FAQ sur la protection des données et le CovidCheck

Oui.

Le scan d’un code QR moyennant l’application CovidCheck.lu renseigne certaines données personnelles de la personne concernée, à savoir son nom et prénom ainsi que si elle est en possession ou non d’un certificat valable, c’est-à-dire une preuve qu’elle a été vaccinée contre la COVID-19, qu’elle est rétablie après avoir été infectée par la COVID-19, ou le cas échéant qu’elle a reçu un résultat de test COVID-19 négatif.

Ces données étant collectées temporairement et localement sur un smartphone, cette opération constitue un traitement de données à caractère personnel au sens l’article 4 paragraphe 2 du règlement général sur la protection des données (RGPD).

Cela signifie que les principes et obligations du RGPD doivent être respectés lors de la mise en place du système CovidCheck. Par exemple, l’entreprise ou l’administration qui utilise ce système devra fournir suffisamment d’informations aux personnes concernées, ou encore éviter de collecter plus de données que nécessaire. Par ailleurs, si l’entreprise ou l’administration délègue le contrôle du QR code à une entreprise externe (par exemple à une société de gardiennage), il devrait prévoir un contrat de sous-traitance avec cette entreprise externe répondant aux conditions de l’article 28 du RGPD.

Oui.

Le quadrant vert ou rouge renseigne sur la détention ou non d’une personne d’un certificat valable, lui attestant le droit d’accéder au périmètre placé sous le régime CovidCheck.

Dans la mesure où le résultat de la couleur permet de déterminer ou non si une personne est en possession d’un certificat valable, c’est-à-dire qu’elle est vaccinée, rétablie, ou le cas échéant qu’elle est testée négative, et que ces statuts décrivent un état de santé, le résultat vert ou rouge est également considéré comme une donnée de santé, qui est une catégorie particulière de donnée à caractère personnel au sens de l’article 9 paragraphe 1 du RGPD.

La collecte de telles données via l’application covidcheck.lu est toutefois licite sur base de l’article 9 paragraphe (2) lettres (g) et (i) du RGPD, dans la mesure où son utilisation est encadrée par les dispositions de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19, à condition que l’entreprise ou l’administration qui utilise ce système respecte les autres principes et obligations du RGPD.

Les données visibles lors de la vérification CovidCheck via l’application covidcheck.lu sont : un quadrant vert, orange ou rouge, selon la validité du certificat scanné et l’option choisie (2G, 2G+ ou 3G), le nom et le prénom de la personne au nom de laquelle le certificat a été délivré, et le cas échéant le résultat d’un test rapide réalisé sur place (pour l’option 2G+).

Comme indiqué dans les conditions générales de l’application CovidCheck.lu, l’affichage de ces données à caractère personnel n’est que temporaire : les données disparaissent de l’écran après deux minutes. De plus, l’application ne sauvegarde pas les données, et en acceptant les conditions générales, tout utilisateur s’engage à ne pas conserver ces données par un autre moyen, sauf dispositions légales ou réglementaires autorisant cette conservation et en ayant dûment informé la personne concernée des modalités des traitements ultérieurs.

La CNPD n’a pas analysé les données collectées et/ou conservées par les applications similaires mis à disposition par les gouvernements d’autres pays de l’Union européenne ou d’autres prestataires privés.

Un exploitant ou organisateur d’événements ne doit consulter que les données visibles lors de la vérification CovidCheck, comme décrit dans la question 3 ci-dessus, ainsi qu’une pièce d’identité afin de s’assurer de l’identité mentionnée sur le certificat présenté, sans la conserver.

Il ne peut pas conserver une copie des certificats ni de la pièce d’identité. Par contre, il peut collecter et conserver sur base volontaire le nom des personnes vaccinées ou rétablies, et la durée de validité de leurs certificats, afin d’établir une liste des personnes vaccinées ou rétablies lorsque celles-ci accèdent régulièrement à un établissement donné ou participent régulièrement à des activités ou événements soumis au régime CovidCheck, comme décrit à la question 6 ci-dessous. Dans ce cas, l’exploitant ou l’organisateur d’événements peut consulter le certificat pour vérifier ces informations, mais sans conserver une copie du certificat.

