Déclaration de confidentialité certificat COVID

Déclaration de confidentialité: CovidSafe App - Certificats COVID

Déclaration de confidentialité sur le traitement et la protection des données dans le cadre des certificats Covid

v.2.0 - 18 août 2021

Dans la présente déclaration de confidentialité, vous trouverez toutes les informations relatives au traitement de vos données à caractère personnel dans le cadre des certificats COVID (d’une part, le certificat COVID numérique de l’UE et, d’autre part, le COVID Safe Ticket). Elle clarifiera plus particulièrement la manière dont vos données sont collectées, traitées et utilisées.

Ce document est divisé en quatre parties :

  • Généralités : cette section explique certains concepts clés, précise quels sont vos droits en matière de traitement des données à caractère personnel et comment vous pouvez les exercer ;
  • Certificat de vaccination : cette section fournit des informations sur le traitement des données à caractère personnel dans le cadre du certificat COVID numérique de l’UE ;
  • Certificats de test et de rétablissement : cette section fournit des informations sur le traitement des données à caractère personnel dans le cadre du certificat de test et de rétablissement COVID numérique de l’UE;
  • Safe Ticket : cette section fournit des informations sur le traitement des données à caractère personnel dans le cadre du COVID Safe Ticket.

Généralités

Qu'est-ce qu'un traitement de données à caractère personnel ? Notions.

« Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

«Responsable du traitement» : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

«Sous-traitant» : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Quels sont vos droits en matière de traitement des données à caractère personnel ?

Vous pouvez à tout moment consulter les données traitées vous concernant et, si nécessaire, les faire rectifier. En outre, dans certaines circonstances, vous avez également le droit de demander au responsable du traitement une restriction du traitement.

Si vous avez des questions concernant le traitement de vos données à caractère personnel ou si vous souhaitez exercer l’un des droits susmentionnés, vous pouvez contacter le délégué à la protection des données du responsable du traitement, dont les coordonnées sont toujours mentionnées avec celles du responsable du traitement. Veuillez toujours joindre à votre demande une copie recto-verso de votre carte d’identité afin de pouvoir vous identifier.

Vous pouvez également contacter le délégué à la protection des données si vous n’êtes pas d'accord avec la manière dont vos données sont traitées. Vous pouvez aussi toujours introduire une plainte auprès de l'autorité de protection des données.

Certificat de vaccination

Responsables de traitement

Le certificat de vaccination COVID numérique de l’UE est émis par les responsables du traitement ci-dessous sous leur autorité respective :

  • L’Agence flamande Soins et Santé (Agentschap Zorg en Gezondheid), inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0316.380.841, dont les bureaux sont situés Avenue du Roi Albert II 35, boîte 33 à 1030 Bruxelles ; Coordonnées du délégué à la protection des données : veiligheidsconsulent.zg@vlaanderen.be ou par courrier à l’adresse susmentionnée.
  • Agence Wallonne pour une Vie de Qualité, inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0646.877.855, dont les bureaux sont situés Rue de la Rivelaine 21 à 6061 Charleroi ; Coordonnées du délégué à la protection des données : dpo@aviq.be ou par courrier à l’adresse susmentionnée.
  • Office de la Naissance et de l'Enfance, inscrit à la Banque-Carrefour des Entreprises sous le numéro 0231.907.895, dont le siège social est situé Chaussée de Charleroi 95, 1060 Saint-Gilles; Coordonnées du délégué à la protection des données : dpo@one.be ou par courrier à l’adresse susmentionnée.
  • La Commission communautaire commune, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0240.682.833, dont les bureaux sont situés rue Belliard 71, boîte 1, 1040 Bruxelles ;Coordonnées du délégué à la protection des données : dataprotection@ccc.brussels ou par courrier à l’adresse susmentionnée.
  • La Commission communautaire française, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0240.682.437, dont le siège est situé Rue des Palais 42, 1030 Bruxelles ; Coordonnées du délégué à la protection des données : dpo@spfb.brussels ou par courrier à l’adresse susmentionnée.
  • Le Ministerium der Deutschsprachigen Gemeinschaft, inscrit à la Banque-Carrefour des Entreprises sous le numéro 0332.582.613, dont le siège est situé Gospertstrasse 1, 4700 Eupen Coordonnées du délégué à la protection des données : datenschutz@dgov.be ou par courrier à l’adresse susmentionnée.

