Déclaration de confidentialité: Application CovidSafe - Certificats COVID

Déclaration de confidentialité sur le traitement et la protection des données dans le cadre des certificats Covid

v.3.0 - 4 octobre 2021

Vous trouverez dans la présente déclaration de confidentialité toutes les informations relatives au traitement de vos données à caractère personnel dans le cadre des certificats Covid (d'une part, le certificat Covid numérique de l’UE et d'autre part, le Covid Safe Ticket). En particulier, elle clarifiera la manière dont vos données sont collectées, traitées et utilisées. Ce document est divisé en quatre sections :

• • Généralités : cette section explique certaines notions clés, précise quels sont vos droits en matière de traitement des données à caractère personnel et comment vous pouvez les exercer ;
  • Certificat de vaccination : cette section fournit des informations concernant le traitement des données à caractère personnel dans le cadre de la création des certificats de vaccination ;
  • Certificat de test et de rétablissement : cette section fournit des informations concernant le traitement des données à caractère personnel dans le cadre de la création des certificats de test et de rétablissement.
  • Safe Ticket : cette section fournit des informations concernant le traitement des données à caractère personnel dans le cadre du Covid Safe Ticket.

Généralités

Qu'est-ce qu'un traitement de données à caractère personnel ? Notions.

« Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Traitement »: toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à une donnée ou à un ensemble de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données.

« Responsable du traitement » : une personne physique ou morale, une autorité publique, un service ou un autre organe qui, seul ou avec d’autres, fixe le but et les moyens du traitement des données à caractère personnel.

«Sous-traitant» : une personne physique ou morale, une autorité publique, un service ou un autre organe qui traite des données à caractère personnel pour le compte du responsable du traitement.

Quels sont vos droits en matière de traitement des données à caractère personnel ?

Vous pouvez consulter à tout moment les données traitées vous concernant et, si nécessaire, les faire rectifier. En outre, dans certaines circonstances, vous avez également le droit de demander au responsable du traitement une limitation du traitement.

Si vous avez des questions concernant le traitement de vos données à caractère personnel ou si vous souhaitez exercer l'un des droits susmentionnés, vous pouvez vous adresser au délégué à la protection des données du responsable du traitement, dont les coordonnées sont mentionnées ci-dessous avec celles du responsable du traitement. Veuillez toujours joindre à votre demande une copie recto-verso de votre carte d'identité afin de pouvoir vous identifier.

Vous pouvez également vous adresser au délégué à la protection des données si vous n'êtes pas d'accord avec la manière dont vos données sont traitées. Par ailleurs, vous pouvez toujours introduire une plainte auprès de l'Autorité de protection des données.

Certificat de vaccination

Responsables de traitement

Le certificat de vaccination Covid numérique de l’UE est émis par les responsables du traitement suivants, sous leur autorité respective :

• La Vlaams Agentschap Zorg en Gezondheid, inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0316.380.841, dont les bureaux sont situés Avenue du Roi Albert II 35, boîte 33 à 1030 Bruxelles ; Coordonnées du délégué à la protection des données : veiligheidsconsulent.zg@vlaanderen.be ou par courrier à l’adresse susmentionnée.
• L'Agence Wallonne pour une Vie de Qualité, inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0646.877.855, dont les bureaux sont situés Rue de la Rivelaine 21 à 6061 Charleroi ; Coordonnées du délégué à la protection des données : dpo@aviq.be ou par courrier à l’adresse susmentionnée.
• L'Office de la Naissance et de l'Enfance, inscrit à la Banque-Carrefour des Entreprises sous le numéro 0231.907.895, dont le siège social est situé Chaussée de Charleroi 95, 1060 Saint-Gilles; Coordonnées du délégué à la protection des données : dpo@one.be ou par courrier à l’adresse susmentionnée.
• La Commission communautaire commune, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0240.682.833, dont les bureaux sont situés rue Belliard 71, boîte 1, 1040 Bruxelles ;Coordonnées du délégué à la protection des données : dataprotection@ccc.brussels ou par courrier à l’adresse susmentionnée.
• La Commission communautaire française, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0240.682.437, dont le siège est situé Rue des Palais 42, 1030 Bruxelles ; Coordonnées du délégué à la protection des données : dpo@spfb.brussels ou par courrier à l’adresse susmentionnée.
• Le Ministerium der Deutschsprachigen Gemeinschaft, inscrit à la Banque-Carrefour des Entreprises sous le numéro 0332.582.613, dont le siège est situé Gospertstrasse 1, 4700 Eupen Coordonnées du délégué à la protection des données : datenschutz@dgov.be ou par courrier à l’adresse susmentionnée.

