13.04.2021 - Certificat de vaccination contre le COVID-19 conforme aux exigences de la protection des données : accompagnement du projet de l’OFSP

13.04.2021 - Dans le cadre du groupe de projet mis sur pied par l’OFSP en vue de l’introduction d’un certificat de vaccination contre le COVID-19, le PFPDT veille à ce que celui-ci soit conçu conformément aux exigences de la protection des données. Les exigences du PFPDT concordent, pour l’essentiel, avec l’avis conjoint du Comité européen de la protection des données et du Contrôleur européen de la protection des données concernant la proposition de règlement relatif au « certificat vert numérique » de l’UE.

L’OFSP a créé un groupe de projet chargé d’établir un certificat de vaccination contre le COVID-19 uniforme, infalsifiable et reconnu au niveau international. Le PFPDT y participe dans le cadre de son obligation légale de conseil et veille à ce que le mandat législatif prévu à l’art. 6a de la loi COVID-19 soit mis en œuvre dans le respect de la protection des données. Cette disposition définit les exigences applicables au certificat prouvant que son titulaire a été vacciné contre le COVID-19, qu’il en est guéri ou qu’il dispose d’un résultat de test du dépistage du COVID-19. Le certificat doit par conséquent être personnel, infalsifiable et, dans le respect de la protection des données, vérifiable. Il doit par ailleurs être conçu de manière que seule une vérification décentralisée ou locale de son authenticité et de sa validité soit possible et qu’il puisse, dans la mesure du possible, être utilisé par son détenteur pour entrer dans d’autres pays et en sortir.

En accompagnant le projet, le PFPDT veillera en particulier à ce que l’utilisation future du certificat – s’il devait être utilisé par des acteurs privés dans le cadre d’une collecte systématique de données vaccinales ou d’autres données personnelles en vue de donner accès à des biens ou services – soit conforme aux exigences légales de protection des données. Pour ce faire, le PFPDT estime que non seulement des conditions de droit public doivent être fixées dans le droit d’exécution, mais aussi que les acteurs privés sont tenus de garantir les principes de protection des données de la LPD : le traitement des données par des personnes privées doit notamment être proportionné, acceptable et transparent. En outre, le PFPDT a déjà exigé publiquement à plusieurs reprises que l’introduction prévue du certificat ne conduise pas à une obligation générale de porter un smartphone sur soi (voir à ce sujet notre communication du 22.01.2021). Il salue donc le fait que le certificat de vaccination sera disponible aussi bien sur papier que sous forme électronique.

Les demandes du PFPDT vont pour l’essentiel dans le sens de l’avis conjoint du Comité européen de la protection des données et du Contrôleur européen de la protection des données du 31 mars 2021 concernant le projet de règlement de la Commission européenne relatif au « certificat vert numérique ». Dans leur avis, les deux organes susmentionnés soulignent que le « certificat vert numérique » doit reposer sur une base juridique suffisante et notamment respecter les principes d’efficacité, de nécessité, de proportionnalité et de non-discrimination. Ils précisent par ailleurs que le « certificat vert numérique » doit également être disponible sur papier, ce que le PFPDT demande aussi.