COVID-19 : questions-réponses sur le passe vaccinal et sanitaire et l’obligation vaccinale

La CNIL a alerté, à plusieurs reprises, sur les risques de tels dispositifs attentatoires à la vie privée.

Elle considère que le contexte sanitaire peut justifier de telles mesures exceptionnelles uniquement si :

• ces mesures sont limitées dans le temps : la loi prévoit que le dispositif peut être prolongé jusqu’au 31 juillet 2022 si la situation sanitaire le justifie, sous réserve d’une extension qui ne pourrait avoir lieu que suite à de nouveaux débats parlementaires ;
• s’il est démontré que leur mise en œuvre s’avère nécessaire pour lutter contre le rebond de l’épidémie et éviter des mesures encore plus attentatoires aux libertés, notamment un nouveau confinement.

Par ailleurs, comme la CNIL l’a rappelé dans ses avis, il est essentiel que l’impact des différents dispositifs numériques sur la stratégie sanitaire globale soit étudié et documenté régulièrement, à partir de données objectives, afin de s’assurer que le recours à ce type de dispositifs prenne fin dès que leur nécessité disparaîtra.

Certaines garanties déjà prévues pour le passe sanitaire ont été maintenues dans le cadre des récentes évolutions relatives au passe vaccinal dont, notamment :

• les lieux liés aux manifestations habituelles de certaines libertés (culte, etc.) ont été exclus ;
• la possibilité de présenter un certificat de rétablissement ou de contre-indication médicale à la vaccination pour accéder aux lieux soumis au passe vaccinal reste ouverte ;
• les données lisibles par les personnes habilitées à contrôler le passe vaccinal ou sanitaire sont limitées au strict nécessaire ;
• le passe vaccinal sanitaire ne doit pas être conservé à l’issue du processus de vérification afin de prévenir toute utilisation ultérieure ;
• une limitation des données pouvant être conservées par l'employeur sur ses salariés au seul résultat de la vérification opérée concernant l'attestation de vaccination ;
• le choix de chacun d'utiliser une solution numérique ou papier doit être respecté, etc.

Non.

Le passe vaccinal ou sanitaire doit permettre de limiter le risque de contamination en conditionnant certains déplacements ainsi que l’accès à certains lieux, établissements et évènements à :

• la présentation d’un des trois justificatifs suivants pour le passe sanitaire : un test de dépistage à la COVID-19 négatif, une attestation de vaccination ou un certificat de rétablissement à la suite d’une contamination antérieure à la COVID-19 ;
• la présentation d'une attestation de vaccination ou d'un certificat de rétablissement pour le passe vaccinal.

Ils ne peuvent et ne doivent en aucun cas servir à retracer les déplacements des personnes.

TousAntiCovid Verif ne conserve pas les QR codes après la vérification. Pour les applications alternatives à TousAntiCovid Verif, qui ne peuvent être déployées qu’après autorisation du ministère chargé de la santé selon une procédure prévue par arrêté, les données pourront, dans certains cas, être conservées pour la durée d'un seul et même contrôle d'un déplacement ou d'un accès à un lieu, établissement ou service (par exemple, jusqu’à l’embarquement dans le cadre d’un déplacement à l’étranger) (voir la question n°14). Cette conservation limitée permet de réduire le risque de réutilisation des données à d’autres finalités que celles prévues par les textes.

Les données présentes dans les QR-Codes des divers certificats composant le passe sanitaire et vaccinal (attestation de vaccination, test de dépistage à la Covid-19 négatif, certificat de rétablissement) sont :  

• Les données d'identification : nom, prénom et date de naissance ;
• Les informations relatives à l'examen de dépistage ou au vaccin réalisé : date de réalisation, État dans lequel l'acte a été réalisé, type d'examen ou de vaccin, fabricant de l'examen ou du vaccin, rang d'injection du vaccin ou résultat de l'examen, organisme qui a délivré le certificat, centre de test et identifiant unique du certificat.

Toutefois, l’ensemble de ces données n’est pas divulgué aux personnes en charge du contrôle du passe sanitaire présenté pour accéder aux activités concernés (voir la question 5).

