Administration & politique

14.07.2021 - Accord de coopération concernant le traitement des données liées au certificat COVID numérique de l'UE et au COVID Safe Ticket, le PLF et le traitement des données à caractère personnel

14.07.2021 - Accord de coopération entre l'Etat fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement des données liées au certificat COVID numérique de l'UE et au COVID Safe Ticket, le PLF et le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique

 

Le 11 mars 2020, l'Organisation mondiale de la Santé (OMS) a qualifié l'épidémie du virus SRAS-CoV-2, qui provoque la maladie COVID-19, de pandémie.

La Belgique non plus n'est pas épargnée par cette pandémie. Dans le contexte de la crise sanitaire COVID-19 et afin d'enrayer la propagation du virus du SRAS-CoV-2 (ci-après dénommé « coronavirus COVID-19 »), le Conseil national de sécurité, qui réunissait des représentants du gouvernement fédéral ainsi que des représentants des entités fédérées, a été chargé de prendre des mesures concertées visant à limiter la propagation du coronavirus COVID-19.

Objectifs généraux de cet accord de coopération

Malgré la nécessité de limiter la propagation du coronavirus COVID-19, il convient également de tenir compte de la reprise des activités des citoyens telles qu'elles étaient avant la pandémie de COVID-19, y compris la possibilité de voyager au sein de l'Union européenne et d'assister à des événements et activités culturelles et autres. Tous les efforts doivent également être déployés pour promouvoir la reprise après la pandémie de COVID-19.

Considérant qu'une règlementation uniforme relative à la liberté des citoyens de l'UE de circuler et de séjourner sur le territoire des Etats membres était appropriée, l'Union européenne a mis en place un cadre législatif, composé d'une part du Règlement (UE) 2021/953 du Parlement européen et du Conseil du 14 juin 2021 relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l'UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19 (« Règlement relatif au certificat COVID numérique de l'UE ») et d'autre part du Règlement (UE) 2021/954 du Parlement européen et du Conseil du 14 juin 2021 relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l'UE) destinés aux ressortissants de pays tiers séjournant ou résidant légalement sur le territoire des Etats membres pendant la pandémie de COVID-19 (« Règlement relatif au certificat COVID numérique de l'UE pour les ressortissants de pays tiers »).

Les restrictions de voyage qui s'appliquent sur la base de la liste des « variants of concern » ne sont pas affectées par les articles concernant le certificat COVID numérique de l'UE et le COVID Safe Ticket inclus dans cet accord de coopération.

Cependant, ces règlements n'entreront en vigueur que le 1er juillet. Vu l'urgence de pleinement faciliter la libre circulation des personnes au sein des Etats membres, la Belgique a choisi de mettre le certificat COVID numérique de l'UE à la disposition de ses citoyens à partir du 16 juin 2021.

Le règlement relatif au certificat COVID numérique de l'UE autorise également une utilisation nationale supplémentaire du certificat COVID numérique de l'UE, pour autant que cette utilisation nationale possède une base juridique. Cet accord de coopération définit, entre autres, cette base juridique.

Conformément aux notifications du Comité de Concertation du 11 mai et du 4 juin 2021, il a été décidé d'organiser l'accès aux expériences et projets pilotes à partir de l'entrée en vigueur du présent accord de coopération, et l'accès aux événements de masse à partir du 13 août 2021, sur la base du COVID Safe Ticket

Le COVID Safe Ticket est le résultat de la lecture du certificat COVID numérique de l'UE via l'application numérique COVIDScan afin d'organiser l'accès à une expérience et un projet pilote ou à un événement de masse dans le contexte de la pandémie de COVID-19. Le COVID Safe Ticket permet ainsi une utilisation domestique du certificat COVID numérique de l'UE.

Pour la mise à disposition du certificat COVID numérique de l'UE aux citoyens de manière conviviale et accessible, (au moins) deux applications numériques sont en cours de développement, l'application numérique COVIDSafe et l'application numérique COVIDScan. L'application numérique COVIDSafe a pour but de permettre au titulaire du certificat COVID numérique de l'UE d'en faire la demande et de faire scanner le code-barres. Le cas échéant, le COVID Safe Ticket peut être généré à partir de l'application numérique COVIDSafe. L'application COVIDScan permet de valider l'authenticité et la validité du certificat COVID numérique de l'UE en scannant ce code-barres du certificat COVID numérique de l'UE et de générer le cas échéant le COVID Safe Ticket. Ce code-barres peut également constituer un code-barres bidimensionnel, en particulier un code QR.

L'application numérique COVIDSafe sera mise à disposition des citoyens à partir du 16 juin 2021 et pourra être utilisée pour les déplacements au sein de l'Union européenne à partir du 1er juillet 2021.

A partir de l'entrée en vigueur du présent accord de coopération, le COVIDSafe Ticket pourra également être généré via l'application numérique COVIDScan ou, le cas échéant, l'application numérique COVIDSafe à usage domestique, notamment pour les expériences et projets pilotes à partir de l'entrée en vigueur du présent accord de coopération, et pour les évènements de masse organisés par la décision applicable sur les mesures de police administrative visant à limiter la propagation du coronavirus COVID-19, à partir du 13 aout 2021.

Les durées de conservation des données personnelles traitées aux fins du certificat COVID numérique de l'UE, sont strictement limitées à la finalité du certificat COVID numérique de l'UE ou jusqu'à ce que le certificat COVID numérique de l'UE ne puisse plus être utilisé pour exercer le droit à la libre circulation, tel que défini par le règlement relatif au certificat COVID numérique de l'UE.

L'entrée en vigueur anticipée de l'accord de coopération et les répercussions que cela a sur les périodes de conservation et de validité, est prise en compte. Les données personnelles traitées en lisant le COVID Safe Ticket sont immédiatement supprimées après le traitement.

A propos des certificats de vaccination, test et rétablissement et du certificat COVID numérique de l'UE

Tout citoyen de l'Union a le droit de circuler et de séjourner librement sur le territoire des Etats membres, sous réserve des limitations et conditions prévues par les Traités et par les mesures prises pour leur donner effet.

Dans cet accord de coopération, en premier lieu, une base juridique est mise en place concernant le traitement des données personnelles nécessaires pour la mise à disposition et la délivrance de certificats interopérables de vaccination, test et rétablissement de COVID-19. Ces certificats interopérables de vaccination, de test et de rétablissement sont utilisés pour la mise à disposition et la délivrance du certificat COVID numérique de l'UE, afin de faciliter la libre circulation pendant la pandémie de COVID-19. Faciliter la libre circulation est, après tout, l'une des conditions les plus importantes d'une reprise économique.

Les personnes qui ont été vaccinées ou qui ont eu un test de diagnostic négatif récent ou les personnes qui se sont rétablies de la COVID-19 au cours des six derniers mois semblent, selon les connaissances scientifiques actuelles et en évolution, présenter un risque moindre d'infecter des personnes avec le SARS-CoV-2. La libre circulation des personnes qui, sur la base de preuves scientifiques solides, ne représentent pas un risque significatif pour la santé publique, par exemple parce qu'elles sont immunisées et ne peuvent transmettre le SARS-CoV-2, ne devrait pas être soumise à des restrictions, ces dernières n'étant pas nécessaires pour atteindre l'objectif poursuivi.

L'article 3, paragraphe 2, du présent accord de coopération dispose que les certificats de vaccination, de test et de rétablissement pour la COVID-19 sont délivrés sous forme numérique ou papier, ou les deux. Les futurs titulaires ont le droit de recevoir les certificats dans le format de leur choix.

Conformément à l'article 3, paragraphe 3, de cet accord de coopération, le titulaire d'un certificat de vaccination, d'un certificat de test ou d'un certificat de rétablissement est en droit de demander l'émission d'un nouveau certificat si les données à caractère personnel contenues dans le certificat ne sont pas, ou ne sont plus, exactes ou à jour, y compris en ce qui concerne le statut du titulaire en matière de vaccination, de test ou de rétablissement, ou si le titulaire ne détient plus le certificat.

L'article 3, paragraphe 6 du présent accord de coopération dispose que les certificats visés à l'article 9, paragraphes 1 à 3 du présent accord de coopération sont traités de la même manière et qu'il n'y a pas de discrimination entre eux. Cette disposition est conforme à la décision prise dans le règlement relatif au certificat COVID numérique de l'UE et le règlement relatif au certificat COVID numérique de l'UE pour les ressortissants de pays tiers sur la base d'études scientifiques réalisées par l'Union européenne. En outre, cette disposition garantit qu'aucune discrimination ne se produit sur la base du certificat COVID numérique de l'UE et/ou du COVID Safe Ticket à l'égard des personnes qui ne peuvent ou ne veulent pas se faire vacciner.

L'article 3, paragraphe 7 du présent accord de coopération n'a pas pour objet d'exclure toute autre forme de preuve de vaccination, de test ou de rétablissement après le 16 juin 2021. En effet, il sera toujours possible de fournir des certificats de vaccination, de test ou de rétablissement à la personne concernée à des fins autres que celles réglementées par l'accord de coopération et/ou le règlement relatif au certificat COVID numérique de l'UE et le règlement relatif au certificat COVID numérique de l'UE pour les ressortissants de pays tiers

Les autorités chargées de la délivrance des certificats, sont considérées comme étant responsables du traitement au sens de l'article 4, section 7, du règlement (UE) 2016/679 (règlement général sur la protection des données).

L'accord de coopération du 12 mars 2021 entre l'Etat fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement de données relatives aux vaccinations contre la COVID-19, ci-après: l'accord de coopération du 12 mars 2021, régit le système d'information commun qui est mis en place pour l'invitation à la vaccination des personnes, pour l'organisation de la vaccination et pour l'enregistrement de la vaccination. Les entités fédérées et l'autorité fédérale considèrent la mise en place d'un système d'information commun comme une condition fondamentale. En vue de soutenir l'invitation des personnes à se faire vacciner et l'organisation de la vaccination, un système d'information commun était nécessaire afin d'éviter que les personnes ne soient invitées de manière non coordonnée ou que des personnes déjà vaccinées soient à nouveau invitées. Par ailleurs, le système doit permettre d'identifier le schéma posologique adéquat, notamment en ce qui concerne les différentes doses d'un vaccin à administrer (intervalle optimal proposé en cas de vaccins multidoses) et doit veiller à ce que l'organisation de la vaccination se déroule de manière optimale en fonction de la disponibilité du matériel et du personnel (médical) nécessaires. L'enregistrement des vaccinations dans un système d'information commun (Vaccinnet) par les vaccinateurs flamands, wallons, bruxellois et germanophones était notamment nécessaire. Compte tenu du fait qu'il s'agit d'une nécessité et qu'elle concerne le traitement de données à caractère personnel, une telle obligation d'enregistrement requiert une base juridique solide. La base de données est créée et gérée en collaboration très étroite entre les entités fédérées et l'Etat fédéral. Il est donc également approprié d'utiliser le même système opérationnel pour la délivrance des certificats.

L'article 7 de l'accord de coopération du 12 mars 2021 susmentionné prévoit que les entités fédérées compétentes, ou les organismes désignés par les entités fédérées compétentes, et le Gouvernement fédéral, chacun pour sa propre compétence, agissent en tant que responsables du traitement des données à caractère personnel visées par l'accord de coopération susmentionné.

Elle concerne plus particulièrement les entités ou agences suivantes:

1° pour les personnes qui sont vaccinées sur le territoire de la Région flamande ou dans un établissement de la région bilingue de Bruxelles-Capitale qui en raison de son organisation doit être considéré comme un établissement appartenant exclusivement à la Communauté flamande: het Agentschap Zorg en Gezondheid;

2° pour les personnes qui ressortissent des compétences de la Communauté française: l'Office de la Naissance et de l'Enfance;

3° pour les personnes qui ressortissent des compétences de la Région Wallonne : l'Agence wallonne de la santé, de la protection sociale, du handicap et des familles ;

4° pour les personnes qui ressortissent des compétences de la Commission communautaire commune de Bruxelles-Capitale : la Commission communautaire commune;

5° pour les personnes qui ressortissent des compétences de la Commission communautaire française de Bruxelles-Capitale : la Commission communautaire française;

6° pour les personnes qui ressortissent des compétences de la Communauté germanophone: Ministerium der Deutschsprachigen Gemeinschaft.

7° pour les personnes qui ressortissent des compétences de l'Autorité fédérale: Sciensano.

Les entités visées à l'article 7 ci-dessus, 1° à 6°, qui sont les responsables du traitement des données relatives aux vaccinations contenues dans Vaccinnet, sont chargées de délivrer les certificats de vaccination visés à l'article 3, § 1, 1° , de cette accord de coopération, chacune dans leur domaine de compétence respectif. Conformément à l'article 15, § 1, de cette accord de coopération, ces mêmes entités sont les responsables du traitement des données relatives aux certificats de vaccination.

L'article 2, § 4, de l'accord de coopération du 25 août 2020 entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d'inspections d'hygiène et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano détermine que Sciensano est le responsable du traitement des données de la Base de données I, visée à l'article 6 de l'accord de coopération susmentionné. Sciensano est responsable de la délivrance des certificats de test et de rétablissement visés à l'article 3, § 1, 2° et 3°, de cette accord de coopération. Conformément à l'article 15, § 1, de cette accord de coopération, Sciensano est le responsable du traitement des données relatives aux certificats de test et de rétablissement.

La mise en oeuvre opérationnelle dudit règlement par les organismes chargés de délivrer les certificats respectifs s'appuiera sur l'agence Digitaal Vlaanderen, créée par l'arrêté du Gouvernement flamand du 18 mars 2016 portant création de l'agence autonomisée Digitaal Vlaanderen, et détermination du fonctionnement, de la gestion et de la comptabilité du Fonds propre Digitaal Vlaanderen. Cette agence est chargée de créer et de mettre à disposition les certificats en question et de développer une application numérique selon les modalités prévues par le règlement précité. De cette façon, tous les certificats sont émis immédiatement via le même système au niveau opérationnel.

Comme les certificats doivent être délivrés immédiatement, tous les organismes chargés de délivrer les certificats ont décidé de faire appel à l'agence Digitaal Vlaanderen. Toutefois, cela ne signifie pas que l'agence Digitaal Vlaanderen décide quelle application est mise à la disposition du citoyen, ni les modalités et le moment de la désactivation des applications COVIDSafe et COVIDScan. L'agence Digitaal Vlaanderen n'agit que sur instruction de la plate-forme e-Health et fonctionne comme un sous-traitant.

Une mission est également confiée à l'agence Digitaal Vlaanderen afin de permettre à la personne concernée d'accéder à la version officielle de ses données de vaccination et de test, en attendant l'entrée en vigueur du règlement relatif au certificat COVID numérique de l'UE.

Pour la création et la délivrance du certificat COVID numérique de l'UE, les catégories de données personnelles sont traitées conformément à l'article 9 de l'accord de coopération. En ce qui concerne les titulaires d'un certificat de vaccination, ces données sont extraites de Vaccinnet et en ce qui concerne les titulaires d'un certificat de test ou de rétablissement de la Base de données I, établi par l'accord de coopération du 25 août 2020. De plus, pour la création et la délivrance du certificat COVID numérique de l'UE, il est nécessaire de traiter le numéro de registre national du titulaire et de (l'adresse de la) sa résidence principale. Le traitement de (l'adresse de) la résidence principale permet de recevoir le certificat COVID numérique de l'UE - lorsqu'il a été choisi d'obtenir le certificat COVID numérique de l'UE sur papier - par voie postale. La résidence principale n'est traitée que si on a choisi de recevoir le certificat COVID numérique de l'UE par voie postale. La résidence principale est obtenue via le registre national, sur la base du numéro du registre national. Pour cette raison, il est également nécessaire de traiter le numéro de registre national du titulaire. En ce qui concerne les titulaires d'un certificat de vaccination, le numéro de registre national est extrait de Vaccinnet, et en ce qui concerne les titulaires d'un certificat de test ou de rétablissement de la base de données I, établie par l'accord de coopération du 25 août 2020. Le numéro de registre national ne sera pas repris dans le certificat COVID numérique de l'UE.

Il n'est en aucun cas prévu d'inclure dans le certificat COVID numérique de l'UE des données autres que celles énumérées à l'annexe « Ensembles de données du certificat » du règlement relatif au certificat COVID numérique de l'UE.

Le certificat COVID numérique de l'UE sera généré sur la base du « Trust Framework » tel que prévu dans le règlement relatif au certificat COVID numérique de l'UE et dans le règlement relatif au certificat COVID numérique de l'UE pour les ressortissants de pays tiers. Ce cadre garantit que les certificats de vaccination, de test et de rétablissement ne peuvent être falsifiés.

