[Brèves] Certificat vert numérique : adoption d'un avis conjoint par le CEPD et le Contrôleur européen de la protection des données sur la proposition de règlement

► Dans leur avis conjoint en date du 6 avril 2021, compte tenu des enjeux pour les droits et libertés fondamentaux des personnes, notamment pour la protection des données personnelles, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données exigent une meilleure définition, dans la proposition de règlement, des finalités poursuivies par le certificat vert numérique et reviennent sur les garanties nécessaires au déploiement d’un tel dispositif.

Qu’est-ce que le certificat vert numérique ?

Définition. La Commission européenne a présenté, le 17 mars dernier, une proposition de règlement visant à créer un certificat vert numérique pour faciliter la libre circulation au sein de l’UE.

Ce certificat vert numérique serait une preuve numérique attestant qu’une personne :

• a été vaccinée contre la Covid-19 ; ou
• a reçu un résultat de test négatif ; ou
• s’est rétablie de la Covid-19.

Les citoyens européens obtiendraient le certificat par l’intermédiaire des autorités nationales compétentes (autorités sanitaires, établissements de santé, centres de dépistage).

Objectif. L’objectif du projet de règlement est d’établir un cadre européen harmonisé et interopérable pour la délivrance, la vérification et l’acceptation de tels certificats au sein de l’Union européenne. En pratique, cela signifie que tout certificat délivré dans un État membre doit pouvoir être vérifié dans un autre État membre de l’UE.

Le CEPD et le Contrôleur européen de la protection des données reconnaissent que l’objectif d’interopérabilité des certificats délivrés par les États membres, destiné à faciliter l’exercice de la libre circulation entre les États membres de l’UE en période de crise sanitaire, est légitime.

En pratique. Le certificat vert, délivré dans un format numérique de sorte qu’il puisse être affiché sur un smartphone ou sur papier, inclurait un code QR interopérable contenant notamment une signature numérique visant à garantir son authenticité.

Chaque établissement délivrant des résultats de test ou des comptes rendus de vaccination au sein des États membres (autorités sanitaires compétentes, établissement de santé, etc.) disposerait de sa propre signature numérique.

Un portail, mis en place par la Commission européenne, permettrait de vérifier les signatures des certificats dans l'ensemble de l'UE sans que des données personnelles du titulaire du certificat ne soient transmises à celui-ci.

Par exemple, si une personne prend l’avion pour se déplacer à l’étranger, elle pourrait ainsi montrer son certificat sur son smartphone (sous forme de code QR) aux contrôles aux frontières pour prouver qu’elle a bien été vaccinée contre la Covid-19.

L’avis du CEPD et du Contrôleur européen de la protection des données

Le caractère sensible, par nature, du certificat vert numérique pose des questions inédites en termes de respect des droits et libertés fondamentaux, notamment sur la protection des données personnelles. Ces questions s'articulent principalement autour de trois points. 

• Garantir un niveau de protection des données personnelles particulièrement élevé

L’avis conjoint souligne que cette proposition ne permet pas et ne doit en aucun cas conduire à la création d'une base centrale de données personnelles au niveau de l’UE : elle doit seulement permettre la vérification décentralisée des certificats.

Si la volonté est bien de limiter au strict nécessaire les informations disponibles sur ces certificats, l’avis considère que la Commission européenne devrait justifier de la nécessité de certaines données appelées à figurer sur les certificats (par exemple, le produit vaccinal concerné, le titulaire de l’autorisation de mise sur le marché, etc.), conformément au principe de minimisation des données personnelles consacré par le « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I).

Sur le format du certificat, l’avis conjoint rappelle la nécessité de mettre à disposition de chacun une version numérique et papier des certificats afin d’assurer l’inclusion de l’ensemble des résidents européens dans le dispositif.

Par ailleurs, les deux autorités rappellent que le principe de limitation de la conservation des données nécessite notamment que les données obtenues lors de la vérification des certificats ne soient pas conservées par les États membres et les opérateurs de services de transports habilités à procéder aux vérifications.

Enfin, l’avis insiste sur le caractère nécessairement temporaire du dispositif : le certificat vert numérique devrait être limité à la pandémie de Covid-19 et suspendu une fois la pandémie surmontée, c’est-à-dire que la proposition devrait préciser que les États membres ne devraient plus avoir accès aux données personnelles à l’issue de la crise.

• Maîtriser le risque de discrimination

Le CEPD et le Contrôleur européen de la protection des données évoquent dans cet avis les inquiétudes relatives au risque de discrimination basé sur l’état de santé.

Ainsi, si elles accueillent favorablement le fait que le certificat vert numérique vise à couvrir les différentes situations auxquelles sont confrontés les résidents de l’UE (vaccination, tests négatifs et rétablissement), les deux autorités demandent à la Commission européenne de préciser, dans la proposition de règlement, que les États membres devraient accepter ces trois types de certificats afin d’éviter de discriminer les personnes qui ne sont pas encore ou qui ne souhaitent pas être vaccinées.

• La réutilisation pour d’autres usages de ce dispositif doit se fonder sur une base légale spécifique

L’avis est également l’opportunité, pour le CEPD et le Contrôleur européen de la protection des données, de s’adresser aux États membres qui envisagent de réutiliser le certificat vert numérique pour d’autres usages internes tels que l’accès à certains lieux (restaurants, lieux culturels, salles de sports, etc.).

Une telle réutilisation étant susceptible de porter atteinte aux droits et libertés fondamentaux des personnes, les deux autorités estiment que toute réutilisation devra être fondée sur une base légale claire et précise qui devra respecter les principes de proportionnalité et de nécessité et contenir les garanties nécessaires pour éviter tout risque de discrimination et d’atteinte au droit au respect de la vie privée et à la protection des données personnelles.

Par ailleurs, l’avis conjoint précise également que les États membres devront s’assurer qu’un tel dispositif s’intègre dans une stratégie sanitaire globale et cohérente afin d’éviter la multiplication de dispositifs.

Enfin, le CEPD et le contrôleur européen à la protection des données considèrent qu’un mécanisme de contrôle de l’utilisation du certificat vert numérique par les États membres devrait être mis en place. 

Attention : le certificat vert numérique européen se distingue des dispositifs mis en place en France. Cette proposition européenne sur le certificat vert numérique ne doit pas être confondue avec les initiatives nationales.

La proposition de règlement européen relatif au certificat vert numérique vise à créer un dispositif facilitant la libre circulation au sein de l’UE dans le contexte de la crise sanitaire actuelle.

En France, le dispositif de code QR intégré dans « TousAntiCovid », sur lequel la CNIL a rendu un avis (v. M.-L. Hardouin-Ayrinhac, Lexbase Affaires, février 2021, n° 666 N° Lexbase : N6479BYM), a pour objectif de permettre d’alerter un nombre plus élevé de personnes des contacts à risques qu’elles ont croisées en tenant compte des risques particuliers que fait peser la fréquentation de certains établissements.

© Reproduction interdite, sauf autorisation écrite préalable