Les fans des Brooklyn Nets de la NBA ne se contentent plus de montrer leurs billets de match lorsqu'ils entrent dans le Barclays Center.

Ils doivent également présenter un test Covid-19 négatif récent, une carte de vaccination ou leur passeport Excelsior - le premier passeport vaccinal de l'État de New York - qui utilise des codes QR sur un smartphone pour prouver les résultats du test ou la vaccination contre la maladie.

L'Excelsior Pass, créé par IBM et lancé le mois dernier, fait partie d'un nombre croissant d'applications qui pourraient aider les Américains à retourner en toute sécurité aux événements sportifs, aux théâtres, aux restaurants et aux vols.


Mais ils soulèvent également des problèmes de confidentialité.

"Il est très important, lorsque nous rouvrons des communautés et des économies, qu'il y ait un niveau de confiance dans des organisations telles que l'État de New York et IBM", a déclaré Eric Piscini, vice-président mondial des réseaux commerciaux émergents d'IBM, qui dirige le projet. "Nous sommes ici pour servir les communautés et nous ne sommes pas seulement là pour sortir un morceau de technologie."

Les craintes relatives à la confidentialité de l'affichage public du statut vaccinal menacent d'entraver le déploiement d'une technologie qui pourrait jouer un rôle important dans la réouverture de la société et l'endiguement de la propagation du Covid-19. Mais en l'absence de coordination ou de réglementation gouvernementale - et l'administration Biden a été catégorique sur le fait qu'elle n'interviendrait pas directement - c'est au secteur privé qu'il incombe d'instaurer la confiance des consommateurs et de se conformer aux lois qui régissent la sécurité et la confidentialité des données.

Le rôle des entreprises technologiques

Le débat intervient alors que l'effort national de vaccination est bien engagé. Plus de 200 millions de doses ont été administrées aux États-Unis, selon le Bloomberg vaccine tracker.


"Il y a beaucoup de questions sans réponse d'un point de vue juridique", a déclaré Sean Sullivan, avocat spécialisé dans les soins de santé chez Alston & Bird LLP à Atlanta. "Il n'y a pas le même type de cadre de confidentialité pour ce genre de choses".

Le passeport vaccinal d'IBM Corp. utilise un portefeuille numérique crypté sur un smartphone afin que les utilisateurs puissent prouver leur état de santé sans avoir à partager les informations médicales ou personnelles sous-jacentes. La technologie blockchain rend inutile l'utilisation d'une base de données centrale, créant à la place un "hachage" des données utilisées pour la vérification.

Microsoft Corp. est partenaire de la Vaccination Credential Initiative, qui élabore un "guide de mise en œuvre détaillant l'utilisation de normes ouvertes, interopérables et protégeant la vie privée", a déclaré un porte-parole de la société.

Les principales normes proposées, basées sur la cryptographie à clé publique et les codes QR, sont "très sûres", a déclaré Mike Joyce, responsable de l'engagement de la société d'ingénierie et d'innovation Theorem LLC. "Cela offre une possibilité d'échelle qu'un morceau de papier ne pourrait pas offrir".

État des lieux

La décision du gouvernement fédéral de se retirer de la création des passeports numériques a été prise pour éviter les hésitations des personnes "qui craignent que le gouvernement ne joue un rôle trop lourd dans le contrôle de leurs vaccinations", a déclaré le mois dernier Andy Slavitt, conseiller principal pour la réponse Covid-19 de la Maison Blanche.

Mais les agences sanitaires se réunissent pour élaborer des lignes directrices générales sur ce qu'elles souhaiteraient voir figurer dans les passeports vaccinaux des entreprises privées, qui devraient être gratuits, disponibles en plusieurs langues et accessibles aux personnes réfractaires à la technologie, a déclaré M. Slavitt.

