site du gouvernement.

Je ne parle pas ici des problèmes qui concernent l’application VaxiCode Verif, qui est l’application qui, « destinée aux exploitants ou aux responsables, lira le code QR qui apparaît sur la preuve de vaccination, pour déterminer le statut de protection d’une personne contre la COVID-19. ». Ce que j’ai dit d’une telle application dans un précédent billet (Pour la transparence numérique) me semble être toujours valable, en totalité, sinon en grande partie.

En fait, quelques questions soulevées à propos de l’application servant à lire les codes QR peuvent aussi être posées à propos de l’application servant à télécharger les codes QR :

  • Comment nous assurer que le gouvernement dit vrai quand il déclare que cette application affiche seulement les codes QR devant être présentés pour entrer quelque part, et n’entre pas en communication avec une base de données ou un serveur gouvernemental (ce qui pourrait servir à des fins de traçage), alors que le code source n’est pas accessible et ne peut donc pas être examiné par des experts en informatique indépendants pour confirmer ou infirmer les dires du gouvernement ?

  • Des précautions ont-elles été prises pour empêcher le système d’exploitation (Android ou iOS) des téléphones mobiles de collecter des données susceptibles d’être transmises à Google ou à iOS, qui comme on le sait sont friands d’informations sur la population ?

  • Des précautions ont-elles été prises pour empêcher les autres applications installées ou des virus présents sur ces téléphones de collecter les données traitées par l’application gouvernementale et de les transmettre à des tiers ?

Un autre problème s’applique en propre à l’application destinée aux personnes vaccinées et ce même si le gouvernement a pris, dans la mesure où c’est possible, toutes les précautions nécessaires pour remédier aux problèmes soulevés dans les questions posées ci-dessus. Sauf avis contraire, l’application VaxiCode semble devoir être seulement disponible dans le Google Play Store pour les téléphones Android et dans l’App Store pour les téléphones Apple. Je rappelle que pour utiliser ces dépôts d’applications il faut, dans le premier cas, un compte Gmail et, dans le deuxième cas, un compte Apple ID. Comme beaucoup créent ces comptes en utilisant leur nom véritable et en donnant leur numéro de téléphone pour réinitialiser un mot de phase oublié ou pour récupérer un compte piraté, comme beaucoup lient ces comptes à toutes sortes de services en ligne qui permettent de les identifier facilement (ce qui se produit en se connectant à Facebook ou à Twitter en utilisant les applications dédiées téléchargées à partir de ces dépôts d’applications), comme Google et Apple peuvent facilement identifier les utilisateurs des téléphones à partir des numéros de séries des appareils, des numéros de téléphone et des fournisseurs de services, pour toutes ces raisons dis-je, il serait facile pour ces compagnies de se faire une idée assez précise du statut vaccinal des utilisateurs de téléphones mobiles du Québec. À supposer qu’elles n’aient pas accès au contenu de l’application VaxiCode, elles pourraient présumer, avec une forte probabilité d’avoir raison, que les utilisateurs qui téléchargent l’application sont adéquatement vaccinées, car pourquoi la téléchargeraient-ils s’ils ne disposaient pas d’un code QR attestant qu’ils sont « adéquatement » vaccinés ? À l’inverse, les utilisateurs qui ne téléchargent pas cette application pourraient être présumés avec vraisemblance comme non « adéquatement » vaccinés, même si cela peut aussi s’expliquer par le fait qu’ils ont imprimé leur code QR ou qu’ils l’ont téléchargé sous forme de fichier PDF et utilisent un lecteur de fichier PDF pour l’afficher quand ils ont besoin de le faire lire pour entrer quelque part. Outre le fait que ces deux corporations sont friandes de renseignements sur nous, ces renseignements peuvent aussi être vendus à d’autres compagnies. Le commerce de données collectées à partir de nos téléphones, de nos ordinateurs et de nos gadgets connectés (par exemple les montres dites intelligentes) est bien réel, et les données de santé ne font assurément pas exception.

Bref, le seul fait d’utiliser le Google Play Store et l’App Store pour rendre disponible l’application aux Québécois constitue déjà une menace pour l’information confidentielle qu’est notre statut vaccinal. Je sais bien qu’il est difficile de faire autrement en raison de la manière dont les logiciels sont installés sur ces appareils. S’il y a moyen de procéder autrement avec les téléphones Android en installant directement les fichiers APK (ce qui implique de modifier les paramètres) ou en utilisant d’autres dépôts de logiciels libres (Freedroid, par exemple), c’est généralement trop compliqué à faire pour la majorité des utilisateurs. Je ne crois pas que cela est même possible avec les téléphones Apple, mais n’en ayant jamais utilisé, je me trompe peut-être. C’est pourquoi c’est déjà une mauvaise idée d’avoir décidé d’utiliser une application pour Android et iOS, même si cela est assurément commode, ou justement parce que c’est très commode.

Alors que faire ?