S'agissant du certificat de contre-indication médicale, les données présentes sont :

• les données d'identification : nom, prénom, date de naissance ;
• les informations relatives à la contre-indication médicale : date de début, date de fin, nom de la maladie couverte (COVID-19), Etat émetteur, organisme qui a délivré le certificat, identifiant unique du certificat.

Les données visibles lors de la vérification du passe vaccinal ou sanitaire diffèrent en fonction de son usage :

• Pour le passe vaccinal ou sanitaire présenter pour accéder aux activités concernées (restaurants, bar, transports publics interrégionaux, etc.), le personnel et les services en charge de la vérification ne peuvent avoir accès qu’à l’identité de son détenteur (nom, prénom(s), date de naissance) ainsi qu’au résultat positif ou négatif de détention d'un justificatif conforme.
• Pour le passe sanitaire appliqué dans le cadre du contrôle sanitaire aux frontières, le personnel et les services en charge de la vérification pourront avoir accès à davantage d’informations, en fonction des exigences du pays de destination. En général, le contrôleur accèdera à l’identité de son détenteur (nom, prénom(s), date de naissance), aux informations relatives à l'examen de dépistage ou au vaccin réalisé (date de réalisation, État dans lequel l'acte a été réalisé, type d'examen ou de vaccin, fabricant de l'examen ou du vaccin, rang d'injection du vaccin ou résultat de l'examen, organisme qui a délivré le certificat, centre de test et identifiant unique du certificat).

Oui.

Les opérations de contrôle lors de déplacements à destination ou en provenance du territoire métropolitain, de la Corse, de l’Outre-mer ou de l’étranger nécessitent parfois que le contrôleur s’assure lui-même du respect des diverses règles imposées par les pays vers lesquels les personnes se rendent, ces règles étant très variables et pouvant subir des modifications fréquentes.

L’accès à de telles informations est permis par la loi dès lors que l’accès à ces données est « strictement nécessaire » pour le contrôle du passe sanitaire.

Oui.

Les personnes gérant les lieux, établissements ou événements qui sont conditionnés à la présentation du passe vaccinal ou sanitaire sont responsables du traitement de données personnelles que constitue l’opération de vérification.

Dans ce cadre, pour respecter leurs obligations, ces personnes doivent notamment :

• Apporter une information appropriée aux personnes concernées : une telle information, compréhensible par le plus grand nombre, devrait notamment être disponible le plus en amont possible de la vérification (par exemple, sur les sites web de réservation d’un concert, lors de la réservation d’un billet de train, etc.) et placée à des emplacements accessibles et visibles lors de l’accès au lieu, à l’établissement ou à l’évènement concerné par le dispositif. Plusieurs supports de communication sont mis à disposition des professionnels par le gouvernement (par exemple des signalétiques présentant le passe sanitaire) et doivent être complétés par des informations claires et concises concernant la protection des données personnelles (le responsable du traitement de données, le fait que le traitement est mis en œuvre pour limiter les risques de diffusion épidémique, qu’il repose sur une obligation légale et que seules les personnes dûment habilitées pourront accéder aux données, l’absence de conservation des données personnelles au-delà du contrôle, etc.).
• Utiliser une application de lecture du passe vaccinal ou sanitaire autorisée (voir question n°8) : seules l’application TousAntiCovid Verif ou toute application de lecture autorisée par le ministère chargé de la santé selon une procédure prévue par arrêté peuvent être utilisées pour le contrôle du passe sanitaire.
• Tenir un registre des personnes habilitées à contrôler le passe vaccinal ou sanitaire (voir question n°10).

Seules l’application TousAntiCovid Verif ou toute application de lecture autorisée par le ministère chargé de la santé selon une procédure prévue par arrêté peuvent être utilisées pour le contrôle du passe vaccinal ou sanitaire.

Ces applications doivent être développées afin de permettre le respect des garanties prévues par les textes encadrant le passe vaccinal ou sanitaire : elles doivent permettre un accès limité aux données (notamment pour le passe sanitaire « activités »), l’absence de conservation des données au-delà du contrôle réalisé, etc.