À l'étranger, les régulateurs des données de l'Union européenne ont déclaré que les plans de certificats numériques devaient empêcher l'accès aux données des patients et leur utilisation par les gouvernements après la pandémie. Le Royaume-Uni va tester son propre système qui exige des personnes qu'elles prouvent qu'elles sont exemptes de virus. Et Israël a déjà lancé sa version d'un passeport vaccinal appelé "Green Pass", que les résidents utilisent pour entrer dans des lieux très fréquentés comme les concerts ou les mariages.

L'Association internationale du transport aérien teste actuellement sa propre application qui pourrait confirmer si une personne a été vaccinée ou si elle a récemment été testée négative pour le virus Covid-19 avant d'être autorisée à embarquer sur un vol. Virgin Atlantic et Qatar Airways sont parmi les compagnies aériennes qui effectuent des essais sur le laissez-passer IATA.


Aux États-Unis, certains chefs d'État républicains s'opposent à l'exigence d'un dossier de vaccination portable.

Le 2 avril, le gouverneur de la Floride, Ron DeSantis, a signé un décret interdisant aux entreprises qui obtiennent des subventions ou des contrats de l'État d'exiger de leurs clients qu'ils présentent des passeports Covid-19, qualifiant ces justificatifs de "totalement inacceptables" et exprimant des inquiétudes quant à l'échange d'informations privées. Au Texas, le gouverneur Greg Abbott a signé un décret similaire le 5 avril. Lire ici.

DeSantis et Abbott n'ont pas essayé de bloquer les mandats de vaccination sur le lieu de travail par un fiat exécutif, un geste qui dépasserait très probablement leur autorité légale. Mais une poignée d'assemblées législatives d'États, dont la Floride, l'Ohio et le Missouri, envisagent des projets de loi allant dans ce sens. Voir le pdf à la fin du billet.

Lacunes en matière de droit de la santé

Les exigences de confidentialité et de sécurité prévues par la loi sur la portabilité et la responsabilité en matière d'assurance maladie pourraient rendre plus difficile l'obtention et le partage du statut vaccinal. Mais la question de savoir si les passeports vaccinaux tombent sous le coup de la HIPAA dépend de la manière dont on accède aux informations médicales et de l'implication ou non d'un prestataire de soins de santé dans l'application, a déclaré Savera Sandhu, associé du bureau de Las Vegas du cabinet Newmeyer & Dillion LLP.

L'HIPAA s'applique aux prestataires de soins de santé, aux employeurs qui parrainent des régimes d'assurance maladie et aux centres d'information médicale. Elle s'applique aussi généralement aux associés commerciaux, tels que les fournisseurs de technologies de l'information, qui aident les entités couvertes dans l'exercice de leurs fonctions.

Les développeurs d'applications peuvent se retrouver en dehors du cadre de l'HIPAA s'ils ne travaillent pas avec un hôpital et demandent aux utilisateurs de télécharger directement leurs propres informations médicales, y compris leur statut vaccinal, a déclaré M. Sandhu.

"Ils n'entrent pas nécessairement dans la catégorie des fournisseurs de soins de santé ou des associés", a-t-elle précisé. "Ces entreprises peuvent alors ne pas être soumises aux exigences de l'HIPAA".

Certaines entreprises peuvent opter pour cette approche - les utilisateurs téléchargeant leurs propres informations - tandis que d'autres peuvent obtenir le statut vaccinal auprès d'un prestataire de soins de santé.

"Du point de vue de la confiance, il est important que les consommateurs soient responsables des informations qu'ils donnent au passeport vaccinal", a déclaré Lauren Groebe, avocate chez Morgan Lewis & Bockius LLP à Chicago, spécialisée dans la santé, la confidentialité et la cybersécurité.

La vie privée d'abord

Les développeurs d'applications et les compagnies aériennes, les restaurants, etc. qui utilisent les passeports vaccinaux pourraient en généraliser l'utilisation et réduire le risque de compromission des données en ne recueillant que les informations nécessaires, a déclaré M. Sullivan.

