La blockchain est une base de données qui est apparue avec le bitcoin. C’est une technologie capable de stocker et de transmettre des informations de manière transparente, sécurisée et automatisée. Les utilisateurs envoient leur informations à la blockchain, à intervalles de temps réguliers en blocs, ce qui forme une chaîne. La blockchain est sécurisée par un système de cryptographie, ce qui permet de protéger les données contre toute falsification. La Blockchain est divisée en deux, il y a une blockchain privée et une autre publique.

La blockchain publique, comme le bitcoin, peut être consultée et utilisée par tout le monde. La blockchain privée peut aussi être consultée par tout le monde mais pour être utilisée il faut l’autorisation de l’entreprise ou de la personne morale qui l’a créé. En ce qui concerne le passeport sanitaire, seule la blockchain privée est intéressante.
A l’origine, la blockchain se limitait au paiement et à l'échange de valeur, mais au final il est possible qu’il concerne toutes les facettes de la vie quotidienne, surtout dans ce contexte sanitaire. Dans le cadre de l’application du passeport sanitaire, plusieurs pays ont déjà mis en place un système de blockchain pour gérer cette énorme masse de données. La Commission européenne a mis en place le certificat vert numérique pour assurer la libre circulation et la sécurité sanitaire, mais elle laisse à chaque pays membre les moyens pour y parvenir.


En Suisse, la société Sicpa s’est positionnée dès l’annonce de la Commission européenne pour proposer sa solution. L’entreprise initialement spécialisée dans l’impression de billets de banque, a développé Certus MyHealthPass , un « dispositif de vérification des informations de santé universel, indépendant et sécurisé » qui s’appuie sur son partenaire Guardtime et la blockchain estonienne KSI.

En Allemagne, le gouvernement fédéral a signé début mars un contrat public, d’un budget de 2,7 millions d’euros, portant sur la fourniture d’une solution de « certificats de vaccination électroniques ». Mais le choix d’une architecture finale n’a pas été officiellement précisé, le marché a été attribué à un consortium mené par IBM, qui va sûrement inclure Ubirch, une entreprise allemande spécialisée dans les technologies blockchain, notamment en connexion avec l’Internet des objets (IoT). La start-up a d’ailleurs développé son propre « certificat de vaccination numérique », utilisant la blockchain privée Govdigital, opérée par une quinzaine de fournisseurs fédéraux et municipaux sous l’égide du gouvernement fédéral. Il paraît donc très probable que l’Allemagne misera partiellement ou entièrement sur des blockchains pour gérer ses passeports vaccinaux.

En Estonie, Guardtime a mis au point VaccineGuard , « une plateforme numérique pour connecter entre eux les participants de l’écosystème de la vaccination »,y compris les citoyens. La solution est développée avec le soutien des gouvernements estonien, islandais et hongrois, elle s’appuie sur la blockchain privée KSI, déjà utilisée de longue date en Estonie par différents services gouvernementaux.

En août dernier, des chercheurs de l’Université Khalifa , à Abou Dabi (Émirats Arabes Unis) avaient proposé une « solution basée sur une blockchain pour des passeports médicaux numériques». La solution est basée sur Ethereum et les smart contracts (contrats automatisés) qui peuvent y être déployés, la solution a été mise en accès libre. Les chercheurs pensent que ce design ouvre la voie à des solutions efficaces pour aider à arrêter la transmission des infections de la COVID-19, à travers l’enregistrement précis et approprié des événements d'une manière infalsifiable, concluent les scientifiques.

On pourrait envisager des smart contracts mis à disposition de centres de recherche pour permettre la collecte des données nécessaires. La structure-type d’un smart contract contiendrait une clause de consentement de participation à différents types d’analyses. Les utilisateurs pourraient contrôler les données qu’ils souhaitent transmettre, ainsi que les données qu’ils acceptent de mettre à disposition (l’historique de leurs coordonnées GPS par exemple). Les transactions d’informations cryptées seraient alors réalisées automatiquement par la blockchain en respectant les clauses des smart contracts. Ce qui aiderait les scientifiques à collecter les données utiles à la compréhension du mode de propagation de l’épidémie.


La décision européenne de ne pas inclure dans son dispositif les vaccins non agréés par l'Europe (donc, à ce jour, les vaccins russe et chinois).La situation pourrait se compliquer si des pays européens adoptent de façon isolée le vaccin russe Sputnik V, leurs concitoyens pourraient voir leur certificat de vaccination rejeté par les applications. Ce qui va poser des questions d’interoperabilté. Un citoyen Russe vacciné avec "sputnik 5" sera peut être considérer comme non vacciné au sein d’un pays de l’Union Européenne. Certains analystes parlent d’un possible "rideau de fer vaccinal" entre la Russie et les pays européens.


Pour les utilisateurs des certificats numériques de santé et autres passeports vaccinaux, l’usage des blockchains ne change pas rien en apparence. L’usager se fait tester ou vacciner auprès d’un centre médical agréé, puis scanne le résultat qui apparaît sur son mobile sous la forme d’un code QR, dont la validité sera ensuite vérifiable par une autorité tierce. Pour les adeptes de solutions blockchain, l’atout majeur de cette technologie est de dissocier données de santé et identité numérique, tout en conservant les données sur l’appareil de l’usager. En somme, un individu peut prouver qu’il est vacciné ou non malade, sans pour autant fournir son identité ni aucune autre donnée personnelle. Seuls s’échangent des jetons cryptographiques, réputés inviolables.


Concernant le règlement général sur la protection des données (RGPD),le passeport vaccinal ne saurait reposer que sur le consentement des utilisateurs. S’agissant du caractère obligatoire du passeport vaccinal pour accéder à un établissement, aucun article du RGPD ne devrait s'opposer à cette obligation. Le contrôle des passeports vaccinaux semble relever de l’intérêt légitime des établissements à assurer la santé de leurs clients et de leurs salariés. Les utilisateurs qui souhaitent cesser d’utiliser le passeport vaccinal devront en outre pouvoir exercer leur droit à l’oubli. Mais si une technologie blockchain est utilisée en France ce droit à l'oubli, mentionné à l'article 17 du RGPD, n’aura pas à être exercé par l’utilisateur puisque la blockchain rend anonyme ou "pseudonymise" les données personnelles.

Le RGPD posé à l’article 5.1 c) des contraintes sur l’objectif de minimisation des données, il ne faut pas traiter plus d’informations que strictement nécessaire pour l’accomplissement de la finalité, et l’obligation de privilégier la protection des données “dès la conception” et “par défaut” ce qui doit inciter les développeurs à limiter au maximum les risques pour les utilisateurs. La limitation à la seule vaccination ou non des clients, utilisateurs d’un établissement devra être recueilli, le recueil d’informations supplémentaires serait contraire au RGPD.

S’agissant du traitement à grande échelle des données de santé, l’article 35 du RGPD impose la réalisation de ce qu’on appelle une “analyse d’impact relative à la protection des données” . Ce travail, doit être mené avant le traitement, il remplit deux fonctions : d’une part il permet de mettre à plat l’ensemble des risques pouvant survenir et donc d’améliorer le projet en apportant des solutions dès la conception ; d’autre part, si le DPIA est rendu public, il fait œuvre de transparence et augmente la confiance des citoyens dans le dispositif proposé.