Elles doivent également permettre le respect du RGPD et assurer la sécurité des données traitées.

D’autres applications peuvent permettre de lire l’intégralité des données présentes dans les QR-codes : il est strictement interdit de les utiliser dans le cadre des opérations de vérification du passe vaccinal ou sanitaire.

Non.

L’application TousAntiCovid n’est pas un dispositif de lecture du passe vaccinal ou sanitaire et ne doit en aucun cas être utilisée à cette fin.

Oui.

En vertu du décret, les organismes concernés doivent tenir un registre d’habilitation qui doit comprendre :

• l’identité des personnes habilitées ;
• la date d’habilitation ;
• les jours et horaires des contrôles effectués par ces personnes. 

Ce registre constitue un traitement de données personnelles. Sa mise en œuvre devra se faire dans le respect du règlement général sur la protection des données (RGPD) : les personnes habilitées concernées devront être informées et leurs droits devront être respectés (articles 15 à 21 du RGPD). Une durée de conservation devra être définie.

La loi du 22 janvier 2022 prévoit désormais que, lorsqu'il existe des raisons sérieuses de penser que le passe vaccinal ou sanitaire n'est pas celui de la personne qui le présente, les personnes habilitées à contrôler le passe vaccinal ou sanitaire peuvent demander de produire un document officiel comportant une photographie, afin de vérifier la concordance entre les éléments d'identité mentionnés sur ces documents.

Toutefois, les personnes en charge du contrôle du passe vaccinal ou sanitaire ne peuvent conserver ni réutiliser les documents qui leur sont présentés, sous peine de sanctions.

Non.

Le passe vaccinal ou sanitaire peut être présenté aux formats papier et numérique (directement dans l’application TousAntiCovid ou en dehors de celle-ci). Les deux versions disposent d’un QR-code contenant les informations essentielles, ainsi qu’une signature numérique visant à garantir l’authenticité du certificat.

L’utilisation de l’application TousAntiCovid ne peut, en aucun cas, constituer une condition d’accès à un lieu, événement ou à un établissement concerné par le dispositif. Il s’agit ici d’une garantie essentielle dès lors que l’usage de l’application est basé sur le volontariat des personnes. La CNIL y sera particulièrement attentive.

Non.

Compte tenu de l’interdiction de conserver le passe sanitaire, l’utilisation de ce type de services ne doit pas être demandée.

Pour permettre un contrôle à distance et automatisé, les textes encadrant le passe vaccinal ou sanitaire ont permis le recours à des applications alternatives à TousAntiCovid Verif. Toutefois, ces applications doivent être autorisées par le ministère chargé de la santé.

Sur l’application TousAntiCovid Verif, les données sont traitées instantanément et ne peuvent être conservées au-delà de l’opération de lecture.

En revanche, les dispositifs alternatifs de lecture à l’application TousAntiCovid, qui permettent une vérification en ligne, en amont du déplacement ou de l’accès au lieu concerné, peuvent temporairement conserver certaines données pour la durée d’une seul et même contrôle : par exemple, les données d’un voyageur peuvent être conservées de son enregistrement ligne jusqu’à l’embarquement.

Ces données doivent faire l’objet de mesures de sécurisé adaptées à la sensibilité des données ainsi conservées (notamment pour les données conservées dans le cadre du passe sanitaire appliqué dans le cadre du contrôle sanitaire aux frontières).

Enfin, s’agissant du justificatif de statut vaccinal transmis par le salarié volontaire pour la délivrance d’un titre spécifique permettant une vérification simplifiée, l’employeur peut conserver le résultat de la vérification de ce justificatif (et non ce justificatif) jusqu’à la date à laquelle l’obligation de présenter un passe vaccinal prend fin.

Non.

Le passe vaccinal ou sanitaire ne doit pas faire l’objet d’une conservation en dehors des cas prévus par la loi (y compris avec l’accord de son détenteur). D’autre part, les clients doivent faire l’objet d’un contrôle à chaque nouvel accès/chaque nouveau déplacement concerné par l’obligation de présentation du passe vaccinal ou sanitaire.