Cet accord de coopération prévoit la possibilité pour le personnel des centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes de fournir certaines informations aux titulaires de certificats de test et/ou de rétablissement. Ceci afin que les centres de contact désignés par les entités fédérées compétentes ou les agences compétentes puissent répondre aux questions des titulaires des certificats de test et de rétablissement. Dans ce contexte, des mesures techniques et organisationnelles appropriées seront prises, y compris l'enregistrement de l'accès aux données par le personnel des centres de contact désignés par les entités fédérées compétentes ou par les agences.

A propos du COVID Safe Ticket

Le COVID Safe Ticket est le certificat COVID numérique de l'UE, mais sous une forme différente qui contient moins de données personnelles dans la front-end. De cette façon, les principes de proportionnalité, de confidentialité et d'intégrité des données sous-jacentes du certificat COVID numérique de l'UE sont garantis. Le COVID Safe Ticket ne peut être lu que par l'application COVIDScan à l'entrée de l'expérience ou de projet pilote ou de l'événement de masse. L'application COVIDScan est conforme au « Trust Framework » prévu par le règlement relatif au certificat COVID numérique de l'UE et le règlement relatif au certificat COVID numérique de l'UE pour les ressortissants de pays tiers.

Il faut souligner que l'intention n'est en aucun cas de créer, à travers le COVID Safe Ticket ou à travers cet accord de coopération, une accoutumance à l'idée que l'accès à certains lieux doit être subordonné à la présentation de preuves ou de certificats. Le champ d'application du COVID Safe Ticket doit être limité à ce qui est inclus dans cet accord de coopération, qui s'inscrit dans une situation exceptionnelle. Tant que la pandémie de COVID-19 doit être combattue et sous réserve de périodes de conservation raisonnables et d'une limitation d'utilisation quant à sa durée, le COVID Safe Ticket est un outil proportionné pour arrêter la propagation du coronavirus COVID-19.

En outre, le COVID Safe Ticket est l'instrument le plus approprié pour réaliser la minimisation des données. Si les organisateurs d'événements pouvaient scanner et lire le certificat COVID numérique de l'UE, ils recevraient diverses données concernant la santé du titulaire, ce qui ne serait pas du tout souhaitable et serait contraire au principe de proportionnalité du Règlement Général sur la Protection des Données. Avec le COVID Safe Ticket, seuls un code-barres, une durée de validité et un nom sont affichés. En outre, le COVID Safe Ticket est généré pour les personnes qui ont été vaccinées contre le coronavirus COVID-19, qui ont un test TAAN reconnu ou un test rapide à l'antigénique reconnu négatif, ou qui se sont récemment rétablies d'une infection au coronavirus COVID-19. Il a été scientifiquement démontré que les personnes qui se trouvent dans l'une de ces situations sont beaucoup moins susceptibles d'infecter une autre personne avec le coronavirus COVID-19.

Cette approche minimise les données, est proportionnée et nettement moins invasive que l'utilisation du certificat COVID numérique de l'UE ou le test continu sur site de tous les visiteurs d'un événement de masse ou d' une expérience et un projet pilote. En outre, on ne peut nier que lors d'événements de masse et de l'expérience et projet pilote, il est particulièrement difficile de vérifier que tous les visiteurs respectent les mesures de sécurité et de mesures de lutte contre le coronavirus prescrites. En effet, au plus l'événement de masse ou l'expérience et le projet pilote est grand, au plus ces mesures pratiques sont difficiles à mettre en oeuvre. Et même si dans le cas où tous les visiteurs respecteraient parfaitement ces règles (comme le port d'un masque, le maintien d'une distance de sécurité, ..., ce qui n'est pas réalisable), cette méthode n'offre pas les mêmes garanties que celles basées sur la stratégie de vaccination et de testing. Le COVID Safe Ticket offre une solution efficace et proportionnelle pour permettre à la vie culturelle et sociale de reprendre son cours, qui peut également être qualifiée de nécessaire maintenant que pour les événements visés par cet accord de coopération, il n'existe pas de méthodes moins intrusives pour préserver la sécurité et la santé des visiteurs et du personnel de ces événements.

La facilitation de l'accès aux événements de masse et aux expériences et projets pilotes se fait par le biais du COVID Safe Ticket pour les événements de masse qui répondent à la définition établie dans les dispositions d'un accord de coopération d'exécution et pour les expériences et projets pilotes qui reçoivent l'approbation requise des autorités gouvernementales compétentes. Lorsque les visiteurs se rendaient à de tels événements avant la pandémie de coronavirus COVID-19, ils devaient déjà donner aux organisateurs l'accès à plusieurs données à caractère personnel, par exemple pour effectuer un contrôle d'identité, pour les contacter via une adresse e-mail ou pour pouvoir observer la consommation du visiteur. Avec le COVID Safe Ticket, seules les informations nécessaires du visiteur sont mises à la disposition de l'organisateur, ce qui est conforme au principe de minimisation des données.

Afin de contrôler l'accès pour les visiteurs à un événement de masse ou à une expérience et un projet pilote soit le COVID Safe Ticket généré par le titulaire est lu soit le certificat COVID numérique de l'UE est lu, par lequel le COVID Safe Ticket est généré, et ce par le biais du module CST de l'application numérique COVIDScan. Afin de lire et, le cas échéant, de générer le COVID Safe Ticket, les catégories de données à caractère personnel du certificat COVID numérique de l'UE sont traitées. Il en résulte le COVID Safe Ticket, qui contient l'indication si le titulaire peut être admis ou refusé à l'entrée à l'événement de masse ou à l'expérience et projet pilote, ainsi que le nom et le prénom du titulaire.

Le certificat COVID numérique de l'UE pour générer le COVID Safe Ticket et le COVID Safe Ticket généré par le titulaire ne peuvent être lus qu'aux fins de contrôler et de vérifier :

Si le titulaire remplit les conditions pour accéder à l'événement de masse ou à l' expérience et au projet pilote; et

Si l'identité de la personne cherchant à accéder à l'événement de masse et/ou à l' expérience et au projet pilote correspond au nom et prénom figurant sur le COVID Safe Ticket.

Et ceci par :

Les personnes responsables du contrôle d'accès de l'événement de masse et de l`expérience et au projet pilote ;

Le personnel d'une entreprise de gardiennage ou d'un service interne de gardiennage.

Seules ces personnes peuvent refuser l'accès à un événement de masse ou à une expérience et projet pilote sur la base du COVID Safe Ticket, sauf si le titulaire subit des mesures supplémentaires, dans la mesure où elles sont été prévues par l'organisateur de ces événements. Ils ne peuvent le faire qu'en utilisant le module CST de l'application COVIDScan.

Les organisateurs établiront une liste de ces personnes.

Si les organisateurs d'événements de masse ou d'expériences ou projets pilotes utilisent uniquement le COVID Safe Ticket pour autoriser l'accès à l'événement et ne prévoient pas de mesures supplémentaires (comme un test rapide de détection antigènique reconnu sur place) en plus du COVID Safe Ticket pour autoriser l'accès à l'événement, l'organisateur doit le communiquer suffisamment clairement et préalablement aux visiteurs. La raison en est qu'il doit être clair pour le visiteur que l'accès à l'événement de masse ou à l' expérience et au projet pilote n'est possible qu'avec un COVID Safe Ticket.

Le présent accord de coopération n'empêche pas les organisateurs d'événements de masse et d'expériences et de projets pilotes de prendre les mesures sanitaires appropriées et/ou applicables et de les imposer à leurs collaborateurs, bénévoles, leur personnel et leurs invités qui ne sont pas des visiteurs de l'événement ou du projet.

Il est strictement interdit de générer et de lire le COVID Safe Ticket à des fins autres que celles stipulées dans présent accord de coopération. Les personnes qui génèrent ou lisent le COVID Safe Ticket à des fins non prévues par le présent accord seront soumises à des sanctions de droit commun, y compris des sanctions pénales.

Ceci s'applique par exemple à l'utilisation du COVID Safe Ticket pour réglementer l'accès à d'autres événements, installations de restauration et lieux de travail. Les sanctions de droit commun ne s'appliquent pas lorsque le COVID Safe Ticket est généré ou lu par une personne dans le cadre d'une activité purement personnelle ou domestique.

Il est strictement interdit aux organisateurs d'événements de masse ou d'expériences et projets pilotes de stocker ou de traiter ultérieurement les données personnelles qu'ils reçoivent par le biais du COVID Safe Ticket, sauf pendant la durée de validité du COVID Safe Ticket.

Le COVID Safe Ticket peut être généré pour les personnes âgées à partir de 12 ans. Toutefois, cela ne signifie pas que les personnes de moins de 12 ans ne peuvent pas avoir accès aux événements de masse ou aux expériences et projets pilotes. Ce choix a été fait d'une part parce que ce groupe ne peut pas avoir de certificat de vaccination. L'Agence européenne des médicaments a à savoir publié un avis scientifique selon lequel les recherches montrent que le vaccin Pfizer convient aux jeunes de 12 ans et plus. Le Conseil Supérieur de la Santé a également examiné cette question et est arrivé à la même conclusion. Sur la base de ces avis scientifiques, la Conférence interministérielle santé publique a alors pris la décision d'autoriser la vaccination à partir de l'âge de 12 ans. En revanche, ce groupe de personnes de moins de 12 ans sera accompagné de leurs parents ou d'autres encadrants lors d'événements de masse ou d'expériences et projets pilotes. Afin de garantir l'unité de la famille, l'accès à l'événement de masse ou à l'expérience et projet pilote ne sera pas refusé à ce groupe en raison de l'absence d'un COVID Safe Ticket.

A propos l'application numérique COVIDScan et COVIDSafe

Via l'application numérique COVIDScan, le code-barres du certificat COVID numérique de l'UE le COVID Safe Ticket généré par le titulaire peut être lu. Cela permet de valider l'authenticité et la validité des différents certificats et, le cas échéant, de générer le COVID Safe Ticket.

L'application COVIDScan se compose de deux modalités de mise en oeuvre :

1° un module visant à faciliter l'exercice du droit de libre circulation au sein de l'Union pendant la pandémie de COVID-19 ;

2° un module afin de lire et, le cas échéant, de générer le COVID Safe Ticket conformément aux dispositions des articles 12 et 13 du présent accord de coopération (module CST).

En fonction des possibilités techniques, ces deux modalités de mise en oeuvre peuvent être développées dans une ou deux (versions des) applications (mobiles) distinctes.

L'application numérique COVIDScan peut être utilisée volontairement par les citoyens. Pour les personnes chargées de la vérification afin de faciliter l'exercice du droit à la libre circulation au sein de l'Union européenne pendant la pandémie de COVID-19 et l'application des restrictions éventuelles et du contrôle d'accès d'un événement de masse ou d'une expérience et un projet pilote et le personnel d'une entreprise de gardiennage ou d'un service interne de gardiennage (dans le cadre d'un événement de masse ou d'une expérience et un projet pilote), il est obligatoire d'utiliser l'application numérique COVIDScan. En dehors de ces exceptions, l'installation, l'utilisation et la désinstallation de l'application COVIDScan doivent se faire sur une base purement volontaire et ne peuvent en aucun cas donner lieu à une quelconque procédure civile ou pénale, à une quelconque discrimination ou à un quelconque avantage ou désavantage.

De même, l'installation, l'utilisation et la désinstallation de l'application COVIDSafe sont purement volontaires et ne peuvent en aucun cas donner lieu à une quelconque procédure civile ou pénale, à une quelconque discrimination ou à un quelconque avantage ou désavantage.

Un employeur ne peut par exemple pas obliger ses travailleurs à installer l'application COVIDScan et/ou l'application COVIDSafe. Ceci ne peut se faire de quelque manière que ce soit, y compris en liant certains avantages ou inconvénients à l'installation de l'application COVIDScan et/ou de l'application COVIDSafe Ainsi, il ne sera pas permis de donner une prime à un employé pour l'installation de l'application COVIDScan et/ou de l'application COVIDSafe, de retenir une partie du salaire en raison de la non-installation de celle-ci, ou de refuser aux employés l'accès aux bâtiments en cas de non-utilisation de l'application COVIDScan et/ou de l'application COVIDSafe.

Les fournisseurs de biens et services ne peuvent pas lier l'utilisation ou la non-utilisation de l'application COVIDSafe à leurs biens ou services ou en faire une condition d'obtention de leurs biens et/ou services. Par exemple, offrir des réductions en cas d'utilisation de l'application COVIDSafe, interdire l'accès en cas de non-utilisation de l'application COVIDSafe (cinéma, aéroport, magasin, transports publics, taxi, avion, restauration, etc.)

L'imposition par un gouvernement, une entreprise ou un particulier à un autre particulier de l'installation, de l'utilisation et de la désinstallation obligatoires de l'application COVIDScan et de l'application COVIDSafe sera sanctionnée sur la base des sanctions de droit commun (interdiction des actes discriminatoires, interdiction des traitements illicites de données,...).

Les détails de l'opération de l'application numérique COVIDScan seront définis dans un accord de coopération d'exécution.

A propos du PLF

De la surveillance moléculaire du SRAS-COV-2, qui fait l'objet d'un rapport épidémiologique hebdomadaire de Sciensano, il ressort que les variants entrent souvent en Belgique via des voyageurs en provenance de l'étranger. Ces variants sont surtout plus contagieux que les variants déjà présents en Belgique.

L'arrêté ministériel du 28 octobre 2021 portant des mesures d'urgence pour limiter la propagation du coronavirus COVID-19 comporte actuellement une disposition qui impose aux voyageurs de remplir un formulaire PLF avant le voyage vers la Belgique. Le présent accord de coopération sera également d'application en cas d'éventuels arrêtés futurs qui contiennent la même mesure de police administrative.

En date du 24 mars 2021, l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune ont conclu un accord de coopération concernant le transfert de données nécessaires aux entités fédérées, aux autorités locales ou aux services de police en vue du respect de l'application de la quarantaine ou du test de dépistage obligatoires des voyageurs en provenance de zones étrangères et soumis à une quarantaine et à un test de dépistage obligatoire à leur arrivée en Belgique. Cet accord de coopération vise ainsi à faciliter la transmission des données des passagers concernant les voyageurs en provenance de l'étranger, telles qu'elles figurent dans le Formulaire de Localisation du Passager (PLF), en vue de l'application par les entités fédérées, les autorités locales ou la police de l'obligation pour certains de ces voyageurs de se soumettre à un test de dépistage du COVID-19 et/ou d'observer une quarantaine.

En date du 31 mai 2021, l'Etat fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune ont conclu un accord de coopération concernant des traitements particuliers des données à caractère personnel en vue du traçage et de l'examen des clusters et collectivités, en vue de l'application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus COVID-19 sur les lieux de travail. Cet accord de coopération entend créer une base juridique pour trois types de traitement de données à caractère personnel. Un premier type de traitement peut avoir lieu en vue de soutenir le traçage et l'examen des clusters et des collectivités, et concerne l'enrichissement par l'Office national de sécurité sociale qui peut, en qualité de sous-traitant pour le compte des entités fédérées compétentes, traiter trois données à caractère personnel provenant de la Base de données I (le numéro NISS, la date du test de dépistage du coronavirus COVID-19 et le code postal) de Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées, combiner et comparer ces données avec des données d'identification, de contact, de travail et de résidence. Les deux autres traitements concernent les données provenant de la banque de données PLF. Le premier de ces traitements est effectué par l'Office national de sécurité sociale qui peut, en qualité de sous-traitant pour le compte des entités fédérées compétentes, traiter, combiner et comparer certaines données à caractère personnel provenant de la base de données PLF des travailleurs salariés ou des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique, avec des données d'identification, de contact, de travail et de résidence, en vue de soutenir le traçage et l'examen des clusters et des collectivités et en vue de l'application de la quarantaine et du test de dépistage obligatoires. Le second traitement utilisant les données PLF est également effectué par l'Office national de sécurité sociale qui peut, en qualité de responsable du traitement, traiter une sélection de données à caractère personnel provenant de la base de données PLF, combiner et comparer ces données avec des données d'identification, de contact et de travail, en vue de la surveillance sur les lieux de travail par les inspecteurs sociaux.

Ainsi, les deux accords de coopération précités règlent certains transferts et traitements des données issues du PLF. Toutefois, il ressort de différents avis de la section de législation du Conseil d'Etat qu'il est nécessaire d'avoir une loi ou un accord de coopération réglant le PLF en tant que `norme', afin de disposer d'une vue d'ensemble des données PLF. Il est fait choix d'un accord de coopération parce qu'un grand nombre de données PLF sont utilisées par les entités fédérées. Cette procédure est conforme au principe de légalité tel que préconisé par le Conseil d'Etat et l'Autorité de Protection des Données. La création de cet accord de coopération ne porte pas préjudice aux accords de coopération existants qui règlent le transfert de données.

