Le comité européen de la protection des données et le contrôleur européen de la protection des données ont adopté un avis conjoint sur le projet de certificat vert numérique, dit “Passeport Vaccinal”, proposé par la Commission européenne. Le CEPD et le CEDP invitent les colégislateurs à veiller à ce que le certificat vert numérique “soit pleinement conforme à la législation européenne en matière de protection des données à caractère personnel“.
Les deux organisations soulignent “la nécessité d’atténuer les risques pour les droits fondamentaux des citoyens et des résidents de l’UE qui peuvent résulter de la délivrance du certificat vert numérique, y compris ses éventuelles utilisations secondaires involontaires“. En outre, elles considèrent que l’introduction de ce passeport devrait être accompagnée “d’un cadre juridique complet.”
Le CEPD et le CEDP insistent pour que les principes d’efficacité, de nécessité, de proportionnalité et de non-discrimination soient respectés. “La proposition (de la commission européenne) devrait établir des règles claires et précises régissant la portée et l’application du certificat vert numérique et imposer des garanties appropriées. Cela permettra aux individus, dont les données personnelles sont affectées, d’avoir des garanties suffisantes pour être protégés, de manière efficace, contre le risque de discrimination potentielle“, indiquent-ils de concert.
Un accès et une utilisation des données qui ne doivent pas être autorisés une fois la pandémie terminée
Cette proposition doit “expressément inclure” que l’accès aux données des individus et leur utilisation ultérieure par les États membres de l’UE une fois la pandémie terminée ne seront pas autorisés. Dans le même temps, le CEPD et le CEDP soulignent que “l’application de la proposition de règlement doit être strictement limitée à la crise actuelle du Covid-19“.
Wojciech Wiewiórowski, le contrôleur européen de la protection des données, a ainsi précisé que cette proposition “ne permet pas – et ne doit pas conduire à – la création d’une quelconque base de données centrale de données à caractère personnel au niveau de l’UE. En outre, il faut s’assurer que les données personnelles ne sont pas traitées plus longtemps que ce qui est strictement nécessaire et que l’accès et l’utilisation de ces données ne sont pas autorisés une fois la pandémie terminée. J’ai toujours souligné que les mesures prises dans la lutte contre le Covid-19 sont temporaires et qu’il est de notre devoir de veiller à ce qu’elles ne soient pas là pour rester après la crise.”
Leur avis conjoint comprend des recommandations spécifiques visant à clarifier davantage les catégories de données concernées par la proposition, le stockage des données, les obligations de transparence et l’identification des responsables du traitement et des sous-traitants pour le traitement des données à caractère personnel.