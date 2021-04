Les organismes européens censés protéger les données personnelles des citoyens ont été unanimes : il faut évaluer et limiter le pouvoir donné au passeport sanitaire européen, appelé aussi certificat vert.

« L’EDPB et l’EDPS recommandent que toute utilisation ultérieure du certificat vert numérique par les Etats membres ait une base juridique appropriée dans les Etats membres et que toutes les garanties nécessaires soient en place ».

Des institutions censées protéger nos données personnelles. Ils sont les gardiens des données personnelles dans l’Union européenne et des autres pays de l’Espace économique européen (EEE, comprenant les 27 auxquels viennent s’ajouter l’Islande, le Liechtenstein et la Norvège). Le Comité européen de la Protection des Données (abrégé EDPB, pour European Data Protection Board) est un organe européen indépendant qui garantit et supervise l’application cohérente du Règlement général sur la Protection des Données (le fameux RGPD) en Europe et au sein des institutions européennes comprises. Le Contrôleur européen de la Protection des Données (EDPS, pour European Data Protection Supervisor), lui, est l’autorité indépendante en charge de la protection des données personnelles et de la vie privée et consulté, notamment, pour tout projet législatif ayant une incidence dans ses domaines. Il participe et est membre de l’EDPB au même titre que d’autres représentants des autorités nationales.

GAFAM et digitalisation du monde oblige, l’EDPS, le Contrôleur européen de la protection des données, est devenu ces dernières années de plus en plus influent, intervenant tant pour contrôler et assurer la protection des données et de la vie privée lors du traitement d’informations personnelles au sein des organes de l’UE, que pour surveiller les nouvelles technologies susceptibles d’affecter la protection des informations personnelles, proposer des solutions et recommandations concrètes, ou encore intervenir devant la cour de justice de l’UE, prodiguer des conseils et interpréter la législation relative à la protection des données.

Quid des certificats verts numériques ? Leur opinion conjointe sur le projet de pass sanitaire européen, publié le 6 avril 2021, est sans équivoque. Les commissaires à la protection des données de tous les pays de l’UE et de l’Espace économique européen soulignent la nécessité d’atténuer les risques pour les droits fondamentaux des citoyens et résidents de l’UE qui pourraient résulter de l’émission du certificat vert numérique, y compris ses possibles utilisations secondaires involontaires.

Pour l’autrichienne Andrea Jelinek, présidente de l’EDPB, « toute mesure adoptée au niveau national ou européen qui implique le traitement de données personnelles doit respecter les principes généraux d’efficacité, de nécessité et de proportionnalité. Par conséquent, l’EDPB et l’EDPS recommandent que toute utilisation ultérieure du certificat vert numérique par les Etats membres ait une base juridique appropriée dans les Etats membres et que toutes les garanties nécessaires soient en place ».

Wojciech Wiewiórowski, le Contrôleur européen à la Protection des Données, insiste : « Il doit être clair que la proposition ne permet pas – et ne doit pas conduire à – la création de toute sorte de base de données centrale de données personnelles au niveau de l’UE. En outre, il faut s’assurer que les données personnelles ne sont pas traitées plus longtemps que ce qui est strictement nécessaire et que l’accès à ces données et leur utilisation ne sont pas autorisés une fois la pandémie terminée ».

Des outrages aux libertés et droits fondamentaux à éviter. Quelques semaines plus tôt, en mars, l’EDPS a aussi publié ses commentaires sur le paquet « Union européenne de la santé », un paquet législatif également à l’étude avant l’été et qui regroupe 3 règlements distincts sur la gestion des menaces transfontalières, l’élargissement des missions de l’Agence européenne des Médicaments et celles du Centre européen de Prévention et de Contrôle des Maladies (ECDC). Pour ce dernier, ses nouvelles tâches « concernant les plateformes et applications numériques soutenant la surveillance épidémiologique, l’EDPS note que ces applications sont susceptibles de présenter des risques élevés pour les droits et libertés des individus et, par conséquent, nécessitent une évaluation d’impact sur la protection des données (DPIA) à réaliser avant leur déploiement. De plus, l’EDPS insiste pour que les applications de contact-tracing fassent appel à des technologies de protection de la vie privée ».

Si les risques étaient jugés trop grands après leur évaluation, cela aurait-il un impact sur la naissance ou non de ce passeport sanitaire, ainsi que sur l’obligation ou non de le présenter pour pouvoir circuler ? Si ce projet de certificat proposé par la Commission européenne était adopté dans les jours à venir, est-ce que ce procédé sera réellement « provisoire jusqu’à ce que l’Organisation mondiale de la Santé (OMS) déclare la fin de la pandémie ? »

