Le 6 avril 2021, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données ont publié un avis conjoint sur la proposition de règlement relatif au certificat vert numérique de la Commission européenne publiée le 17 mars 2021.
Pour rappel, le certificat vert numérique vise à faciliter l’exercice du droit à la libre circulation au sein de l’Union européenne (« UE ») pendant la pandémie de COVID-19 en établissant un cadre commun pour l’émission, la vérification et l’acceptation de certificats de vaccination, de test et de rétablissement du COVID-19.
En pratique, le certificat vert sera délivré dans un format numérique et inclura un code QR contenant une signature numérique visant à garantir son authenticité. Il constituera une preuve numérique attestant qu’une personne a été vaccinée contre le COVID-19, a reçu un résultat de test négatif ou s’est rétablie du COVID-19.
Dans cet avis conjoint, le CEPD invite la Commission européenne à s’assurer que le certificat vert numérique est pleinement conforme au Règlement européen du 27 avril 2016 (« RGPD »).
Les principales recommandations du CEPD sont les suivantes :
le certificat vert numérique ne doit pas conduire à la création d’une base centrale européenne de données personnelles mais doit uniquement permettre la vérification décentralisée des certificats : la proposition de règlement dispose actuellement que « les États membres devraient délivrer les certificats qui composent le certificat vert numérique automatiquement ou sur demande ». La Commission européenne devrait à cet égard préciser si le certificat vert numérique sera automatiquement créé ou seulement fourni à la demande de la personne concernée, ou encore créé sur demande de la personne concernée ;
les certificats devront nécessairement être disponibles à la fois sous forme numérique et sur papier afin de garantir l’inclusion de tous les citoyens ;