Bruxelles, 16 mars - Le comité européen de la protection des données (ci-après le «comité») et le Contrôleur européen de la protection des données (ci-après le «CEPD») ont adopté un avis conjoint sur les propositions de la Commission européenne visant à prolonger les règlements actuels relatifs au certificat COVID numérique de l’UE pour une durée de 12 mois et à modifier certaines dispositions, telles que l’élargissement des types de tests COVID acceptés dans le cadre de voyages au sein de l’UE et la précision selon laquelle les certificats de vaccination devraient contenir le nombre de doses administrées au titulaire, quel que soit l’État membre dans lequel ils ont été administrés.
Le comité et le CEPD prennent acte du fait que la proposition ne modifie pas substantiellement les dispositions existantes des règlements en ce qui concerne le traitement des données à caractère personnel. Conformément au précédent avis conjoint sur les règlements initiaux relatifs au certificat COVID, le comité et le CEPD rappellent que le respect des règles en matière de protection des données ne constitue pas un obstacle à la lutte contre la pandémie de COVID-19. Compte tenu de l’imprévisibilité de la possible prolongation de la pandémie, le comité et le CEPD comprennent la nécessité de prolonger l’applicabilité du règlement relatif au certificat COVID numérique de l’UE.
Toutefois, comme cette proposition vise à prolonger la durée d’une mesure de lutte contre la pandémie de COVID-19, les données scientifiques pertinentes et les mesures supplémentaires en place devraient faire l’objet d’un réexamen régulier afin de garantir le respect des principes généraux d’efficacité, de nécessité et de proportionnalité.
Le comité et le CEPD regrettent qu’aucune analyse d’impact n’ait été réalisée par la Commission. En outre, le règlement relatif au certificat COVID numérique de l’UE prévoit l’obligation pour la Commission de présenter au Parlement européen et au Conseil un rapport sur l’incidence dudit règlement sur la facilitation de la libre circulation, sur les droits fondamentaux et sur la non-discrimination. Le comité et le CEPD pensent sérieusement que la Commission devrait annexer ce rapport à la proposition actuelle.
Andrea Jelinek, présidente du comité, s’est exprimée en ces termes: «Ces propositions revêtent une importance particulière en raison de leur incidence majeure sur la protection des droits et libertés des personnes. Toute restriction à la libre circulation des personnes au sein de l’UE visant à limiter la propagation de la COVID-19, y compris l’obligation de présenter des certificats COVID numériques de l’UE, devrait être levée dès que la situation épidémiologique le permettra.»
Wojciech Wiewiórowski, Contrôleur européen de la protection des données, a quant à lui déclaré: «Nous devons évaluer en permanence quelles mesures restent efficaces, nécessaires et proportionnées dans la lutte contre la pandémie de COVID-19. Les principes de protection des données devraient être appliqués et intégrés en permanence, en tenant dûment compte de l’évolution de la situation épidémiologique et de l’incidence sur les droits fondamentaux.»
La modification de certains champs de données, comme la précision selon laquelle les certificats de vaccination doivent contenir le nombre de doses administrées au titulaire ou la proposition de rendre les participants à des essais cliniques pour la mise au point de vaccins contre la COVID-19 éligibles à la délivrance d’un certificat de vaccination contre la COVID-19, semble se limiter à ce qui est strictement nécessaire et ne suscite pas de préoccupations particulières du point de vue de la protection des données. Le comité et le CEPD rappellent cependant leur position antérieure selon laquelle toute modification des champs de données pourrait nécessiter une réévaluation des risques pour les droits fondamentaux et seuls des champs de données plus détaillés relevant des catégories de données déjà définies devraient être ajoutés par l’adoption d’actes délégués. Le comité et le CEPD continueront d’accorder une attention particulière à l’évolution de la pandémie de COVID-19 et, en particulier, à l’utilisation des données à caractère personnel après la fin de la pandémie.