Si les restaurants ou organisateurs d’événements commencent à s’habituer au contrôle CovidCheck, ce sera bientôt au tour des employeurs, , sous le mode 3G (vacciné, testé ou guéri). , la Commission nationale pour la protection des données (CNPD) répond aux questions les plus fréquemment posées sur le sujet. En voici un résumé.
Qui peut vérifier l’authenticité du certificat CovidCheck?
«L’article 3septies de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie [de] Covid-19 prévoit que l’obligation de contrôle de la validité du certificat doit se faire par l’employeur ou le chef d’administration ou une autre personne désignée par eux», écrit la CNPD. En cas de désignation d’une personne, elle recommande qu’elle soit «soumise à un devoir de confidentialité spécifique vis-à-vis de l’employeur et de ses collègues».
Sous quelles conditions l’employeur peut-il tenir une liste des personnes vaccinées ou guéries, pour leur éviter un contrôle quotidien?
La loi Covid permet bien à l’employeur ou au chef d’administration de tenir une liste de ses salariés ou agents publics vaccinés ou rétablis. Mais l’inscription sur cette liste doit être volontaire. «L’employé ou l’agent doit donner son consentement explicite.» Il faut que l’employeur permette toujours aux employés qui ne souhaitent pas y figurer de présenter leur certificat à chaque fois qu’ils se rendent sur leur lieu de travail, «sans qu’ils ne subissent aucune conséquence négative de ce choix».
La liste ne doit avoir d’autre but que de faciliter les vérifications effectuées dans le cadre du CovidCheck. Elle ne peut contenir d’autres informations que le nom des personnes vaccinées ou rétablies et la durée de validité des certificats. Seuls l’exploitant, l’organisateur ou les personnes chargées de la tenue de la liste doivent pouvoir accéder à son contenu. Les personnes inscrites peuvent demander que soit retiré leur nom «à tout moment, sans aucune explication ou justification».
Pour le moment, la durée de validité de la liste est fixée au 28 février 2022. Sans changement au niveau de la loi, elle doit être détruite à cette date.
Peut-on lier le résultat de validité d’un certificat au badge d’entrée?
«Oui, sous certaines conditions strictes», répond la CNPD. Comme pour la liste, il faut que les employés ou agents concernés aient donné leur consentement préalable à ce traitement.
L’employeur peut-il demander une pièce d’identité au salarié pour vérifier qu’il s’agit bien du détenteur du certificat?
Oui. La notion de «pièce d’identité» s’entend ici «de manière large et non limitée à la carte d’identité ou à un passeport, mais peut inclure toute pièce officielle, à l’instar d’un permis de conduire ou d’une carte d’élève, donc munie d’une photographie du concerné».
Le simple fait que la personne en charge du contrôle visionne les données à caractère personnel figurant sur une pièce d’identité ne constitue pas un traitement de données au sens du Règlement général sur la protection des données (RGPD), justifie la CNPD. En revanche, «les employeurs ne peuvent en aucun cas conserver une copie de tels documents pour cette finalité».
En cas de dysfonctionnement de l’application, l’employeur peut-il vérifier les certificats manuellement?
Oui, mais seulement de façon exceptionnelle. «Avant toute vérification manuelle, l’employeur ou le chef d’administration devrait prévoir un système de back-up», détaille la CNPD. La version papier contenant plus d’informations que celle obtenue via l’application, «une telle vérification devrait être évitée dans la mesure du possible». Elle n’est possible que si l’employé conteste le résultat de la couleur affichée après le scan du QR code, ou si le scan ne fonctionne pas pour des raisons techniques. Les personnes chargées de la vérification et soumises à une obligation de confidentialité peuvent alors procéder à une vérification manuelle du certificat.
L’employeur peut-il contrôler ses salariés à distance?
«Un contrôle de la validité du certificat n’est pas nécessaire lorsque l’employé ou l’agent est en télétravail», rappelle la CNPD.
Cependant, si un contrôle doit se faire à distance parce que le salarié travaille à différents endroits, par exemple, la CNPD «recommande la mise en place des moyens les moins intrusifs possibles». Par exemple, la lecture du QR code directement par visioconférence. L’employeur pourrait aussi demander au salarié d’envoyer son QR code par e-mail, mais pas le reste des informations présentes sur le certificat. Sa transmission devra alors se faire de manière sécurisée, «via des adresses e-mail professionnelles». Seul l’employeur ou une personne désignée par celui-ci devrait pouvoir y accéder, et l’e-mail en question devrait être supprimé de la boîte mail une fois le contrôle effectué.
Au-delà de la liste des vaccinés, l’employeur peut-il réaliser un sondage pour connaître la part de vaccinés dans l’entreprise?
En principe, non. «Seuls les professionnels de santé compétents ont le droit de collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des salariés contenant des données relatives à leur état de santé.» Une telle collecte ne serait possible par l’employeur que dans des cas exceptionnels, à titre volontaire, entièrement anonyme et sans possibilité de réidentification. «Il reviendrait dans ce cas à l’employeur de démontrer qu’aucune donnée ne permettrait de réidentifier les participants à ce questionnaire, ce qui paraît en tous cas très compliqué dans des entreprises de petite taille.»
Que se passe-t-il si c’est une entreprise externe qui contrôle les salariés?
La CNPD rappelle que le scan du QR code est considéré comme un traitement de données à caractère personnel. «Si l’entreprise ou l’administration délègue le contrôle à une entreprise externe, elle devrait prévoir un contrat de sous-traitance avec cette entreprise externe répondant aux conditions de l’article 28 du RGPD.»
Quid du contrôle des visiteurs?
La loi oblige les salariés à se soumettre au régime CovidCheck pour se rendre sur leur lieu de travail. Elle permet aussi «à tout employeur ou à tout chef d’administration de placer l’ensemble ou une partie seulement de son entreprise ou de son administration sous le régime CovidCheck, pour des personnes externes». Dans ce cas, «la CNPD recommande aux employeurs de prévoir une zone non soumise au régime CovidCheck et accessible au public afin d’assurer la continuité des services de l’entreprise ou de l’administration, ce qui permet d’éviter de devoir contrôler le certificat de personnes qui n’ont pas de nécessité d’accéder à tous les locaux et/ou de rester longtemps sur place. »
Quelles sont les règles lorsqu’on organise un événement?
Pour les loisirs comme l’organisation d’événements, «l’exploitant ou organisateur ne doit consulter que les données visibles lors de la vérification CovidCheck, ainsi qu’une pièce d’identité afin de s’assurer de l’identité mentionnée sur le certificat présenté, sans la conserver». Il ne peut conserver de copie des certificats ou de la pièce d’identité mais peut «collecter et conserver, sur base volontaire, le nom des personnes vaccinées ou rétablies et la durée de validité de leurs certificats, afin d’établir une liste des personnes vaccinées ou rétablies lorsque celles-ci accèdent régulièrement à un établissement donné ou participent régulièrement à des activités ou événements soumis au régime CovidCheck». Avec des conditions similaires à celles pour la liste des salariés vaccinés. «L’exploitant ou l’organisateur peut déléguer la tenue de cette liste à un ou plusieurs de ses salariés ou à un ou plusieurs prestataires externes», ajoute la CNPD.
Peut-on demander aux participants d’envoyer leur certificat par e-mail à l’avance?
Non, selon la CNPD. «La pratique de demander aux personnes de transmettre le certificat par courriel à l’avance pose problème au regard des principes de minimisation des données, et de sécurité et confidentialité. En effet, d’après la loi, il est suffisant de demander aux personnes devant se rendre dans un lieu placé sous régime CovidCheck de présenter leur certificat sur place.»