Article 1
Il est créé un traitement de données à caractère personnel, dénommé « Convertisseur de certificats ».
Ce traitement de données a pour finalité la conversion vers des formats compatibles avec des normes internationales, et notamment de l'Union européenne, des certificats afférents aux résultats d'examen de dépistage virologique, justificatifs de statut vaccinal et preuves de rétablissement utilisés dans le cadre du « passe sanitaire » prévu par le chapitre 2 du titre 1er du décret du 1er juin 2021 susvisé.
La direction générale de la santé est responsable de ce traitement, nécessaire à l'exécution d'une mission d'intérêt public, conformément aux dispositions du e du paragraphe 1 de l'article 6 et du i du paragraphe 2 de l'article 9 du règlement (UE) du 27 avril 2016 susvisé.
Article 2
Les données traitées en application de l'article 1er concernent les personnes physiques utilisatrices d'un service dénommé : « Convertisseur de certificats ». Ce service est une fonctionnalité de l'application TousAntiCovid qui permet à ses utilisateurs disposant d'un certificat de test ou de vaccination au format national de le convertir dans un format respectant certaines normes internationales. Cette conversion consiste à transmettre les données contenues dans le certificat à un serveur central qui les convertit et les signe dans le nouveau format avant de les mettre à disposition de l'utilisateur ainsi converties par l'intermédiaire de son application TousAntiCovid.
Peuvent être enregistrées dans le traitement mentionné à l'article 1er les données à caractère personnel et informations relatives aux utilisateurs du service « Convertisseur de certificats » suivantes :
1° Les données d'identification des personnes qui utilisent le service : nom, prénom et date de naissance ;
2° Les informations relatives à l'examen de dépistage ou au vaccin réalisé : date de réalisation, Etat dans lequel l'acte a été réalisé, type d'examen ou de vaccin, fabricant de l'examen ou du vaccin, rang d'injection du vaccin ou résultat de l'examen, organisme qui a délivré le certificat, centre de test et identifiant unique du certificat ;
3° Le consentement des personnes concernées, ou d'un représentant légal s'il s'agit de mineurs ou de majeurs sous tutelle, au traitement des données mentionnées aux 1° et 2° les concernant.
Article 3
L'utilisateur du service « Convertisseur de certificats » a accès aux données à caractère personnel et aux informations mentionnées à l'article 2 qu'il a enregistrées dans le traitement en vue d'obtenir un certificat ou un justificatif sous un format mentionné à l'article 1er, ainsi qu'audit certificat ou justificatif.
Les sous-traitants en charge de la conversion sont destinataires des données à caractère personnel et des informations mentionnées à l'article 2, dans le cadre du processus de conversion des certificats.
Article 4
Les données mentionnées à l'article 2 ne sont traitées que le temps de la conversion sur les infrastructures techniques servant à leur transmission au serveur central, de manière temporaire, dans le cadre de solutions mises en œuvre pour lutter contre certaines attaques informatiques. Elles ne sont pas conservées au-delà.
Article 5
Les personnes concernées par le traitement reçoivent l'information prévue à l'article 13 du règlement (UE) du 27 avril 2016 susvisé lors de chaque transmission de données vers le « Convertisseur de certificats ». Cette information figure également sur le site internet du ministère chargé de la santé.
Les droits d'accès et de rectification des données, ainsi que le droit à la limitation du traitement, prévus respectivement aux articles 15, 16 et 18 du même règlement s'exercent auprès de la direction générale de la santé.
Article 6
Le ministre des solidarités et de la santé est chargé de l'exécution du présent décret, qui sera publié au Journal officiel de la République française et entrera en vigueur immédiatement.