Le certificat vert européen où comment assurer la libre circulation des personnes dès juin 2021

Crédit photo : Depositphotos @rafapress

Renaissance de l’app TousAntiCovid

L’application gouvernementale qui a soulevé tant de critiques l’an dernier au titre de l’immixtion dans la vie privée souffre d’une limitation technologique: elle n’est pas à ce jour interopérable. Contrairement à 21 de ses homologues dans l’Union européenne, l’application française ne peut pas communiquer avec d’autres. Ce choix de conception de Tousanticovid n’empêche pas pour autant l’ajout d’une fonctionnalité importante: la certification de l’état vaccinal de son titulaire.

Le gouvernement a annoncé que le statut vaccinal, certifié dans l’application, sera stockée au format numérique dans l’application TousAntiCovid. Cette fonction intitulée ‘Carnet’ serait d’abord déployée pour faciliter la circulation des utilisateurs de l’application pour les vols à destination de la Corse et de l’Outre mer et seulement ensuite étendue aux déplacements au sein de l’Union européenne. Or, cela nécessite que l’application soit interopérable.

Quelle intéropérabilité pour les données issues des applications nationales?

L’Union européenne a guidé les Etats membres depuis avril 2020 dans l’élaboration de leurs applications mobiles afin de lutter contre l’épidémie de Covid-19. La Boîte à outils commune où la Commission européenne explicitait les différents profils d’applications s’est accompagnée d’une clarification de l’équilibre à trouver avec les droits et libertés individuelles des citoyens européens : déclaration du Superviseur européen à la protection des données, de la Commission européenne  et du Comité européen à la protection des données. Chaque Etat membre était libre d’en déterminer les fonctionnalités et caractéristiques en tant que responsables de traitement, y compris l’interopérabilité.

Cette exigence technologique date d’il y a dix ans et permet notamment à un patient de se rendre dans un autre Etat de l’UE pour bénéficier de soins de santé sûrs et de qualité et d’être remboursé par son système d’assurance maladie. C’est un véritable réseau, appelé “Santé en ligne”. En effet, l’échange transfrontière de données a pour but de promouvoir une plus grande interopérabilité des systèmes nationaux de technologies de l’information et de la communication et la transférabilité transfrontalière des données électroniques de santé dans le cadre des soins de santé transfrontaliers (directive Droits des patients en matière de soins transfrontaliers).

En ce qui concerne les applications mobiles nationales de suivi de contacts et d’alerte dans le cadre de la lutte contre la pandémie de COVID-19, cette intéropérabilité est rendue possible depuis le 15 juillet 2020 (décision de la Commission européenne). Ainsi, depuis octobre 2020, la passerelle européenne de connexion des applications nationales regroupe 16 applications.

C’est à travers ce réseau “Santé en ligne” que les Etats membres travaillent à l’élaboration d’un ensemble commun harmonisé de données pour les certificats de résultats de test COVID-19 et à une ébauche sur l’interopérabilité des certificats sanitaires.

Garantir la libre-circulation des personnes

Pour limiter la propagation du coronavirus du syndrome respiratoire aigu sévère 2 («SARS-CoV-2»), les Etats membres ont adopté des mesures de restriction à la libre-circulation des personnes qui ont eu d’importantes répercussions. Exigences spécifiques, limitations voire interdictions, obligation de se soumettre à une quarantaine ou auto-confinement et tests de dépistage avant/après l’arrivée :  les personnes les plus touchées étaient celles vivant dans des régions frontalières et franchissant les frontières au quotidien, que ce soit pour des raisons professionnelles, éducatives, médicales, familiales ou autres.

L’absence de formats normalisés et sécurisés a entraîné des problèmes pour les voyageurs en matière d’acceptation de leurs documents, et des rapports ont fait état de documents frauduleux ou falsifiés avec un déploiement du commerce illicite de certificats sanitaires par des individus opportunistes à l’aéroport de Luton ou à Paris Charles de Gaulle mais aussi en Espagne pour seulement 40 euros ou aux Pays-Bas via Snapchat ou WhatsApp.

La vaccination n’est pas une condition préalable à l’exercice de la libre circulation. Il n’y a ni obligation ni droit d’être vacciné. Par conséquent, toute personne doit pouvoir exercer son libre droit de circuler. C’est le cas des personnes qui ne sont pas vaccinées pour des raisons médicales, ou parce qu’elles ne font pas partie du groupe cible (enfants), ou parce qu’elles n’ont pas encore eu la possibilité de se faire vacciner ou ne souhaitent pas se faire vacciner. Si nécessaire, elles respecteront des restrictions comme un test obligatoire et/ou une quarantaine/un auto-confinement.

