Dans un arrêt du 21 octobre 2022, le Conseil d'État a rejeté la demande d'annulation d'un requérant pour excès de pouvoir d'une décision de la CNIL du 1er octobre 2021. Celle-ci a clôturé sa plainte relative à la nature des données à caractère personnel, rendues accessibles par la lecture du code présent sur son certificat de vaccination remis après injection du vaccin contre la COVID-19. Elle considère que ces données étaient pertinentes au regard des finalités poursuivies, et que leur traitement était conforme au principe de minimisation des données.
I - La pertinence des données contenues dans le « pass sanitaire »
Le principe est que le traitement des données concernant la santé d'une personne physique est interdit. Toutefois, comme l'indique la Haute juridiction administrative, le traitement des données d'identité civile (nom, prénom, date de naissance) que contient le QR code présent dans le « passe sanitaire » est justifié par un motif d'intérêt public lié à la préservation de la santé de la population. Celui-ci a pour unique finalité de lutter contre l'épidémie de Covid-19 dans l'intérêt de la santé publique. La vérification de ces données est alors nécessaire pour s'assurer que le document présenté est celui de la personne qui s'en prévaut.
D'autre part, ces données ne peuvent faire l'objet d'aucune conservation, ni d'aucune réutilisation à d'autres fins que celles du contrôle, qui est réalisé par des personnes ou services limitativement énumérés et pour les seuls besoins de ce contrôle. De plus, pour l'accès à certains lieux, établissements ou événements, la présentation de ces documents était réalisée sous une forme ne permettant pas aux personnes ou aux services autorisés à en assurer le contrôle d'en connaître la nature.
Enfin, le Conseil d'État indique que le dispositif prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée. En effet, la personne concernée peut supprimer, à tout moment, les justificatifs enregistrés sur l'application mobile.
De ce fait, les données rendues accessibles étaient pertinentes au regard des finalités poursuivies.
II - Des données limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
Le règlement (UE) du Parlement européen et du Conseil du 14 juin 2021 énonce que les certificats COVID-19 ne devraient contenir que les données à caractère personnel strictement nécessaires pour faciliter l'exercice du droit à la libre circulation au sein de l'Union pendant la pandémie de COVID-19.
Les données collectées et traitées dans ce cadre sont, notamment, l'identité du titulaire (nom, prénom et date de naissance), les informations sur le vaccin contre la Covid-19 administré et le nombre de doses administrées, ainsi que les métadonnées du certificat (émetteur ou identifiant unique du certificat), conformément à la réglementation.
D'après ces éléments, la CNIL considère que le traitement mis en œuvre est conforme au principe de minimisation des données introduit à l'article 5.1 du Règlement Général sur la Protection des Données (RGPD). Le Conseil d'État estime, dans son arrêt, que la CNIL n'a pas méconnu le principe de minimisation des données.