Traitement de données de vaccination dans le cadre de la lutte contre le Covid-19
Suite aux événements actuels concernant la stratégie de vaccination contre le Covid-19, l’Autorité de protection des données ("APD") a reçu plusieurs questions récurrentes sur les conséquences de cette stratégie en matière de traitement de données à caractère personnel. La stratégie actuelle prévoit que la vaccination contre le Covid-19 se fait sur une base volontaire, les personnes étant libres de choisir de se faire vacciner ou non. L’APD énumère sur cette page les questions les plus fréquemment posées et souligne l’importance de la protection des données à caractère personnel dans cette nouvelle phase de la pandémie. Les réponses figurant ci-dessous sont soumises à d’éventuelles évolutions légales concernant la stratégie de vaccination et seront donc adaptées au besoin.
L’APD attire l’attention sur les règles relatives au traitement de données de santé. Les informations concernant l’état de vaccination d’une personne sont des données à caractère personnel au sens du Règlement général sur la protection des données ("RGPD") et plus précisément des données de santé qui bénéficient d’un régime de protection plus strict en vertu du RGPD. Réclamer et enregistrer cet état de vaccination constitue dès lors un traitement de données de santé auquel le RGPD s’applique. Réclamer l’état de vaccination sera en principe interdit, à moins que le responsable du traitement puisse invoquer une exception de l’article 9.2 du RGPD. Nous examinerons ci-dessous les exceptions les plus pertinentes.
L'article 9.2.a) du RGPD dispose que vous pouvez traiter des données de santé avec le consentement explicite et libre de la personne concernée. Cela signifie que la personne concernée a un véritable choix libre de donner son consentement et qu’aucune conséquence préjudiciable ne peut être associée au refus ou au retrait du consentement. Soumettre l’accès à un endroit déterminé à une preuve de vaccination contre le Covid-19 est contraire au caractère "libre" du consentement. Par conséquent, le consentement au traitement de l’état de vaccination d’une personne concernée n’est pas libre si l’accès à l’endroit est refusé aux personnes qui ne se sont délibérément pas fait vacciner, n’ont pas encore eu l’opportunité de se faire vacciner contre le Covid-19 ou ne peuvent pas produire de preuve de vaccination.
Dans la plupart des circonstances, le consentement ne constituera donc pas une base juridique appropriée pour le traitement de l’état de vaccination d’une personne.
L’interdiction de réclamer l’état de vaccination de personnes peut également être levée sur la base du droit d’un État membre. Il importe de mentionner ici qu’une telle mesure doit être proportionnée à l’objectif poursuivi et respecter l’essence du droit à la protection des données à caractère personnel. En outre, il faut prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.
Dans le cas d’une relation de travail, ce droit de l’État membre peut également être établi dans une convention collective de travail si celle-ci offre des garanties appropriées pour les droits fondamentaux et les intérêts des personnes concernées. Il est important de faire remarquer que dans le cadre d’une relation de travail, cette exception requiert que la disposition soit suffisamment spécifique dans le contexte en présence pour pouvoir tenir lieu d’exception légale appropriée à l’interdiction de traitement de l’article 9.1 du RGPD.
Il est également possible d’autoriser le traitement de données de santé sur la base du droit d’un État membre pour protéger un intérêt public important ou la santé publique. Une telle législation doit être proportionnée à l’objectif poursuivi, respecter le droit à la protection des données des personnes concernées et être assortie de mesures spécifiques pour la sauvegarde des droits fondamentaux de la personne concernée. Une disposition législative vague ou trop générale n’est donc pas suffisante.
Actuellement, l’APD n’a pas encore eu connaissance de la moindre législation ou CCT qui permette de réclamer l’état de vaccination d’une personne et donc de traiter ces données de santé en vue de la protection contre la propagation du Covid-19.
Questions
Non, l’état de vaccination d’une personne est une donnée de santé. En vertu de l’article 9 du RGPD, le traitement de données de santé est interdit, à moins qu’une exception soit prévue par une loi ou que la personne concernée y consente explicitement et librement.
Mais une des exigences pour qu'un consentement soit valable consiste à ce que ce consentement soit donné librement. Cela signifie que le client doit pouvoir réellement choisir s’il souhaite ou non que ses données de santé soient traitées (et donc donne accès à sa preuve de vaccination). Si le client se voit refuser l’accès au restaurant, au café, à l’avion ou au magasin parce qu’il ne veut ou ne peut produire une preuve de vaccination, ce consentement n’est pas libre et le consentement ne peut pas être utilisé comme base légale valable pour le traitement.
Actuellement, il n’existe aucune disposition légale qui autoriserait ce type de traitements de données de santé.