L'autorité fédérale est partie à cet accord de coopération en vertu de ses pouvoirs résiduels qui lui permettent d'imposer des conditions concernant l'entrée sur le territoire, comme l'obligation de remplir le PLF avant le voyage en Belgique et de l'avoir sur soi pendant le voyage en Belgique (cfr. l'avis du Conseil d'Etat n° 68978/VR du 16 mars 2021 précité)

L'autorité fédérale dispose à ce propos de compétences lui permettant d'organiser le traitement des données dans le cadre de la lutte contre la propagation du coronavirus COVID-19. A cette fin, l'autorité fédérale peut, dans le cadre de l'exercice de ses compétences, créer une base de données (cfr. avis n° 67.482/3 du 3 juin 2020 sur `un amendement sur une proposition de loi portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19'). D'autre part, la collaboration avec les entités fédérées est importante dans le présent accord vu leur compétence en matière de suivi des contacts et de quarantaine et testing.

Par ailleurs, la section de législation du Conseil d'Etat a également rappelé dans son avis n° 68.936/AG du 7 avril 2021 sur un avant-projet de loi relatif aux mesures de police administrative lors d'une situation d'urgence épidémique' que pour lutter contre une situation d'urgence épidémique, l'autorité fédérale peut prendre des mesures dans le cadre de ses compétences résiduelles en matière de maintien de l'ordre public, et plus particulièrement le maintien de la salubrité publique (police sanitaire), traditionnellement définie comme « l'absence de maladies ou de contaminations » dans les espaces publics.

La base de données PLF dans son ensemble trouve son origine dans l'article 23 de l`International Health Regulations (IHR) de l'OMS. L'International Health Regulations de l'OMS fait partie du droit positif belge et a été publié au Moniteur belge du 18 juin 2007.

L'article 23 de l'International Health Regulations prévoit :

« Mesures sanitaires à l'arrivée et au départ

1. Sous réserve des accords internationaux applicables et des articles pertinents du présent Règlement, un Etat Partie peut, à des fins de santé publique, à l'arrivée ou au départ :

a) s'agissant des voyageurs :

i) les interroger au sujet de leur destination afin de pouvoir les contacter;

ii) les interroger au sujet de leur itinéraire afin de vérifier s'ils ont séjourné dans une zone infectée ou à proximité, ou sur leurs autres contacts éventuels avec une infection ou une contamination avant leur arrivée, et vérifier les documents sanitaires de ces voyageurs s'ils sont exigés aux termes du présent Règlement ».

Pour ce faire, un document standard - la Formulaire de Localisation des Passagers, a été élaboré au sein de l'OMS. Le PLF est basé sur ce modèle. Le PLF est utilisé dans un contexte plus large que celui de COVID-19. Il s'agit d'un outil prescrit par l'OMS afin de disposer d'informations suffisantes dans le contexte d'épidémies ou de pandémies pour pouvoir limiter la propagation via les voyageurs.

De surcroit, en vue de la recherche des contacts, le Conseil de l'Union européenne recommande aux Etats membres l'utilisation de cet outil afin de pouvoir échanger les données collectées sur les cas de COVID-19 détectés à l'arrivée d'une personne sur leur territoire. Cet échange a lieu dans le cadre du système d'alerte précoce et de réaction (ci-après le « SAPR ») établi à l'article 8 de la Décision n° 1082/2013/UE et géré par le Centre européen de prévention et de contrôle des maladies (cfr. la Recommandation (UE) 2020/1475 du Conseil du 13 octobre 2020 relative à une approche coordonnée de la restriction de la libre circulation en réaction à la pandémie de COVID-19, paragraphe 23). Etant donné que l'infrastructure technique fournie dans le cadre du SAPR n'est pas encore en mesure de prendre en charge le volume de données des formulaires de localisation des passagers généré par l'utilisation systématique et à grande échelle de ces formulaires, la Commission européenne a décidé de mettre en place une infrastructure technique, appelée « plateforme d'échange de formulaires de localisation des passagers », afin de permettre l'échange sécurisé, rapide et efficace de données entre les autorités compétentes du SAPR des Etats membres. La transmission d'informations a lieu d'une manière interopérable et automatique, depuis les systèmes nationaux de formulaires numériques de localisation des passagers existants vers d'autres autorités compétentes du SAPR (cfr. Décision d'exécution (UE) 2021/858 de la Commission du 27 mai 2021 modifiant la décision d'exécution (UE) 2017/253 en ce qui concerne les alertes déclenchées par des menaces transfrontières graves pour la santé et la recherche des contacts de passagers identifiés au moyen de formulaires de localisation des passagers). Ainsi, la Commission souhaite que les Etats membres recueillent un ensemble commun minimal de données des formulaires de localisation des passagers au moyen de leurs formulaires nationaux de localisation des passagers afin que la recherche transfrontière des contacts reposant sur les données des formulaires de localisation des passagers soit efficace.

A cet égard, la section de législation du Conseil d'Etat a, dans son avis n° 69.336/VR daté du 17 mai 2021 se référant à son n° 68.936/AG du 7 avril 2021, rappelé que les éléments essentiels relatifs au traitement des données, lesquels sont au nombre de 5, doivent être fixés, soit dans une loi fédérale, soit dans un accord de coopération auquel un assentiment est donné (cfr. point 6) :

« Conformément à l'article 22 de la Constitution, tout traitement de données à caractère personnel et, plus généralement, toute atteinte au droit à la vie privée, sont soumis au respect d'un principe de légalité formelle.

En réservant au législateur compétent le pouvoir de fixer dans quels cas et à quelles conditions il peut être porté atteinte au droit du respect de la vie privée, l'article 22 de la Constitution garantit à tout citoyen qu'aucune ingérence dans l'exercice de ce droit ne peut avoir lieu qu'en vertu de règles adoptées par une assemblée délibérante, démocratiquement élue. Une délégation à un autre pouvoir n'est toutefois pas contraire au principe de légalité, pour autant que l'habilitation soit définie de manière suffisamment précise et porte sur l'exécution de mesures dont les « éléments essentiels » sont fixés préalablement par le législateur.

Par conséquent, les `éléments essentiels' des traitements de données à caractère personnel doivent être fixés dans la loi elle-même. A cet égard, la section de législation considère que, quelle que soit la matière concernée, constituent, en principe, des `éléments essentiels' les éléments suivants: 1° ) les catégories de données traitées ; 2° ) les catégories de personnes concernées ; 3° ) la finalité poursuivie par le traitement ; 4° ) les catégories de personnes ayant accès aux données traitées ; et 5° ) le délai maximal de conservation des données » (cfr. avis de la section de législation du Conseil d'Etat précité n° 69.336/VR du 17 mai 2021 sur un avant-projet de loi `portant assentiment à l'accord de coopération entre l'Etat fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers des données à caractère personnel en vue du traçage et de l'examen des clusters et collectivités, en vue de l'application de la quarantaine et du test de dépistage obligatoire en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus COVID-19 sur les lieux de travail').

Traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique

Les dispositions du présent titre visent à prévoir un cadre juridique durable pour le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique, dans le respect des principes de légalité et de sécurité juridique, sous forme d'un accord de coopération. Depuis fin décembre 2020 - mi-janvier 2021 jusqu'à présent, ces traitements sont prévus par l'article 3 de l'arrête ministériel du 28 octobre 2020 portant des mesures d'urgence pour limiter la propagation du coronavirus COVID-19. Le libellé des dispositions en question a été largement repris, certains éléments ont été précisés et affinés.

En ce qui concerne les compétences, le point de départ est que chaque autorité est responsable de la lutte contre une crise sanitaire dans la limite de ses compétences matérielles.

Les destinataires possibles des données à caractère personnel traitées en application du présent Titre sont les entités fédérées chargées du suivi des contacts, ainsi que les inspecteurs sociaux fédéraux chargés de surveiller le respect des mesures pour limiter la propagation du coronavirus COVID-19.

Pour ce qui est du suivi des contacts, les communautés et la Région wallonne sont compétentes pour le dépistage et la lutte contre les maladies infectieuses et sociales dans le cadre de leur compétence en matière de prévention sanitaire (art. 5, § 1, I, alinéa 1er, 8°, LSRI).

Pour ce qui concerne la surveillance du respect par les inspecteurs sociaux compétents des mesures visant à réduire la propagation du coronavirus COVID-19 sur les lieux de travail, il est notamment fait référence à l'article 17, § 2, et à l'article 238 du Code pénal social pour ce qui est des compétences fédérales pertinentes.

Le présent titre régit dès lors des aspects qui relèvent tant des compétences fédérales que des compétences des entités fédérées.

Les catégories de personnes concernées dont les données à caractère personnel sont traitées concernent des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique. Cette catégorie de personnes se déplace généralement plus souvent à l'étranger (et notamment dans leur pays d'origine) et réside parfois dans des circonstances qui peuvent constituer un risque potentiel pour la santé. En ce qui concerne cette catégorie de personnes, les entités fédérées compétentes disposent généralement de coordonnées moins qualitatives. Dans ces circonstances, une attention particulière est donc accordée à cette catégorie de personnes dans le cadre de la lutte contre la propagation du coronavirus COVID-19.

COMMENTAIRE DES ARTICLES

Titre I : Général

Article 1. L'article 1er contient un certain nombre de définitions.

Article 2. L'article 2 énonce les finalités de l'accord de coopération (paragraphes 1 et 2), exige des parties qu'elles prennent des mesures pour mettre en oeuvre l'accord de coopération et pour harmoniser leurs initiatives existantes avec celui-ci (paragraphes 3) et prévoit la possibilité de mettre en oeuvre des accords de coopération d'exécution (paragraphe 4).

Titre II : Certificats de vaccination, de test et de rétablissement et les flux de données sous-jacents

Article 3. L'article 3 énumère les trois différents certificats pouvant être délivrés au moyen du certificat COVID numérique de l'UE, notamment le certificat de vaccination, de test et de rétablissement (paragraphe 1). Ces certificats visés au § 1er sont délivrés dans un format sécurisé et interopérable sous forme numérique, au moyen de l'application COVIDSafe, ou sur papier. Les deux formes du certificat COVID numérique de l'UE contiennent un code-barres et un nom afin de vérifier l'authenticité, la validité et l'intégrité du certificat et les titulaires potentiels ont le droit de recevoir les certificats sous la forme de leur choix. La dénomination des domaines est indiqués en quatre langues : néerlandais, français, allemand et anglais. Les valeurs incluses dans le certificat sont celles qui figurent dans la « value list » déterminée en application des règlements relatif au certificat COVID numérique de l'UE et au certificat COVID numérique de l'UE pour les ressortissants de pays tiers. Les spécifications techniques auxquelles le code-barres doit répondre sont déterminées dans un accord de coopération d'exécution (paragraphe 2). Le certificat COVID numérique de l'UE, est fourni gratuitement et le titulaire peut également obtenir une nouvelle copie gratuitement (paragraphe 3). Les certificats de vaccination, de test et de rétablissement contiennent un texte spécifique (paragraphe 4). La possession d'un certificat de vaccination, de test ou de rétablissement ne constitue pas une condition préalable à l'exercice du droit à la libre circulation (paragraphe 5). La délivrance d'un certificat de vaccination, de test ou de rétablissement n'entraîne pas de discrimination fondée sur la possession d'une catégorie spécifique de certificats (paragraphe 6). La délivrance du certificat de vaccination, de test ou de rétablissement n'affecte pas la validité de tout autre certificat de vaccination, de test ou de rétablissement délivré à d'autres fins avant le 16 juin 2021.

Article 4. Les entités mentionnées à l'article 7, 1° à 6°, de l'accord de coopération du 12 mars 2021 entre l'Etat fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement de données relatives aux vaccinations contre la COVID-19, qui sont les responsables du traitement des données relatives aux vaccinations contenues dans Vaccinnet, sont chargées de délivrer les certificats de vaccination visés à l'article 3, section 1, point a), du règlement relatif au certificat COVID numérique de l'UE. Conformément à l'article 9, alinéa 4, du règlement relatif au certificat COVID numérique de l'UE, ces mêmes entités sont les responsables du traitement des données relatives aux certificats de vaccination.

Article 5. Sciensano, mentionné à l'article 2, § 4, de l'accord de coopération du 25 août 2020 entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d'inspections d'hygiène et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano, est responsable de la délivrance des certificats de test et de rétablissement mentionnés à l'article 3 (1) (b) et (c) du règlement relatif au certificat COVID numérique de l'UE . Conformément à l'article 9, § 4, du règlement relatif au certificat COVID numérique de l'UE, Sciensano est le responsable du traitement des données relatives aux certificats de test et de rétablissement.

Article 6. Pour la mise en oeuvre opérationnelle du présent accord de coopération et du Règlement relatif au certificat COVID numérique de l'UE l'Agence Digitaal Vlaanderen, créée par l'arrêté du Gouvernement flamand du 18 mars 2016 portant création de l'agence autonome Digitaal Vlaanderen, et détermination du fonctionnement, de la gestion et de la comptabilité du Fonds propre Digitaal Vlaanderen, est mobilisée. Cette agence est chargée, en qualité de sous-traitant, de créer et de mettre à disposition les certificats correspondants et de développer une application numérique selon les modalités prévues par le règlement précité. De cette façon, la délivrance de tous les certificats au niveau opérationnel se fait via un seul système. Les certificats peuvent être demandés par divers guichets numériques gouvernementaux et délivrés dans le format souhaité par la personne concernée.

Le paragraphe 2 précise que la plateforme e-Health visée à l'article 2 de la loi du 21 août 2008 relative à l'établissement et à l'organisation de la plate-forme e-Health et portant des dispositions diverses, confie à l'agence Digitaal Vlaanderen le développement de l'application COVIDSafe et l'application COVIDScan au moyen de laquelle les certificats respectifs peuvent être lus numériquement conformément à l'accord de coopération. Il est précisé que l'agence Digitaal Vlaanderen ne décide pas de l'application mise à la disposition du citoyen, ni des modalités et du moment de la désactivation de l'application COVIDSafe et COVIDScan et que l'agence Digitaal Vlaanderen n'agit que sur instruction de la plate-forme e-Health.

Le paragraphe 3 prévoit que la Communauté flamande, en tant que centrale d'achat au sens de l'article 2, 6°, a), de la loi du 17 juin 2016 relative aux marchés publics, peut effectuer des activités d'achat centralisées et des activités d'achat complémentaires destinées aux parties au présent accord de coopération et servant à l'exécution opérationnelle des marchés visés aux paragraphes 1 et 2.

Article 7. Le paragraphe 1 dispose que, dans l'attente de l'entrée en vigueur du Règlement certificat COVID numérique de l'UE, les entités visées aux articles 4 et 5 donnent instruction à l'agence Digitaal Vlaanderen d' octroyer à la personne concernée l'accès et la consultation de ses données de vaccination, telles que visées à l'article 3, § 2 de l'accord de coopération du 12 mars 2021, et de ses données de test, telles que visées à l'article 6 de l'accord de coopération du 25 août 2020, sous une forme officielle.

Le paragraphe 2 prévoit que la Communauté flamande, en tant que centrale d'achat au sens de l'article 2, 6°, a), de la loi du 17 juin 2016 relative aux marchés publics, peut effectuer des activités d'achat centralisées et des activités d'achat supplémentaires destinées aux parties au présent accord de coopération et servant à la mise en oeuvre opérationnelle des tâches spécifiées au paragraphe 1.

Article 8. L'article 8 régit les finalités du traitement des catégories de données à caractère personnel telles que définies à l'article 9. Les catégories de données à caractère personnel visées à l'article 9 sont traitées aux fins de la création et délivrance des certificats de vaccination, test et/ou rétablissement dans le cadre du certificat COVID numérique de l'UE aux fins d'établissement et de délivrance du certificat COVID numérique de l'UE (paragraphe 1) Ces finalités de traitement s'appliquent aux ressortissants belges et aux ressortissants de pays tiers séjournant ou résidant légalement sur le territoire Belge (paragraphe 2).

Au paragraphe 3, l'article 8 prévoit la possibilité pour le personnel des centres de contact désignés par les entités fédérées compétentes ou par les Agences de fournir certaines informations aux titulaires de certificats de test et/ou de recouvrement. Ceci afin que les centres de contact désignés par les entités fédérées ou par les agences puissent répondre aux questions des titulaires des certificats de test et de rétablissement. Ces centres de contact peuvent être trouvés sur le site Web www.COVIDsafe.be. Le citoyen dispose ainsi d'une méthode accessible et pratique pour poser toutes ses questions concernant le certificat COVID numérique de l'UE, le COVID Safe Ticket et les applications COVIDSafe et COVIDScan.