Il ne pourrait pas collecter ou conserver de données supplémentaires, conformément au principe de minimisation des données, qui implique que seules les données nécessaires au contrôle soient traitées (article 5 paragraphe 1 lettre c) du RGPD).

Oui.

Cette obligation a été introduite dans l’article 1^er de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19 (tel qu’applicable depuis le 17 décembre 2021).

Dans le cadre du régime Covidcheck, il y a lieu d’entendre la notion de « pièce d’identité » de manière large et non limitée à la carte d’identité ou à un passeport, mais qui peut inclure toute pièce officielle, à l’instar d’un permis de conduire ou d’une carte d’élève, donc munie d’une photographie du concerné.

Le simple fait que les personnes en charge du contrôle visionnent les données à caractère personnel figurant sur une pièce d'identité ne constitue pas un traitement de données au sens du RGPD.

Cependant, la CNPD souhaite attirer l’attention sur le fait que les exploitants ou organisateurs d’événements ne peuvent en aucun cas conserver une copie de tels documents. Il s’agirait en effet d’un traitement de données supplémentaire non nécessaire, dans la mesure où un contrôle visuel est dans ce cas suffisant.

Oui, sous certaines conditions.

Cette possibilité a été introduite dans l’article 1er de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19, mais l’exploitant ou l’organisateur d’événements doit alors respecter certaines conditions strictes prévues par cette loi:

• l’inscription sur cette liste doit être volontaire,
• cette liste ne peut contenir que le nom des personnes vaccinées ou rétablies, et la durée de validité des certificats,
• seul l’exploitant, l’organisateur ou les personnes chargées de la tenue de ladite liste peuvent accéder à son contenu,
• les personnes qui sont inscrites sur la liste précitée peuvent demander à voir retirer leur nom de ladite liste à tout moment sans aucune explication ou justification,
• la durée de validité de cette liste ne peut dépasser la durée de validité de la loi modifiée du 17 juillet 2021, c’est-à-dire le 28 février 2022,
• à l’expiration de la durée de cette loi, la liste doit être détruite.

L’exploitant ou l’organisateur peut déléguer la tenue de cette liste à un ou plusieurs de ses salariés ou à un ou plusieurs prestataires externes.

En outre, les principes du règlement général sur la protection des données doivent être respectés à l’occasion de la gestion de cette liste.

Concernant le personnel des établissements concernés, la CNPD renvoie à la question 10 ci-dessous.

Non.

La pratique de demander aux personnes de transmettre le certificat par courriel à l’avance pose problème au regard des principes de minimisation des données, et de sécurité et confidentialité (article 5 du RGPD). En effet, d’après la loi, il est suffisant de demander aux personnes devant se rendre dans un lieu placé sous régime CovidCheck de présenter leur certificat sur place.

Oui.

L’article 3septies de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19, dans sa version applicable au 11 février 2022 prévoit la possibilité pour l’employeur ou le chef d’administration d’exiger que l’ensemble de ses salariés ou agents publics présentent sur leur lieu de travail un certificat de vaccination, de rétablissement ou un certificat de test négatif (régime 3G), à moins qu’un salarié ou un agent public soit titulaire d’un certificat de contre-indication à la vaccination contre la Covid-19, auquel cas il doit être en mesure de présenter sur son lieu de travail son certificat ainsi qu’un certificat de test ou le résultat négatif d’un test autodiagnostique servant au dépistage du SARS-CoV-2 réalisé sur place.

La décision de la mise en place du régime CovidCheck (3G) ou non relève donc de l’employeur ou du chef d’administration. Toutefois en ce qui concerne le secteur public, le Conseil de Gouvernement a décidé, en accord avec la CGFP, que l’Etat employeur continuera à appliquer le régime 3G, tel qu’il est en vigueur depuis le 15 janvier dernier. Cette décision vaut instruction vis-à-vis des chefs d’administration de garder les mesures mises en place dans le cadre du régime 3G obligatoire, moyennant une décision formelle en ce sens.