Oui. Toutefois, ils devront prendre toutes les mesures de sécurité nécessaires pour assurer la conservation sécurisée de ce document.

Celle-ci ne devra pas se prolonger au-delà de l’obligation de présentation du passe vaccinal ou sanitaire conformément aux textes en vigueur.

Les salariés/agents des établissements concernés dont l'activité se déroule dans les espaces et aux heures accessibles au public doivent présenter leur passe vaccinal pour se rendre sur leur lieu de travail. Celui-ci peut être présenté au format papier ou au format numérique, notamment sur l’application TousAntiCovid.

Seule la présentation de ce document peut être demandée par le responsable d’établissement. Le responsable d’établissement, à son initiative, ne peut donc pas demander à un salarié/agent d'autres informations sur le schéma vaccinal réalisé (par exemple, les dates d'injections ou le type de vaccin réalisé).

Par dérogation, les salariés/agents qui justifient d’un engagement dans un schéma vaccinal (première dose de vaccin reçue avant le 15 février 2022 et administration de la deuxième dose dans le délai d'un mois maximum), pourront également se rendre sur leur lieu de travail sur présentation du justificatif de l'administration de leur première dose et du résultat d'un test ou d’un examen de dépistage réalisé moins de 24 heures avant.

Oui, sauf s’ils souhaitent obtenir un titre spécifique permettant une vérification simplifiée.

Les salariés/agents des établissements concernés doivent en principe systématiquement présenter leur passe vaccinal pour se rendre sur leur lieu de travail, durant les horaires d’ouverture au public. Néanmoins, pour faciliter cette démarche, si un salarié le souhaite et à son initiative, il peut présenter un justificatif de statut vaccinal à son employeur. La CNIL rappelle que le salarié/agent doit prendre soin de ne dévoiler que l'information selon laquelle son schéma vaccinal est complet, à l’exclusion de tout autre donnée présente sur le justificatif (voir la question 19). Cette dérogation doit ainsi permettre au salarié/agent de disposer d’un titre simplifié l’autorisant à se rendre sur son lieu de travail sans avoir à présenter son passe vaccinal tous les jours.

La CNIL rappelle que cette démarche doit rester volontaire : l’employeur ne peut donc pas l’imposer. Le contrôle du passe vaccinal devra toujours rester possible pour les salariés/agents qui ne souhaitent pas bénéficier de titre simplifié.

L’employeur ne doit pas demander un justificatif qui comporte d’autres données que l’information selon laquelle la personne concernée a bien été vaccinée et que le schéma de vaccination est complet (par exemple, en occultant les autres données sur une photocopie de l’attestation de vaccination). Aussi, ne devront pas figurer sur ce justificatif des informations relatives aux dates d’injection, à d’éventuelles pathologies ou comorbidité, au type de vaccin pratiqué, etc. Les certificats de vaccination étant assortis d’une date d’expiration, l’employeur est autorisé à conserver le terme de validité du justificatif présenté.

Cette information peut être inscrite dans un fichier dédié ou encore dans le dossier personnel du salarié/agent concerné, et conservée jusqu’à la fin de l’application du dispositif conformément au calendrier fixé par le gouvernement ou, si elle est antérieure, jusqu’à la date de fin du contrat du salarié/agent.

La CNIL relève que l’accès à cette information doit être réservé aux seules personnes habilitées (par exemple le service des ressources humaines). Ainsi, ni le supérieur hiérarchique du salarié/agent ni les autres salariés/agents ne doivent y avoir accès. Par exemple, l’employeur ne doit pas demander à l’ensemble de ses employés de consigner cette information dans un document en accès partagé.

Par ailleurs, cette information devra être conservée de manière sécurisée, et en veillant à éviter le recours à des outils susceptibles d'entraîner des transferts de données vers des pays en dehors de l’Union européenne.

Non.

Le salarié/agent ne doit présenter son passe vaccinal qu’à partir de son entrée en fonction, au moment de se rendre sur son lieu de travail. Ce document ne peut donc pas lui être demandé au stade du recrutement.