Finalité et Fondement juridique du traitement

Le traitement est fondé sur l’article 6, paragraphe 1, point c) du RGPD, à savoir :

Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

L’obligation légale à laquelle il est fait référence est contenue dans l’accord de coopération du 14 juillet 2021 entre l'État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement des données relatives au certificat COVID numérique de l’UE, au COVID Safe Ticket, le PLF et le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l’étranger qui effectuent des activités en Belgique.

La finalité du traitement des données à caractère personnel, conformément à l’article 3, paragraphe 1 du Règlement relatif au certificat COVID numérique de l’UE, est l’établissement, la délivrance et la vérification du certificat COVID numérique de l’UE afin d’accéder aux informations qu’il contient et de les vérifier en vue de faciliter l’exercice du droit de libre circulation au sein de l’Union pendant la pandémie de COVID-19.

Aperçu des données

Les catégories suivantes de données à caractère personnel sont traitées :

  1. identité du titulaire ;
  2. informations sur le vaccin COVID-19 administré au titulaire et sur le nombre de doses administrées ;
  3. métadonnées du certificat, telles que l’émetteur du certificat ou un code d’identification unique du certificat ;
  4. le numéro du registre national ; et
  5. le lieu de résidence principale

D'où proviennent ces données à caractère personnel ?

La résidence principale est obtenue à partir du registre national. Le numéro de registre national, l’identité du titulaire et les informations sur le vaccin COVID-19 administré au titulaire et sur le nombre de doses administrées sont obtenus à partir de Vaccinnet, une base de données qui comprend notamment les enregistrements des vaccinations COVID-19 administrées et qui est gérée conjointement par les différents responsables du traitement. Pour plus d’informations sur Vaccinnet, veuillez consulter le site web de Vaccinnet. Conformément à la politique de confidentialité de Vaccinnet, il n’est pas possible de faire supprimer vos données de cette base de données.

Transmission

Les certificats COVID numériques de l’UE sont en principe uniquement destinés à être délivrés au citoyen et ne sont donc pas automatiquement transmis à des tiers par le responsable du traitement. Vos certificats seront toutefois mis à disposition par le biais de divers guichets numériques ou portails patients numériques. En outre, à votre demande, les certificats seront également transmis via l’eBox ou vers l’application CovidSafeBe.

Les données seront traitées pour le compte des différents responsables du traitement par l’agence autonome interne sans personnalité juridique Digitaal Vlaanderen, inscrite auprès de la BCE sous le numéro 0316.380.841, dont le siège administratif est situé avenue du Port 88 à 1000 Bruxelles (privacy.digitaal@vlaanderen.be ).

Délai de conservation

Les données à caractère personnel liées au certificat COVID numérique de l’UE seront conservées aussi longtemps que vous pourrez utiliser le certificat pour exercer votre droit à la libre circulation ou pour créer un Covid Safe Ticket. Votre numéro NISS et les métadonnées relatives au certificat sont stockées dans une base de données log pendant trois ans à des fins de sécurité du système, de détection des erreurs et de résolution des litiges.

Le délai de conservation ci-dessus est indépendant du délai de conservation de vos données dans Vaccinnet (cf. D’où proviennent ces données à caractère personnel ?).

Certificat de test et de rétablissement

Responsable du traitement

Le certificat de test et de rétablissement COVID numérique de l’UE est émis par Sciensano, inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0693.876.830, dont le siège social est situé Rue Juliette Wytsman 14 à 1050 Ixelles.

Coordonnées du délégué à la protection des données : dpo@sciensano.be ou par courrier à l’adresse susmentionnée.

Finalité et fondement juridique du traitement

Le traitement est fondé sur l’article 6, paragraphe 1, point c) du RGPD, à savoir

Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

L’obligation légale à laquelle il est fait référence est contenue dans l’accord de coopération du 14 juillet 2021 entre l'État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement des données relatives au certificat COVID numérique de l’UE, au COVID Safe Ticket, le PLF et le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l’étranger qui effectuent des activités en Belgique.

La finalité du traitement des données à caractère personnel, conformément à l’article 3, paragraphe 1, du Règlement relatif au certificat COVID numérique de l’UE, est l’établissement, la délivrance et la vérification du certificat COVID numérique de l’UE afin d’accéder aux informations qu’il contient et de les vérifier en vue de faciliter l’exercice du droit de libre circulation au sein de l’Union pendant la pandémie de COVID-19.