Un organisateur d'un événement ne peut en principe pas demander la présentation d’une preuve de vaccination. Demander si une personne a été vaccinée pour lui accorder l’accès à l’événement constitue un traitement de données de santé. En vertu de l’article 9 du RGPD, le traitement de données de santé est en principe interdit, sauf s’il existe une disposition légale explicite qui l’autorise ou si la personne concernée a donné un consentement libre et explicite. À l’exception des événements qui utilisent le "Covid Safe Ticket" (voir ci-dessous), il n’existe aucune disposition légale autorisant ce traitement. Si un organisateur refuse l’accès à un événement aux personnes qui ne se sont pas fait vacciner, il ne s’agit pas non plus d’un consentement ‘libre’ car des conséquences négatives (à savoir le refus d’accès) sont liées au refus du consentement.
La réglementation relative au "Covid Safe Ticket" constitue à ce jour la seule exception à l’interdiction précitée de demander la présentation d’une preuve de vaccination afin d’accéder à des événements. Les organisateurs de ce qu’on appelle des "événements de masse" ou des "expériences et projets pilotes" peuvent en effet exiger la preuve, via le certificat Covid numérique de l’UE, qu’un visiteur dispose d’un certificat de vaccination (ou d’un certificat de test ou de rétablissement).
Non, l’état de vaccination d’une personne est une donnée de santé. Les données de santé sont une catégorie particulière de données à caractère personnel. L’article 9.1 du RGPD interdit le traitement de données de santé, à moins qu’une exception explicite prévue à l’article 9.2 du RGPD soit d’application. Une telle exception peut être une disposition légale ou le consentement libre et explicite de la personne concernée. Cela signifie que le travailleur doit pouvoir réellement choisir s’il souhaite ou non que ses données de santé soient traitées. Dans la relation entre travailleur et employeur, le consentement du travailleur est rarement libre car un travailleur peut subir une importante pression pour donner son consentement. De plus amples informations sur le Covid-19 sur le lieu de travail sont disponibles via ce lien.
L’APD n’a en outre pas encore eu connaissance de la moindre disposition légale ou CCT qui permette d’autoriser ce type de traitements de données de santé.
Non. Dans la Loi relative aux contrats de travail, l’employeur a une obligation légale de veiller en bon père de famille à ce que le travail s'accomplisse dans des conditions convenables au point de vue de la sécurité et de la santé de ses travailleurs. Toutefois, un employeur ne peut pas, sur la base de cette obligation légale, demander à ses travailleurs qui s’est fait vacciner et qui ne l’a pas fait.
Le simple fait de demander cette information constitue déjà un traitement de données à caractère personnel, dans ce cas, il s’agit même de données de santé, en vertu du RGPD. Une interdiction de principe, formulée à l’article 9.1 du RGPD, s’applique au traitement de données de santé. Il existe quelques exceptions à cette interdiction, rendant le traitement de ces données de santé licite. Ainsi, les données de santé peuvent être traitées si le traitement est nécessaire aux fins de l'exécution d’obligations du responsable du traitement (dans ce cas l’employeur) en matière de droit du travail, de sécurité sociale et de protection sociale. L’APD estime cependant que les obligations qui reposent sur l’employeur en vertu de la Loi relative aux contrats de travail ne constituent pas une exception à l’interdiction de principe de traitement de données de santé car elles n’offrent pas suffisamment de garanties pour un traitement licite de données de santé.
Non, ce n'est pas permis. Cela violerait non seulement la protection des données à caractère personnel des travailleurs mais aussi le secret professionnel du médecin du travail si celui-ci communiquait des données de dossiers médicaux à l’employeur.
Jusqu’à présent, il n’y a aucune base légale qui constitue une exception à l’interdiction de traitement de données de santé ou au secret professionnel du médecin du travail dans le contexte de la vaccination. L’employeur ne peut pas non plus le faire sur la base d’un consentement par le travailleur car en raison de la relation précaire entre l’employeur et le travailleur, ce consentement ne sera pas considéré comme étant un "consentement libre" d’une part et car le consentement ne constitue pas une exception au secret professionnel du médecin du travail d'autre part.
Non, ce n'est pas permis. Les écoles et les universités veulent autant que possible garantir la santé des élèves, des étudiants et des professeurs en donnant cours dans les conditions les plus sûres possible. Cela ne justifie toutefois pas qu’elles puissent refuser l’accès aux salles de cours aux élèves ou aux étudiants qui ne se sont pas fait vacciner. La stratégie de vaccination actuelle prévoit que les personnes ne sont pas obligées de se faire vacciner mais qu’elles sont libres de ce choix. Demander aux élèves ou aux étudiants de prouver qu’ils se sont fait vacciner avant de pouvoir accéder à une salle de cours constituerait un traitement illicite de données de santé.
Même en cas d’obtention du consentement des élèves ou des étudiants concernés, ce sera toujours interdit. Ce consentement ne sera en effet pas donné librement car des conséquences préjudiciables sont liées au refus de consentement, à savoir ne pas pouvoir accéder aux salles de cours.
Jusqu’à présent, l’APD n’a pas encore eu connaissance de la moindre disposition légale ou décrétale qui permette aux écoles ou universités de réclamer des preuves de vaccination en vue de créer un environnement d’apprentissage sûr pour les élèves et les étudiants.