COVID-19 : le CEPD et le Contrôleur européen de la protection des données rendent un avis sur la proposition de certificat vert numérique

07 avril 2021

Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont publié, le 6 avril 2021, un avis conjoint sur la proposition de règlement relatif au certificat vert numérique (Digital Green Certificate) de la Commission européenne. Il revient sur les garanties que ce dispositif doit apporter pour les droits et libertés fondamentaux des personnes.

L’essentiel

  • La Commission européenne propose de faciliter la libre circulation au sein de l’Union européenne en mettant en place un certificat vert numérique. Ce certificat permettrait de prouver qu'une personne a été vaccinée contre la COVID-19, ou qu’elle a reçu un résultat négatif à un test de dépistage ou qu’elle s’est rétablie de la COVID-19.
  • Cette proposition a pour objectif de créer un cadre européen harmonisé et interopérable pour la délivrance, la vérification et l’acceptation des certificats au sein de l’Union européenne.
  • Compte tenu des enjeux pour les droits et libertés fondamentaux des personnes, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données souhaitent une meilleure définition, dans la proposition de règlement, des finalités poursuivies par le certificat vert numérique (faciliter la libre circulation au sein de l’Union européenne) et reviennent sur les garanties nécessaires au déploiement d’un tel dispositif.
  • Dans leur avis, ils soulignent également que les États membres qui souhaitent utiliser le certificat vert numérique pour d’autres usages doivent s’assurer d’avoir une base légale :
    • qui respecte les principes de nécessité et de proportionnalité ;
    • qui devra contenir les garanties essentielles pour éviter tout risque de discrimination et d’atteinte aux droit et libertés fondamentaux des personnes concernées.

 

Le certificat vert numérique : qu’est-ce que c’est ?

La Commission européenne a présenté, le 17 mars dernier, une proposition de règlement visant à créer un certificat vert numérique pour faciliter la libre circulation au sein de l’UE.

Ce certificat vert numérique serait une preuve numérique attestant qu’une personne :

  • a été vaccinée contre la COVID-19 ; ou
  • a reçu un résultat de test négatif ; ou
  • s’est rétablie de la COVID-19.

Les citoyens européens obtiendraient le certificat par l’intermédiaire des autorités nationales compétentes (autorités sanitaires, établissements de santé, centres de dépistage).

L’objectif du projet de règlement est d’établir un cadre européen harmonisé et interopérable pour la délivrance, la vérification et l’acceptation de tels certificats au sein de l’Union européenne. En pratique, cela signifie que tout certificat délivré dans un État membre doit pouvoir être vérifié dans un autre État membre de l’UE.

Le certificat vert numérique en pratique

Le certificat vert, délivré dans un format numérique de sorte qu’il puisse être affiché sur un smartphone ou sur papier, inclurait un code QR interopérable contenant notamment une signature numérique visant à garantir son authenticité.

Chaque établissement délivrant des résultats de test ou des comptes rendus de vaccination au sein des États membres (autorités sanitaires compétentes, établissement de santé, etc.) disposerait de sa propre signature numérique.

Un portail, mis en place par la Commission européenne, permettrait de vérifier les signatures des certificats dans l'ensemble de l'UE sans que des données personnelles du titulaire du certificat ne soient transmises à celui-ci.

Exemple : si une personne prend l’avion pour se déplacer à l’étranger, elle pourrait ainsi montrer son certificat sur son smartphone (sous forme de code QR) aux contrôles aux frontières pour prouver qu’elle a bien été vaccinée contre la COVID-19.

L’avis du Comité européen et du Contrôleur européen de la protection des données

Le CEPD et le Contrôleur européen de la protection des données reconnaissent que l’objectif d’interopérabilité des certificats délivrés par les États membres, destiné à faciliter l’exercice de la libre circulation entre les États membres de l’UE en période de crise sanitaire, est légitime.

Le caractère sensible, par nature, du certificat vert numérique pose toutefois des questions inédites en termes de respect des droits et libertés fondamentaux, notamment sur la protection des données personnelles.