En outre, cet article permet à tout employeur ou à tout chef d’administration de placer l’ensemble ou une partie seulement de son entreprise ou de son administration sous le régime CovidCheck (3G), pour des personnes externes (clients, fournisseurs, visiteurs, usagers, employés d’autres entreprises ou administrations, etc.). Dans ce cas, la CNPD recommande cependant aux employeurs de prévoir une zone non soumise au régime CovidCheck et accessible au public afin d’assurer la continuité des services de l’entreprise ou de l’administration, ce qui permet d’éviter de devoir contrôler le certificat de personnes qui n’ont pas de nécessité d’accéder à tous les locaux et/ou de rester longtemps sur place. Dans le secteur public, l’article 3septies de la loi précitée prévoit que l’accès au service public et la continuité du service public doivent rester garantis.

Le contrôle de la validité de ces certificats nécessite un traitement de données via l’application covidcheck.lu, mise en œuvre conformément à l’article 9 paragraphe (2) lettres (i) du RGPD.

Lorsque le régime 3G est applicable sur le lieu du travail, les salariés, agents publics et travailleurs indépendants qui sont amenés à se rendre sur leur lieu de travail doivent être en mesure de présenter un certificat valide, tel que visé à la question 8 ci-dessus. 

Les conséquences du refus pour un salarié, agent public ou travailleur indépendant de présenter son certificat, ou de présenter un certificat non valable, relèvent du droit du travail, domaine pour laquelle la CNPD n’est pas compétente.

L’employeur ou les employés concernés peuvent s’adresser au service ou à la personne en charge des ressources humaines dans son entreprise ou administration, et si nécessaire à l’Inspection du Travail et des Mines (ou au Ministère de la Fonction publique pour le secteur public) afin d’obtenir plus d’informations à ce sujet.

Oui, sous certaines conditions strictes.

L’employeur ou le chef d’administration devrait d’abord s’interroger sur les différentes possibilités de faciliter les vérifications de validité des certificats. De manière générale, la CNPD recommande la mise en place des moyens les moins intrusifs possibles dans la vie privée des salariés/agents concernés, sans collecte de données à caractère personnel, comme par exemple l’usage de bracelets de couleur ou autres moyens de ce type.

L’article 3septies  paragraphe 2 de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19 permet à l’employeur ou au chef d’administration de tenir une liste de ses salariés ou agents publics vaccinés ou rétablis afin de faciliter les vérifications effectuées dans le cadre du Covid check. Cette possibilité pourrait trouver comme condition de licéité l’article 9 paragraphe (2) lettre (a) du RGPD, selon lequel l’employé/agent a donné son consentement explicite au traitement de données sensibles, en l’occurrence de données de santé, pour cette finalité spécifique. Pour respecter cette condition, l’employeur doit alors respecter les exigences strictes prévues par la loi:

• l’inscription sur cette liste doit être volontaire, c’est-à-dire que l’employé ou l’agent doit donner son consentement explicite,
• la tenue de la liste doit être limitée à la finalité de faciliter les vérifications effectuées dans le cadre du Covid check (c’est-à-dire 270 jours à compter de la date à partir de laquelle le schéma vaccinal est considéré comme complet, une durée illimitée pour un certificat intégrant la vaccination de rappel, et 180 jours après la date du premier résultat positif d’un test TAAN pour les personnes guéries),
• cette liste ne peut contenir que le nom des personnes vaccinées ou rétablies, et la durée de validité des certificats. L’employeur ou le chef d’administration ne doit pas conserver la copie des certificats des employés ou agents concernés,
• seul l’employeur, le chef d’administration ou la/les personne(s) chargée(s) de la tenue de ladite liste peuvent accéder à son contenu,
• les personnes qui sont inscrites sur la liste précitée peuvent demander à voir retirer leur nom de ladite liste à tout moment sans aucune explication ou justification,
• la durée de validité de cette liste ne peut dépasser la durée de validité de la loi modifiée du 17 juillet 2021, c’est-à-dire le 28 février 2022,
• à l’expiration de la durée de cette loi, la liste doit être détruite.

