Publicité

Douze questions sur le futur certificat suisse lié au virus

Le certificat lié au virus ne sera pas disponible avant juin en Suisse. D’ici là, voici 12 réponses à des questions liées à la sécurité, aux données et à l’accessibilité de ce que certains appellent «passeport vaccinal»

Israël utilise depuis des semaines un certificat numérique. En Suisse, il ne sera pas disponible avant juin. Ici à Tel-Aviv, mars 2021. — © Corinna Kern/laif
Israël utilise depuis des semaines un certificat numérique. En Suisse, il ne sera pas disponible avant juin. Ici à Tel-Aviv, mars 2021. — © Corinna Kern/laif

Ce sera sans doute en juin. Dans deux mois, a glissé Alain Berset mercredi, la Suisse aura choisi et déployé une solution de passeport vaccinal, ce sésame numérique susceptible de nous aider à sortir de la pandémie. En théorie, l’opération paraît simple. Une application, un code QR à scanner à l’entrée d’un avion ou d’un festival, et le tour est joué. Mais en réalité, le dossier est extraordinairement complexe, avec des enjeux gigantesques. La création d’un tel passeport pose des questions éthiques, techniques, scientifiques et même politiques. En attendant d’examiner ce que décidera la Suisse, voici 12 questions pour appréhender un débat vertigineux.

Retrouvez nos principaux articles sur la crise sanitaire

■ Comment définir le passeport vaccinal?

En réalité, même s’il est très utilisé, ce terme est doublement faux. D’abord, il ne s’agit pas d’un passeport, car il doit servir à accéder à une multitude d’endroits, et pas seulement à voyager. Ensuite, ce système ne contiendra pas uniquement des données liées à la vaccination, mais aussi, très certainement, des informations sur des tests PCR, des tests sérologiques, voire sur des antécédents médicaux. L’Union européenne parle ainsi actuellement de «certificat vert».

■ Où en est la Suisse?

La loi Covid-19, sur laquelle nous voterons le 13 juin, exige de développer un certificat «infalsifiable et, dans le respect de la protection des données, vérifiable». L’Office fédéral de la santé publique (OFSP) examine actuellement plusieurs dizaines de solutions techniques qui lui ont été soumises ces derniers mois par des start-up et de grandes sociétés, tant suisses qu’étrangères. Pour le moment, tout se fait sur papier: les personnes vaccinées reçoivent une feuille ou une mention sur leur carnet de vaccination. Des choix cruciaux étant en cours – dont les enjeux financiers sont impossibles à estimer –, l’OFSP ne donne aucune information sur le futur certificat. Mais il semble acquis que la Suisse aura sa propre solution, qui devra être compatible avec le futur certificat vert européen, qui doit entrer en vigueur fin juin.

■ Qui va créer ce futur certificat numérique suisse?

Aucune certitude, évidemment, mais des pistes. Il y a quelques mois, c’était l’application pour smartphone MyViavac, développée par la fondation qui collaborait avec l’OFSP, qui était donnée favorite. MyViavac, reliée au site Mesvaccins.ch, permet depuis des années de regrouper sous forme numérique toutes ses données de vaccination. Mais les faiblesses techniques décelées dans ce système ont incité le préposé fédéral à la protection des données à en ordonner, fin mars, le débranchement immédiat.

Depuis, un favori a émergé, à notre sens: la société lausannoise Elca, spécialisée dans les solutions informatiques. Elle a développé un certificat de santé numérique, Health n Go, permettant d’enregistrer les données de vaccination et les résultats de tests. Le système est sécurisé par la blockchain, évitant de créer une base de données centralisée. Health n Go a été testé et est opérationnel, nous affirmait Elca fin mars.

Mais aujourd’hui, l’entreprise se refuse à communiquer – peut-être le signe que sa solution est en train d’être adoptée par l’OFSP. La société lausannoise est d’autant mieux placée qu’elle a déjà créé un système d’authentification, baptisé trust-ID, utilisé par la coopérative des pharmaciens suisse (regroupant un millier d’officines) au sein de l’application Abilis. Cette dernière permet déjà d’enregistrer les résultats de tests et les données de vaccination.

Signalons que Sicpa et La Poste ont aussi développé des systèmes concurrents.

■ Des start-up sont-elles aussi sur les rangs?

Oui. Il y a ainsi la société valaisanne ELoop, qui a développé le Personal Immunity Certificate (PIC). «La personne qui vous vaccine vous donne immédiatement un certificat numérique, sécurisé par la blockchain. Ensuite, il peut y avoir plusieurs utilisations possibles. Comme un carnet de vaccination complet dématérialisé et certifié. Lorsque vous achetez un billet d’avion en ligne, vous pouvez laisser la compagnie aérienne accéder en ligne à votre certificat. Et lorsque vous vous présentez à un concert, par exemple, vous pouvez simplement afficher le certificat sur votre téléphone», détaille Pascal Detemmerman, cofondateur d’ELoop, qui précise que sa solution est déjà testée avec succès à grande échelle en France, par des centaines des médecins de ville et hospitaliers.

La start-up Travizory, basée à Neuchâtel, propose une solution un peu différente, sans blockchain. «Nous nous intégrons avec les systèmes informatiques existants des centres de vaccination et de médecins et créons un code-barres 2D sécurisé et inviolable qui est intégré dans le certificat, affirme son directeur, Renaud Irminger. Ce code-barres 2D peut être décodé par toute partie tierce qui a besoin de s’assurer de son authenticité avec une application mobile. Nous ne gardons aucune donnée chez Travizory. Il est impossible pour une partie tierce d’accéder aux certificats.» Cette solution est utilisée dans le tunnel de santé maritime entre l’Argentine et l’Uruguay ainsi que par le Ministère de la santé aux Seychelles, poursuit Renaud Irminger.

