FAQ sur la protection des données et le CovidCheck

Mise en place du CovidCheck et protection des données

1. Le scan d’un code QR via l’application CovidCheck.lu est-il considéré comme un traitement de données à caractère personnel ?

Oui.

Le scan d’un code QR moyennant l’application CovidCheck.lu renseigne certaines données personnelles de la personne concernée, à savoir son nom et prénom ainsi que si elle est en possession ou non d’un certificat valable, c’est-à-dire une preuve qu’elle a été vaccinée contre la COVID-19, qu’elle a reçu un résultat de test COVID-19 négatif ou qu’elle est rétablie après avoir eu la COVID-19.

Ces données étant collectées temporairement et localement sur un smartphone, cette opération constitue un traitement de données à caractère personnel au sens l’article 4 paragraphe 2 du règlement général sur la protection des données (RGPD). Cela signifie que les principes et obligations du RGPD doivent être respectés lors de la mise en place du système CovidCheck. Par exemple, l’entreprise ou l’administration qui utilise ce système devra fournir suffisamment d’informations aux personnes concernées, ou encore éviter de collecter plus de données que nécessaire.

2. Le quadrant vert ou rouge apparaissant suite au scan du QR code sur l’application CovidCheck.lu est-il considéré comme une donnée de santé ?

Oui.

Le quadrant vert ou rouge renseigne sur la détention ou non d’une personne d’un certificat valable, lui attestant le droit d’accéder au périmètre placé sous le régime CovidCheck.

Dans la mesure où le résultat de la couleur permet de déterminer ou non si une personne est en possession d’un certificat valable, c’est-à-dire qu’elle est vaccinée, rétablie ou testée négative, et que ces trois statuts décrivent un état de santé, le résultat vert ou rouge est également considéré comme une donnée de santé, qui est une catégorie particulière de donnée à caractère personnel au sens de l’article 9 paragraphe 1 du RGPD.  

La collecte de telles données via l’application covidcheck.lu est toutefois licite sur base de l’article 9 paragraphe (2) lettres (g) et (i) du RGPD, dans la mesure où son utilisation est encadrée par l’article 3septies de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19, à condition que l’entreprise ou l’administration qui utilise ce système respecte les autres principes et obligations du RGPD.

3. Quelles données sont visibles lors de la vérification via l’application CovidCheck.lu ?

Les données visibles lors de la vérification CovidCheck via l’application covidcheck.lu sont : un quadrant vert ou rouge, selon la validité du certificat scanné, le nom et le prénom de la personne au nom de laquelle le certificat a été délivré.

La CNPD n’a pas analysé les données collectées et/ou conservées par les applications similaires mis à disposition par les gouvernements d’autres pays de l’Union européenne.

4. Quelles données un restaurateur ou organisateur d’événements qui applique le régime CovidCheck peut-il consulter?

Seules les données visibles lors de la vérification CovidCheck, comme décrit dans la question 3 ci-dessus. En d’autres termes, il ne pourrait pas collecter ou conserver des données supplémentaires, notamment relatif au statut vaccinal (c’est-à-dire l’information que la personne est ou non vaccinée), conformément au principe de minimisation des données, qui implique que seules les données nécessaires au contrôle soient traitées (article 5 du RGPD).

5. Est-il permis de demander aux personnes (clients, employés, bénévoles, etc.) d’envoyer leur certificat par courriel à l’avance?

Non.

La pratique de demander aux personnes de transmettre le certificat par courriel à l’avance pose problème au regard des principes de minimisation des données, et de sécurité et confidentialité (article 5 du RGPD). En effet, d’après la loi, il est suffisant de demander aux personnes devant se rendre dans un lieu placé sous régime CovidCheck de présenter leur certificat sur place. 

Mise en place du CovidCheck sur le lieu de travail : que peut faire l’employeur ?

1. L’employeur peut-il imposer la mise en place du CovidCheck?

Oui.

L’article 3septies  de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19 permet à tout chef d’entreprise ou à tout chef d’administration de décider de placer l’ensemble ou une partie seulement de son entreprise ou de son administration sous le régime CovidCheck, tel que défini à l’article 1er, point 27° de ladite loi, et ce afin de protéger la sécurité et la santé des travailleurs concernés.

Cette loi permet la collecte de données via l’application covidcheck.lu conformément à l’article 9 paragraphe (2) lettre (i) du RGPD.

