Par Anne Charlotte Andrieux et Théo Renaudie
Le 17 mars 2021, la Commission européenne a présenté le « Certificat Vert Numérique ».
Contrairement à ce que pourrait laisser penser ce nom, il n’est aucunement question de sobriété énergétique des acteurs du numérique mais d’une sorte de passeport vaccinal européen, les atteintes aux libertés en moins. Explications.
1. Qu’est-ce qu’un certificat vert numérique ?
Le certificat vert numérique est un document établi par un organisme de délivrance habilité (hôpital, centre de test, autorité sanitaire, etc) attestant qu’une personne, soit :
- a été vaccinée contre la COVID-19,
- a reçu un résultat de test négatif,
- s’est rétablie de la COVID-19.
Un peu plus large que ne le serait un passeport vaccinal, ce document est transcrit sous la forme d’un QR Code contenant :
- le nom, le prénom, la date de naissance de son porteur,
- les informations relatives au vaccin, au test, ou au rétablissement,
- un identifiant unique du certificat,
- la date de délivrance du certificat par l’organisme,
- la signature numérique de l’organisme.
Défini au niveau européen, l’objectif est qu’il puisse être facilement contrôlé dans des conditions identiques par les autorités habilitées dans chaque État membre, une interopérabilité qui fait toujours défaut au contact tracing français.
Le 6 avril 2021, le Comité européen (CEPD) et le Contrôleur européen de la protection des données ont émis un avis conjoint sur le dispositif : ils ont estimé que l’objectif d’interopérabilité était légitime, ils ont toutefois avisé la Commission qu’elle devrait justifier de la nécessité des informations relatives au vaccin injecté conformément au principe de minimisation des données.
Bien qu’il ait été conçu pour un usage numérique, présenté sur smartphone par exemple, le QR Code est tout à fait utilisable en version papier : une mesure d’inclusion de l’ensemble des résidents européens qu’a salué l’avis conjoint.
2. Où sont stockées les données du passeport vaccinal ?
Pour pouvoir être contrôlé par n’importe quel État membre de l’Union européenne, on aurait pu soupçonner une base centrale comprenant l’intégralité des certificats et toutes les données personnelles qu’ils contiennent.
La Commission n’a heureusement pas fait ce choix. S’il y aura bien une base européenne, celle-ci ne contiendra que la correspondance des signatures et des organismes certificateurs, permettant simplement de contrôler la validité du titre présenté.
Les données personnelles seront bien consultées au moment du contrôle pour relier le certificat à son porteur, mais elles ne seront pas copiées sur le serveur de l’État membre : elles resteront dans le serveur sécurisé de l’État membre d’origine de la personne contrôlée.
À ce sujet, le Comité et le Contrôleur européen de la protection des données ont souligné l’importance capitale de l’absence d’une base centrale de données personnelles au niveau de l’UE. Ils saluent que la proposition ne permette que la vérification décentralisée des certificats.
L’avis conjoint précise également que les données personnelles vérifiées ne devront jamais être conservées par les contrôleurs habilités afin de permettre la limitation de la conservation des données.
Par ailleurs, tant le Contrôleur que le CEPD rappellent que le dispositif ne peut qu’être temporaire et limité à la pandémie : la proposition devrait préciser que les États membres n’auront plus accès aux données personnelles à l’issue de la crise.
3. À quoi va servir le passeport vaccinal ?
Actuellement, les États membres (ÉM) ont des exigences différentes quant aux tests que doivent présenter les voyageurs s’ils souhaitent entrer sur leur territoire sans avoir à subir des restrictions de déplacement ou des mesures de quarantaine.
L’objectif du certificat vert numérique est de permettre de façon uniforme à tous leurs porteurs de ne pas subir l’exigence d’un test supplémentaire à fournir à l’arrivée ou d’une quarantaine à respecter.
Inversement, il n’est pas question de restreindre la liberté fondamentale de circulation des personnes qui n’en disposeraient pas : simplement, celles-ci resteront soumises aux exigences de test ou de quarantaine actuelles.
Afin de s’assurer du respect de ce vert passe-droit, les États membres qui voudront maintenir les tests et les quarantaines à l’encontre des porteurs du sésame devront notifier la Commission et tous les autres États membres de leur intention en expliquant leurs raisons.
Le CEPD et le Contrôleur européen de la protection des données personnelles relèvent certaines inquiétudes à propos des utilisations dévoyées qui pourraient être faites de ce digital green certificate.
En effet, dans la mesure où le certificat dévoile si son porteur en bénéficie à raison d’un vaccin, d’un rétablissement ou d’un test négatif : les deux autorités craignent un traitement différencié des bénéficiaires.
Pour éviter cette discrimination, le Comité et le Contrôleur demandent à la Commission de préciser à la proposition que les ÉM devront accepter les trois également afin que les personnes ne pouvant ou ne souhaitant pas être vaccinées ne se trouvent pas contraintes de le faire afin d’éviter un traitement différencié.
Enfin, l’avis conjoint soulève la tentation des ÉM d’utiliser ce dispositif à l’intérieur même de leurs frontières et/ou sur leurs résidents afin de leur permettre ou non l’accès à certains lieux (musées, restaurants, salles de sports, etc). S’il est souhaitable de ne pas multiplier les dispositifs en intégrant une stratégie sanitaire globale et cohérente, les deux autorités rappellent que toute réutilisation devra être fondée sur une base légale, claire et précise respectant les principes de proportionnalité et de nécessité, et contenant toutes les garanties nécessaires afin d’éviter discriminations et atteintes à la vie privée.
4. Quel est le calendrier ?
Le projet n’en est qu’au stade de la proposition législative, il doit être approuvé par le Parlement européen et les États membres.
Toutefois, la Commission a déjà intégré à son planning la préparation du déploiement logistique des certificats (délivrance et vérification) par les États membres.
L’objectif est que l’infrastructure numérique soit en place dès cet été : tant le portail européen permettant le seul contrôle de validité que les systèmes nationaux comprenant les données détaillées.
* * *
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici.
