Source: Article de la EDPB du 6 avril 2021
Le 17 mars 2021, la Commission européenne a présenté une proposition visant à créer un certificat vert numérique pour faciliter la libre circulation en toute sécurité des citoyens au sein de l’Union européenne dans le contexte de la crise sanitaire actuelle.
Cette proposition a pour objectif de créer un cadre européen harmonisé et interopérable pour la délivrance, la vérification et l’acceptation des certificats délivrés au sein de l’Union européenne.
Ce certificat, délivré par les autorités nationales compétentes et prenant une forme numérique (l’usage d’un QR Code étant privilégié) mais également papier, attesterait qu’une personne, alternativement :
a été vaccinée contre la Covid-19,
a reçu un résultat de test négatif,
s’est rétablie de la Covid-19.
Dans leur avis conjoint du 6 avril 2021, le Comité européen (CEPD) et le Contrôleur européen de la protection des données reconnaissent au préalable la légitimité de l’objectif d’interopérabilité des certificats délivrés par les États membres, destiné à faciliter l’exercice de la libre circulation des citoyens européens entre les États membres.
En revanche, il souligne que cette proposition ne doit pas conduire à la création d’une base centrale de données personnelles au niveau de l’Union européenne mais doit seulement permettre la vérification décentralisée des certificats.
Suivant le principe de minimisation des données personnelles défini à l’article 5.1-c du RGPD en vertu duquel « les données à caractère personnel doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées », la Commission européenne est appelée à justifier de la nécessité des données qui figureraient sur ce certificat que seraient, en l’état du projet, les nom, prénom et date de naissance, les informations relatives au vaccin et test, la date de délivrance du certificat et la signature numérique de l’organisme.
L’avis met également l’accent sur la limitation de la durée de conservation des données et le caractère nécessairement temporaire du dispositif, l’usage d’un tel certificat devant être limité à la pandémie de Covid-19.
En dernier lieu, le CEPD et le Contrôleur européen de la protection des données mettent en garde contre un détournement de ce certificat pour d’autres usages internes aux Etats membres tels que l’accès aux lieux et événements culturels, salles de sport, restaurants, etc.
Ils soulignent qu’une telle réutilisation porterait atteinte aux droits et libertés fondamentaux des personnes, observant que toute réutilisation devrait être fondée sur une base légale claire et précise respectant les principes de proportionnalité et de nécessité, et contenant les garanties nécessaires pour éviter tout risque de discrimination et d’atteinte au droit au respect de la vie privée et à la protection des données personnelles.
La publication de cet avis permet de rappeler que le 17 décembre 2020, la CNIL s’était prononcée sur l’application « TousAntiCovid », considérant que :
l’utilité d’un dispositif complémentaire d’identification des contacts à risque de contamination est parfaitement démontrée ;
ce dispositif ne s’affranchissait pas du respect du principe de proportionnalité appliqué aux collectes de données réalisées.