Article 9. L'article 9 décrit les catégories de données à caractère personnel qui sont traitées dans le cadre de la création et de la délivrance des certificats de vaccination (paragraphe 1), de certificats de test (paragraphe 2) et/ou de certificats de rétablissement (paragraphe 3), et fournit une liste des données que le personnel des centres de contact désignés par les entités fédérées ou par les agences peut traiter dans le cadre des certificats de test et/ou de rétablissement afin de répondre aux questions que le personnel reçoit au sujet de ces certificats (paragraphe 4).

Titre III : Création et délivrance du certificat COVID numérique de l'UE

Article 10. L'article 10 règle les finalités du traitement pour la création et la délivrance du certificat COVID numérique de l'UE, à savoir : l'accès et la vérification des informations contenues dans le certificat afin de faciliter l'exercice du droit à la libre circulation au sein de l'Union durant la pandémie de COVID-19 (paragraphe 1). Il précise que, à l'exception de la génération du COVID Safe Ticket, le traitement des catégories de données à caractère personnel contenues dans ces certificats ne sont traitées qu'aux seules fins de l'accès aux informations contenues dans le certificat et de la vérification de ces informations afin de faciliter l'exercice du droit à la libre circulation au sein de l'Union pendant la pandémie de COVID-19. (paragraphe 2). La finalité du traitement prévue par cet article s'applique aux ressortissants belges et aux ressortissants de pays tiers séjournant ou résidant légalement sur le territoire belge (paragraphe 3).

Le paragraphe 4 prévoit que l'éventuelle vérification afin de faciliter l'exercice du droit à la libre circulation au sein de l'Union pendant la pandémie de COVID-19 et l'application des restrictions éventuelles, se fait par les services de police visés à l'article 3, 7°, de la loi sur la fonction de police et les opérateurs de services de transports de voyageurs et infrastructures de transport transfrontières tels que visés à l'article 3, 9 du règlement relatif au certificat COVID numérique de l'UE.

Article 11. L'article 11 décrit les catégories de données à caractère personnel qui sont traitées pour les finalités visées à l'article 10 (paragraphe 1), décrit les bases de données à partir desquelles ces données à caractère personnel sont obtenues (paragraphe 2), règle l'accès pour les responsables de traitements au registre national, dans la mesure où cela serait nécessaire pour la création et la délivrance du certificat COVID numérique de l'UE (paragraphe 3), et établit que les finalités de traitement telles que déterminées dans l'accord de coopération du 25 août 2020 et l'accord de coopération du 12 mars 2021 doivent être élargies afin de pouvoir exercer les missions légales spécifiées dans le présent accord de coopération (paragraphe 4).

Titre IV: COVID Safe Ticket

Article 12. L'article 12 décrit, par dérogation à l'article 10, les finalités pour lesquelles les données personnelles du certificat COVID numérique de l'UE sont traitées afin de générer et/ou scanner le COVID Safe Ticket pour les visiteurs d'événements de masse et d'expériences et projets pilotes, par le module CST de l'application COVIDScan. Ces données sont traitées afin de (i) vérifier si le titulaire du certificat COVID numérique de l'UE remplit les conditions d'accès à un événement de masse ou à une expérience et au projet pilote ; et (ii) vérifier et contrôler l'identité du titulaire d'un certificat COVID numérique de l'UE. L'article précise que le COVID Safe Ticket peut être généré par le titulaire sur l'application COVIDSafe ou sur l'application COVIDScan en lisant le certificat COVID numérique de l'UE (paragraphe 1). L'article définit les personnes qui sont obligés de lire (et le cas échéant de générer) le COVID Safe Ticket et détermine ensuite les conséquences si le résultat de la lecture du code-barres sur le certificat COVID numérique de l'UE est négatif ou si l'identité du titulaire ne peut être confirmée (paragraphe 2). A l'exception de la création et la délivrance du certificat COVID numérique de l'UE, les catégories de données à caractère personnel figurant dans les certificats ne sont traitées qu'aux seules fins de réglementer l'accès aux aux événements de masse et aux expériences ou projets pilotes et de vérifier les données affichées sur le COVID Safe Ticket. (paragraphe 3). Enfin, cet article prévoit que le traitement dans lequel le certificat COVID numérique de l'UE ou le COVID Safe Ticket généré par le titulaire est lu afin de réglementer l'accès aux événements de masse et aux expériences et projets pilotes n'est licite que pour les titulaires d'un certificat COVID numérique de l'UE âgés de 12 ans et plus. L'article précise toutefois que cela ne signifie pas que l'accès à un événement de masse ou à une expérience et un projet pilote doit être refusé aux personnes de moins de 12 ans parce qu'elles n'ont pas de COVID Safe Ticket.(paragraphe 4).

Article 13. L'article 13 définit les catégories de données personnelles, qui sont traitées pour la génération du COVID Safe Ticket (paragraphe 1). L'article décrit les données que contient et affiche le COVID Safe Ticket (paragraphe 2). Il est décrit par qui le certificat COVID numérique de l'UE ou le COVID Safe Ticket généré par le titulaire peut être lu via le module CST de l'application numérique COVIDScan afin de vérifier que le titulaire remplit les conditions pour accéder à un événement de masse ou à une expérience et un projet pilote et pour vérifier l'identité du titulaire (paragraphes 3 et 4). Cet article prévoit les conditions dans lesquelles l'accès à un événement de masse ou à une expérience et un projet pilote peut être obtenu sur la base d'un COVID Safe Ticket ou sur la base d'autres mesures, seront régies par le biais d'un accord de coopération d'exécution (paragraphe 5) et interdit aux personnes visées à l'article 13, § 3, de scanner le certificat COVID numérique de l'UE ou le COVID Safe Ticket généré par le titulaire aux fins de lire et, le cas échéant, de générer le COVID Safe Ticket avec une application ou un module autre que le module CST de l'application COVIDScan (paragraphe 6). En outre, cet article prévoit que si les organisateurs d'un événement de masse ou d'expériences et de projets pilotes ne prévoient pas de mesures supplémentaires en plus du COVID Safe Ticket afin de réglementer l'accès à l'événement, l'organisateur doit le communiquer suffisamment clairement aux visiteurs à l'avance (paragraphe 7).

Titre V : Délais de conservation

Article 14. L'article 14 détermine les durées de conservation des données personnelles traités sur la base du règlement relatif au certificat COVID numérique de l'UE et l'accord de coopération. En ce qui concerne les données personnelles traitées aux fins du certificat de rétablissement, la période de conservation est strictement limitée à 180 jours (paragraphe 1). En ce qui concerne les données personnelles traitées en fonction du COVID Safe Ticket, elles seront supprimées immédiatement après leur traitement (paragraphe 2). Le traitement des données personnelles en fonction du COVID Safe Ticket ne peut en tout cas avoir lieu que jusqu'au 30 septembre 2021 inclus (paragraphe 3). Les délais de conservation n'affectent pas les délais de conservation stipulées dans l'accord de coopération du 25 août 2020 et l'accord de coopération du 12 mars 2021 (paragraphe 4).

Le paragraphe 5 règle le fait que les certificats de test et de rétablissement réutilisent les données de tests issus de la Base de données Irelative à la recherche des contacts de l'Accord de coopération du 25 août 2020. Cet accord de coopération stipule que les données doivent être supprimées après 60 jours. Dans le cadre de la campagne de vaccination et de son impact sur la recherche des contacts, cette disposition a ensuite été modifiée par l'article 6 de l'Accord de coopération du 12 mars 2021, qui, à partir de l'entrée en vigueur de cet article, permet de conserver les données des tests pendant une période plus longue, c'est-à-dire au plus tard 5 jours après le jour de la publication de l'arrêté royal déclarant la fin de l'état de l'épidémie de coronavirus COVID-19. Pour un certain nombre de personnes, la suppression antérieure de leurs données de test dans la Base de données I signifie qu'un certificat de rétablissement ne peut pas être créé pour elles. Comme ces données se trouvent encore dans la Base de données pseudonymisée II de l'accord de coopération du 25 août 2020, la base de données destinée à la recherche scientifique, la solution est de faire ré-identifier ces données par un tiers bénéficiaire qui a effectué la pseudonymisation et ce conformément aux dispositions de l'article 4, 5 du Règlement Général sur la Protection des données. De cette manière, les titulaires de certificat y ayant droit peuvent toujours obtenir un certificat de rétablissement. L'article offre une solution pour les personnes dont les données ont déjà été supprimées mais qui, selon les règles du règlement de l'UE, ont droit à un certificat pour voyager dans l'UE.

Titre VI : Les responsables du traitement

Article 15. L'article 15 désigne les responsables du traitement de de l'une part au sein des entités fédérées compétentes ou des agences désignées par les entités fédérées compétentes, et d'autre part au sein de Sciensano, chacun en fonction de leur compétence (paragraphe 1). Il précise qu'elles concluent les accords nécessaires à cet effet en ce qui concerne leurs responsabilités, notamment en ce qui concerne leurs rôles et leurs relations avec les personnes concernées (paragraphe 2). Il prévoit que la désignation des responsables du traitement est sans préjudice des responsables du traitement désignés dans l'accord de coopération du 25 août 2020 et l'accord de coopération du 12 mars 2021 (paragraphe 3).

Article 16. L'article 16 oblige les entités fédérées compétentes ou les agences désignées par les entités fédérées compétentes et Sciensano à prendre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque. Ces mesures sont en outre déterminées par le biais d'un protocole d'accord (paragraphe 1). Il est stipulé que les entités fédérées ou les agences désignées par les entités fédérées compétentes et Sciensano se conforment aux principes de protection des données dès la conception et les paramètres par défaut en ce qui concerne la création et la délivrance du certificat de vaccination, de test et de rétablissement, tel qu'énoncé à l' Article 14 du règlement général sur la protection des données. Ces principes seront précisés par le biais d'un protocole d'accord (paragraphe 2).

Titre VII : L'application COVIDScan

Article 17. L'article 17 décrit l'application numérique COVIDScan (paragraphe 1), stipule que l'application COVIDScan se compose de deux modalités de mise en oeuvre (paragraphe 2), veille à ce que cette application numérique soit conforme aux principes des articles 5 et 25 du règlement général sur la protection des données (paragraphe 3), stipule que la poursuite de l'élaboration de l'application numérique COVIDScan sera régie par le biais d'un accord de coopération d'exécution (paragraphe 4), stipule que les utilisateurs de l'application numérique doivent être suffisamment informés sur l'application numérique et fournit une référence au site Web où les informations peuvent être trouvées (paragraphes 5 et 6).

Le paragraphe 7 dispose que l'installation, l'utilisation et la désinstallation de l'application COVIDSafe sont purement volontaires et ne donnent en aucun cas lieu à une quelconque procédure civile ou pénale, à une quelconque discrimination ou à un quelconque avantage ou désavantage.

Titre VIII : Traitement des données PLF

Article 18. Cet article définit les termes tels qu'applicables au Titre VIII.

Article 19. Cet article prévoit que les dispositions qui concernent le PLF s'appliquent chaque fois et aussi longtemps que l'obligation de remplir un PLF par les voyageurs est prévue en vertu d'une loi relative aux mesures de police administrative. Ceci s'appliquera pour la première fois dans le cadre de la lutte contre le coronavirus COVID-19.

Cet article limite le traitement licite des données à caractère personnel contenues dans la base de données du PLF aux fins prévues par des règlements spécifiques. Ces réglementations doivent être adaptées aux situations dans lesquelles une utilisation du PLF est justifiée et pertinente, et sont soumises à l'avis des organes consultatifs compétents, tels que le VTC ou l'Autorité de protection des données, le cas échéant.

Article 20. La catégorie de personnes concernées pour lesquelles des données sont introduites dans le PLF concerne les voyageurs arrivant en Belgique.

Selon les avis du Conseil d'Etat et de l'Autorité de Protection des Données, les catégories de données à caractère personnel doivent être mentionnées dans la loi. Le terme « catégorie » indique qu'il s'agit de groupes de données et que, en d'autres termes, il n'est pas nécessaire de réglementer chaque détail au niveau de la loi ou, le cas échéant, de l'accord de coopération. L'expérience a également montré que la liste détaillée des données PLF est souvent sujette à modification en raison de nouveaux besoins qui apparaissent. En d'autres termes, une certaine flexibilité et/ou souplesse est nécessaire pour pouvoir adapter les données demandées sans que cela n'ait d'impact sur les catégories de données. Celles-ci s'inspirent d'ailleurs du Règlement Sanitaire International.

L'accord de coopération énumère les catégories de données. Afin d'avoir une vue plus précise de ces données, des exemples de ce qui est actuellement demandé dans le PLF dans le cadre de la crise COVID-19 sont donnés ci-dessous pour chaque catégorie de données.

En principe, chaque voyageur est tenu de remplir un PLF ; si le co-voyageur n'est pas en mesure de le faire, parce qu'il s'agit d'un enfant, l'enfant peut être ajouté sur le PLF de la personne adulte.

Le PLF contient les catégories de données suivantes :

1° les données d'identification et de contact de la personne concernée et de ses co-voyageurs (enfants) : le nom, le prénom, le NISS, le numéro de registre national, la nationalité, le sexe, le fait d'être résident ou non de la Belgique, GSM, numéros de téléphone, adresse e-mail,... ;

2° L'itinéraire de voyage : le Règlement Sanitaire International dispose que dans le PLF l'itinéraire doit être mentionné afin de vérifier si les voyageurs ont séjourné dans une zone infectée ou à proximité, ou sur leurs autres contacts éventuels avec une infection ou une contamination avant leur arrivée ;

3° l'information pertinente au sujet de l'/des endroit(s) de séjour pendant une période déterminée avant l'arrivée : les séjours durant les deux semaines précédant l'arrivée sur le territoire belge ;

4° les moyens de transport utilisés et la ou les places occupées dans ces moyens de transport. Il s'agit de différents types de moyens de transport tels que l'avion, le bateau, le bus, la voiture, etc. dont l'identité ou le numéro de plaque du véhicule est indiqué ainsi que la place occupée dans le véhicule ;

5° le motif du séjour en Belgique. A la suite de la remarque de l'Autorité de protection des données, il est précisé que cette information est nécessaire afin d'examiner si le voyageur tombe sous une des catégories d'exceptions, telles que la quarantaine et les tests obligatoires. C'est le cas, par exemple, pour les voyages effectués par les diplomates dans le cadre de leurs fonctions, les marins, les travailleurs frontaliers, les étudiants, les chercheurs, etc ;

6° la durée de séjour et le ou les endroits de séjour en Belgique pendant une période déterminée après l'arrivée. Cette question concerne la destination mais aussi la durée du séjour car certaines mesures ne s'appliquent pas aux séjours de moins de 48 heures ;

Cette collecte est nécessaire en vue des finalités poursuivies.

- Il est nécessaire de pouvoir retracer les endroits de séjours de sorte que la ou les personnes concernées puissent être contactées en vue de l'exécution des mesures nécessaires comme la quarantaine et le testing.

La durée de séjour en Belgique de plus ou moins de 48h, est demandée afin de justifier certaines mesures comme la quarantaine et le testing.

7° l'information qui permet d'évaluer le risque de contamination. Cette question est posée afin de procéder à une évaluation des risques. Des mesures plus récentes ont également rendu nécessaire de savoir, par exemple, si les voyageurs disposent d'un certificat de vaccination, de rétablissement ou de test.

Article 21. L'accord de coopération prévoit les catégories de données à caractère personnel à collecter conformément au principe de la légalité. Les données plus détaillées précisent les catégories de données à caractère personnel et n'ajoutent rien de plus. Ceci permet une flexibilité qui tient compte des exigences du terrain.

Les informations que les voyageurs doivent fournir, soit sur papier, soit par voie électronique, sont inscrites dans un document modèle ou une version digitalisée uniforme.

Le voyageur concerné déclare sur l'honneur qu'il a rempli correctement le PLF.

Le modèle PLF est publié sur le site Web du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement.

Article 22. Le traitement des données personnelles contenues dans la base de données PLF vise les objectifs suivants :

a) les finalités visées dans les accords de coopération qui concernent le traitement des données PLF ;

b) les objectifs des accords internationaux ou décisions internationales, notamment ceux contenus dans le Règlement Sanitaire International de l'Organisation Mondiale de la Santé et dans la Décision n° 1082/2013/UE.

Cet article limite le traitement licite des données à caractère personnel contenues dans la base de données du PLF aux fins prévues par des règlements spécifiques. Ces réglementations doivent être adaptées aux situations dans lesquelles une utilisation du PLF est justifiée et pertinente, et sont soumises à l'avis des organes consultatifs compétents, tels que le VTC ou l'autorité de protection des données, le cas échéant.

Le Conseil d'Etat a demandé une norme ce qui est le but de ces dispositions dans cet accord de coopération. Ceci permet d'avoir un cadre juridique qui peut être opérationnel dès qu'une crise se manifeste.

Article 23. Cette disposition désigne le service SANIPORT comme responsable du traitement.

