Coronavirus : Que vient faire la blockchain dans le passeport vaccinal ?

DONNEES PERSONNELLES A l’approche des vacances d’été, la Commission européenne a dévoilé son projet destiné à faciliter les voyages au sein de l’Union européenne

Laure Beaudonnet

— 

Le vaccin Astra-Zeneca. Illustration
Le vaccin Astra-Zeneca. Illustration — Shutterstock/SIPA
  • Le Parlement européen sera prêt à entériner le passeport sanitaire européen au cours de sa session plénière du 7 au 10 juin.
  • Le passeport ou certificat sanitaire est un document qui prouve que son détenteur est immunisé contre le Covid-19 et peut se rendre d’un pays à un autre sans risquer de le transmettre.
  • Le projet prendrait la forme d’un QR code relié à une base de données paneuropéenne, contenant pour chaque citoyen concerné, trois types de certificats (résultats des tests, vaccination et guérison), le tout sécurisé grâce à la blockchain.

Décidément, les blockchains sont partout. Entre les œuvres numériques vendues sous la forme de NFT à des millions de dollars, comme celles de la chanteuse Grimes ou de l’artiste Beeple, et l’envolée du bitcoin, la technologie blockchain est sur toutes les lèvres. Et la chaîne de blocs - comme on dit en français -, qui permet de garder le contrôle sur ses données personnelles, s’invite aujourd’hui dans un débat plus sérieux, celui sur le passeport vaccinal.

Le certificat vert numérique (l’autre nom du passeport vaccinal) s’impose malgré les polémiques qu’il a suscitées. A l’approche des vacances d’été, la Commission européenne a dévoilé son projet destiné à faciliter les voyages au sein de l’Union européenne. Elle prévoit une entrée en vigueur pour le mois de juin. L’idée est simple, un « QR code serait relié à une base de données paneuropéenne, contenant pour chaque citoyen concerné, trois types de certificats (résultats des tests, vaccination et guérison), a rappelé la délégation sénatoriale à la prospective le 18 mars. Le tout sécurisé grâce à la blockchain ». 

Le contrôle total des données privées

Ici, l’idée repose sur le « Self sovereign identity », un principe qui donne à chaque individu le contrôle total de ses données personnelles. Avec ça, fini le pillage de nos datas par des acteurs numériques ( Facebook, Google et tout un tas d’opérateur publics et privés) qui revendent ces informations aux annonceurs à des fins de ciblage publicitaire. Le Self sovereign identity repose sur la cryptographie à double clé. Pas besoin de la blockchain pour le faire, même si elle facilite grandement les choses.

En gros, chaque individu crée une paire de clés de chiffrement, qui se compose d’une clé privée et d’une clé publique. La clé publique permet d’envoyer des documents chiffrés, de vérifier la signature et d’authentifier l’utilisateur. La clé privée doit rester secrète et permet de décrypter les messages. Par exemple, pour créer un compte en banque, une personne va communiquer tous les éléments dont la banque a besoin pour créer son compte. La banque va générer ensuite une attestation pour garantir que la personne détient bien un compte bancaire et, par la même occasion, qu’elle est bien résidente française, sans préciser son nom, son adresse ou le montant qu’elle détient sur son compte. A partir du moment où une personne détient cette attestation, elle n’a plus besoin de présenter sa carte d’identité, sa facture EDF ou ses données bancaires à chaque fois qu’elle souhaite faire une démarche administrative.

« Les attestations ont été générées par des opérateurs (banques, administrations publiques, médecins, centres de vaccination) de confiance », explique Primavera De Filippi, chercheuse au CNRS et à Harvard. Ce serait le même principe pour le passeport vaccinal avec un réel intérêt d’éviter de disperser ses données de santé. Et la blockchain simplifie la gestion du système. Au lieu de donner un document numérique que la personne doit sauvegarder sur son ordinateur, les attestations sont directement générées au sein d’une infrastructure blockchain qui en garantit l’authenticité. « Le centre de vaccination, par exemple, va émettre un token [un jeton virtuel] qui sera associé à mon compte, poursuit la chercheuse. Si je détiens ce token, cela signifie que j’ai obtenu le vaccin ».

La fin du ciblage publicitaire ?

Seul le médecin traitant détiendrait les données médicales de son patient. De même que dans l’exemple plus haut, seule la banque posséderait les données bancaires de ses clients. « Les données sont contrôlées par un seul opérateur auquel je fais confiance, je n’ai donc plus besoin de les communiquer à tous les opérateurs avec qui j’interagis, reprend Primavera De Filippi. Mon médecin détiendra mes données, mais il n’émettra que des attestations concernant des informations agrégées. Si ensuite je dois aller faire mon vaccin ou prendre une prescription médicale, je n’ai pas besoin de montrer toutes mes infos médicales, je montre une attestation de mon médecin qui confirme que j’ai bien le droit d’avoir un vaccin, ou d’acheter ce médicament ».

On pourrait imaginer la même chose pour l’ensemble des données de santé (et pourquoi pas l’ensemble des données personnelles). Avec ça, plus besoin de donner ses infos personnelles pour s’enregistrer sur des nouveaux sites, pour faire des achats en lignes, s’inscrire sur un site de streaming. Et surtout, ce système réduit le risque de piratage, comme cela a été le cas fin février. Une trentaine de laboratoires ont été concernés par la fuite de données médicales qui a touché près de 500.000 personnes en France.

Si, sur le papier, le système a l’air très complexe, dans la pratique, il n’en est rien. « Les systèmes de sécurité d’e-commerce sont tout aussi compliqués et pourtant on les utilise tous les jours. Au lieu d’intégrer ma carte de crédit, je signe les transactions avec ma clé privée ». Alors pourquoi le système met-il tant de temps à s’imposer ? Les freins ne sont pas techniques, mais plutôt financier. Les opérateurs ne pourront plus faire de ciblage publicitaire si les utilisateurs contrôlent leurs données privées, ce n’est pas bon pour leur porte-monnaie. En attendant la levée des verrous, on pourra en faire l’expérience dès le mois de juin avec le passeport vaccinal.