Concernant la première condition, à savoir que l’inscription sur cette liste doit être volontaire, la CNPD souhaite attirer l’attention des employeurs et chefs d’administration sur le fait qu’un consentement soit donné de façon « libre, spécifique, éclairée et univoque », pour respecter les conditions du RGPD (article 4 point 11). En effet, le consentement n’est en principe pas une base de licéité adéquate pour des traitements mis en œuvre concernant les employés/agents étant donné la relation de dépendance qui, sauf cas exceptionnels, entache le caractère libre dudit consentement. Il revient donc à l’employeur ou au chef d’administration de démontrer que le traitement est valable dans ce cas exceptionnel, notamment en prouvant que les personnes disposent d’une véritable liberté de choix, c’est-à-dire qu’elles ont la possibilité de refuser sans subir de préjudice (considérant 42 du RGPD). En pratique, l’employeur ou le chef d’administration devra donc toujours permettre aux employés qui ne souhaitent pas utiliser cette possibilité de figurer sur cette liste de présenter leur certificat à chaque fois qu’ils se rendent sur leur lieu de travail, sans qu’ils ne subissent aucune conséquence négative de ce choix.

Oui, sous certaines conditions strictes.

L’employeur ou le chef d’administration devrait d’abord s’interroger sur les différentes possibilités de faciliter les vérifications de validité des certificats. De manière générale, la CNPD recommande la mise en place des moyens les moins intrusifs possibles dans la vie privée des salariés/agents concernés, sans collecte de données à caractère personnel, comme par exemple l’usage de bracelets de couleur ou autres moyens de ce type.

L’employeur ou le chef d’administration peut prévoir d’intégrer la durée de validité du certificat dans le badge d’accès des employés ou agents concernés vaccinés ou guéris qui auraient donné leur consentement préalable à ce traitement, dans les conditions strictes telles que décrites à la question 10 ci-dessus. Cette possibilité pourrait trouver comme condition de licéité l’article 9 paragraphe (2) lettre (a) du RGPD, selon lequel l’employé/agent a donné son consentement explicite au traitement de données sensibles, en l’occurrence de données de santé, pour cette finalité spécifique.

L’employeur, le chef d’administration ou la personne désignée par eux ne doivent consulter que les données visibles lors de la vérification CovidCheck, comme décrit dans la question 3 ci-dessus, ainsi que le cas échéant une pièce d’identité afin de s’assurer de l’identité mentionnée sur le certificat présenté, sans la conserver, dans les conditions décrites à la question 13 ci-dessous.

Ils ne peuvent pas conserver une copie des certificats ni de la pièce d’identité. Par contre, ils peuvent collecter et conserver sur base volontaire le nom des personnes vaccinées ou rétablies, et la durée de validité de leurs certificats, afin d’établir une liste des personnes vaccinées ou rétablies, comme décrit à la question 10 ci-dessus. Dans ce cas, les employeurs peuvent consulter le certificat pour vérifier ces informations, mais sans conserver une copie du certificat.

Ils ne pourraient pas collecter ou conserver de données supplémentaires, conformément au principe de minimisation des données, qui implique que seules les données nécessaires au contrôle soient traitées (article 5 paragraphe 1 lettre c) du RGPD).

Oui.

La CNPD recommande que le contrôle d’identité se fasse simplement de visu si l’employé ou l’agent est connu de la personne chargée du contrôle.

Si ce n’est pas le cas, un contrôle sur base d’une pièce d’identité est possible. En effet, l’article 3septies  paragraphe 7 de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19 permet à l’employeur ou au chef d’administration de contrôler l’identité des titulaires des certificats de vaccination, de rétablissement ou de test, s’il y a lieu en la comparant à celle figurant sur une pièce d’identité, afin de prévenir les falsifications ou usurpations desdits certificats.

Dans le cadre du régime CovidCheck, il y a lieu d’entendre la notion de « pièce d’identité » de manière large et non limitée à la carte d’identité ou à un passeport, mais qui peut inclure toute pièce officielle, à l’instar d’un permis de conduire ou d’une carte d’élève, donc munie d’une photographie du concerné.

