[Brèves] Passe sanitaire : publication du décret relatif au traitement automatisé de données à caractère personnel dénommé « Convertisseur de certificats »

► Le décret n° 2021-901 du 6 juillet 2021 permet la mise en œuvre d'un traitement de données à caractère personnel ayant pour finalité la conversion de certificats de test, de vaccination ou de rétablissement vers des formats interopérables à l'international et utilisés dans le cadre du « passe sanitaire ».

Finalités du traitement (art. 1). Le traitement de données à caractère personnel, dénommé « Convertisseur de certificats », a pour finalité la conversion vers des formats compatibles avec des normes internationales, et notamment de l'Union européenne, des certificats afférents aux résultats d'examen de dépistage virologique, justificatifs de statut vaccinal et preuves de rétablissement utilisés dans le cadre du « passe sanitaire » prévu par le chapitre 2 du titre 1er du décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire (N° Lexbase : L7002L44).

La Direction générale de la Santé est responsable de ce traitement, nécessaire à l'exécution d'une mission d'intérêt public, conformément aux dispositions du e du paragraphe 1 de l'article 6 et du i du paragraphe 2 de l'article 9 du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I).

Catégories de données enregistrées (art. 2). Les données à caractère personnel et informations relatives aux utilisateurs du service « Convertisseur de certificats » suivantes peuvent être enregistrées dans le traitement mentionné à l'article 1er du décret :

1° les données d'identification des personnes qui utilisent le service : nom, prénom et date de naissance ;

2° les informations relatives à l'examen de dépistage ou au vaccin réalisé : date de réalisation, État dans lequel l'acte a été réalisé, type d'examen ou de vaccin, fabricant de l'examen ou du vaccin, rang d'injection du vaccin ou résultat de l'examen, organisme qui a délivré le certificat, centre de test et identifiant unique du certificat ;

3° le consentement des personnes concernées, ou d'un représentant légal s'il s'agit de mineurs ou de majeurs sous tutelle, au traitement des données mentionnées aux 1° et 2° les concernant.

Personnes ayant accès à ces données (art. 3). L'utilisateur du service « Convertisseur de certificats » a accès aux données à caractère personnel et aux informations mentionnées à l'article 2 du décret qu'il a enregistrées dans le traitement en vue d'obtenir un certificat ou un justificatif sous un format mentionné à l'article 1er du décret, ainsi qu'audit certificat ou justificatif.

Les sous-traitants en charge de la conversion sont destinataires des données à caractère personnel et des informations mentionnées à l'article 2 du décret, dans le cadre du processus de conversion des certificats.

Durée de conservation (art. 4). Les données mentionnées à l'article 2 ne sont traitées que le temps de la conversion sur les infrastructures techniques servant à leur transmission au serveur central, de manière temporaire, dans le cadre de solutions mises en œuvre pour lutter contre certaines attaques informatiques. Elles ne sont pas conservées au-delà.

Droits reconnus aux personnes concernées et modalités d'exercice (art. 5). Les personnes concernées par le traitement reçoivent l'information prévue à l'article 13 du « RGPD » lors de chaque transmission de données vers le « Convertisseur de certificats ». Cette information figure également sur le site internet du ministère chargé de la Santé.

Les droits d'accès et de rectification des données, ainsi que le droit à la limitation du traitement, prévus respectivement aux articles 15, 16 et 18 du « RGPD » s'exercent auprès de la Direction générale de la Santé.

Entrée en vigueur. Le décret entre en vigueur immédiatement.

© Reproduction interdite, sauf autorisation écrite préalable