Finalité et Fondement juridique du traitement

Le traitement est fondé sur l’article 6, paragraphe 1, point c) du RGPD, à savoir :

Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

L'obligation légale à laquelle il est fait référence est contenue dans l'accord de coopération du 14 juillet 2021 entre l'État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement des données liées au certificat Covid numérique de l’UE, au Covid Safe Ticket, le PLF et le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique.

Le traitement des données à caractère personnel vise, conformément à l'article 3, § 1^er, du règlement relatif au certificat Covid numérique de l’UE, l’établissement, la délivrance et la vérification du certificat Covid numérique de l’UE afin d'accéder aux informations qu'il contient et de les vérifier pour faciliter l'exercice du droit de libre circulation au sein de l'Union pendant la pandémie de Covid-19.

Aperçu des données

Les catégories suivantes de données à caractère personnel sont traitées :

1. identité du titulaire ;
   
2. informations sur le vaccin COVID-19 administré au titulaire et sur le nombre de doses administrées ;
   
3. métadonnées du certificat, telles que l’émetteur du certificat ou un code d’identification unique du certificat ;
   
4. le numéro du registre national ; et
   
5. le lieu de résidence principale

D'où proviennent ces données à caractère personnel ?

La résidence principale est obtenue à partir du registre national. Le numéro de registre national, l’identité du titulaire et les informations sur le vaccin contre le Covid-19 administré au titulaire et sur le nombre de doses administrées sont obtenus à partir de Vaccinnet, une base de données qui comprend notamment les enregistrements des vaccinations contre le Covid-19 administrées et qui est gérée conjointement par les différents responsables du traitement. Pour plus d’informations sur Vaccinnet, consultez le site web de Vaccinnet. Conformément à la politique de confidentialité de Vaccinnet, il n'est pas possible de faire supprimer vos données de cette base de données.

Transmission

Les certificats de vaccination Covid numériques de l’UE sont en principe uniquement destinés à être délivrés au citoyen et ne sont donc pas automatiquement transmis à des tiers par le responsable du traitement. Vos certificats seront toutefois mis à disposition par le biais de divers guichets numériques ou portails patients numériques. En outre, à votre demande, les certificats seront également transmis via l'eBox ou vers l'application CovidSafeBe.

Les données seront traitées pour le compte des différents responsables du traitement par l'agence autonome interne sans personnalité juridique Digitaal Vlaanderen, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0316.380.841, et dont le siège administratif est situé avenue du Port 88, 1000 Bruxelles (privacy.digitaal@vlaanderen.be ).

Délai de conservation

Les données à caractère personnel liées au certificat de vaccination Covid numérique de l’UE seront conservées aussi longtemps que vous pourrez utiliser le certificat pour exercer votre droit à la libre circulation ou pour créer un Covid Safe Ticket. Votre numéro NISS et les métadonnées relatives au certificat sont stockées pendant trois ans dans une base de données log à des fins de sécurité du système, de détection des erreurs et dans le cadre de litiges.

Le délai de conservation est indépendant du délai de conservation de vos données dans Vaccinnet (cf. D'où proviennent ces données à caractère personnel ?).

Certificat de test et de rétablissement

Responsable du traitement

Le certificat de test et de rétablissement Covid numérique de l’UE est émis par Sciensano, inscrit à la Banque-Carrefour des Entreprises sous le numéro 0693.876.830, dont le siège social est situé rue Juliette Wytsmans 14 à 1050 Ixelles.

Coordonnées du délégué à la protection des données : dpo@sciensano.be ou par courrier à l’adresse susmentionnée.

Finalité et fondement juridique du traitement

Le traitement est fondé sur l'article 6, alinéa 1^er, c) du règlement général de protection des données (ci-après « RGPD »), à savoir :

Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

L'obligation légale à laquelle il est fait référence est contenue dans l'accord de coopération du 14 juillet 2021 entre l'État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement des données liées au certificat Covid numérique de l’UE, au Covid Safe Ticket, le PLF et le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique.

Le traitement des données à caractère personnel vise, conformément à l'article 3, § 1^er, du règlement relatif au certificat Covid numérique de l’UE, l’établissement, la délivrance et la vérification du certificat Covid numérique de l’UE afin d'accéder aux informations qu'il contient et de les vérifier pour faciliter l'exercice du droit de libre circulation au sein de l'Union pendant la pandémie de Covid-19.

Aperçu des données

Certificat de test Covid numérique de l’UE :

Les catégories suivantes de données à caractère personnel sont traitées :

1. identité du titulaire ;
2. informations sur le test TAAN agréé ou le test rapide antigénique agréé que le titulaire a subi ;
3. métadonnées du certificat, telles que l’émetteur du certificat ou un code d’identification unique du certificat ;
4. le numéro du registre national ; et
5. le lieu de résidence principale.