Aperçu des données

Certificat de test :

Les catégories suivantes de données à caractère personnel sont traitées :

  1. identité du titulaire ;
  2. informations sur le test TAAN agréé ou le test rapide antigénique agréé que le titulaire a subi ;
  3. métadonnées du certificat, telles que l’émetteur du certificat ou un code d’identification unique du certificat ;
  4. le numéro du registre national ; et
  5. le lieu de résidence principale.

Certificat de rétablissement :

Les catégories suivantes de données à caractère personnel sont traitées :

  1. identité du titulaire ;
  2. informations sur l’infection passée du titulaire au SRAS-CoV-2 à la suite d'un résultat de test positif, mais ne datant pas de plus de 180 jours ;
  3. métadonnées du certificat, telles que l’émetteur du certificat ou un code d’identification unique du certificat ;
  4. le numéro du registre national ; et
  5. le lieu de résidence principale.

D'où proviennent ces données à caractère personnel ?

Les données proviennent d’une banque de données de résultats de tests COVID-19 déjà gérée par Sciensano dans le cadre de l’accord de coopération du 25 août 2020 entre l’Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d’inspections d’hygiène et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano. Pour plus d’informations sur cette base de données :

Pour plus d'informations sur cette base de données :

Sciensano & Coronavirus | sciensano.be

La base de données reçoit les résultats des tests validés médicalement par les laboratoires, les médecins ou les hôpitaux. Si vous suspectez une erreur concernant ces résultats de test, vous devez contacter le prestataire de soins de santé qui a fourni le résultat du test à Sciensano. Cet acteur médical peut communiquer une correction à Sciensano, si nécessaire.

Le registre national peut également être consulté.

Transmission

Les certificats de test et de rétablissement COVID numériques de l’UE sont en principe uniquement destinés à être délivrés au citoyen et ne sont donc pas automatiquement transmis à des tiers par le responsable du traitement. Vos certificats seront toutefois mis à disposition par le biais de divers guichets numériques ou portails patients numériques. En outre, à votre demande, les certificats seront également transmis via l’eBox ou vers l’application CovidSafeBe.

Les données seront traitées pour le compte du responsable du traitement par l’agence autonome interne sans personnalité juridique Digitaal Vlaanderen, inscrite auprès de la BCE sous le numéro 0316.380.841, dont le siège administratif est situé avenue du Port 88 à 1000 Bruxelles.

Délai de conservation

Les données à caractère personnel liées au certificat COVID numérique de l’UE seront conservées aussi longtemps que vous pourrez utiliser le certificat pour exercer votre droit à la libre circulation ou pour créer un Covid Safe Ticket. Votre numéro NISS et les métadonnées relatives au certificat sont stockées dans une base de données log pendant trois ans à des fins de sécurité du système, de détection des erreurs et de résolution des litiges.

La durée de validité d’un certificat de rétablissement ne dépassera pas 180 jours.

Le délai de conservation ci-dessus est indépendant du délai de conservation de vos données dans la banque de données de Sciensano (cf « D'où viennent ces données à caractère personnel ? »).

COVID Safe Ticket

Le COVID Safe Ticket est le résultat de la lecture du certificat COVID numérique de l’UE au moyen de l’application COVIDScan afin de réguler l’accès à un projet pilote ou à un événement de masse dans le contexte de la pandémie de COVID-19.

L’application COVIDScan est l’application qui permet, en scannant le code-barres du certificat COVID numérique de l’UE, de valider l’authenticité et la validité d’un certificat de vaccination, de test et/ou de rétablissement et de lire et, si nécessaire, de générer le COVID Safe Ticket.