Garantir un niveau de protection des données personnelles particulièrement élevé

L’avis conjoint souligne que cette proposition ne permet pas et ne doit en aucun cas conduire à la création d'une base centrale de données personnelles au niveau de l’UE : elle doit seulement permettre la vérification décentralisée des certificats.

Si la volonté est bien de limiter au strict nécessaire les informations disponibles sur ces certificats, l’avis considère que la Commission européenne devrait justifier de la nécessité de certaines données appelées à figurer sur les certificats (par exemple, le produit vaccinal concerné, le titulaire de l’autorisation de mise sur le marché, etc.), conformément au principe de minimisation des données personnelles consacré par le règlement général sur la protection des données (RGPD).

Sur le format du certificat, l’avis conjoint rappelle la nécessité de mettre à disposition de chacun une version numérique et papier des certificats afin d’assurer l’inclusion de l’ensemble des résidents européens dans le dispositif.

Par ailleurs, les deux autorités rappellent que le principe de limitation de la conservation des données nécessite notamment que les données obtenues lors de la vérification des certificats ne soient pas conservées par les États membres et les opérateurs de services de transports habilités à procéder aux vérifications. Enfin, l’avis insiste sur le caractère nécessairement temporaire du dispositif : le certificat vert numérique devrait être limitée à la pandémie de COVID-19 et suspendu une fois la pandémie surmontée, c’est-à-dire que la proposition devrait préciser que les États membres ne devraient plus avoir accès aux données personnelles à l’issue de la crise.

Maîtriser le risque de discrimination

Le CEPD et le Contrôleur européen de la protection des données évoquent dans cet avis les inquiétudes relatives au risque de discrimination basé sur l’état de santé.

Ainsi, si elles accueillent favorablement le fait que le certificat vert numérique vise à couvrir les différentes situations auxquelles sont confrontés les résidents de l’UE (vaccination, tests négatifs et rétablissement), les deux autorités demandent à la Commission européenne de préciser, dans la proposition de règlement, que les États membres devraient accepter ces trois types de certificats afin d’éviter de discriminer les personnes qui ne sont pas encore ou qui ne souhaitent pas être vaccinées.

La réutilisation pour d’autres usages de ce dispositif doit se fonder sur une base légale spécifique

L’avis est également l’opportunité, pour le CEPD et le Contrôleur européen de la protection des données, de s’adresser aux États membres qui envisagent de réutiliser le certificat vert numérique pour d’autres usages internes tels que l’accès à certains lieux (restaurants, lieux culturels, salles de sports, etc.).

Une telle réutilisation étant susceptible de porter atteinte aux droits et libertés fondamentaux des personnes, les deux autorités estiment que toute réutilisation devra être fondée sur une base légale claire et précise qui devra respecter les principes de proportionnalité et de nécessité et contenir les garanties nécessaires pour éviter tout risque de discrimination et d’atteinte au droit au respect de la vie privée et à la protection des données personnelles.

Par ailleurs, l’avis conjoint précise également que les États membres devront s’assurer qu’un tel dispositif s’intègre dans une stratégie sanitaire globale et cohérente afin d’éviter la multiplication de dispositifs.

Enfin, le CEPD et le contrôleur européen à la protection des données considèrent qu’un mécanisme de contrôle de l’utilisation du certificat vert numérique par les États membres devrait être mis en place. 

Quelles sont les différences entre le certificat vert numérique européen et les dispositifs mis en place en France ?

Cette proposition européenne sur le certificat vert numérique ne doit pas être confondue avec les initiatives nationales.

La proposition de règlement européen relatif au certificat vert numérique vise à créer un dispositif facilitant la libre circulation au sein de l’UE dans le contexte de la crise sanitaire actuelle.

En France, le dispositif de code QR intégré dans « TousAntiCovid », sur lequel la CNIL a rendu un avis, a pour objectif de permettre d’alerter un nombre plus élevé de personnes des contacts à risques qu’elles ont croisées en tenant compte des risques particuliers que font peser la fréquentation de certains établissements.