Le service SANIPORT, en tant que responsable du traitement des données, a les missions suivantes :

a) La collecte des données dans la base de données PLF ;

b) Le traitement des données dans la base de données.

Le service SANIPORT tient une liste de personnes qui ont accès à cette base de données.

Article 24. Le Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement a accès au Registre national.

Cet accès a un double objectif :

Vérifier l'exactitude de l'identité du voyageur afin que le profil de risque soit correctement associé à une personne spécifique ;

Pour pouvoir réaliser la recherche de contacts.

Article 25. Bien que la période de conservation soit déjà prévue dans les accords de coopération existants, une telle disposition est incluse dans le présent projet en raison des données supplémentaires demandées à l'égard des accords précédemment conclus. La période de conservation est similaire. Elle est limitée à un maximum de 28 jours calendrier.

La période de 28 jours fait référence à une double période de 14 jours. La première période de 14 jours correspond à la période maximale pendant laquelle, sur la base des données scientifiques connues à ce jour, une personne ayant subi un test positif peut encore être contagieuse. La seconde période de 14 jours correspond à une marge de sécurité supplémentaire afin de pouvoir assurer le suivi des contacts.

Avant de détruire les données à caractère personnel, les données PLF sont rendues anonymes par Saniport de telle sorte que les personnes concernées ne sont plus identifiables en vue d'un traitement ultérieur à des fins d'enquête scientifiques ou statistiques ou de soutien à la gestion en matière de coronavirus COVID-19, en ce compris le monitoring épidémiologique réalisé par Sciensano.

Le RGPD n'est pas d'application une fois que les données personnelles ont été anonymisées de telle sorte qu'on ne puisse plus les identifier à nouveau.

Le responsable du traitement mettra en place des mesures techniques et organisationnelles qui prévoient une suppression automatique des PLF à l'issue de la période des 28 jours pendant laquelle ils doivent être conservés.

Article 26. Les catégories suivantes sont des destinataires de données PLF :

1° les destinataires en vertu d'un accord de coopération, d'une loi, d'un décret ou d'une ordonnance ;

2° à la suite des accords et décisions internationaux visés à l'article 22 b), la ou les autorités compétentes chargées au niveau national de notifier les alertes et de prendre les mesures nécessaires à la protection de la Santé publique.

En ce qui concerne les catégories d'autorités qui peuvent accéder à ces données et les raisons pour lesquelles elles peuvent y accéder, il doit être souligné que les données sont transmises à des destinataires qui accomplissent des missions d'intérêt général qui leur sont confiées par ou en vertu d'un accord de coopération, d'une loi, d'un décret ou d'une ordonnance.

La réglementation concernant le PLF n'est pas limitée à l'utilisation du PLF dans le cadre du coronavirus COVID-19. Elle règle l'utilisation du PLF de façon générale. Les données du PLF ne sont accessibles qu'aux instances qui en ont besoin pour l'exécution de leurs missions d'intérêt général qui leur sont confiées par ou en vertu d'un accord de coopération, d'une loi, d'un décret ou d'une ordonnance. Le principe de légalité est donc respecté.

Article 27. Cette disposition charge le service SANIPORT de la surveillance des dispositions relatives au présent Titre.

En principe, le législateur est libre de charger certains fonctionnaires ou services de surveiller le respect de certaines mesures (cfr. avis du Conseil d'Etat n° 68.936/AG du 7 avril 2021 sur un avant-projet de loi `relative aux mesures de police administrative lors d'une situation d'urgence épidémique').

Les membres du personnel statutaire ou contractuel du Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement désignés à cette fin par le Roi surveillent le respect par les voyageurs de l'obligation de remplir un formulaire PLF et de le transmettre à SANIPORT. Les membres du personnel du service Saniport doivent disposer d'une preuve de légitimation pour les missions de contrôle dont ils sont chargés.

Les compétences de contrôle peuvent notamment être les suivantes :

- Vérifier si les données sont exactes et si le formulaire a bien été rempli ;

- Vérifier avec le numéro du Registre National si l'identité de la personne est correcte ».

Le contrôle par Saniport s'effectue sans préjudice des compétences de contrôle de l'Autorité de protection des données.

Titre IX : Traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résident à l'étranger que effectuent des activités en Belgique

Article 28. L'article 28 contient un certain nombre de définitions (paragraphe 1) et régit l'obligation pour les employeurs et les utilisateurs faisant temporairement appel à un travailleur salarié ou à un travailleur indépendant vivant ou résidant à l'étranger pour effectuer des activités en Belgique de tenir un registre à jour qui contient un nombre limité de données à caractère personnel (paragraphe 2).

Il s'agit des quatre (catégories de) données à caractère personnel suivantes :

1) les données d'identification suivantes de la personne concernée : le nom et les prénoms, la date de naissance et le numéro NISS, nécessaires en vue de l'identification unique de la personne concernée ;

2) le lieu de résidence du travailleur salarié ou du travailleur indépendant durant ses travaux en Belgique, pour les entités fédérées et les agences désignées par les entités fédérées compétentes en matière du suivi des contacts, il est indispensable de pouvoir contacter certaines personnes par tout moyen de communication ;

3) le numéro de téléphone, auquel le travailleur salarié ou le travailleur indépendant peut être contacté, afin que la personne concernée puisse être contactée en cas de besoin. Contacter certaines personnes par tout moyen de communication, y compris par téléphone, courriel ou visite physique, est essentiel pour le suivi des contacts ;

4) le cas échéant, l'indication des personnes avec lesquelles le travailleur salarié ou le travailleur indépendant travaille lors de son travail en Belgique. Afin de lutter efficacement contre la propagation du coronavirus COVID-19, il est important d'enregistrer les personnes avec lesquelles la personne concernée travaille en Belgique.

Il existe un certain nombre d'exceptions à l'obligation d'enregistrement. L'obligation ne s'applique pas à la personne physique auprès de laquelle ou pour laquelle le travail s'effectue à des fins strictement privées. En outre, l'obligation d'enregistrement ne vaut pas pour l'emploi de travailleurs frontaliers. L'obligation d'enregistrement ne s'applique pas non plus lorsque le séjour en Belgique d'un travailleur salarié ou d'un travailleur indépendant vivant ou résidant à l'étranger n'excède pas 48 heures.

L'obligation de tenir et de mettre à jour le registre s'applique à partir du début des activités en Belgique, jusqu'au quatorzième jour après la fin des travaux inclus. Après ce délai, l'employeur ou l'utilisateur doit détruire les données à caractère personnel mentionnées dans le registre. Ce délai de conservation est motivée par la période d'incubation maximale du coronavirus COVID-19.

L'employeur ou l'utilisateur est libre de choisir la forme du registre (sur papier ou sous forme digitale). Toutefois, l'employeur ou l'utilisateur doit tenir le registre à disposition des inspecteurs sociaux qui, en vertu de l'article 17, § 2, deuxième alinéa, du Code pénal social, sont chargés de surveiller le respect des mesures visant à limiter la propagation du coronavirus COVID-19 sur les lieux de travail.

Les données à caractère personnel mentionnées dans le registre ne peuvent être utilisées à d'autre fins que la lutte contre la propagation du coronavirus COVID-19, y compris le traçage et le suivi de clusters et collectivités situés à la même adresse.

Article 29. L'article 29 prévoit que l'employeur ou l'utilisateur qui fait appel à des travailleurs salariés ou à des travailleurs indépendants vivant ou résidant à l'étranger pour effectuer des travaux en Belgique doit veiller à ce que le PLF soit effectivement rempli. Cette obligation ne s'applique évidemment que si la personne concernée est obligée de remplir le PLF. En outre, une exception s'applique pour les personnes physiques auprès desquelles ou pour lesquelles les activités sont effectuées à des fins strictement privées.

Article 30. L'article 30 dispose que les travailleurs salariés et les travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique, et qui sont tenus de disposer d'un résultat de test négatif sur la base d'un test effectué préalablement à l'arrivée sur le territoire belge, doivent garder auprès d'eux la preuve de ce résultat de test négatif jusqu'au quatorzième jour calendrier après la date d'arrivée sur le territoire belge. Ce délai de conservation est motivé par la période d'incubation maximale du coronavirus COVID-19. Ce résultat négatif peut être contrôlé par les conseillers en prévention-médecins du travail et par les inspecteurs sociaux visés à l'article 17, § 2, du code pénal social.

Titre X : Disposition finales

Article 31. L'article 31 régit le règlement des litiges entre les parties par une juridiction de coopération.

Article 32. L'article 32 charge le Comité de concertation de la mission de surveiller la mise en oeuvre et le respect des dispositions de cet accord de coopération et de proposer des adaptations.

Article 33. L'article 33 concerne une disposition d'entrée en vigueur et régit les effets dans le temps.

L'objectif de la rétroactivité en ce qui concerne les dispositions du PLF est d'apporter la sécurité juridique et de couvrir juridiquement les mesures prises par l'arrêté ministériel du 28 octobre 2020, étant entendu que les dispositions pénales n'ont pas d'effet rétroactif.

[14.07.2021] Accord de coopération entre l'Etat fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement des données liées au certificat COVID numérique de l'UE et au COVID Safe Ticket, le PLF et le traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résidant à l'étranger qui effectuent des activités en Belgique

Vu le Règlement sanitaire international du 23 mai 2005 relatif à l'appréciation et la notification des événements qui pourraient créer un état d'urgence dans le domaine de la santé publique de l'intérêt international;

Vu la Décision (UE) 1082/2013 du Parlement Européen et du Conseil relative aux menaces transfrontières graves sur la santé et abrogeant la décision no 2119/98/CE ;

Vu le Règlement (UE) 2021/953 du 14 juin 2021 du Parlement européen et du Conseil relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l'UE) destinés aux ressortissants de pays tiers séjournant ou résidant légalement sur le territoire des Etats membres pendant la pandémie de COVID-19 ;

Vu le Règlement (UE) 2021/954 du 14 juin 2021 du Parlement européen et du Conseil relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l'UE) destinés aux ressortissants de pays tiers séjournant ou résidant légalement sur le territoire des Etats membres pendant la pandémie de COVID-19 ;

Vu la Loi spéciale du 8 août 1980 de réformes institutionnelles, articles 5, § 1, I, 87, § 1, et 92bis;

Vu la loi du 31 décembre 1983 de réformes institutionnelles pour la Communauté germanophone, article 4, § 2 ;

Vu la loi spéciale du 12 janvier 1989 relative aux Institutions bruxelloises, article 60 ;

Vu l'accord de coopération du 25 août 2020 entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d'inspections d'hygiène et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano, article 2, § 4 ;

Vu l'accord de coopération du 12 mars 2021 entre l'Etat fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement de données relatives aux vaccinations contre la COVID-19, article 4, § 2, 11°, et article 7 ;

Vu l'accord de coopération du 11 juin 2021 entre l'Etat fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant l'opérationnalisation du Règlement (UE) du Parlement Européen et du Conseil relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats interopérables de vaccination, de test et de rétablissement afin de faciliter la libre circulation pendant la pandémie de COVID-19 (Certificat COVID numérique de l'UE)

Vu la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions, article 2 ;

Vu l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles ;

Vu le Code wallon de l'action sociale et de la santé, article 47/17bis,

Vu le décret du 17 juillet 2002 de la Communauté française portant réforme de l'Office de la Naissance et de l'Enfance, en abrégé « ONE », article 2, § 2. 8° ;

Vu le décret du 18 février 2016 de la Commission communautaire française relatif à la promotion de la santé ;

Etant donné que les Communautés et Régions sont généralement compétentes pour la politique de la santé ;

Etant donné qu'un certain nombre de matières relatives à la politique de la santé relèvent toujours de la compétence de l'Etat fédéral ;

Vu le décret de la Communauté flamande du 21 novembre 2003 relatif à la politique de santé préventive, article 43, § 3 ;

Vu le décret de la Communauté germanophone du 1 juin 2004 relatif à la promotion de la santé et à la prévention médicale ;

Vu le décret de la Communauté flamande du 13 juillet 2012 portant création et organisation d'un intégrateur de services flamand, article 3 ;

Vu l'arrêté du Gouvernement flamand du 18 mars 2016 portant création de l'agence autonome interne Digitaal Vlaanderen et détermination du fonctionnement, de la gestion et de la comptabilité des Fonds propres Digitaal Vlaanderen ;

Vu l'arrêté du Gouvernement flamand du 16 mai 2014 portant diverses dispositions en exécution du décret du 21 novembre 2003 relatif à la politique de santé préventive et modifiant des arrêtés d'exécution de ce décret ;

Vu l'ordonnance du 19 juillet 2007 relative à la politique de prévention en santé ;

Vu que l'Autorité fédérale n'est pas exclusivement compétente en ce qui concerne la politique de crise au cas où une pandémie (aiguë) nécessite des mesures urgentes. L'Autorité fédérale, les Communautés et les Régions sont compétentes chacune dans les limites de ses compétences propres. L'Autorité fédérale est, à ce titre à tout le moins, également compétente aussi pour la coordination ou la gestion d'une situation de crise de type pandémique ;

Vu que l'autorité fédérale et les entités fédérées ont la compétence d'adopter des mesures portant sur la lutte contre une crise touchant la santé publique, chacune dans le cadre de ses compétences matérielles ;

Vu les Notifications du Comité de Concertation du 11 mai 2021 et du 4 juin 2021 dans lesquelles un accord a été trouvé concernant l'élaboration et la réglementation requise du certificat COVID numérique de l'UE, introduit en vertu du Règlement (UE) 2021/953 du 14 juin 2021 du Parlement européen et du Conseil relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l'UE) destinés aux ressortissants de pays tiers séjournant ou résidant légalement sur le territoire des Etats membres pendant la pandémie de COVID-19 ;

Attendu que l'accord de coopération du 12 mars 2021 entre l'Etat fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement de données relatives aux vaccinations contre la COVID-19 régit déjà un système d'information commun mis en place pour l'invitation à la vaccination, pour l'organisation de la vaccination et pour l'enregistrement de la vaccination. Les entités fédérées et l'autorité fédérale considèrent la mise en place d'un système d'information commun comme une condition fondamentale. L'enregistrement des vaccinations dans un système d'information commun (Vaccinnet) par les vaccinateurs flamands, wallons, bruxellois et germanophones était dès lors nécessaire. La base de données Vaccinnet est créée et gérée en collaboration très étroite entre les entités fédérées et l'Etat fédéral. C'est pourquoi il est également recommandé de travailler à partir d'un même système opérationnel commun pour la délivrance des certificats ;

Attendu que l'accord de coopération du 24 mars 2021 entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune concernant le transfert de données nécessaires aux entités fédérées, aux autorités locales ou aux services de police en vue du respect de l'application de la quarantaine ou du test de dépistage obligatoires des voyageurs en provenance de zones étrangères et soumis à une quarantaine ou à un test de dépistage obligatoires à leur arrivée en Belgique ;

Attendu que l'accord de coopération du 31 mai 2021 entre l'Etat fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers des données à caractère personnel en vue du traçage et de l'examen des clusters et collectivités, en vue de l'application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus COVID-19 sur les lieux de travail;

Attendu que la situation épidémiologique actuelle requiert une attitude prudente et posée dans les mois à venir, des mesures coordonnées s'imposent à tous les niveaux afin de veiller à ce que les démarches entreprises pour lutter contre le virus soient le plus efficace possible. Des conditions adéquates et équilibrées sont mises en place de sorte que les citoyens puissent exercer pleinement leurs droits et que la vie économique et sociale puisse reprendre. Afin de pouvoir reprendre la vie plus rapidement de manière sûre et durable, et pour le bien-être de la population, il est crucial d'organiser les grands événements de la manière la plus sécurisée possible ;

Attendu qu'une agence du Gouvernement flamand va fournir des services opérationnels pour le compte d'entités d'autres niveaux de pouvoir et que les entités fédérées interviendront à cet effet dans les frais exposés à cet égard, il est nécessaire de conclure un accord de coopération

ENTRE

L'Etat fédéral, représenté par le gouvernement fédéral, en la personne d'Alexander De Croo, Premier ministre, et Frank Vandenbroucke, Vice-Premier ministre et Ministre des Affaires sociales et de la Santé publique, Sophie Wilmès, Vice-Première Ministre et Ministre des Affaires étrangères, des Affaires européennes et du Commerce extérieur, et des Institutions culturelles fédérales, Annelies Verlinden, Ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique, et Sammy Mahdi, Secrétaire d'Etat à l'Asile et la Migration, et Mathieu Michel, Secrétaire d'Etat à la Digitalisation;

La Communauté flamande, représentée par le Gouvernement flamand, en la personne de Jan Jambon, Ministre-Président du Gouvernement flamand et Ministre flamand de la politique extérieure, de la Culture, la TI et les Services généraux, et Wouter Beke, Ministre flamand du Bien-Etre, de la Santé publique, de la Famille et de la Lutte contre la Pauvreté ;

