POLITIQUE & INSTITUTIONS — Institutions

Données personnelles

La CNPD pointe les problèmes du CovidCheck en entreprise



Que se passe-t-il si l’application est indisponible? S’il n’y a pas de réseau? Ou si l’appareil pour scanner ne fonctionne plus? Quelques-unes des nombreuses questions auxquelles le projet de loi ne répond pas, commente la CNPD. (Photo: Shutterstock)

Que se passe-t-il si l’application est indisponible? S’il n’y a pas de réseau? Ou si l’appareil pour scanner ne fonctionne plus? Quelques-unes des nombreuses questions auxquelles le projet de loi ne répond pas, commente la CNPD. (Photo: Shutterstock)

Invitée par la ministre de la Santé, Paulette Lenert (LSAP), à se prononcer sur le projet de loi concernant le CovidCheck en entreprise, la CNPD a rendu son avis ce mardi soir. Beaucoup trop de questions restent en suspens pour que le texte puisse entrer en application.

L’employeur ou l’exploitant collectera-t-il ou enregistrera-t-il les données figurant sur lesdits tests ou lesdits certificats suite à leur présentation? Comment un employeur pourra-t-il ou devra-t-il gérer le régime CovidCheck au quotidien en pratique d’un point de vue de la protection des données à caractère personnel? Soumettra-t-il tous les salariés quotidiennement à un contrôle CovidCheck ou, pour des raisons pratiques, tiendra-t-il un fichier avec les données des salariés qui sont vaccinés ou rétablis?

Autant de questions que la Commission nationale pour la protection des données (CNPD) pose dans son avis, rendu mardi soir. «Le projet de loi ne donne pas de réponse à ces questions et manque de précision à ce sujet», écrivent les Sages. Ces derniers rappellent aussi que le RGPD ne s’applique que si les données en question font l’objet d’un traitement.

Si c’est ce que vise le législateur, il doit asseoir son dispositif sur une base légale, ce qui n’est pas le cas. Et cette base légale doit entrer en vigueur avant le dispositif. 

«La CNPD considère que, dans l’hypothèse où des traitements de données seraient effectués par les organismes concernés, le texte sous avis ne respecte pas les exigences de clarté, de précision et de prévisibilité auxquelles un texte légal doit répondre, conformément à la jurisprudence de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’Homme, et ne peut, dès lors, se prononcer plus en détail sur les éventuels aspects qui seraient liés à la protection des données personnelles.»

Outre l’écran vert ou rouge, s’affichent sur l’écran des informations comme le nom et le prénom, mais aussi la date de naissance, la référence à la maladie, la dénomination du vaccin, le titulaire de l’autorisation de mise sur le marché, la date de vaccination, l’État dans lequel le vaccin a été administré, l’émetteur du certificat et son identifiant.

Or, si le but est de simplifier les vérifications, ces informations ne sont pas nécessaires. 

Et que se passe-t-il si l’application est indisponible, s’il n’y a pas de réseau, ou si l’appareil pour scanner ne fonctionne plus?

Comme en mai et en juin, la CNPD se demande ce qui se passera si un employé refuse de se soumettre à l’obligation de présenter un de ces documents. Quid de ceux qui ne sont ni vaccinés ni rétablis? Devront-ils présenter un test Covid négatif tous les deux jours pour pouvoir travailler?