Le simple fait que la personne en charge du contrôle visionne les données à caractère personnel figurant sur une pièce d'identité ne constitue pas un traitement de données au sens du RGPD.

Enfin, la CNPD souhaite attirer l’attention sur le fait que les employeurs ne peuvent en aucun cas conserver une copie de tels documents pour cette finalité, un contrôle visuel étant dans ce cas suffisant.

L’article 3septies de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19 prévoit que l’obligation de contrôle de la validité du certificat visé à la question 8 doit se faire par l’employeur ou le chef d’administration ou une autre personne désignée par eux.

En cas de désignation d’une personne, la CNPD recommande qu’elle soit soumise à un devoir de confidentialité spécifique vis-à-vis de l’employeur et de ses collègues. Elle recommande aussi de limiter au strict minimum les personnes étant amenées à vérifier l’authenticité du certificat, afin de diminuer les risques éventuels de perte de confidentialité.

Oui, de façon exceptionnelle.

Avant toute vérification manuelle, l’employeur ou le chef d’administration devrait prévoir un système de back-up.  En effet, la version papier contient plus d’informations que celles obtenues via l’application covidcheck.lu et une telle vérification devrait donc être évitée dans la mesure du possible.

Exceptionnellement et seulement si l’employé conteste le résultat de la couleur affichée suite au scan du code QR d'un certificat CovidCheck via l’application, ou que le scan ne fonctionne pas pour des raisons techniques, les personnes chargées de la vérification et soumises à une obligation de confidentialité peuvent procéder à une vérification manuelle du certificat.

Tout d’abord, la CNPD rappelle qu’un contrôle de la validité du certificat n’est pas nécessaire lorsque l’employé ou l’agent est en télétravail, conformément à l’article 3septies paragraphe 7 de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19.

Outre ce cas de figure, il peut arriver qu’un contrôle du certificat n’est pas possible sur le lieu de travail de l’employé ou de l’agent, par exemple si celui-ci est amené à travailler dans différents lieux sans avoir de bureau fixe, ou se retrouve seul sur son lieu de travail (en présence de tiers).

Dans ces cas, la CNPD recommande la mise en place des moyens les moins intrusifs possibles dans la vie privée des salariés/agents concernés, afin de permettre de réaliser ce contrôle sans collecte de données à caractère personnel excessive.

Par exemple, une lecture du code QR présent sur le certificat pourrait techniquement se faire par l’intermédiaire d’outils de visioconférence ou par l‘utilisation de téléphones portables en mode vidéo, sans enregistrement des vidéos.

Une autre possibilité consisterait à demander à l’employé ou l’agent concerné de transmettre le code QR présent sur son certificat par courriel, à condition de respecter les conditions suivantes:

• seul le code QR devrait être demandé, et pas l’ensemble des informations présentes sur le certificat,
• la transmission de ce code QR devrait être effectuée de façon sécurisée, via des adresses e-mail professionnelles,
• seul l’employeur ou une personne désignée par celui-ci devrait pouvoir accéder à ce courriel et contrôler le code QR,
• le code QR devrait être supprimé de la boîte de messagerie électronique une fois le contrôle effectué.

En principe, non.

Seuls les professionnels de santé compétents ont le droit de collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des salariés contenant des données relatives à leur état de santé.

Il en va de même pour le statut de vaccination, guérison ou test d’un employé. Les employeurs doivent, dès lors, s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à ce statut.

Dans des cas exceptionnels, une collecte de données à titre volontaire, entièrement anonyme et sans possibilité de réidentification (même indirecte) pourrait être envisagée, par exemple afin de connaître le pourcentage de vaccination au sein d’une entreprise donnée. Il reviendrait dans ce cas à l’employeur de démontrer qu’aucune donnée ne permettrait de réidentifier les participants à ce questionnaire, ce qui paraît en tous cas très compliqué dans des entreprises de petite taille.

Cela n’empêche pas l’employeur ou le chef d’administration de collecter des données liées au statut vaccinal de ses employés/agents pour la finalité de faciliter les vérifications des certificats, dans les conditions indiquées sous les questions 10 et 11 ci-dessus.