La Communauté française, représentée par son gouvernement, en la personne de Pierre-Yves Jeholet, Ministre-Président et Bénédicte Linard, Vice-Présidente et Ministre de l'Enfance, de la Santé, de la Culture, des Médias et des Droits des Femmes, et Valérie Glatigny, Ministre de l'Enseignement supérieur, de l'Enseignement de la promotion sociale, de la Recherche scientifique, des Hôpitaux universitaires, de l'Aide à la jeunesse, des Maisons de justice, de la Jeunesse, des Sports et de la Promotion de Bruxelles ;

La Région wallonne, représentée par son gouvernement, en la personne d'Elio Di Rupo, Ministre-Président du Gouvernement wallon et Christie Morreale, Vice-Présidente du Gouvernement wallon, Ministre de l'Emploi, de la Formation, de la Santé, de l'Action sociale, de l'Egalité des chances et des Droits des femmes ;

La Communauté germanophone, représentée par son gouvernement en la personne d'Oliver Paasch, Ministre-Président et Ministre des Pouvoirs locaux et des Finances et Antonios Antoniadis, Vice-Ministre-Président, Ministre de la Santé et des Affaires sociales, de l'Aménagement du territoire et du Logement ;

La Commission communautaire commune, représentée par le Collège réuni en la personne de Rudi Vervoort, Président du Collège réuni et Alain Maron et Elke Van Den Brandt, membres chargés de la Santé et du Bien-Etre ;

La Commission communautaire française, représentée par son Collège en la personne de Barbara Trachte, Ministre-Présidente chargée de la Promotion de la Santé et Alain Maron Ministre chargé du Bien-être social et de la Santé ;

EST CONVENU CE QUI SUIT :

Titre I : Généralités

Article 1. § 1. Aux fins du présent accord de coopération, on entend par :

1° accord de coopération : un accord de coopération tel que visé à l'article 92bis de la loi spéciale du 8 août 1980 de réformes institutionnelles ;

2° l'accord de coopération du 25 août 2020 : l'accord de coopération du 25 août 2020 entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d'inspections d'hygiène et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano ;

3° l'accord de coopération du 12 mars 2021 : l'accord de coopération du 12 mars 2021 entre l'Etat fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement de données relatives aux vaccinations contre la COVID-19 ;

4° COVID Safe Ticket : le résultat de l'analyse du certificat COVID numérique de l'UE au moyen de l'application visée à l'article 17 afin de régler l'accès à une expérience et un projet pilote ou un événement de masse dans le contexte de la pandémie du COVID-19 ;

5° certificat de vaccination : un certificat avec la confirmation et la date de la vaccination contre la COVID-19 administrée au titulaire;

6° certificat de test : un certificat avec le résultat et la date du test au coronavirus COVID-19 subi par le titulaire ;

7° certificat de rétablissement : un certificat avec la confirmation que le titulaire s'est rétabli d'une infection au coronavirus COVID-19 après un test au coronavirus COVID-19 qui a révélé que le titulaire était contaminé, à condition que le test au coronavirus COVID-19 ne date pas de plus de 180 jours, après quoi le certificat de rétablissement peut être délivré au plus tôt le onzième jour qui suit la réception par la personne concernée du résultat du test au coronavirus COVID-19 ;

8° l'agence Digitaal Vlaanderen: l'agence Digitaal Vlaanderen, créée par arrêté du Gouvernement flamand du 18 mars 2016 portant création de l'agence autonome interne Digitaal Vlaanderen et détermination du fonctionnement, de la gestion et de la comptabilité des Fonds propres Digitaal Vlaanderen ;

9° Vaccinnet : le système d'enregistrement visé à l'article 9 de l'arrêté du Gouvernement flamand du 16 mai 2014 portant diverses dispositions en exécution du décret du 21 novembre 2003 relatif à la politique de santé préventive et modifiant des arrêtés d'exécution de ce décret ;

10° plate-forme eHealth : une institution publique de sécurité sociale au sens de l'arrêté royal du 3 avril 1997 portant des mesures en vue de la responsabilisation des institutions publiques de sécurité sociale, en application de l'article 47 de la loi du 26 juillet 1996 portant modernisation de la sécurité sociale et assurant la viabilité des régimes légaux des pensions, mentionnée dans la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions.

11° événement de masse: une événement d'un certaine ampleur se déroulant selon les modalités particulières relatives à leur organisation et aux mesures de sécurité à prendre, telles que prévues par l'arrêté en vigueur relatif aux mesures de police administrative à prendre pour limiter la propagation du coronavirus COVID-19 et où l'accès sera contrôlé par un COVID Safe Ticket ou par des mesures supplémentaires ;

12° expérience et projet pilote : une activité présentant un certain degré de risque qui déroge aux règles fixées par l'arrêté en vigueur relatif aux mesures de police administrative visant à limiter la propagation du coronavirus COVID-19, qui contribue à la mise en pratique de modalités et de protocoles et qui constitue une expérience à visée de recherche afin d'acquérir des connaissances supplémentaires sur les modalités de sécurité et les risques de contamination dans le cas d'une activité similaire et où l'accès sera contrôlé par un COVID Safe Ticket ou par des mesures supplémentaires ;

13° L'application COVIDSafe: l'application numérique dans le but de permettre au titulaire d'un certificat de vaccination, de test et/ou de rétablissement de demander un certificat et de le présenter à l'aide d'un code-barres:

14° L'application COVIDScan: l'application numérique qui permet de valider l'authenticité et la validité d'un certificat de vaccination, de test et/ou de rétablissement et de lire et, le cas échéant, de générer le COVID Safe Ticket, le tout en scannant le code-barres du certificat COVID numérique de l'UE ;

15° module CST : modalités d'exécution de l'application COVIDScan pour générer le COVID Safe Ticket.

16° Registre national : le Registre national des personnes physiques visé dans la loi du 8 août 1983 organisant un registre national des personnes physiques ;

17° Règlement Général sur la Protection des Données : le Règlement (CE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

18° Règlement relatif au certificat COVID numérique de l'UE : Règlement (UE) 2021/953 du Parlement européen et du Conseil du 14 juin 2021 relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l'UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19 ;

19° Règlement relatif au certificat COVID numérique de l'UE pour les ressortissants de pays tiers : Règlement (UE) 2021/954 du Parlement européen et du Conseil du 14 juin 2021 relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l'UE) destinés aux ressortissants de pays tiers séjournant ou résidant légalement sur le territoire des Etats membres pendant la pandémie de COVID-19 ;

20° pièce d'identité : un document officiel qui contient des données biométriques, délivré par une instance officielle avec lequel une personne physique peut prouver son identité ;

§ 2. Aux fins de l'application du présent accord de coopération et conformément au règlement certificat COVID numérique de l'UE, on entend par :

1° titulaire : une personne à laquelle un certificat interopérable contenant des informations sur sa vaccination contre la COVID-19, le résultat de son test ou son rétablissement a été délivré conformément au règlement certificat COVID numérique de l'UE;

2° certificat COVID numérique de l'UE : un certificat interopérable sur un support papier ou un support numérique contenant des informations concernant le statut vaccinal, de test et/ou de rétablissement du titulaire, délivré dans le contexte de la pandémie du coronavirus COVID-19 ;

3° test TAAN: test d'amplification des acides nucléiques moléculaires, comme les techniques de réaction en chaîne par polymérase après transcription inverse (RT-PCR), d'amplification isotherme induite par boucle (LAMP) et d'amplification induite par la transcription (TMA), utilisé pour détecter la présence de l'acide ribonucléique (ARN) du SARS-CoV-2;

4° code-barres : mode de stockage et de représentation de données dans un format visuel lisible par machine;

5° Code d'identification unique : un code d'identification unique attribué selon une structure commune à chaque certificat délivré conformément au règlement certificat COVID numérique de l'UE ;

6° test rapide de détection d'antigènes reconnu : un test rapide de détection d'antigènes qui figure sur la liste incluse dans la Recommandation 1475 du Conseil européen relative à un cadre commun pour l'utilisation, la validation et la reconnaissance mutuelle des tests rapides dans l'UE et dans la Décision de la Commission européenne du 17 février 2021 qui dresse la liste des tests rapides de détection d'antigènes reconnus ;

7° test rapide de détection d'antigènes : également dénommé RAT, un test qui repose sur la détection de protéines virales (antigènes) à l'aide d'un immunodosage à écoulement latéral qui donne des résultats en moins de 30 minutes ;

Art. 2. § 1. Le présent accord de coopération prévoit le fondement juridique pour le traitement de données à caractère personnel, nécessaires pour :

1° les flux de données relatifs à la création et à la délivrance des certificats de vaccination, de test et de rétablissement pour la création et délivrance du certificat COVID numérique de l'UE ;

2° la création et la délivrance du certificat COVID numérique de l'UE afin de faciliter la libre circulation pendant la pandémie de COVID-19 pour la période du 16 juin au 30 juin 2021;

3° la génération du COVID Safe Ticket basée sur le certificat COVID numérique de l'UE.

§ 2. Le présent accord de coopération contient également un certain nombre de dispositions complémentaires concernant le traitement de données PLF (voir Titre VIII) et il régit également le traitement de données à caractère personnel de travailleurs salariés et de travailleurs indépendants vivant ou résidant à l'étranger et qui exercent des activités en Belgique (voir Titre IX).

§ 3. Les parties, chacune dans son domaine de compétence, prennent les mesures nécessaires à la mise en oeuvre des dispositions du présent accord de coopération et à l'harmonisation des initiatives communautaires, régionales et fédérales existantes avec celui-ci.

Titre II : Certificats de vaccination, de test et de rétablissement et les flux de données sous-jacentes

Art. 3. § 1. En attendant l'entrée en vigueur du règlement relatif au certificat COVID numérique de l'UE et conformément à l'article 3, paragraphe 1, de ce règlement, le certificat COVID numérique de l'UE permet la délivrance, la vérification et l'acceptation transfrontières des certificats suivants :

1° certificat de vaccination ;

2° certificat de test ;

3° certificat de rétablissement ;

§ 2. Dans l'attente de l'entrée en vigueur du règlement relatif au certificat COVID numérique de l'UE et conformément à l'article 3, § 2, de ce règlement, les certificats visés au § 1 sont délivrés dans un format sécurisé et interopérable sous forme numérique, au moyen de l'application COVIDSafe et/ou sur papier, et contiennent un code-barres et le nom permettant de vérifier l'authenticité, la validité et l'intégrité du certificat. Les futurs titulaires ont le droit de recevoir les certificats sous la forme de leur choix. Les informations figurant sur les certificats sont aussi présentées sous une forme lisible par l'homme. Le code-barres respecte les spécifications techniques définies dans un accord de coopération d'exécution.

§ 3. Dans l'attente de l'entrée en vigueur du règlement relatif au certificat COVID numérique de l'UE et conformément à son article 3 § 4, les certificats visés au § 1 sont délivrés gratuitement. Le titulaire a le droit de demander la délivrance d'un nouveau certificat si les données à caractère personnel mentionnées sur le certificat ne sont plus exactes ou actuelles, ou si le titulaire ne dispose plus du certificat.

§ 4. Dans l'attente de l'entrée en vigueur du règlement relatif au certificat COVID numérique de l'UE, et conformément à l'article 3, paragraphe 5, de ce règlement, les certificats visés au paragraphe 1 contiennent le texte suivant:

« Le présent certificat n'est pas un document de voyage. Les preuves scientifiques relatives à la vaccination, aux tests et au rétablissement liés à la COVID-19 continuent d'évoluer, notamment en ce qui concerne de nouveaux variants préoccupants du virus. Avant de voyager, veuillez vérifier les mesures de santé publique applicables et les restrictions connexes applicables sur le lieu de destination. »

§ 5. Dans l'attente de l'entrée en vigueur du règlement relatif au certificat COVID numérique de l'UE et conformément à l'article 3, § 6 de ce règlement, la possession des certificats visés au paragraphe 1 ne constitue pas une condition préalable à l'exercice du droit à la libre circulation.

§ 6. Dans l'attente de l'entrée en vigueur du règlement relatif au certificat COVID numérique de l'UE et conformément à l' article 3, § 7 de ce règlement, la délivrance de certificats en vertu du paragraphe 1 du présent article ne peut entraîner de discrimination fondée sur la possession d'une catégorie spécifique de certificat visée à l'article 9, §§ 1, 2 et 3.

§ 7. Dans l'attente de l'entrée en vigueur du règlement relatif au certificat COVID numérique de l'UE et conformément à l'article 3, § 8 de ce règlement, la délivrance des certificats visés au paragraphe 1 ne porte pas atteinte à la validité de toute autre preuve de vaccination, de résultat de test ou de rétablissement délivrée avant le 16 juin 2021 ou à d'autres fins, notamment à des fins médicales.

Art. 4. Les entités fédérées compétentes ou les agences désignées par les entités fédérées compétentes, visées à l'article 7, § 1, deuxième alinéa, 1° à 6°, de l'accord de coopération du 12 mars 2021, sont responsables de la création et la délivrance des certificats de vaccination tels que visés à l'article 1, § 1, 5° du présent accord de coopération.

Art. 5. Sciensano, visé à l'article 2, § 4, de l'accord de coopération du 25 août 2020, est l'instance responsable de la création et la délivrance des certificats de test et de rétablissement, tels que visés à l'article 1, § 1, 6° et 7° du présent accord de coopération.

Art. 6. § 1. L'Agence Digitaal Vlaanderen est chargée de fournir les services opérationnels pour l'exécution du présent accord de coopération afin de permettre aux entités visées aux articles 4 et 5, de délivrer des certificats, visés à l'article 1, § 1, 5° à 7°, l'agence Digitaal Vlaanderen agissant en tant que sous-traitant.

§ 2. A la demande de la plate-forme e-Health, l'agence Digitaal Vlaanderen est chargée de fournir des services opérationnels pour le développement de l'application COVIDSafe et de l'application COVIDScan, mentionnées à l'article 17 du présent accord de coopération, au moyen desquelles les certificats respectifs peuvent être lus numériquement conformément au présent accord de coopération, l'agence Digitaal Vlaanderen agissant en tant que sous-traitant. L'agence Digitaal Vlaanderen ne décide pas de l'application qui est mise à la disposition du citoyen, ni des modalités et du moment de la désactivation des applications COVIDSafe et COVIDScan. L'agence n'agit que sur instruction de la plateforme e-Health.

§ 3. La Communauté flamande peut, en tant que centrale d'achat au sens de l'article 2, 6°, a), de la loi du 17 juin 2016 relative aux marchés publics, réaliser des activités d'achat centralisées et des activités d'achat complémentaires destinées aux parties au présent accord de coopération et servant à l'exécution opérationnelle des marchés visés aux §§ 1 et 2.

Art. 7. § 1. Dans l'attente de l'entrée en vigueur du règlement relatif au certificat COVID numérique de l'UE et pour la periode du 16 juin jusq'au 30 juin 2021, les entités visées aux articles 4 et 5 donnent instruction à l'Agence Digitaal Vlaanderen de permettre à la personne concernée de consulter et d'accéder, sous une forme officielle, à ses données de vaccination, visées à l'article 3, paragraphe 2, de l'accord de coopération du 12 mars 2021, et à ses données de test, visées à l'article 6 de l'accord de coopération du 25 août 2020.

§ 2. La Communauté flamande peut, en tant que centrale d'achat au sens de l'article 2, 6°, a), de la loi du 17 juin 2016 relative aux marchés publics, réaliser des activités d'achat centralisées et des activités d'achat complémentaires destinées aux parties au présent accord de coopération et servant à l'exécution opérationnelle des instructions visées au § 1.

Art. 8. § 1. Le traitement et les flux de données à caractère personnel visées à l'article 9, §§ 1, 2 et 3 vise la création et la délivrance, dans le cadre du certificat COVID numérique de l'UE, des certificats de vaccination, de test et de rétablissement en vue de la création et la délivrance du certificat COVID numérique de l'UE entre la période du 16 juin 2021 et la fin de l'application du présent accord de coopération.

§ 2. Les finalités de traitement et les flux de données énumérées dans cet article s'appliquent non seulement aux ressortissants belges mais aussi aux ressortissants de l'UE et aux ressortissants de pays tiers séjournant ou résidant légalement sur le territoire belge.

§ 3. Afin que les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes puissent répondre aux questions des titulaires de certificats de test et de rétablissement, le personnel des centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes sera en mesure de vérifier si un certificat de test ou de rétablissement est disponible pour un titulaire et si ce certificat de test ou de rétablissement a déjà été délivré au titulaire selon les modalités prévues par le présent accord de coopération. Le présent paragraphe est applicable sans préjudice des dispositions relatives aux fonctions de help desk.