Toutefois, l’employeur doit informer le candidat de cette obligation et l’alerter sur les conséquences qui peuvent être tirées de la poursuite de la relation contractuelle pour tout salarié/agent qui ne serait pas en mesure de remplir cette obligation au jour de sa prise de poste.

Pour plus d’informations, nous vous invitons à consulter la question réponse sur la vaccination et le passe sanitaire au travail publiée par le ministère du Travail.

Non.

Les restaurants d’entreprise ne sont pas concernés par l’obligation de présentation du passe vaccinal. Le passe vaccinal ne peut donc pas être demandé aux salariés/agents qui s’y rendent pour déjeuner ni à ceux qui y travaillent.

Non.

L’employeur n’a pas à contrôler l’aptitude d’un salarié/agent pour se rendre dans un établissement, un lieu ou un pays dont l’entrée serait conditionnée par la présentation d’un passe vaccinal. En effet, seul le personnel et les services habilités des lieux concernés peuvent effectuer ce contrôle.

L’employeur peut toutefois alerter le salarié/agent sur l’exigence de présentation d’un passe vaccinal pour accéder au lieu concerné ou sur les conditions d’entrée sur le territoire du pays dans lequel il doit se déplacer. Le fait de consciemment s’engager dans une démarche professionnelle soumise à la détention du passe vaccinal tout en sachant ne pas en remplir les conditions peut constituer une faute vis-à-vis de l’employeur.

Non.

Lorsque les salariés/agents ne sont pas concernés ni par une obligation de présentation de passe sanitaire ni par une obligation vaccinale, l’employeur ne peut être destinataire d’aucune information sur le statut vaccinal de ses salariés/agents, ni sur le taux de couverture vaccinale de ses salariés/agents même sous une forme statistique.

Pour plus d’informations sur les obligations applicables aux employeurs et à la collecte de données personnelles dans le contexte de crise sanitaire, nous vous invitons à consulter la FAQ dédiée, disponible sur le site de la CNIL.

Les salariés/agents doivent justifier avoir satisfait à cette obligation en présentant un certificat de statut vaccinal.

Ce document doit être présenté au format papier ou numérique :

• auprès de l’employeur, pour les salariés et agents publics concernés ;
• auprès de l’agence régionale de santé compétente pour les professionnels de santé exerçant en libéral.

À défaut de certificat de statut vaccinal, les professionnels de santé exerçant en libéral peuvent justifier d’un certificat de rétablissement à la COVID-19 ou d’un certificat médical de contre-indication auprès de l’agence régionale de santé compétente.  

En ce qui concerne les salariés/agents, ces-derniers peuvent, à défaut de certificat de statut vaccinal :

• présenter un certificat de rétablissement à la COVID-19 ou un certificat médical de contre-indication à leur employeur ;
• adresser ces documents au médecin du travail compétent.

Lorsqu’un salarié/agent présente son certificat de statut vaccinal à son employeur (ou à l’agence régionale de santé compétente) celui-ci ne doit pas le conserver. Seul peut être consigné le résultat de la vérification opérée, par exemple sous la forme « OUI/NON » ainsi que le terme de validité du certificat présenté.

Cette information peut être inscrite dans un fichier dédié ou encore dans le dossier personnel du salarié/agent concerné. Par ailleurs, cette information devra être conservée de manière sécurisée, en veillant à éviter le recours à des outils susceptibles d'entraîner des transferts de données vers des pays en dehors de l’Union européenne.

Oui, sous réserve de la mise en place de certaines garanties.

L’employeur peut proposer l’envoi des certificats par voie électronique. Toutefois, compte-tenu des risques associés à cette transmission, cette possibilité devrait être réservée aux situations qui le justifient, par exemple d’un point de vue quantitatif (nombre important de salariés/agents à contrôler) ou d’un point de vue matériel (absence du salarié concerné sur le lieu de travail).