La CNPD recommande cependant aux employeurs de prévoir une zone non soumise au régime CovidCheck et accessible au public afin d’assurer la continuité des services de l’entreprise ou de l’administration, ce qui permet d’éviter de devoir contrôler le certificat de personnes qui n’ont pas de nécessité d’accéder à tous les locaux et/ou de rester longtemps sur place. Dans le secteur public, l’article 3septies de la loi précitée prévoit que l’accès au service public et la continuité du service public doivent rester garantis.

2. Que se passe-t-il si un salarié/agent présente un certificat non valable ou refuse de présenter son certificat ?

Les salariés/agents qui sont amenés à entrer dans un périmètre placé sous le régime CovidCheck doivent en principe présenter le code QR présent sur leur certificat à chaque fois qu’il souhaite y accéder.

Les conséquences du refus pour un employé de présenter son certificat, ou de présenter un certificat non valable, relèvent du droit du travail, domaine pour lequel la CNPD n’est pas compétente.

L’employeur ou les employés concernés peuvent s’adresser à l’Inspection du Travail et des Mines (ou au Ministère de la Fonction publique pour le secteur public) afin d’obtenir plus d’informations à ce sujet.

3. L’employeur peut-il collecter des données liées au statut vaccinal des employés, clients ou fournisseurs ?

Non.

La collecte d’information relatives au statut vaccinal d’employés (c’est-à-dire l’information selon laquelle la personne est ou non vaccinée) constitue un traitement de catégories particulières de données à caractère personnel, dites « données sensibles », notamment de données de santé, qui est interdit conformément au paragraphe (1) de l’article 9 du règlement général sur la protection des données (UE) 2016/679 (ci-après le « RGPD ») sauf si une des conditions visées au paragraphe (2) dudit article est remplie. En plus du respect de l’article précité, le traitement de données sensibles doit se baser sur un des critères de licéité prévus à l’article 6 du RGPD.

En règle générale, l’employeur devrait limiter le traitement de données de santé aux certificats de maladie obtenus en application des dispositions du Code du travail ou de toute autre obligation en vertu du droit du travail.

Par ailleurs, sur base de l’article 10 de la loi du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19, il relève des missions du Directeur de la Santé de traiter les données à caractère personnel relatives aux personnes vaccinées. A contrario, à l’heure actuelle, la loi n’encadre pas le traitement de ces mêmes données par les employeurs. Il n’appartient donc pas à un employeur de se substituer à la Direction de la Santé, en indiquant dans ses fichiers quels employés ont été vaccinés ou non.

La CNPD rappelle que le consentement n’est en principe pas une base de licéité adéquate pour des traitements mis en œuvre par l’employeur concernant ses employés étant donné la relation de dépendance qui, sauf cas exceptionnels, entache le caractère libre dudit consentement. La CNPD renvoie à la question 4 à ce sujet.

4. L’employeur peut-il lier le résultat de la validité d’un certificat au badge d’accès des employés ou mettre en place un système qui permet de faciliter les entrées / sorties d’une zone Covidcheck sur une journée ?

Oui, sous certaines conditions strictes.

La mise en place du moyen le moins intrusif pour la vie privée des individus est à privilégier pour faciliter le besoin d’entrées / sorties fréquentes au cours d’un laps de temps court (par exemple une journée) d’une zone Covidcheck. En effet, il existe des moyens moins intrusifs, sans collecte de données à caractère personnel, pour répondre à un besoin de facilitation des entrées / sorties d’une zone Covidcheck comme par exemple l’usage de bracelets de couleur ou autres moyens de ce type. La méthode utilisée ne doit pas permettre l’identification du statut vaccinal, testé ou guéri de la personne.

Il peut arriver que certains employés, qui sont soit vaccinés soit guéris, souhaitent communiquer à l’employeur spontanément et sans contrainte certaines informations afin d’alléger sur le long terme la procédure de contrôle mise en place sur base de la procédure CovidCheck.

Une possibilité serait d’intégrer la durée de validité du certificat dans le badge d’accès des employés concernés, qui serait valable pendant cette durée ou jusqu’à la fin de la durée d’application des dispositions relatives au Covidcheck dans la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19, de sorte que l’accès leur sera possible sans nécessité de contrôle supplémentaire.

