Le 6 avril 2021 le Comité européen de la protection des données (« le CEPD ») et le Contrôleur européen de la protection des données ont rendu un avis conjoint sur la proposition de certificat vert numérique de la Commission européenne.
Qu’est-ce que le certificat vert numérique ?
La Commission européenne a présenté le 17 mars dernier, une proposition de règlement visant à créer un certificat vert numérique pour faciliter la circulation au sein de l’Union européenne.
Cette proposition a pour objectif de créer un cadre européen harmonisé et interopérable pour la délivrance, la vérification et l’acceptation des certificats au sein de l’UE.
Prévu pour être opérationnel en juin 2021, il doit être adopté par tous les États membres ainsi que le Parlement et le Conseil européen.
Ce passeport permettra de justifier d’une vaccination contre le Covid-19 ou d’un test PCR négatif ou encore d’une immunité à la suite d’une infection.
Ce certificat prendra la forme d’un code QR et contiendra plusieurs données personnelles à savoir :
- Le nom et le prénom
- La date de délivrance
- La date de naissance
- L’identifiant unique du certificat
- Des informations pertinentes sur la vaccination, les tests, ou le rétablissement autrement dit si la personne a été vaccinée, si la personne a fait l’objet d’un test PCR négatif ou d’un test sérologique qui prouve que la personne a contracté la maladie
Comment obtenir ce certificat ?
Les citoyens européens peuvent obtenir ce certificat par l’intermédiaire d’autorités nationales compétences comme des établissements de santé, des centres de dépistage ou des autorités sanitaires. Tout certificat délivré par un État membre doit pouvoir être vérifié dans un autre État membre de l’UE.
De plus, le certificat sera délivré dans un format numérique de sorte qu’il puisse être affiché par smartphone ou papier incluant un QR code interopérable contenant une signature numérique d’un établissement compétent visant à garantir son authenticité.
Quelles conséquences pour nos données personnelles ?
Même si ces informations ne semblent pas critiques, il n’en demeure pas moins que leur nature médicale nécessite une vigilance accrue et la mise en œuvre d’étude d’impact.
Le caractère sensible, par nature, du certificat pose des questions concernant le respect des droits et libertés fondamentaux notamment sur la protection des données personnelles.
Il faudra donc garantir un niveau de protection des données personnelles particulièrement élevé, cette proposition ne doit en aucun cas conduire à la création d’une base centrale de données personnelles au niveau de l’UE : elle doit seulement permettre la vérification décentralisée des certificats.
La Commission européenne s’engage à respecter la protection des données personnelles, vérifier la bonne utilisation du certificat par les États membres, faire en sorte que ces données ne soient pas conservées par le pays de destination, mais également que le certificat ne devienne pas une condition préalable à la libre circulation dans l’Union européenne sous peine de créer des discriminations.
Comment seront stockées nos données ?
L’Organisation Mondial de santé déclare qu’il faudra stocker ces informations jusqu’à la fin de l’épidémie.
Le Comité européen de la protection des données (CEPD), successeur du G29 ayant pour mission principale de veiller à l’application du RGPD dans tous les pays membres de l’UE et le Contrôleur européen autorité de contrôle indépendante des institutions européenne sur la protection des données, rappellent le principe de limitation de la conservation des données notamment celles obtenues lors de vérifications du certificat ne doivent pas être conservé par les États membres et les opérateurs de service de transports habilités à procéder à des vérifications.
Les autorités insistent sur le caractère nécessairement temporaire du dispositif, ce certificat est limité à la pandémie de Covid-19 et sera suspendu une fois la pandémie surmontée, après la crise les États ne devraient plus avoir accès aux données personnelles.
La portée de l’avis du CEPD et du Contrôleur ?
Les deux autorités reconnaissent que l’objectif d’interopérabilité des certificats délivrés par les États membres destinés à faciliter l’exercice de la libre circulation entre États membres en période de crise sanitaire, est légitime.
Cependant, le CEPD et le Contrôleur vont rappeler quelques principes fondamentaux à la Commission européenne et réclamer plus de précision concernant certaines dispositions.
Notamment, les deux autorités ont souhaité définir les finalités poursuivies par le certificat et revenir sur les garanties nécessaires au déploiement d’un tel dispositif, compte tenu des enjeux pour les droits et libertés fondamentaux des personnes.
Elles insistent sur le fait que, les États membres qui souhaitent utiliser le certificat vert pour d’autres usages internes tels que l’accès à certains lieux (restaurant, salle de spectacle, lieux culturels) doivent s’assurer d’avoir une base légale claire et précise qui respecte les principes de nécessité, de proportionnalité et contenir des garanties nécessaires pour éviter tout risque de discrimination et d’atteinte au droit au respect de la vie privée et à la protection des données personnelles.
La Commission européenne devra également justifier de la nécessité de certaines données appelées à figurer sur les certificats comme le produit vaccinal concerné, le titulaire de l’autorisation de mise sur le marché. La volonté étant de limiter au strict nécessaire les informations disponibles sur le certificat
Enfin, les autorités estiment qu’un mécanisme de contrôle de l’utilisation de ce certificat par les états devrait être mis en place.
Lien vers le récapitulatif de la CNIL : https://www.cnil.fr/fr/covid-19-le-cepd-et-le-controleur-europeen-protection-des-donnees-avis-certificat-vert-numerique