Art. 9. § 1. Conformément à l'article 5, § 2 du règlement relatif au certificat COVID numérique de l'UE, un certificat de vaccination tel que visé à l'article 1, § 1, 5°, contient les catégories de données à caractère personnel suivantes de son titulaire :

1° l'identité du titulaire ;

2° des informations sur le vaccin contre la COVID-19 administré et sur le nombre de doses administrées au titulaire;

3° les métadonnées du certificat, telles que l'émetteur du certificat ou un code d'identification unique.

§ 2. Conformément à l'article 6, § 2 du règlement relatif au certificat COVID numérique de l'UE, un certificat de test tel que visé à l'article 1, § 1, 6°, contient les catégories de données à caractère personnel suivantes de son titulaire :

1° l'identité du titulaire ;

2° des informations sur le test TAAN reconnu ou le test rapide reconnu de détection d'antigènes auquel le titulaire a été soumis

3° les métadonnées du certificat, telles que l'émetteur du certificat ou un identifiant unique du certificat.

§ 3. Conformément article 7, § 2 du règlement relatif au certificat COVID numérique de l'UE, un certificat de rétablissement tel que visé à l'article 1, § 1, 7°, contient les catégories de données à caractère personnel suivantes de son titulaire :

1° l'identité du titulaire ;

2° des informations sur les antécédents d'infection par le SARS-CoV-2 du titulaire à la suite du résultat positif d'un test, datant de 180 jours au maximum;

3° les métadonnées du certificat, telles que l'émetteur du certificat ou un identifiant unique du certificat.

§ 4. Afin d'accomplir les finalités visées à l'article 8, § 3, les employés des centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes ont accès et peuvent traiter les données suivantes entre la période du 16 juin 2021 et la fin de l'application du présent accord de coopération :

1° l'existence d'un certificat de test ou de rétablissement ;

2° le fait qu'un certificat de test ou de rétablissement a été délivré ou non.

§ 5. Conformément à l'article 5, § 3 du règlement relatif au certificat COVID numérique de l'UE, le certificat de vaccination est délivré après l'administration de chaque dose, dans un format sécurisé et interopérable conformément à l'article 3, § 2 du présent accord de coopération et il indique clairement si le schéma de vaccination est achevé ou non.

Titre III : Création, délivrance et vérification du certificat COVID numérique de l'UE

Article 10. § 1. Conformément à l'article 3, § 1 du règlement relatif au certificat COVID numérique de l'UE, la finalité du traitement des données à caractère personnel visées à l'article 11, § 1 est la création et la délivrance du certificat COVID numérique de l'UE, aux fins d'accéder aux informations contenues dans le certificat et de les vérifier, afin de faciliter l'exercice du droit à la libre circulation au sein de l'Union européenne durant la pandémie de COVID-19.

§ 2. A l'exception des dispositions de l'article 12 du présent accord de coopération, les catégories des données à caractère personnel contenues dans les certificats, prévus à l'article 1, § 1, 5°, 6° et 7° et l'article 1, § 2, 2°, du présent accord de coopération et, conformément à l'article 10, § 2 du règlement relatif au certificat COVID numérique de l'UE, sont traitées aux seules fins de l'accès aux informations contenues dans le certificat et de la vérification de ces informations afin de faciliter l'exercice du droit à la libre circulation au sein de l'Union pendant la pandémie de COVID-19.

§ 3. Conformément à l'article 1 du règlement relatif au certificat COVID numérique de l'UE pour les ressortissants de pays tiers, les finalités du traitement énoncées dans le présent article s'appliquent non seulement aux ressortissants de l'Union européenne, mais aussi aux ressortissants de pays tiers qui résident ou séjournent légalement sur le territoire d'un Etat membre de l'UE et ont le droit de se rendre dans d'autres pays conformément au droit de l'Union européenne.

§ 4. L'éventuelle vérification afin de faciliter l'exercice du droit à la libre circulation au sein de l'Union européenne pendant la pandémie de COVID-19 et l'application des restrictions éventuelles, se fait par les services de police visés à l'article 3, 7°, de la loi sur la fonction de police et les opérateurs de services de transports de voyageurs et infrastructures de transport transfrontières tels que visés à l'article 3, 9 du règlement relatif au certificat COVID numérique de l'UE.

Art. 11. § 1. Aux fins de la vérification et pour la création et la délivrance du certificat COVID numérique de l'UE aux titulaires d'un certificat de vaccination, certificat de test ou certificat de rétablissement, les catégories de données à caractère personnel suivantes sont traitées conformément au règlement relatif au certificat COVID numérique de l'UE :

1° les catégories de données à caractère personnel visées à l'article 9, §§ 1, 2 ou 3 ;

2° le numéro d'identification visé à l'article 8 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale ; et

3° la résidence principale, visées à l'article 3, premier alinéa, 5°, de la loi du 8 août 1983 organisant un registre national des personnes physique ;

§ 2. Les catégories de données à caractère personnel mentionnées au § 1 sont obtenues à partir des banques de données suivantes :

1° le Registre national : en ce qui concerne la résidence principale visée aux § 1, 3°, sur la base du numéro d'identification visé à l'article 8 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale ;

2° Vaccinnet : en ce qui concerne le numéro d'identification visé à l'article 8 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale et les catégories de données à caractère personnel dans le certificat de vaccination, décrites à l'article 9, § 1 ;

3° Base de données I créée par l'accord de coopération du 25 août 2020 : en ce qui concerne le numéro d'identification visé à l'article 8 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale, et les catégories de données à caractère personnel dans le certificat de test et le certificat de rétablissement, décrites à l'article 9, §§ 2 et 3.

§ 3. Dans la mesure où la création et la délivrance du certificat COVID numérique de l'UE visé à l'article 1, § 2, 2° aux titulaires d'un certificat de vaccination, certificat de test ou certificat de rétablissement le nécessitent, les responsables du traitement ont accès, pour l'exercice de leurs missions légales dans le présent accord de collaboration, aux données visées à l'article 3, premier alinéa, 1° et 5° et deuxième alinéa et la date de naissance visée à l'article 3, premier alinéa, 2°, de la loi du 8 août 1983 organisant un registre national des personnes physiques, sous réserve d'obtention d'une autorisation visée à l'article 5 de la même loi.

§ 4. Par dérogation à l'article 3, § 1, de l'accord de coopération du 25 août 2020 et à l'article 4, § 2, de l'accord de coopération du 12 mars 2021, les données à caractère personnel visées au § 1, peuvent être traitées pour les finalités de traitement visées à l'article 10 par les responsables du traitement, pour l'exercice de leurs missions légales définies dans le présent accord de coopération, les entités fédérées et Sciensano.

Titre IV : COVID Safe Ticket

Art. 12. § 1. Par dérogation à l'article 10, pour les visiteurs d'événements de masse ou d'expériences et projets pilotes le traitement des données à caractère personnel du certificat COVID numérique de l'UE vise à lire et, le cas échéant, générer le COVID Safe Ticket via le module CST de l'application COVIDScan, afin de contrôler et vérifier :

si les titulaires d'un certificat de vaccination, de test et/ou de rétablissement remplissent les conditions d'accès à un événement de masse ou une expérience et un projet pilote ;

à l'aide d'une pièce d'identité, l'identité des titulaires d'un certificat COVID numérique de l'UE.

Le COVID Safe Ticket peut être généré par l'utilisateur sur l'application COVIDSafe ou sur l'application COVIDScan en scannant le certificat COVID numérique de l'UE.

§ 2. Les organisateurs, en vertu des personnes visées à l'article 13, § 3 du présent accord de coopération, sont tenus de scanner ou (i) le certificat COVID numérique de l'UE sous forme numérique ou sur papier ou (ii) le COVID Safe Ticket généré par l'utilisateur sur l'application COVIDSafe. Lire et, le cas échéant, générer le COVID Safe Ticket par l'application COVIDScan doit, pour les finalités visées aux articles 12 et 13 du présent accord de coopération, être effectuée au moyen du module CST de cette application. Si le résultat de l'analyse mentionnée au § 1 est négatif ou si l'identité du titulaire ne peut pas être vérifiée ou confirmée, l'accès à l'événement de masse ou à l' expérience et au projet pilote doit être refusé au titulaire sauf si le titulaire fait l'objet de mesures complémentaires prévues par un accord de coopération d'exécution tel que visé à l'article 92bis, § 1, troisième alinéa, de la loi spéciale du 8 août 1980 de réformes institutionnelles et dans la mesure où ils sont prévus par l'organisateur de ces événements.

§ 3. A l'exception des dispositions de l'article 10 du présent accord de coopération, les catégories de données à caractère personnel figurant dans les certificats tels que définis à l'article 1, §§ 1, 5°, 6° et 7° et § 2, 2° du présent accord de coopération ne sont traitées qu'aux seules fins de réglementer l'accès aux expériences et projets pilotes et aux événements de masse et de vérifier les données affichées sur le COVID Safe Ticket. Après la fin de la période d'application telle que définie dans cet accord de coopération, conformément à l'article 33, § 1, 3° de cet accord de coopération, les données ne seront plus traitées.

§ 4. Le traitement dans lequel le certificat COVID numérique de l'UE ou le COVID Safe Ticket généré par le titulaire est lu afin de réglementer l'accès aux événements de masse et aux expériences et projets pilotes n'est permis que pour les titulaires d'un certificat COVID numérique l'UE âgés de 12 ans et plus, sans possibilité de refuser l'accès à l'événement de masse ou à l'expérience et au projet pilote aux personnes de moins de 12 ans.

Art. 13. § 1. Pour générer le COVID Safe Ticket, les catégories de données à caractère personnel du certificat COVID numérique de l'UE sont traitées.

§ 2. Le COVID Safe Ticket ne contient et n'affiche que les données suivantes :

1° l'indication si l'accès à l'événement de masse ou à l' expérience et au projet pilote peut être autorisé ou doit être refusé au titulaire, en sa qualité de visiteur d'un événement de masse ou d'une expérience et un projet pilote;

2° les données d'identité du titulaire, à savoir le nom et le prénom ;

3° la durée de validité du COVID Safe Ticket.

§ 3. Pour les finalités définies à l'article 12, le certificat COVID numérique de l'UE ou le COVID Safe Ticket généré par le titulaire ne peut être lu exclusivement qu'au moyen du module CST de l'application COVIDScan telle que visée à l'article 17, et ce par les personnes suivantes :

1° les personnes chargées du contrôle d'accès à l'événement de masse ;

2° les personnes chargées du contrôle d'accès à l'expérience et au projet pilote ;

3° le personnel d'une entreprise de surveillance ou d'un service de surveillance interne tel que visé dans la loi du 2 octobre 2017 réglementant la sécurité privée et particulière.

§ 4. Exclusivement aux fins définies à l'article 12, § 1 et § 2, des agents de surveillance peuvent, en dérogation à l'article 106 de la loi du 2 octobre 2017 réglementant la sécurité privée et particulière, faire présenter des documents d'identité ainsi qu'un COVID Safe Ticket à la demande du donneur d'ordre.

§ 5. Les conditions auxquelles l'accès à une événement de masse ou à une expérience et au projet pilote est possible sur la base d'un certificat COVID numérique de l'UE ou sur base d'autres mesures, à condition qu'elles puissent être justifiées par l'intérêt public dans le domaine de la santé publique et de la lutte contre la pandémie de COVID-19, sont établies dans un accord de coopération d'exécution tel que visé à l'article 92bis, § 1, troisième alinéa, de la loi spéciale du 8 août 1980 de réformes institutionnelles ou tout autre instrument juridique d'exécution.

§ 6. Il est expressément interdit aux personnes visées à l'article 13, § 3, de lire le certificat COVID numérique de l'UE ou le COVID Safe Ticket généré par le titulaire et, le cas échéant, de générer le COVID Safe Ticket avec une application ou un module autre que le module CST de l'application COVIDScan. Les organisateurs établiront une liste de ces personnes visées à l'article 13, § 3.

§ 7. Si les organisateurs d'un événement de masse ou d'expériences et de projets pilotes ne prévoient pas de mesures supplémentaires en plus du COVID Safe Ticket afin de réglementer l'accès à l'événement, l'organisateur doit le communiquer suffisamment clairement aux visiteurs à l'avance.

§ 8. Lorsque le COVID Safe Ticket du titulaire ne peut être généré ou lu par les personnes visées à l'article 13, § 3, en raison de problèmes techniques existant à ce moment-là, l'accès à l'événement de masse ou à l' expérience et au projet pilote doit être refusé au titulaire, tout en gardant la possibilité d'imposer des mesures supplémentaires ou de respecter les modalités applicables aux événements qui ne sont pas des événements de masse ou des expériences et projets pilotes.

Titre V : Délais de conservation

Art. 14. § 1. Conformément à l'article 10, § 4 du règlement relatif au certificat COVID numérique de l'UE, les données visées à l'article 9, §§ 1, 2 et 3, traitées aux fins de la délivrance des certificats COVID numérique de l'UE, y compris la délivrance d'un nouveau certificat, ne sont pas conservées par l'émetteur plus longtemps que ce qui est strictement nécessaire à la finalité poursuivie et, en tout état de cause, ne sont pas conservées au-delà de la période durant laquelle les certificats peuvent être utilisés pour exercer le droit à la libre circulation.

Nonobstant les dispositions du § 1, la validité d'un certificat de rétablissement n'excède pas 180 jours.

§ 2. Les données visées à l'article 13, § 2 sont supprimées immédiatement après le traitement visé à l'article 13, § 1.

§ 3. L'analyse des données telles que définies aux articles 12 et 13 du présent accord de coopération, ne peut être effectuée que jusqu'au 30 septembre 2021 inclus.

§ 4. Les délais de conservation mentionnées aux §§ 1, 2 et 3 n'affectent pas les délais de conservation stipulées dans l'accord de coopération du 25 août 2020 et l'accord de coopération du 12 mars 2021.

§ 5. Considérant la validité de 180 jours pour le certificat de rétablissement conformément au règlement relatif au certificat COVID numérique de l'UE et les périodes de conservation mentionnées dans l'article 15 § 1 de l'accord de coopération du 25 août 2020 et l'article 6 de l'accord de coopération du 12 mars 2021, Sciensano acquiert le droit de ré-identifier, conformément aux dispositions établies dans l'article 4,(5) du règlement général sur la protection des données, les données personnelles pseudonymisées des personnes qui ont été testées positives entre le 18 décembre et le 22 janvier 2021 de la base de données II de l'accord de coopération du 25 août 2020. Le but de cette ré-identification est de pouvoir fournir des certificats de rétablissement aux personnes qui y ont droit.

Titre VI : Les responsables du traitement

Art. 15. § 1. Les entités fédérées compétentes ou les agences désignées par les entités fédérées compétentes, et Sciensano interviennent, chacune pour leurs compétences, en tant que responsable du traitement pour le traitement des données à caractère personnel visées dans le présent accord de coopération.

§ 2. Les entités fédérées compétentes, les agences désignées par les entités fédérées compétentes et Sciensano, chacune dans leur sphère de compétence, déterminent de manière transparente leurs responsabilités respectives, notamment en ce qui concerne l'exercice des droits de la personne concernée et la fourniture d'informations. Les entités fédérées compétentes et les agences désignées par les entités fédérées compétentes concluent les accords nécessaires à cet effet, lesquels définissent de manière générale les obligations propres aux responsables du traitement, et en particulier les rôles et relations respectifs des responsables du traitement vis-à-vis des personnes concernées.

§ 3. Le présent accord de coopération ne porte pas préjudice à l'article 13 de l'accord de coopération du 25 août 2020 et à l'article 7 de l'accord de coopération du 12 mars 2021 et les responsables du traitement qui y sont désignés.

Art. 16. § 1. En ce qui concerne l'établissement et la délivrance des certificats visés à l'article 9, les entités fédérées compétentes ou les agences désignées par les entités fédérées compétentes et Sciensano prennent les mesures techniques et opérationnelles adéquates conformément à l'article 32 du règlement général sur la protection des données afin de garantir un niveau de protection adapté aux risques. Ces mesures sont définies plus avant au moyen d'un contrat de sous-traitance.

§ 2. En ce qui concerne le COVID Safe Ticket, les entités fédérées compétentes ou les agences désignées par les entités fédérées compétentes et Sciensano respectent les principes de protection de données dès la conception et par défaut conformément à l'article 25 du règlement général sur la protection des données. Ces principes seront élaborés plus avant au moyen d'un contract de sous-traitance.

Titre VII : L'application COVIDScan

Art. 17. § 1. L'application COVIDScan permet de valider l'authenticité et la validité d'un certificat de vaccination, de test et/ou de rétablissement et, le cas échéant, de générer le COVID Safe Ticket, le tout en scannant le code-barre du certificat COVID numérique de l'UE.

