Le SICTIAM a identifié deux traitements qui ont un lien direct avec l’obligation de présenter le pass sanitaire dans certaines circonstances.

Le premier concerne la vérification du pass sanitaire quand cela est nécessaire ; que ce contrôle soit à l’attention du grand public ou de vos agents.

Le second traitement concerne la liste des personnes habilitées à vérifier le pass sanitaire.

Pour ces deux traitements, nous avons rédigé des préconisations ainsi qu’une fiche de traitement type pour vous aider dans votre conformité RGPD.

 

Vérification du passe sanitaire

Dans les situations où la vérification du passe sanitaire par la collectivité est obligatoire (pour le public ou pour les agents de la collectivité), celle-ci est considérée comme un traitement de données personnel.

Comment procéder à cette vérification

  • Le gouvernement a mis en place une application dédiée à la vérification du pass sanitaire : Tous Anticovid verif
  • Cette application peut être installée sur un smartphone fonctionnant avec androïd ou IOS.
  • La CNIL a rendu un avis sur cette application : https://www.cnil.fr/fr/covid-19-la-cnil-rend-son-avis-sur-les-conditions-de-mise-en-oeuvre-du-passe-sanitaire
  • La vérification peut également se faire sans l’utilisation de l’application sur présentation du résultat d’un examen de dépistage virologique ne concluant pas à une contamination par la covid-19, d’un justificatif de statut vaccinal concernant la covid-19 ou d’un certificat de rétablissement à la suite d’une contamination par la covid-19.
  • La loi précise qu’il est interdit de demander la nature du pass sanitaire (Vaccin, Test PCR ou certificat de rétablissement).

 

Nos préconisations

  • Si vous êtes amenés à utiliser cette application, même s’il est mentionné qu’aucune donnée n’est échangée, des spécialistes ont démontré qu’une synchronisation est opérée pendant la vérification (https://www-01net-com.cdn.ampproject.org/c/s/www.01net.com/actualites/tousanticovid-verif-le-panier-perce-du-pass-sanitaire-2044056.html/amp/). Afin de limiter ce risque, nous vous conseillons de couper tous les accès extérieurs du téléphone (réseau téléphonique, wifi et Bluetooth).
  • Étant donné que ce contrôle est considéré comme un traitement de données personnelles (même sans enregistrement), nous vous conseillons de rajouter ce traitement à votre registre des traitements sur Madis. Nous avons rédigé à cet effet un modèle (cliquez ici pour le télécharger) pour vous faciliter la tâche.
  • La loi ne prévoit aucune vérification de l’identité des personnes, seules les personnes dépositaires de l’ordre public peuvent le faire. Par conséquent, ne demander pas de justificatif d’identités aux personnes contrôlées.
  • Pour des questions de sécurité, nous vous invitons à utiliser uniquement des téléphones professionnels.
  • Ne réalisez aucun enregistrement lors de la vérification, que ce soit sur le téléphone ou sur un fichier annexe.
  • Pour parfaire votre démarche RGPD, vous pouvez proposer l’information auprès des personnes contrôlées via l’affichage public de votre collectivité et/ou l’information disponible sur votre site internet. Vous pouvez utiliser le document « Protection des données personnelles » mis à disposition par l’application Tous Anti Covid Vérif.
  • Informez vos agents qui vont réaliser les contrôles de nos recommandations.
  • Si vous faites appel à un sous-traitant, vérifiez que votre contrat prévoit les clauses concernant le traitement des données personnelles prévues par le RGPD (https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses)

Ces recommandations ne concernent pas la vérification du pass voyage, qui ne devraient pas concerner les collectivités locales selon nous.

 

Liste des personnes habilitées à vérifier le passe sanitaire

Pour effectuer la vérification du passe sanitaire, la collectivité doit identifier la liste des personnes habilitées à effectuer cette vérification, cette liste est considérée comme un traitement de données personnel.

Nos préconisations

  • La collectivité doit déterminer les personnes habilitées à vérifier le passe sanitaire des agents concernés.
  • Cette liste des personnes habilitées doit faire l’objet d’une nouvelle fiche de traitement dans Madis (cliquez ici pour le télécharger).
  • La collectivité doit procéder à la vérification du passe sanitaire (par les personnes habilitées) auprès de chaque agent concerné, soit :
    • En contrôlant que les agents concernés sont bien titulaires de l’un des justificatifs, et ce, avant chaque prise de poste.
    • Ou pour éviter le contrôle quotidien des agents, ceux-ci peuvent, à leur initiative, présenter un justificatif montrant que leur schéma vaccinal est complet à leur employeur (à vous de déterminer le service adéquat, en général ce sont les ressources humaines). L’employeur peut ainsi délivrer un titre spécifique permettant une vérification simplifiée. Ce titre spécifique devra être présenté au moins une fois aux personnes habilitées à contrôler le passe sanitaire. Le justificatif du schéma vaccinal complet peut être conservé par l’employeur et devra être détruit dès la fin de ces dispositions.
  • Dans tous les cas, il ne faut pas utiliser ces informations pour un autre objectif.
  • Pour parfaire votre démarche RGPD, vous pouvez proposer l’information auprès des personnes contrôlées via l’affichage public de votre collectivité et/ou l’information disponible sur votre site internet. Vous pouvez utiliser le document « Protection des données personnelles » mis à disposition par l’application Tous Anti Covid Vérif.
  • Enfin, nous vous conseillons d’informer vos agents habilités qui vont réaliser les contrôles de nos recommandations.

 

Nous souhaitons préciser qu’il a fallu dans une certaine mesure interpréter les textes juridiques existants et que par conséquent, votre collectivité peut avoir une lecture différente des mêmes textes de lois.