■ Plusieurs solutions concurrentes cohabiteront-elles?

L’OFSP ne choisira a priori qu’un seul prestataire. Mais au niveau mondial, il existe des centaines de systèmes, tels le New York Excelsior Pass, VeriFLY, Israel Green Pass, AOKpass, CommonPass, IATA Travel Pass, Trusted Travel Pass… «La Chine a son propre standard via un mini-programme intégré à l’application WeChat, complète Renaud Irminger. Il est fort à craindre qu’une cinquantaine de passeports vont coexister cette année et qu’une dizaine de standards régionaux vont émerger en 2022, pour finalement ne voir subsister que trois ou quatre standards en 2023 – c’est un scénario plausible. Ce qui est important, c’est que ces standards soient interopérables. Chez Travizory, nous pensons que l’initiative Good Health Pass (regroupant des dizaines de sociétés) pour définir la façon dont ces standards vont pouvoir coexister a le plus de chances d’aboutir.»

Lire également: Biométrie et passeport covid, le futur de l’aérien pour sortir de la pandémie

■ Quelles données seront enregistrées?

Mercredi, Alain Berset a dit que le certificat suisse intégrerait d’abord uniquement les preuves de vaccins: l’indication de tests viendra «quelques semaines plus tard». «Cela peut varier selon les solutions, mais il y peut y avoir le nom de la personne, la date de naissance, l’identifiant de l’organisme émetteur du passeport, la date de son émission ainsi que son expiration», estime Jean-Pierre Hubaux, directeur académique du Centre pour la confiance numérique (Center for Digital Trust) de l’EPFL. De son côté, Renaud Irminger, de Travizory , cite des données nécessaires à l’identification de la personne (nom, date de naissance et numéro du document d’identité) et des données médicales du vaccin (type de vaccin, numéro des lots et date des injections et/ou données du résultat des tests).

■ Un téléphone sera-t-il indispensable?

Non, une version papier est très souvent aussi prévue par les concepteurs. L’OFSP estime d’ailleurs que présenter un code-barres 2D en format papier sera suffisant. Une compagnie aérienne et un responsable d’un théâtre pourront, en plus, exiger de voir la carte d’identité de la personne, afin de l’identifier formellement.

■ Quel sera le rôle de l’app SwissCovid?

A priori, il n’y aura aucun lien entre SwissCovid, dont le rôle est d’aider au traçage des contacts, et le futur certificat. La France vient de fusionner ces deux systèmes. Mais rien n’indique que la Suisse fasse de même, les autorités n’en ayant jamais parlé. SwissCovid compte 1,8 million d’utilisateurs.

A ce propos: L’avenir de SwissCovid se joue en partie dans la Silicon Valley

■ Ces systèmes sont-ils inviolables?

Oui, affirment sans surprise leurs concepteurs. «Une garantie à 100% n’est jamais possible, mais le niveau de sécurité sera très probablement suffisant, estime Jean-Pierre Hubaux. Mais il existe des solutions techniques éprouvées: le vérificateur dispose typiquement d’un lecteur qui va lui permettre de comparer le certificat présenté avec une base de données. Et les solutions bien conçues utilisent des codes de hachage: ils caractérisent une information de manière univoque sans révéler l’information elle-même, pour éviter l’accès à des données en clair, en particulier à des acteurs hors du monde de la santé.» Renaud Irminger affirme ainsi que sa société ne stocke aucune donnée sur les clients/patients dans son système.

■ Que se passera-t-il pour les personnes déjà vaccinées?

On ne sait pas encore. «Les acteurs de la santé ont du retard, regrette Pascal Detemmerman, d’Eloop. Il aurait vraiment fallu démarrer la campagne de vaccination en ayant déjà développé un certificat. Il y aura de grandes difficultés et des délais à certifier sans méfiance, dans des systèmes numériques, des vaccinations qui ne sont validées que sur de simples papiers volants. Par ailleurs, il faudra réconcilier sans erreur les identités des patients présents dans des bases de données avec la nouvelle solution. Cela va allonger les délais de mise en œuvre.»

■ Tous les vaccins seront-ils reconnus partout?

C’est la grande inconnue. L’Union européenne ne sait par exemple pas s’il faut, et comment, traiter des vaccins chinois et russe, déjà injectés dans certains pays de l’est du continent – et cela en devient une question politique. Et il n’y a pas non plus de consensus sur la durée d’immunisation offerte par tous les vaccins. «Chaque forme d’immunité (par vaccin ou par anticorps dus à la maladie) aura une certaine durée de validité, qui doit pouvoir être adaptée en fonction de l’évolution des connaissances sur le sujet», souligne Jean-Pierre Hubaux.

Lire aussi: Le passeport vaccinal existe depuis des lustres

■ Quels seront les droits accordés par ces certificats?

Ce sera à chaque pays (au contrôle de ses frontières), chaque compagnie aérienne, chaque festival ou exploitant de cinéma de le décider. Il n’y aura sans doute pas de directive générale. Il semble peu probable qu’une règle universelle apparaisse, même à l’échelle d’un continent. Et il risque d’y avoir une infinité de nuances. «Un pays pourra reconnaître le vaccin Sinopharm mais pas le Sputnik. Un pays pourra décider que le vaccin AstraZeneca est valable six mois et un autre neuf mois», évoque Renaud Irminger.