Certificat de rétablissement :

Les catégories suivantes de données à caractère personnel sont traitées :

1. identité du titulaire ;
2. informations sur l’infection passée du titulaire au SRAS-CoV-2 à la suite d'un résultat de test positif, mais ne datant pas de plus de 180 jours ;
3. métadonnées du certificat, telles que l’émetteur du certificat ou un code d’identification unique du certificat ;
4. le numéro du registre national ; et
5. le lieu de résidence principale.

D'où proviennent ces données à caractère personnel ?

Les données proviennent d'une base de données de résultats de tests Covid-19 déjà gérée par Sciensano dans le cadre de l'accord de coopération du 25 août 2020 entre l'État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, sur le traitement conjoint de données par Sciensano et par les centres de contact, les inspections sanitaires et les équipes mobiles désignés par les entités fédérées compétentes ou par les agences compétentes dans le cadre d'une recherche des contacts auprès des personnes (présumées) infectées par le coronavirus Covid-19 à partir d'une base de données de Sciensano. Plus d'informations sur cette base de données.

La base de données reçoit les résultats des tests validés médicalement par les laboratoires, les médecins ou les hôpitaux. Si vous suspectez une erreur concernant ces résultats de test, vous devez contacter le prestataire de soins qui a fourni le résultat du test à Sciensano. Cet acteur médical peut, si nécessaire, communiquer une correction à Sciensano.

Le registre national peut également être consulté.

Transmission

Les certificats de test et de rétablissement sont en principe destinés uniquement à être délivrés au citoyen et ne sont donc pas automatiquement transmis à des tiers par le responsable du traitement. Vos certificats seront toutefois mis à disposition par le biais de divers guichets numériques ou portails patients numériques. En outre, à votre demande, les certificats seront également transmis via l'eBox ou vers l'application CovidSafeBe.

Les données seront traitées pour le compte du responsable du traitement par l’agence autonome interne sans personnalité juridique Digitaal Vlaanderen, inscrite auprès de la BCE sous le numéro 0316.380.841, dont le siège administratif est situé avenue du Port 88 à 1000 Bruxelles.

Délai de conservation

Les données à caractère personnel liées au certificat de vaccination Covid numérique de l’UE seront conservées aussi longtemps que vous pourrez utiliser le certificat pour exercer votre droit à la libre circulation ou pour créer un Covid Safe Ticket. Votre numéro NISS et les métadonnées relatives au certificat sont stockées pendant trois ans dans une base de données log à des fins de sécurité du système, de détection des erreurs et dans le cadre de litiges.

La durée de validité d'un certificat de rétablissement ne dépassera pas 180 jours.

Le délai de conservation ci-dessus est indépendant du délai de conservation de vos données dans la banque de données de Sciensano (cf « D'où viennent ces données à caractère personnel ? »).

COVID Safe Ticket

Le Covid Safe Ticket est le résultat de la lecture du certificat Covid numérique de l’UE au moyen de l’application CovidScan afin de réguler l’accès à un événement, un établissement ou une facilité dans le contexte de la pandémie de Covid-19.

L’application CovidScan est l’application qui permet, en scannant le code-barres du certificat Covid numérique de l’UE, de valider l’authenticité et la validité d’un certificat de vaccination, de test et/ou de rétablissement et de lire et, le cas échéant, de générer le Covid Safe Ticket.

Responsable du traitement

Le certificat de vaccination Covid numérique de l’UE est émis par les responsables du traitement suivants, sous leur autorité respective :

• La Vlaams Agentschap Zorg en Gezondheid, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0316.380.841, dont les bureaux sont situés boulevard Roi Albert II 35, boîte 33 à 1030 Bruxelles ; Coordonnées du délégué à la protection des données : veiligheidsconsulent.zg@vlaanderen.be ou par courrier à l’adresse susmentionnée.
• L'Agence Wallonne pour une Vie de Qualité, inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0646.877.855, dont les bureaux sont situés Rue de la Rivelaine 21 à 6061 Charleroi ; Coordonnées du délégué à la protection des données : dpo@aviq.be ou par courrier à l’adresse susmentionnée.
• L'Office de la Naissance et de l'Enfance, inscrit à la Banque-Carrefour des Entreprises sous le numéro 0231.907.895, dont le siège social est situé Chaussée de Charleroi 95, 1060 Saint-Gilles; Coordonnées du délégué à la protection des données : dpo@one.be ou par courrier à l’adresse susmentionnée.
• La Commission communautaire commune, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0240.682.833, dont les bureaux sont situés rue Belliard 71, boîte 1, 1040 Bruxelles ;Coordonnées du délégué à la protection des données : dataprotection@ccc.brussels ou par courrier à l’adresse susmentionnée.
• La Commission communautaire française, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0240.682.437, dont le siège est situé Rue des Palais 42, 1030 Bruxelles ; Coordonnées du délégué à la protection des données : dpo@spfb.brussels ou par courrier à l’adresse susmentionnée.
• Le Ministerium der Deutschsprachigen Gemeinschaft, inscrit à la Banque-Carrefour des Entreprises sous le numéro 0332.582.613, dont le siège est situé Gospertstrasse 1, 4700 Eupen Coordonnées du délégué à la protection des données : datenschutz@dgov.be ou par courrier à l’adresse susmentionnée.
• Sciensano, inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0693.876.830, dont les bureaux sont situés Rue Juliette Wytsman 14 à 1050 Ixelles ; Coordonnées du délégué à la protection des données : dpo@sciensano.be ou par courrier à l’adresse susmentionnée.

