La CNIL a publié un questions-réponses sur le pass sanitaire et l’obligation vaccinale

Vérification du pass sanitaire et traitement de données personnelles

La CNIL précise que la vérification du pass sanitaire via l’application TousAntiCovid ou une autre application constitue un traitement de données personnelles.

Les personnes gérant les lieux, établissements ou événements qui seront conditionnés à la présentation du pass sanitaire seront responsables du traitement de données personnelles que constitue l’opération de vérification.

Dans ce cadre, pour respecter leurs obligations, ces personnes doivent notamment :

• Apporter une information appropriée aux personnes concernées :une telle information, compréhensible par le plus grand nombre, devrait notamment être disponible le plus en amont possible de la vérification (par exemple, sur les sites web de réservation d’un concert, lors de la réservation d’un billet de train, etc.) et placée à des emplacements accessibles et visibles lors de l’accès au lieu, à l’établissement ou à l’évènement concerné par le dispositif. Plusieurs supports de communication sont mis à disposition des professionnels par le gouvernement (par exemple des signalétiques présentant le passe sanitaire) et doivent être complétés par des informations claires et concises concernant la protection des données personnelles (le responsable du traitement de données, le fait que le traitement est mis en œuvre pour limiter les risques de diffusion épidémique, qu’il repose sur une obligation légale et que seules les personnes dûment habilitées pourront accéder aux données, l’absence de conservation des données personnelles au-delà du contrôle, etc.).
• Utiliser une application de lecture du passe sanitaire autorisée : seules l’application TousAntiCovid Verif ou toute application de lecture autorisée par le ministère chargé de la santé selon une procédure prévue par arrêtépeuvent être utilisées pour le contrôle du passe sanitaire.
• Tenir un registre des personnes habilitées à contrôler le passe sanitaire (voir question 10).

Habilitation des personnes chargées du contrôle du pass sanitaire

Les personnes en charge des opérations de contrôle du passe sanitaire doivent être habilitées.

Les organismes concernés doivent tenir un registre d’habilitation qui doit comprendre :

• l’identité des personnes habilitées ;
• la date d’habilitation ;
• les jours et horaires des contrôles effectués par ces personnes. 

Ce registre constitue un traitement de données personnelles. Sa mise en œuvre devra se faire dans le respect du règlement général sur la protection des données (RGPD) : les personnes habilitées concernées devront être informées et leurs droits devront être respectés (articles 15 à 21 du RGPD). Une durée de conservation devra être définie.

Durée de conservation des données

Sur l’application TousAntiCovid Verif, les données sont traitées instantanément et ne peuvent être conservées au-delà de l’opération de lecture.

En revanche, les dispositifs alternatifs de lecture à l’application TousAntiCovid, qui permettront une vérification en ligne, en amont du déplacement ou de l’accès au lieu concerné, pourront temporairement conserver certaines données pour la durée d’une seul et même contrôle : par exemple, les données d’un voyageur pourront être conservées de son enregistrement ligne jusqu’à l’embarquement.

Ces données doivent faire l’objet de mesures de sécurisé adaptées à la sensibilité des données ainsi conservées (notamment pour les données conservées dans le cadre du passe sanitaire « voyages »).

Enfin, s’agissant du justificatif de statut vaccinal transmis par le salarié volontaire pour la délivrance d’un titre spécifique permettant une vérification simplifiée, l’employeur peut conserver le résultat de la vérification de ce justificatif (et non ce justificatif) jusqu’à la date à laquelle l’obligation de présenter un passe sanitaire prend fin.

Documents nécessaires pour travailler

Les salariés/agents des établissements concernés doivent, durant les horaires d’ouverture au public, présenter leur passe sanitaire pour se rendre sur leur lieu de travail. Celui-ci peut être présenté au format papier ou au format numérique, notamment sur l’application TousAntiCovid.

Seule la présentation de ce document peut être demandée par le responsable d’établissement. Le responsable d’établissement, à son initiative, ne peut donc pas demander à un salarié/agent :

• des informations sur son statut vaccinal ou sur le schéma vaccinal réalisé (par exemple, le nombre de doses, les dates d’injection ou le type de vaccin réalisé)  ;
• des informations relatives à son intention de se faire vacciner ou non ;
• un certificat de vaccination ou le résultat d’un test de dépistage.

Pass sanitaire et recrutement

Le passe sanitaire ne peut pas être demandé au stade du recrutement.

Le salarié/agent ne doit présenter son passe sanitaire qu’à partir de son entrée en fonction, au moment de se rendre sur son lieu de travail. Ce document ne peut donc pas lui être demandé au stade du recrutement.

Toutefois, l’employeur doit informer le candidat de cette obligation et l’alerter sur les conséquences qui peuvent être tirées de la poursuite de la relation contractuelle pour tout salarié/agent qui ne serait pas en mesure de remplir cette obligation au jour de sa prise de poste.

Référence

Questions-réponses de la CNIL sur le pass sanitaire et l’obligation vaccinale – 29 septembre 2021.

Retrouvez l’intégralité des questions-réponses de la CNIL dans notre dossier : 

Remplir vos obligations de contrôle du pass sanitaire et de la vaccination obligatoire