Le fait d’intégrer cette information dans le badge d’accès des employés suppose toutefois un traitement de données supplémentaire, qui devra respecter l’ensemble des principes et obligations du RGPD. Il pourrait trouver comme condition de licéité le consentement exprès des personnes concernées (article 9 paragraphe (2) lettre (a) du RGPD). La CNPD souhaite en outre rendre les employeurs particulièrement attentifs au respect des obligations suivantes :

  • il est important que ce consentement soit « libre, spécifique, éclairée et univoque » (article 4 point 11 du règlement général sur la protection des données, ci-après le « RGPD »). La CNPD attire l’attention des employeurs sur le fait que le consentement n’est en principe pas une base de licéité adéquate pour des traitements mis en œuvre concernant ses employés étant donné la relation de dépendance qui, sauf cas exceptionnels, entache le caractère libre dudit consentement. Il revient à l’employeur de démontrer que le traitement est valable dans ce cas exceptionnel, notamment en prouvant que les personnes disposent d’une véritable liberté de choix, c’est-à-dire qu’elles ont la possibilité de refuser sans subir de préjudice (considérant 42 du RGPD). En pratique, l’employeur devra donc toujours permettre aux employés qui ne souhaitent pas utiliser cette possibilité de présenter leur certificat à chaque fois qu’ils rentrent dans des locaux placés sous régime CovidCheck, sans qu’ils ne subissent aucune conséquence négative de ce choix ;
  • seul un nombre limité de personnes, dûment autorisées, pourra  intégrer l’information dans leur badge d’accès, en s’assurant de sa sécurité et confidentialité ;
  • ces personnes devront s’abstenir d’intégrer dans le badge d’accès toute autre donnée supplémentaire.

 

5. L’employeur peut-il demander un document d’identité d’une personne externe à l’entreprise (visiteur, fournisseur, etc.) lors du scan de son code QR afin de vérifier l’identité du détenteur?

Non.

Afin de respecter les principes de proportionnalité et de minimisation des données personnelles repris à l’article 5 du RGPD, l’employeur devrait s’organiser en prévoyant des zones non soumises au CovidCheck accessibles aux personnes externes (par exemple : l’accueil, une zone de livraison).

Si toutefois, la mise en place de telles zones n’est pas possible, et que l’employeur a des doutes raisonnables sur l’identité de la personne externe, il peut alors demander de visionner un document d’identification telle qu’une carte de visite, un badge professionnel ou une pièce équivalente.

Cependant, la CNPD souhaite attirer l’attention sur le fait que les employeurs ne peuvent en aucun cas conserver une copie de tels documents, un contrôle visuel étant dans ce cas suffisant.

6. Qui peut vérifier l’authenticité du certificat et dans quelles conditions ?

La CNPD conseille que l’employeur définisse un nombre limité de personnes qui peuvent effectuer la vérification de la validité du certificat. Elle recommande que ces personnes soient soumises à un devoir de confidentialité vis-à-vis de l’employeur et de leurs collègues.

7. En cas de disfonctionnement de l’application, est-ce que l’employeur peut vérifier le certificat manuellement (c’est-à-dire vérifier la version papier, contenant l’ensemble des données personnelles) ?

Oui, de façon exceptionnelle.

Avant toute vérification manuelle, l’employeur devrait prévoir un système de back-up.  En effet, la version papier contient plus d’informations que celles obtenues via l’application covidcheck.lu et une telle vérification devrait donc être évitée dans la mesure du possible.

Exceptionnellement et seulement si l’employé conteste le résultat de la couleur affichée suite au scan du code QR d'un certificat CovidCheck via l’application, ou que le scan ne fonctionne pas pour des raisons techniques, les personnes chargées de la vérification et soumises à une obligation de confidentialité peuvent procéder à une vérification manuelle du certificat.

8. L’employeur peut-il demander à ses employés de remplir un questionnaire médical relatif à leur statut vaccinal ou de réaliser un sondage afin de connaitre le pourcentage de personnes vaccinées dans l’entreprise?

En principe, non.

Seuls les professionnels de santé compétents ont le droit de collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des salariés contenant des données relatives à leur état de santé.

Il en va de même pour le statut de vaccination, guérison ou test d’un employé. Les employeurs doivent, dès lors, s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à ce statut.

Dans des cas exceptionnels, une collecte de données à titre volontaire, entièrement anonyme et sans possibilité de réidentification (même indirecte) pourrait être envisagée, par exemple afin de connaître le pourcentage de vaccination au sein d’une entreprise donnée. Il reviendrait dans ce cas à l’employeur de démontrer qu’aucune donnée ne permettrait de réidentifier les participants à ce questionnaire, ce qui paraît en tous cas très compliqué dans des entreprises de petite taille.

Dernière mise à jour