En tout état de cause des mesures de sécurité adaptées à la sensibilité des données doivent être mises en œuvre :

• l’employeur devra assurer la destruction immédiate du justificatif une fois l’opération de vérification effectuée et le résultat de la vérification opérée enregistré (par exemple sous la forme « OUI/NON ») ;
• les salariés/agents qui souhaiteraient présenter physiquement leurs certificats auprès de leur employeur devront en avoir la possibilité ;
• l’employeur ne devra pas inciter les salariés/agents à transmettre leurs certificats depuis leur adresse e-mail personnelle.

Oui, mais uniquement les responsables de structure de certains établissements, centres et services désignés par la loi.

Le contrôle par la consultation directe du système d’information « Vaccin COVID », prévu par le décret n° 2021-1670 du 16 décembre 2021, peut être effectué par les responsables des établissements, centres et services mentionnés au 1° du I de l'article 12 de la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire et les agents qu'il habilitent, ainsi que par les agents des agences régionales de santé, spécialement habilités par les directeurs généraux de ces agences pour contrôler le respect de l’obligation vaccinale.

Ces établissements peuvent donc procéder à un contrôle des justificatifs, à effectuer avec les précautions rappelées ci-dessus, ainsi qu’à une vérification par consultation directe de « Vaccin COVID ». Cet accès doit impérativement être sécurisé : il ne peut être ouvert qu’à des agents habilités et, en tout état de cause, seul le résultat de la vérification opérée (par exemple sous la forme « OUI/NON ») et le terme de validité du certificat pourront être conservés. Si l’établissement n’est pas en mesure de garantir la confidentialité et la sécurité des consultations de « Vaccin COVID » à cette fin de contrôle de l‘obligation vaccinale, il doit procéder à un contrôle individuel des certificats.

Le résultat de la vérification pourra être conservé jusqu’à la fin de l’obligation vaccinale ou à la fin du contrat de travail de la personne concernée.  

L’accès aux informations relatives à la vérification du statut vaccinal du salarié/agent doit être réservé aux seules personnes habilitées (par exemple le service des ressources humaines).

Ainsi, ni le supérieur hiérarchique du salarié/agent ni les autres employés ne doivent y avoir accès. Par exemple, l’employeur ne doit pas demander à l’ensemble de ses salariés/agents de consigner cette information dans un document en accès partagé.

Oui.

L’obligation vaccinale induit un contrôle de la part des établissements employeurs, juridiquement responsables de sa mise en œuvre. Toutefois, le certificat de contre-indication ou de rétablissement peuvent être transmis au médecin du travail compétent qui informe l’employeur, sans délai, de la satisfaction à l’obligation vaccinale. Les services de médecine du travail sont alors en charge de collecter les dits certificats, en se tenant aux règles de conservation sécurisée et destruction applicables.

Non.

Le salarié/agent ne doit présenter son justificatif qu’à partir de sa prise de fonction. Ce document ne peut donc pas lui être demandé au stade du recrutement.

Toutefois, l’employeur doit informer le candidat de cette obligation et l’alerter sur les conséquences qui peuvent être tirées de la poursuite de la relation contractuelle pour tout salarié/agent qui ne serait pas en mesure de remplir cette obligation au jour de sa prise de poste.

Pour plus d’informations, nous vous invitons à consulter la question réponse sur la vaccination et le passe sanitaire au travail publiée par le ministère du Travail.

Dans le cadre de ses missions, la CNIL rend des avis sur les projets de texte encadrant les dispositifs de lutte contre la COVID-19 afin d’éclairer les pouvoirs publics sur les enjeux Informatique et Libertés sans toutefois que ces avis constituent une « validation », une « autorisation » ou encore un « refus ». Le passe sanitaire a fait l’objet de plusieurs avis en date du 12 mai, du 7 juin et du 6 août, du 9 septembre ainsi que du 21 octobre dernier.

COVID-19 : les avis de la CNIL

Par ailleurs, la CNIL réalise régulièrement des contrôles sur les dispositifs utilisés dans le cadre de la gestion de la crise et ses contrôles se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent.

Enfin, elle peut prendre des mesures correctrices (mise en demeure publique ou non publique, dans certains cas des sanctions pécuniaires, etc.) si les données personnelles ne sont pas traitées de manière licite, loyale et transparente.