Finalité et fondement juridique du traitement

Le traitement est effectué sur base de l'article 6, § 1, c) du règlement général de protection des données (ci-après « RGPD »), à savoir:

le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.

L'obligation légale à laquelle il est fait référence est contenue dans l'accord de coopération du 14 juillet 2021 entre l'État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement des données liées au certificat Covid numérique de l’UE, au Covid Safe Ticket, le PLF et le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique. Cet accord de coopération a été modifié par l’accord de coopération du 27 septembre 2021 visant à modifier l'accord de coopération du 14 juillet 2021 entre l'État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement des données liées au certificat COVID numérique de l’UE, au Covid Safe Ticket, le PLF et le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique.

En ce qui concerne les visiteurs d’

• événements de masse, d’expériences et de projets pilotes, de dancings et de discothèques et
• d'événements spécifiques, d’établissements ou de facilités Covid

le traitement des données à caractère personnel du certificat Covid numérique de l’UE vise à lire et, le cas échéant, à générer le Covid Safe Ticket au moyen du module CST (= le mode d'exécution de l'application CovidScan pour générer le Covid Safe Ticket) de l'application CovidScan afin de contrôler et vérifier les éléments suivants :

• si le titulaire du certificat COVID numérique de l’UE remplit les conditions pour avoir accès à un événement de masse ou à un projet pilote ;
• au moyen d’une preuve d’identité, l’identité du titulaire d’un certificat COVID numérique de l’UE.

Aperçu des données

Pour générer le Covid Safe Ticket, on traite les catégories de données à caractère personnel du certificat Covid numérique de l’UE.

Le Covid Safe Ticket contient et affiche uniquement les données suivantes :

1. l’indication si l’accès à un événement de masse, une expérience ou un projet pilote, un événement, un établissement ou une facilité peut être autorisé ou doit être refusé au titulaire, en sa qualité de visiteur ;
2. les données d’identité du titulaire, à savoir le nom et le prénom ;
3. la durée de validité du COVID Safe Ticket.

Transmission

Afin de vérifier que le titulaire d'un certificat de vaccination remplit les conditions d'accès à un événement, un établissement ou une facilité, la plateforme centrale où sont gérés les certificats de vaccination et les certificats de test et de rétablissement établit une liste de certificats de vaccination qui ne peuvent être utilisés temporairement pour générer un Covid Safe Ticket, ceci parce que le titulaire d'un certificat de vaccination a récemment été testé positif au Covid-19. La liste ne contient que les codes d’identification uniques des certificats de vaccination suspendus et est mise à jour toutes les heures.

La liste susmentionnée reprenant les codes d’identification uniques des certificats de vaccination qui ne peuvent temporairement pas être utilisés pour générer un Covid Safe Ticket est récupérée via l'application CovidScan et stockée localement.

Aux fins décrites ci-dessus, le certificat Covid numérique de l’UE ou le Covid Safe Ticket généré par le titulaire ne peut être lu par le module CST de l'application CovidScan que par les personnes suivantes :

1. les personnes chargées de contrôler l’accès à l'événement de masse ;
2. les personnes chargées de contrôler l’accès à l'expérience ou projet pilote ;
3. les personnes chargées de contrôler l’accès au dancing ou à la discothèque ;
4. les personnes chargées de contrôler l’accès aux congrès ou aux foires commerciales et les personnes chargées de contrôler l'accès aux établissements relevant des secteurs culturel, festif et récréatif ;
5. à défaut des personnes visées au 4°, les gestionnaires et directeurs des établissements et facilités pour lesquels l’utilisation du Covid Safe Ticket peut être appliquée, ainsi que leur personnel dans la mesure où il est déployé sur une base exclusive et chargé du contrôle du Covid Safe Ticket ;
6. le personnel d’une entreprise de surveillance ou d’un service de surveillance interne tel que visé dans la loi du 2 octobre 2017 réglementant la sécurité privée et particulière.

Il est expressément interdit à ces personnes de lire le certificat Covid numérique de l’UE ou le Covid Safe Ticket généré par le titulaire et, le cas échéant, de le générer avec une application ou un module autre que le module CST de l’application CovidScan.

Délai de conservation

L’analyse des données relatives au Covid Safe Ticket ne peut être effectuée que jusqu'au 31 octobre 2022.