La création des certificats verts numériques destinés à faciliter le retour à la libre circulation dans l’UE ne doit pas permettre de créer une gigantesque nouvelle base de données personnelle ni entraîner une discrimination « directe ou indirecte » des individus, notamment non vaccinés, ont jugé, mardi 6 avril, le Conseil européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (CEPD) dans un avis conjoint.
L'EDPB et le CEPD invitent les colégislateurs à s'assurer que le certificat vert numérique est pleinement conforme au règlement général de protection des données personnelles, relate un communiqué, et qu'il « respecte les principes généraux d'efficacité, de nécessité et de proportionnalité ».
« Il doit être clair que la proposition ne permet pas - et ne doit pas conduire à - la création de toutes sortes de bases de données centrales de données personnelles au niveau de l'UE. En outre, il faut s'assurer que les données personnelles ne sont pas traitées plus longtemps que ce qui est strictement nécessaire et que l'accès à ces données et leur utilisation ne seront pas autorisés, une fois la pandémie terminée », a dit le Contrôleur Wojciech Wiewiórowski.
La proposition doit « expressément prévoir que l'accès aux données des personnes et leur utilisation ultérieure par les États membres de l'UE, une fois la pandémie terminée, ne sont pas autorisés » et l'application du règlement sur le certificat doit être strictement limitée à la crise actuelle. C'est aussi ce que prévoit la proposition de la Commission, qui insiste sur le caractère temporaire de ces documents.
Les certificats, qui couvriront trois situations (les personnes vaccinées, les personnes testées négatives récemment et les personnes remises de la Covid-19), devront par ailleurs impérativement être accessibles en format papier et pas seulement en format numérique pour favoriser « l’inclusion de tous », disent encore l'EDP et le CEPD.
Ils demandent aussi qu'une liste de toutes les entités censées agir en tant que responsables du traitement de destinataires des données dans l'État membre de destination (autres que les autorités responsables de la délivrance des certificats) soit rendue publique.
Les deux organismes estiment encore que la Commission n'a pas suffisamment justifié le type de données devant être reprises dans ces certificats (nom, date de naissance, nom du test et du fabricant de test, autorité émettrice du certificat, date et heure des tests et des résultats...) Ils veulent savoir si toutes ces données sont nécessaires.
Le règlement est en cours d’examen au Conseil de l’UE. La Présidence portugaise du Conseil aimerait trouver un accord dès le 14 avril.
Lien vers l’avis conjoint : https://bit.ly/3mpnej5 (Solenn Paulic)