Blog Données personnelles
Avis du CEPD sur le certificat vert numérique
Le 6 avril 2021, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données ont publié un avis conjoint sur la proposition de règlement relatif au certificat vert numérique de la Commission européenne publiée le 17 mars 2021.
Pour rappel, le certificat vert numérique vise à faciliter l’exercice du droit à la libre circulation au sein de l’Union européenne (« UE ») pendant la pandémie de COVID-19 en établissant un cadre commun pour l’émission, la vérification et l’acceptation de certificats de vaccination, de test et de rétablissement du COVID-19.
En pratique, le certificat vert sera délivré dans un format numérique et inclura un code QR contenant une signature numérique visant à garantir son authenticité. Il constituera une preuve numérique attestant qu’une personne a été vaccinée contre le COVID-19, a reçu un résultat de test négatif ou s’est rétablie du COVID-19.
Dans cet avis conjoint, le CEPD invite la Commission européenne à s’assurer que le certificat vert numérique est pleinement conforme au Règlement européen du 27 avril 2016 (« RGPD »).
Les principales recommandations du CEPD sont les suivantes :
le certificat vert numérique ne doit pas conduire à la création d’une base centrale européenne de données personnelles mais doit uniquement permettre la vérification décentralisée des certificats : la proposition de règlement dispose actuellement que « les États membres devraient délivrer les certificats qui composent le certificat vert numérique automatiquement ou sur demande ». La Commission européenne devrait à cet égard préciser si le certificat vert numérique sera automatiquement créé ou seulement fourni à la demande de la personne concernée, ou encore créé sur demande de la personne concernée ;
les certificats devront nécessairement être disponibles à la fois sous forme numérique et sur papier afin de garantir l’inclusion de tous les citoyens ;
- la réutilisation de ce certificat vert numérique par certains Etats Membres (par exemple pour l’accès aux restaurants, boutiques etc.) devra être fondée sur une base légale claire et précise qui devra respecter les principes de proportionnalité et de nécessité et contenir les garanties nécessaires ;
- conformément au principe de minimisation des données, la Commission européenne devra fournir des justifications supplémentaires quant à la nécessité d’inclure certaines catégories de données (par exemple le médicament vaccinal, le titulaire ou le fabricant de l’autorisation de mise sur le marché du vaccin etc.) ;
- la durée de conservation des données personnelles collectées ne devra pas aller au-delà de la fin de la pandémie de COVID-19 ;
- la Commission européenne devra clarifier explicitement si des transferts internationaux de données personnelles sont prévus et inclure des garanties afin que les pays tiers ne traitent les données personnelles échangées que pour les finalités spécifiées dans la proposition de règlement.