Pour les personnes non « adéquatement » vaccinées, ce pourrait être une bonne idée de télécharger quand même l’application VaxiCode pour donner l’impression que l’on est vacciné ou, si la chose était faite par beaucoup, pour discréditer les données que pourraient collecter Google et Apple, en raison d’un nombre manifestement trop élevé de téléchargements. Mais c’est là supposer que l’application est étanche et que son contenu n’est pas accessible aux corporations qui contrôlent les deux systèmes d’exploitation sous lesquels elle fonctionne. S’il n’en était pas ainsi, on leur donnerait les moyens de savoir avec certitude ce qu’elles ne pouvaient avant que présumer. Même dans l’hypothèse où le contenu de l’application leur demeurerait inaccessible, les données sur la fréquence d’utilisation des applications téléchargées sont très révélatrices et certainement beaucoup plus faciles à collecter, et peut-être le sont-elles déjà de façon systématique, sous prétexte d’amasser des informations sur les habitudes des utilisateurs pour améliorer leurs produits et mieux répondre à leurs attentes.

Quant aux personnes « adéquatement » vaccinées qui ont l’intention d’utiliser le passeport vaccinal, ou qui seront dans l’obligation de le faire, je les invite à ne même pas télécharger l’application VaxiCode, et à utiliser plutôt un lecteur de fichiers PDF pour afficher leurs codes QR (en envisageant de les mettre dans une voûte chiffrée, grâce à une application comme EDS Lite) ou, encore mieux, à les imprimer, afin de minimiser le risque de collecte de données, par le gouvernement et par Google et Apple. Impossible de le réduire à néant compte tenu de l’autre application utilisée pour lire les codes QR. Si ces manières de faire étaient largement adoptées par les personnes vaccinées, le non-téléchargement et la non-utilisation de l’application VaxiCode ne seraient plus un indice fiable d’un statut vaccinal « inadéquat ». La réticence largement partagée à utiliser cette application pourrait aussi entraver une future tentative de fusionner cette application avec des outils de paiement et une identité numérique.

 

Toujours pas de décret ou d’arrêté sur le passeport vaccinal

Les deux applications seront disponibles à compter de demain (25 août 2021) dans l’App Store et ’ici quelques jours dans le Google Play Store. Pourtant il n’a pas encore été question (24 août 2021, à 21h30), dans les décrets et les arrêtés du gouvernement, du passeport vaccinal et des deux applications mobiles utilisées pour afficher et lire les codes QR servant de preuves de vaccination. Ce qui veut dire qu’alors que nous sommes toujours dans un vide juridique quant à ces dispositifs qui risquent de changer en profondeur et de manière durable la vie des Québécois, ceux-ci seront mis en circulation. Le décret ou l’arrêté viendra plus tard, peut-être seulement quelques jours avant l’entrée en vigueur du passeport vaccinal, ou même la veille.

Même si je suis radicalement opposé au passeport vaccinal, ce n’est pas la possibilité de télécharger les deux applications avant l’entrée en vigueur du passeport vaccinal qui m’irrite. Ça me semble logique, pour n’importe quelle mesure, bonne ou mauvaise, de ne pas attendre à la dernière minute pour fournir les instruments nécessaires à ceux qui auront à appliquer la mesure en question. Il serait bête de procéder autrement. Ce qui m’irrite, c’est que le décret ou l’arrêté se fasse attendre, alors qu’il aurait été facile de le promulguer en y précisant la date d’entrée en vigueur du dispositif. Comme si la parole des autorités politiques et sanitaires, telle que diffusée par les grands médias, avait force de loi. Comme si une page web, modifiable facilement, pouvait être considéré comme un texte à valeur juridique. Comme si la communication était en train de remplacer le droit. Même si les décrets et les arrêtés promulgués par le gouvernement sont assurément compatibles avec une part importante d’arbitraire (en plus d’être souvent difficilement lisibles, voire parfaitement obscurs, en raison des multiples renvois et amendements), cette substitution augmenterait vraisemblablement l’arbitraire du pouvoir qu’on exerce sur nous, le gouvernement étant alors libre de faire et de défaire, à volonté, par quelques mots prononcés à l’occasion d’un point de presse par exemple.

Ceci dit, qu’on se garde bien de réclamer une loi pour encadrer l’utilisation du passeport vaccinale. Cette loi serait indépendante de l’état d’urgence sanitaire, et ce serait ouvrir la porte à la pérennisation de ce dispositif de surveillance et de contrôle, même après la fin de l’état d’urgence sanitaire. Je renvoie ceux de mes lecteurs qui ne l’auraient pas lu à un précédent billet (Diktats sur le passeport vaccinal, décrets à venir et absence de loi) pour qu’ils prennent connaissance de ce danger.

***

Il se fait déjà tard. J’aurais aussi aimé analyser la liste des lieux exigeant le passeport vaccinal COVID-19. Je le ferai dans un autre billet, si du moins je trouve quelque chose d’utile et de pertinent à dire à ce sujet.