"Une organisation intelligente qui recueille ces informations voudrait élaborer des politiques de confidentialité claires et faire savoir aux gens comment ces informations sont traitées", a-t-il déclaré. "Certains peuvent choisir de visualiser les laissez-passer mais de ne pas conserver ou collecter ces données".

Les informations relatives à la santé et les autres informations personnelles devraient être cryptées dans les applications et lorsqu'elles sont envoyées ailleurs, a déclaré Alon Kaufman, PDG et cofondateur de Duality Technologies, basé en Israël. "Nous devons avoir la sécurité, la confidentialité et la sûreté intégrées dans ces outils".

Comme tout ce qui est numérique, les applications de passeports vaccinaux pourraient théoriquement être piratées, ce qui signifie qu'une seule ou une poignée de normes aux États-Unis et à l'échelle internationale pourraient être utiles, a déclaré Marijus Briedis, responsable de la technologie chez NordVPN en Lituanie.

"Si nous avons chacun 20 applications différentes, comment allons-nous les utiliser ?". a déclaré Briedis. "Les problèmes de sécurité et de confidentialité sont amplifiés avec plus d'apps sur votre téléphone, puisque la zone d'attaque augmente de façon exponentielle."

Obligations de l'employeur

Les entreprises sont généralement habilitées à exiger que les travailleurs se fassent vacciner, mais elles doivent prendre en compte les demandes d'aménagements liés à la santé au titre de la loi sur les Américains handicapés et les objections religieuses au titre du titre VII de la loi sur les droits civils de 1964. Lire ici.

Compte tenu de ce paysage juridique, l'ADA ne devrait pas empêcher les entreprises de demander aux travailleurs ou aux candidats de prouver qu'ils ont été vaccinés contre le Covid-19, ont déclaré les avocats spécialisés dans le droit du travail.

Mais l'ADA exige des employeurs qu'ils préservent la confidentialité des informations relatives aux vaccinations de leurs employés. Cela pourrait empêcher le partage des données relatives aux passeports avec des tiers, comme les prestataires de services qui souhaitent garantir à leurs clients que les travailleurs qui se rendent à leur domicile ou à leur entreprise ont été vaccinés.

Et obtenir le consentement des travailleurs pour divulguer leur passeport vaccinal n'éliminerait pas la menace d'une responsabilité au titre de l'ADA, car les tribunaux pourraient considérer cette démarche comme coercitive ou discriminatoire, a déclaré Peter Blanck, professeur de droit à l'université de Syracuse, auteur d'ouvrages sur les préjugés liés au handicap.

Aucune entreprise ne peut garantir qu'elle dispose d'un personnel totalement vacciné en raison des exceptions prévues par l'ADA et le titre VII, a déclaré Karla Grossenbacher, avocate spécialisée en droit du travail chez Seyfarth Shaw LLP. Au lieu de fournir des passeports vaccinaux individuels, un employeur peut simplement dire à un client que ses employés sont aptes au travail et fournir ses critères d'aptitude, a-t-elle ajouté.

Pourtant, les observateurs juridiques ne sont pas unanimes sur ce que l'ADA exige des entreprises en matière de partage des passeports vaccinaux des travailleurs.

La position permissive de la Commission pour l'égalité des chances dans l'emploi concernant l'obtention par les employeurs d'informations sur les vaccinations suggère que celles-ci peuvent être divulguées, a déclaré Myra Creighton, une avocate de Fisher & Phillips LLP qui conseille les employeurs.

Si le fait de demander à une personne si elle est vaccinée n'est pas une demande liée à un handicap, alors si je dis à quelqu'un que "oui, Joe Smith a été vacciné", ce n'est pas une violation de l'ADA", a-t-elle déclaré.

Pièces jointes

Législatures de l'État de Floride

WvI

 

Législatures de l'État de l'Ohio

WLd

 

Législatures de l'État du Missouri

WLc
 

Quelle est votre réaction ?

confused confused
1
confused
fail fail
0
fail
love love
2
love
lol lol
2
lol
omg omg
1
omg
win win
0
win