Bruxelles, le 6 avril - Le comité européen de la protection des données (le «comité») et le Contrôleur européen de la protection des données (CEPD) ont adopté un avis conjoint sur les propositions relatives au certificat vert numérique. Le certificat vert numérique vise à faciliter l’exercice du droit de circuler librement au sein de l’UE pendant la pandémie de COVID-19 en établissant un cadre commun pour la délivrance, la vérification et l’acceptation de certificats interopérables de vaccination contre la COVID-19, de réalisation d’un test de dépistage de cette maladie et de rétablissement de celle-ci.
Dans cet avis conjoint, le comité et le CEPD invitent les colégislateurs à veiller à ce que le certificat vert numérique soit pleinement conforme à la législation de l’UE en matière de protection des données à caractère personnel. Les commissaires à la protection des données de tous les pays de l’UE et de l’Espace économique européen insistent sur la nécessité d’atténuer les risques que la délivrance du certificat vert numérique pourrait entraîner pour les droits fondamentaux des citoyens et résidents de l’Union, notamment en cas d’utilisations secondaires non prévues. Le comité et le CEPD soulignent que l’utilisation du certificat vert numérique ne peut en aucun cas entraîner une discrimination directe ou indirecte à l’égard de certaines personnes et doit être pleinement conforme aux principes fondamentaux de nécessité, de proportionnalité et d’efficacité. Compte tenu des mesures prévues dans la proposition, le comité et le CEPD estiment que l’introduction du certificat vert numérique devrait s’accompagner d’un cadre juridique complet.
Andrea Jelinek, présidente du comité européen de la protection des données, a fait la déclaration suivante: «Un certificat vert numérique accepté dans tous les États membres peut constituer une avancée majeure dans la reprise des voyages au sein de l’UE. Toute mesure impliquant le traitement de données à caractère personnel adoptée au niveau national ou au niveau de l’UE doit respecter les principes généraux d’efficacité, de nécessité et de proportionnalité. Par conséquent, le comité européen de la protection des données et le CEPD recommandent que toute utilisation ultérieure du certificat vert numérique par les États membres repose sur une base juridique appropriée dans lesdits États membres et que toutes les garanties nécessaires soient en place.
Wojciech Wiewiórowski, CEPD, a ajouté: «Il convient de préciser que la proposition ne permet pas - et ne doit pas entraîner - la création d’une sorte de base de données centrale au niveau de l’UE contenant des données à caractère personnel. De plus, il y a lieu de veiller à ce que les données à caractère personnel ne soient pas traitées plus longtemps que ce qui est strictement nécessaire et à ce que l’accès à ces données et leur utilisation ne soient pas autorisés une fois la pandémie terminée. J’ai toujours insisté sur le fait que les mesures prises dans le cadre de la lutte contre la COVID-19 étaient temporaires et il est de notre devoir de faire en sorte qu’elles ne restent pas en place après la crise.»
Dans la situation d’urgence actuelle provoquée par la pandémie de COVID-19, le comité et le CEPD insistent pour que les principes d’efficacité, de nécessité, de proportionnalité et de non-discrimination soient respectés. Le comité et le CEPD réaffirment qu’au moment de la rédaction du présent communiqué de presse, il semble y avoir peu de données scientifiques permettant de juger si la vaccination contre la COVID-19 (ou la guérison après avoir contracté la maladie) confère une immunité et, par extension, de se prononcer sur la durée de cette immunité. Néanmoins, les preuves scientifiques sont chaque jour plus nombreuses.
De plus, un certain nombre d’inconnues subsistent quant à l’efficacité de la vaccination en matière de réduction de la transmission. La proposition devrait prévoir des règles claires et précises régissant la portée et l’application du certificat vert numérique et imposer des garde-fous appropriés. Cela permettra aux personnes dont les données à caractère personnel sont concernées de disposer de garanties suffisantes qu’elles seront efficacement protégées contre les risques de discrimination potentielle.
La proposition doit expressément interdire l’accès aux données des personnes et l’utilisation ultérieure de ces données par les États membres de l’UE une fois la pandémie terminée. Parallèlement, le comité et le CEPD soulignent que l’application du règlement proposé doit être strictement limitée à la crise actuelle de la COVID-19.
L’avis conjoint contient des recommandations spécifiques invitant à apporter des éclaircissements supplémentaires sur les catégories de données concernées par la proposition, le stockage des données, les obligations de transparence et l’identification des responsables du traitement des données à caractère personnel et des sous-traitants.
Note à l’attention des rédacteurs: Veuillez noter que tous les documents adoptés dans le cadre de la séance plénière du comité européen de la protection des données font l’objet des contrôles juridiques, linguistiques et de formatage nécessaires et qu’ils seront publiés sur le site web du comité européen de la protection des données une fois ces contrôles effectués.
EDPB_Press Release_statement_2021_03