Covid-19 : avis conjoint du CEPD et du Contrôleur européen de la protection des données sur le certificat vert numérique visant à faciliter les déplacements au sein de l’Union européenne

La Commission européenne a présenté le 17 mars 2021 une proposition de règlement visant à la mise en place d’un certificat vert numérique pour faciliter la liberté de circulation au sein de l’Union européenne dans le contexte actuel de pandémie Covid-19.

Ce projet d’outil numérique a fait l’objet d’un avis conjoint de la part du Comité européen de la protection des données et du Contrôleur européen de la protection des données du 31 mars 2021, publié le 6 avril 2021.

Ce certificat vert numérique constituerait une preuve numérique délivrée par les établissements de santé et autorités sanitaires compétentes de chaque Etat membre, établissant qu’une personne a été vaccinée / a reçu un test négatif / s’est rétablie du Covid-19, permettant de faciliter les voyages et déplacements au sein de l’Union européenne.

Ce certificat se présenterait sous la forme d’un code QR contenant une signature numérique, et permettrait une utilisation coordonnée et interopérable entre les Etats membres de l’Union européenne quant à sa délivrance, sa vérification et son acceptation.

Cette preuve numérique impliquant le traitement de données personnelles (et s’agissant de données relatives à la santé des personnes, de données sensibles), la Commission européenne a sollicité l’avis du Comité européen de la protection des données (ci-après CEPD) et du Contrôleur européen de la protection des données.

Respect des principes de nécessité et de proportionnalité

Le CEPD et le Contrôleur européen de la protection des données rappellent avant tout que la mise en place de ce dispositif doit être réalisée en parfaite conformité avec le Règlement général sur la protection des données (RGPD) et que les mesures mises en place doivent être guidées tout particulièrement par les principes de nécessité et de proportionnalité.

Les deux entités considèrent que ces principes semblent respectés puisque la proposition de règlement prévoit :

  • Une collecte de données personnelles limitée au strict nécessaire (article 5 de la proposition et annexe)
  • L’impossibilité de conserver les données lors de la vérification du certificat (article 9 de la proposition) ;
  • L’absence de mise en place d’une base de données centrale qui conserverait les données transmises ;
  • Le caractère par nature temporaire du dispositif, qui a vocation à disparaître lorsque la pandémie de Covid-19 sera terminée (article 15 (2) de la proposition).

Sur ce dernier point, l’avis est formel : la proposition doit prévoir que l’accès et l’usage subséquent aux données collectées par les Etats membres ne seront plus autorisés sur la base du règlement lorsque la pandémie sera terminée.

Une mise en garde est d’ailleurs adressée aux Etats membres : tout usage autre que celui visant à faciliter la liberté de circulation au sein de l’Union européenne ne rentre pas dans le cadre de la proposition de règlement et pourrait conduire à des risques et conséquences indésirables pour les droits fondamentaux des citoyens européens.

Tout usage complémentaire par les Etats membres du certificat vert numérique, par exemple pour contrôler l’entrée des magasins, restaurants, salles de sports, etc. … devra être conforme aux dispositions du RGPD et faire l’objet d’une analyse d’impact préalable afin d’éviter tout risque de discrimination et empêcher toute rétention de données injustifiée.

Sur ce dernier point, le CEPD et le Contrôleur européen de la protection des données saluent le fait que la proposition précise expressément que cette nouvelle réglementation ne constitue en aucune manière une base légale justifiant le stockage des informations collectées par les Etats membres de destination ou les opérateurs de transports transfrontaliers.

Respect du principe de finalité

Conformément au principe de finalité établi par le RGPD, le CEPD et le Contrôleur européen de la protection des données indiquent que la proposition devrait définir et décrire plus précisément l’objectif de ce certificat vert numérique.

Ce même principe de finalité empêche également que le dispositif envisagé puisse être réutilisé dans un cadre autre que celui de la pandémie de Covid-19, notamment dans l’hypothèse où l’OMS déclarerait à nouveau une urgence sanitaire liée à une infection similaire au Covid-19.

L’article 15 de la proposition qui prévoyait une possibilité en ce sens doit donc être révisé.

Respect du principe de minimisation des données personnelles

Le principe de minimisation des données personnelles implique également, selon l’avis du CEPD et du Contrôleur européen de la protection des données, que soient davantage justifiées la nécessité de collecter certaines données et leur inclusion au certificat, en particulier les informations relatives au produit vaccinal utilisé, au titulaire de l’autorisation de mise sur le marché du vaccin, au producteur du vaccin ou encore au numéro de série du vaccin.

Garanties techniques et organisationnelles et détermination des responsables de traitement

Le CEPD et le Contrôleur européen de la protection des données souhaitent également que la proposition précise que les responsables de traitement et les sous-traitants devront prendre toutes les mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD.

Conformément aux principes de privacy by design et de privacy by default, ces mesures devront être mises en place dès la conception du traitement comme au moment de sa mise en œuvre.

Il est enfin préconisé que la liste des entités responsables de traitement, sous-traitantes et destinataires de chaque Etat membre soit rendue publique, afin que les citoyens puissent valablement faire valoir leur droit fondamental à la protection des données.

Lutte contre les discriminations

Le CEPD et le Contrôleur européen de la protection des données précisent que pour assurer l’inclusion de tous les citoyens européens, les certificats devront être disponibles sous format digital mais aussi papier.

Est enfin soulignée la conformité de la proposition de règlement au regard du RGPD en ce que sont prévus trois types de certificats : un certificat de vaccination, un certificat de test négatif et un certificat de rétablissement, ce qui permettrait de limiter le risque de discrimination, en particulier à l’encontre des personnes ne souhaitant pas se faire vacciner.

 

Pauline Kubat – avocate au Barreau de Lyon
Cet article a pour objet d’apporter une information générale sur le sujet abordé. Pour votre problématique spécifique, un conseil spécialisé est recommandé.

(Article initialement publié sur soulier-avocats.com)

Archives

Adresse

208 rue Garibaldi
69003 Lyon

Téléphone

+33 (0) 6 03 99 19 17

Toque

771