Responsable du traitement

Le COVID Safe Ticket est émis par les responsables du traitement ci-dessous sous leur autorité respective :

  • L’Agence flamande Soins et Santé (Agentschap Zorg en Gezondheid), inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0316.380.841, dont les bureaux sont situés Avenue du Roi Albert II 35, boîte 33 à 1030 Bruxelles ; Coordonnées du délégué à la protection des données : veiligheidsconsulent.zg@vlaanderen.be ou par courrier à l’adresse susmentionnée.
  • Agence Wallonne pour une Vie de Qualité, inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0646.877.855, dont les bureaux sont situés Rue de la Rivelaine 21 à 6061 Charleroi ; Coordonnées du délégué à la protection des données : dpo@aviq.be ou par courrier à l’adresse susmentionnée.
  • Office de la Naissance et de l'Enfance, inscrit à la Banque-Carrefour des Entreprises sous le numéro 0231.907.895, dont le siège social est situé Chaussée de Charleroi 95, 1060 Saint-Gilles; Coordonnées du délégué à la protection des données : dpo@one.be ou par courrier à l’adresse susmentionnée.
  • La Commission communautaire commune, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0240.682.833, dont les bureaux sont situés rue Belliard 71, boîte 1, 1040 Bruxelles ;Coordonnées du délégué à la protection des données : dataprotection@ccc.brussels ou par courrier à l’adresse susmentionnée.
  • La Commission communautaire française, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0240.682.437, dont le siège est situé Rue des Palais 42, 1030 Bruxelles ; Coordonnées du délégué à la protection des données : dpo@spfb.brussels ou par courrier à l’adresse susmentionnée.
  • Le Ministerium der Deutschsprachigen Gemeinschaft, inscrit à la Banque-Carrefour des Entreprises sous le numéro 0332.582.613, dont le siège est situé Gospertstrasse 1, 4700 Eupen Coordonnées du délégué à la protection des données : datenschutz@dgov.be ou par courrier à l’adresse susmentionnée.
  • Sciensano, inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0693.876.830, dont les bureaux sont situés Rue Juliette Wytsman 14 à 1050 Ixelles ; Coordonnées du délégué à la protection des données : dpo@sciensano.be ou par courrier à l’adresse susmentionnée.

Finalité et fondement juridique du traitement

Le traitement est fondé sur l’article 6, paragraphe 1, point c) du RGPD, à savoir :

le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.

L’obligation légale à laquelle il est fait référence est contenue dans l’accord de coopération du 14 juillet 2021 entre l'État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement des données relatives au certificat COVID numérique de l’UE, au COVID Safe Ticket, le PLF et le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l’étranger qui effectuent des activités en Belgique.

En ce qui concerne les visiteurs d’événements de masse ou de projets pilotes, le traitement des données à caractère personnel du certificat COVID numérique de l’UE vise à lire et, le cas échéant à générer le COVID Safe Ticket au moyen du module CST (= le mode d’exécution de l’application COVIDScan pour générer le COVID Safe Ticket) de l’application COVIDScan, afin de contrôler et de vérifier les éléments suivants :

  • si le titulaire du certificat COVID numérique de l’UE remplit les conditions pour avoir accès à un événement de masse ou à un projet pilote ;
  • au moyen d’une preuve d’identité, l’identité du titulaire d’un certificat COVID numérique de l’UE.

Aperçu des données

Pour la génération du COVID Safe Ticket, les catégories de données à caractère personnel du certificat COVID numérique de l’UE sont traitées.

Le COVID Safe Ticket contient et affiche uniquement les données suivantes :

  1. l’indication si le titulaire, en sa qualité de visiteur d’un événement de masse ou d’un projet pilote, peut être autorisé à avoir accès ou doit se voir refuser l’accès à l’événement de masse ou au projet pilote ;
  2. les données d’identité du titulaire, à savoir le nom et le prénom ;
  3. la durée de validité du COVID Safe Ticket.

Transmission

Aux fins décrites ci-dessus, le certificat COVID numérique de l’UE ou le COVID Safe Ticket généré par le titulaire ne peut être lu par le module CST de l’application COVIDScan que par les personnes suivantes :

1° les personnes chargées du contrôle de l’accès à l’événement de masse ;

2° les personnes chargées du contrôle de l’accès au projet pilote ;

3° le personnel d’une entreprise de gardiennage ou d’un service interne de gardiennage visé par la loi du 2 octobre 2017 réglementant la sécurité privée et particulière.

Il est explicitement interdit à ces personnes de lire le certificat COVID numérique de l’UE ou le COVID Safe Ticket généré par le titulaire et de le générer, le cas échéant, avec une autre application ou un autre module que le module CST de l’application COVIDScan.

Délai de conservation

La lecture des données du COVID Safe Ticket ne peut être effectuée que jusqu’au 30 septembre 2021.