Pour les personnes vaccinées, la problématique de la preuve authentique de leur statut est sur le point d’être résolue grâce à un dispositif européen facilitant la libre-circulation des personnes. La proposition de règlement devra intégrer le principe de non-discrimination afin que les personnes non vaccinées n’en soient pas exclues.

Le certificat vert numérique

En mars, la Commission européenne a proposé ce certificat, gratuit, dans la langue nationale et en anglais, qui serait valide dans tous les Etats membres. Il s’agit d’une preuve numérique ou au format papier attestant qu’une personne a été vaccinée contre la Covid-19, a été testée négative, ou s’est rétablie de la maladie. Cette preuve sera délivrée par des hôpitaux, des centres de test ou des autorités sanitaires avec un code QR qui, une fois scanné, peut être utilisé par tout citoyen.

Peu importe le type de vaccin reçu: le certificat sera accepté dans tous les Etats membres. Ceux-ci sont également libres de faciliter la circulation de personnes ayant reçu un vaccin qui n’a pas été mis sur le marché européen.

Le certificat vert contiendra le nom, la date de naissance, la date de délivrance, des informations pertinentes sur le vaccin/test/rétablissement et un identifiant unique. Toutes ces données sont régies par l’Etat qui a généré le certificat. Cela signifie que ces informations ne seront pas enregistrées par les autorités de l’Etat membre où le citoyen se déplace.

Afin de garantir l’authenticité du certificat, un cachet numérique y est intégré pour le protéger contre toute falsification. Ainsi, lors de la vérification du certificat, ce sont à la fois le statut vaccinal et la signature de l’organisme ayant généré le certificat qui sont établis. Chaque organisme susceptible de délivrer le certificat dispose de sa propre clé de signature numérique. Toutes ces données sont stockées dans une base de données sécurisée dans chaque pays.

Un portail européen permettra de vérifier les signatures numériques et les certificats, mais les données de santé n’y seront pas stockées.

D’après la Commission, ce futur cadre devrait également couvrir d’autres certificats délivrés pendant la pandémie de COVID-19, à savoir les documents certifiant un résultat négatif à un test de dépistage d’une infection par le SARS-CoV-2 ainsi que les documents attestant que la personne concernée s’est rétablie d’une infection précédente par le SARS-CoV-2. Cela permet aux personnes qui ne sont pas vaccinées ou qui n’ont pas encore eu la possibilité d’être vaccinées de bénéficier également d’un tel cadre interopérable, ce qui faciliterait leur libre circulation. Bien que les enfants ne puissent actuellement pas bénéficier de la vaccination contre la COVID-19, ils devraient pouvoir recevoir un certificat de test ou de rétablissement, qui pourrait également être obtenu par leurs parents en leur nom.

Le Parlement européen adoptera sa position commune lors de sa prochaine session plénière des 26-29 avril 2021. Les eurodéputés ont d’ores-et-déjà fait savoir que le certificat vert ne devra pas devenir une condition de facto de la liberté d’aller et venir au sein de l’Union.

Faut-il réviser le RGPD?

Le moins qu’on puisse dire, c’est que le partage des données de santé issues des applications mobiles de suivi de la pandémie n’a pas été facilité par ce règlement (N. Devillier, L’utilisation des données mobiles dans la lutte contre la Covid 19 : une occasion rêvée pour la coopération sanitaire européenne , Journal de Médecine légale – Droit médical, 2020). Ce règlement fixe les règles du partage de données de santé pseudonymisées avec des chercheurs situés en dehors de l’UE et de l’Espace économique européen. Or, comme l’a lui-même fait remarquer l’eurodéputé Axel Voss, ses dispositions relatives à la minimisation des collectes de données, la limitation des finalités et le transfert international des données ont rendu ce partage extrêmement difficile.

L’échange de données dans le cadre de la recherche scientifique est prévu par le RGPD et explicité par de multiples documents et lignes directrices du Comité européen à la protection des données.

“ Art. 89 RGPD: “Le traitement ultérieur (…) à des fins de recherche  scientifique (…) n’est pas considéré, conformément  à l’article 89, paragraphe 1, comme incompatible  avec les finalités initiales (limitation des finalités).”

Toutefois, la collecte et la combinaison de données de santé au plan global  sont fondamentales pour faire avancer la recherche médicale, améliorer les diagnostics et les traitements. Cette dimension devra être pleinement intégrée au futur règlement sur la gouvernance des données. Un challenge à relever pour la Présidence française de l’Union européenne de 2022.