§ 2. L'application COVIDScan se compose de deux modalités de mise en oeuvre :

1° un module visant à faciliter l'exercice du droit de libre circulation au sein de l'Union européenne pendant la pandémie de COVID-19 ;

2° un module pour lire et, le cas échéant, générer le COVID Safe Ticket conformément aux dispositions des articles 12 et 13 du présent accord de coopération (module CST).

En fonction des possibilités techniques, ces deux modalités de mise en oeuvre peuvent être développées dans une ou deux (versions des) applications (mobiles) distinctes.

§ 3. L'application COVIDScan et ses modules respectent les principes conformément aux articles 5 et 25 du règlement général sur la protection des données.

Seules les données qui sont nécessaires pour pouvoir valider l'authenticité et la validité du certificat, peuvent être traitées, compte tenu des principes de protection des données dès la conception et par défaut. Ces catégories de données sont citées de manière limitative dans l'article 11, § 1 du présent accord de coopération. En ce qui concerne le module CST, il est conforme aux dispositions de l'article 13, § 2, du présent accord de coopération.

§ 4. Sauf pour les personnes visées à l'article 10, § 4 et à l'article 13, § 3, l'installation, l'utilisation et la désinstallation par un utilisateur de l'application COVIDScan visée aux § 1, se fait exclusivement sur une base volontaire. L'installation ou non, l'utilisation ou non, la désinstallation ou non de l'application visée au § 1 ne peut pas donner lieu à une quelconque mesure civile ou pénale, à un quelconque acte discriminatoire ou à un quelconque avantage ou préjudice, sauf aux fins spécifiées à l'article 10, § 4 et à l'article 12 et pour les personnes visées à l'article 10, § 4 et à l'article 13, § 3. Une violation de ces principes ou l'imposition par une autorité, une entreprise ou un individu à un autre individu d'obligatoirement installer, utiliser et désinstaller les application visées au § 1, seront sanctionnées conformément aux règles de droit commun.

§ 5. Pour le reste, le fonctionnement d'applications COVIDScan et les traitements de données utiles dans ce cadre sont régis par un accord de coopération d'exécution tel que visé à l'article 92bis, § 1, troisième alinéa, de la loi spéciale du 8 août 1980 de réformes institutionnelles. Les traitements de données nécessaires sont limités au traitement des données visées à l'article 13 § 1, afin de reproduire les données visées à l'article 13 § 2, pour la finalité précisée dans article 12 § 1.

§ 6. Lors de l'installation et avant l'utilisation des applications visées aux § 1, les utilisateurs sont informés du fonctionnement de l'application.

Toutes les informations utiles relatives aux applications sont publiées à cet effet sur le site Web www.COVIDsafe.be, notamment les fonctionnalités, le fonctionnement, la déclaration de confidentialité et l'analyse d'impact relative à la protection des données. L'application contient elle-même des renvois aux informations relatives aux fonctionnalités, au fonctionnement et à la déclaration de confidentialité.

§ 7. L'installation, l'utilisation et la désinstallation de l'application COVIDSafe par un utilisateur sont uniquement volontaires. L'installation ou la non-installation, l'utilisation ou la désinstallation de l'application COVIDSafe ne peut donner lieu à aucune procédure civile ou pénale, à aucun acte discriminatoire ni à aucun avantage ou désavantage. La violation de ces principes ou l'imposition par une autorité, une entreprise ou un particulier à un autre particulier de l'installation, de l'utilisation et de la désinstallation obligatoires de l'application COVIDSafe, sera sanctionnée par des peines de droit commun.

Titre VIII : Traitement des données PLF

Art. 18. § 1. Pour l'application de ce titre, on entend par :

1° Saniport : le service de police sanitaire du trafic international qui relève du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement ;

2° le PLF : le formulaire de localisation du passager qui est à remplir avant de se rendre en Belgique et à présenter le cas échéant au transporteur avant l'embarquement ;

3° les données PLF : les données du PLF, en format électronique ou papier ;

4° la base de données PLF : la base des données créée par le Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement ;

5° numéro de Registre national: le numéro visé à l'article 2, § 3 de la loi du 8 août 1983 organisant un registre national des personnes physiques ;

Art. 19. Les dispositions du présent Titre VIII s'appliquent chaque fois et aussi longtemps que par ou en vertu d'une législation de police administrative, les voyageurs ont l'obligation de remplir un PLF.

Art. 20. Le PLF contient les catégories de données suivantes :

1° les données d'identification et de contact de la personne concernée et de ses co-voyageurs;

2° l'itinéraire du voyage ;

3° l'information pertinente au sujet de (s) l'endroit (s) de séjour pendant une période déterminée avant l'arrivée sur le territoire belge ;

4° le ou les moyens de transport utilisés et la ou les places occupées dans ces moyens de transport ;

5° le motif du séjour en Belgique ;

6° la durée du séjour et le ou les endroits du séjour en Belgique pendant une période déterminée après l'arrivée ;

7° l'information qui permet d'évaluer le risque de contamination.

Art. 21. Le modèle PLF est publié sur le site Web du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement.

Art. 22. Le traitement des données à caractère personnel contenues dans la base de données PLF vise les objectifs suivants :

a) les finalités telles que visées par ou en vertu des accords de coopération, des lois, des décrets et des ordonnances régissant le traitement des données relatives aux PLF ;

b) les objectifs des accords ou décisions internationaux, notamment ceux contenus dans le règlement sanitaire international de l'Organisation mondiale de la santé et dans la législation de l'Union Européenne.

Art. 23. Saniport est responsable du traitement des données PLF, pour la collecte des données PLF, leur intégration dans la base de données PLF et la tenue de cette base de données.

Art. 24. Saniport a accès au Registre National, ainsi qu'à l'utilisation du numéro du Registre National, aux fins d'identification des voyageurs, sous réserve de l'obtention d'une autorisation d'accès au Registre National visée à l'article 5 de la loi du 8 août 1983 portant réglementation d'un Registre national des personnes physiques

Art. 25. Les données PLF sont détruites au plus tard 28 jours calendrier à compter de la date d'arrivée des personnes concernées sur le territoire Belge.

Avant de détruire les données à caractère personnel, les données PLF sont rendues anonymes par Saniport de telle sorte que les personnes concernées ne sont plus identifiables en vue d'un traitement ultérieur à des fins d'enquête scientifique ou statistique ou de soutien à la gestion en matière de coronavirus COVID-19, en ce compris le monitoring épidémiologique réalisé par Sciensano.

Art. 26. Les catégories suivantes sont des destinataires de données PLF :

1° les personnes qui ont besoin de ces données pour l'exécution des missions d'intérêt général qui leur sont confiées par ou en vertu d'un accord de coopération, d'une loi, d'un décret ou d'une ordonnance ;

2° suite aux accords et décisions internationaux visés à l'article 22 b), la ou les autorités compétentes chargées au niveau national de notifier les alertes et de prendre les mesures nécessaires à la protection de la Santé publique.

Art. 27. Saniport contrôle le respect des dispositions de ce Titre et peut, si nécessaire, demander aux services de police de lui prêter main forte conformément à l'article 44 de la loi du 5 août 1992 sur la fonction de police.

Les membres du personnel de Saniport doivent disposer d'une preuve de légitimation pour la tâche dont ils sont chargés.

Titre IX : Traitement des données à caractère personnel des travailleurs salariés et des travailleurs indépendants vivant ou résident à l'étranger que effectuent des activités en Belgique

Art. 28. Pour l'application de ce titre, on entend par :

1° numéro NISS : le numéro d'identification visé à l'article 8, § 1er, 1° ou 2°, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale.

2° utilisateur: chaque personne physique ou morale auprès de laquelle ou pour laquelle sont occupés, directement ou en sous-traitance, des personnes visées au Titre VIII ;

3° travailleur frontalier: tout travailleur qui exerce une activité salariée dans un Etat membre et réside dans un autre Etat membre, où ce travailleur retourne en principe chaque jour ou au moins une fois par semaine.

§ 2. Chaque employeur ou utilisateur qui fait temporairement appel à un travailleur salarié ou à un travailleur indépendant vivant ou résidant à l'étranger pour effectuer en Belgique des activités à l'exception de la personne physique auprès de laquelle ou pour laquelle le travail s'effectue à des fins strictement privées, tient à jour, du début de travail jusqu'au quatorzième jour inclus après la fin de celui-ci, un registre comportant les données à caractère personnel suivantes:

1° les données d'identification du travailleur salarié ou du travailleur indépendant vivant ou résidant à l'étranger:

a) le nom et les prénoms;

b) la date de naissance;

c) le numéro NISS;

2° le lieu de résidence du travailleur salarié ou du travailleur indépendant durant ses travaux en Belgique;

3° le numéro de téléphone, auquel le travailleur salarié ou le travailleur indépendant peut être contacté;

4° le cas échéant, l'indication des personnes avec lesquelles le travailleur salarié ou le travailleur indépendant travaille lors de son travail en Belgique.

L'obligation d'enregistrement ne vaut pas pour l'emploi de travailleurs frontaliers et ne s'applique pas non plus lorsque le séjour en Belgique d'un travailleur salarié ou d'un travailleur indépendant vivant ou résidant à l'étranger n'excède pas 48 heures.

Les données à caractère personnel visées à l'alinéa 1er ne peuvent être utilisées à d'autre fins que permettre le traçage et le suivi de clusters en collectivités situés à la même adresse dans le cadre de la lutte contre la propagation du coronavirus COVID-19.

Le registre visé à l'alinéa 1er est tenu à la disposition des inspecteurs sociaux visées à l'article 17, § 2, alinéa 2, du code pénal social et des entités fédérées compétents et des agences désignées par les entités fédérées compétentes en matière de suivi des contacts.

Les données à caractère personnel contenues dans le registre visé à l'alinéa 1er sont détruites par l'employeur ou l'utilisateur après 14 jours calendrier à compter de la date de la fin du travail concerné.

Art. 29. Lorsque le travailleur salarié ou le travailleur indépendant vivant ou résidant à l'étranger qui effectue des activités en Belgique est tenu de compléter le PLF, l'employeur ou l'utilisateur qui fait temporairement appel à lui pour effectuer en Belgique des activités, à l'exception de la personne physique auprès de laquelle ou pour laquelle le travail s'effectue à des fins strictement privées, est tenu de vérifier avant le début du travail si le PLF a effectivement été complété.

En l'absence de la preuve que ledit formulaire a été rempli, l'employeur ou l'utilisateur veille à ce que le PLF soit complété au plus tard ou moment où le travailleur salarié ou le travailleur indépendant vivant ou résidant à l'étranger commence à travailler en Belgique.

Art. 30. Lorsque le travailleur salarié ou le travailleur indépendant vivant ou résidant à l'étranger qui effectue des activités en Belgique est tenu de disposer d'un résultat de test négatif sur la base d'un test effectué préalablement à l'arrivée sur le territoire belge, la personne concernée est tenue de garder la preuve de ce résultat de test négatif auprès d'elle jusqu'au quatorzième jour calendrier après la date d'arrivée sur le territoire belge.

En vue de la lutte contre la propagation du coronavirus COVID-19, ce résultat négatif peut être contrôlé par les conseillers en prévention-médecins du travail et par les inspecteurs sociaux visés à l'article 17, § 2, alinéa 2, du code pénal social.

Titre X : Disposition finales

Art. 31. Les litiges entre les parties du présent accord de coopération concernant l'interprétation ou l'exécution du présent accord de coopération, sont soumis à une juridiction de coopération au sens de l'article 92bis, § 5 de la loi spéciale du 8 août 1980 de réformes institutionnelles.

Les membres de cette juridiction sont respectivement désignés par le Conseil des Ministres, le Gouvernement flamand, le Gouvernement de la Communauté française, le Gouvernement de la Communauté germanophone, le Collège réuni de la Commission communautaire commune, le Gouvernement wallon et le Collège de la Commission communautaire française.

Les frais de fonctionnement de la juridiction sont répartis équitablement entre l'Etat fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française.

Art. 32. Le Comité de Concertation surveille l'exécution et le respect du présent accord de coopération et soumet, si nécessaire, des propositions d'adaptation. Le Comité de Concertation exerce également une fonction de médiateur dans le cadre du présent accord de coopération avant que les litiges soient soumis à une juridiction de coopération telle que définie à l'article 31.

Art. 33. § 1. Les dispositions des Titres I à VII de ce présent accord de coopération entre en vigueur à partir du :

1° du 16 juin jusqu'au 30 juin 2021 en ce qui concerne l'article 3, l'article 9, l'article 10 § 1 jusqu'à § 3, l' article 14, § 1, ;

2° du 16 juin 2021 en ce qui concerne les articles 1, 2 jusqu'à 8, l'article 10, § 4, article 11, l'article 14, § 2 jusqu'au § 5, les articles 15 jusqu'à 17.

3° de l'entrée en vigueur du présent accord de coopération jusqu'au 30 septembre 2021, articles 12 et 13.

§ 2. Sous réserve des dispositions du § 1,1°, les dispositions des titres I à VII entrent en vigueur le jour de la publication au Moniteur belge du dernier acte législatif portant assentiment du présent accord de coopération

§ 3. Sous réserve des dispositions du § 1,1°, les dispositions des titres I à VII cessent d'être en vigueur au plus tard à la date de la cessation d'être en vigueur du règlement relatif au certificat COVID numérique de l'UE et du règlement relatif au certificat COVID numérique de l'UE pour les ressortissants de pays tiers ;

§ 4. Sans préjudice des dispositions de l'article 19, les dispositions du Titre VIII prennent effet à compter du 10 juillet 2020.

§ 5. Les dispositions du Titre IX entrent en vigueur le jour de la publication au Moniteur belge du dernier acte législatif portant assentiment du présent accord de coopération.

§ 6. Les dispositions du titre IX cessent d'être en vigueur au plus tard à la date de la publication de l'arrêté royal proclamant la fin de l'épidémie du coronavirus COVID-19.

§ 7. Les parties peuvent fixer une date de fin d'entrée en vigueur antérieure à celle fixée au paragraphe 6, pour chacune des dispositions du Titre IX. Le cas échéant, ces dispositions produisent leurs effets jusqu'au jour où le Secrétariat central du Comité de concertation a reçu l'accord écrit de toutes les parties avec la fin d'entrée en vigueur de l'accord coopération et après la publication d'une communication confirmant cet accord écrit au Moniteur belge.

Fait à Bruxelles, le 14 juillet 2021

en un exemplaire original.

Le Premier Ministre,

A. DE CROO

La Vice-Première Ministre et Ministre des Affaires étrangères, des Affaires européennes et du Commerce extérieur, et des Institutions culturelles fédérales

S. WILMES

Le Vice-Premier Ministre et Ministre des Affaires sociales et de la Santé publique,

F. VANDENBROUCKE

La Ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique

A. VERLINDEN

Le Secrétaire d'Etat à l'Asile et la Migration

S. MAHDI

Le Secrétaire d'Etat à la Digitalisation

M. MICHEL

Le Ministre-Président du Gouvernement flamand et Ministre flamand de la Politique extérieure, de la Culture, la TI et les Services généraux,

J. JAMBON

Le Ministre flamand du Bien-Etre, de la Santé publique, de la Famille et de la Lutte contre la Pauvreté,

W. BEKE

Le Ministre-Président de la Communauté française,

P.-Y. JEHOLET

La Vice-Présidente et Ministre de l'Enfance, de la Santé, de la Culture, des Médias et des Droits des Femmes,

B. LINARD

La Ministre de l'Enseignement supérieur, de l'Enseignement de la promotion sociale, de la Recherche scientifique, des Hôpitaux universitaires, de l'Aide à la jeunesse, des Maisons de justice, de la Jeunesse, des Sports et de la Promotion de Bruxelles

V. GLATIGNY

Le Ministre-Président du Gouvernement wallon,

E. DI RUPO

La Vice-Présidente et Ministre de l'Emploi, de la Formation, de la Santé, de l'Action sociale, de l'Egalité des chances et des Droits des femmes du Gouvernement wallon,

Ch. MORREALE

Le Ministre-Président et Ministre des Pouvoirs locaux et des Finances de la Communauté germanophone,

O. PAASCH

Le Vice-Ministre-Président et Ministre de la Santé et des Affaires sociales, de l'Aménagement du territoire et du Logement de la Communauté germanophone,

A. ANTONIADIS

Le Président du Collège réuni de la Commission communautaire commune,

R. VERVOORT

Le membre du Collège réuni de la Commission communautaire commune, ayant la Santé et l'Action sociale dans ses attributions

A. MARON

Le membre du Collège réuni de la Commission communautaire commune, ayant la Santé et l'Action sociale dans ses attributions

E. VAN DEN BRANDT

La Ministre-Présidente chargée de la promotion de la santé

B. TRACHTE

Le Ministre, membre du Collège chargé de l'action sociale et de la santé

A. MARON