Certificats de vaccination : les recommandations du réseau eHealth

Conformément aux souhaits du Conseil européen, exprimés notamment dans ses conclusions du 21 janvier dernier (1), les 27 États membres de l’Union européenne (« UE ») travaillent depuis plusieurs semaines sur un projet de certificats de vaccination, dans le cadre du réseau e-santé (ou « eHealth ») (2).

Le 27 janvier dernier, le réseau eHealth a adopté ses « lignes directrices sur la preuve de la vaccination à des fins médicales – éléments d’interopérabilité de base (V.1.1) » (3). Ces dernières visent à harmoniser au sein de l’UE les certificats de vaccination (3).

Ces lignes directrices ciblent principalement aujourd’hui la vaccination contre la Covid-19. Mais à termes, elles pourraient concerner d’autres vaccinations ou prophylaxies.

Objectifs des certificats de vaccination

Les lignes directrices visent à constituer une approche commune des États membres en ce qui concerne leurs certificats de vaccination, notamment contre la Covid-19.

L’objectif est de mettre en place au sein de l’UE un système de reconnaissance mutuelle ou d’interopérabilité des certificats de vaccination « à des fins médicales ». Ainsi, les détenteurs de ces certificats pourront établir notamment qu’ils :

• ont été vaccinés contre la Covid-19 et
• ne seront pas obligés de subir un test lors de leur arrivée sur le territoire d’un autre État membre.

Les États membres pourront décider d’autres finalités pour lesquelles les certificats de vaccination seraient utilisés ; ceci sous réserve de discussions scientifiques, éthiques, juridiques et sociétales.

Certes, ces lignes directrices n’ont pas de caractère contraignant. Mais il est recommandé aux États membres de les prendre en compte s’ils choisissent de mettre en place des certificats de vaccination afin de favoriser leur interopérabilité.

Principe d’interopérabilité des certificats de vaccination

Les lignes directrices prévoient une uniformisation du contenu des certificats de vaccination et posent les bases d’un cadre de confiance qui permettra notamment de garantir l’authenticité et la validité de ces certificats, ainsi que la fiabilité de leur autorité de délivrance.

Uniformisation du contenu

Le contenu uniformisé des certificats de vaccination regroupe :

• un ensemble minimal de données pour chaque certificat, à savoir :
  • identification de la personne (nom, sexe, date de naissance) ;
  • information sur la vaccination (vaccin administré, titulaire de l’AMM, nombre de doses administrées, numéro de lot, date de la vaccination, centre de vaccination) ;
  • métadonnées du certificat de vaccination ; l’annexe 1 des lignes directrices décrit les données concernées ; et
• un identifiant unique de certificat de vaccination/assertion (« UVCI »), se référant à une vaccination complète ou seulement partielle qui est au niveau mondial unique et vérifiable. L’UVCI est un moyen de vérifier l’authenticité du certificat et, si nécessaire, de diriger les personnes vers un système d’enregistrement (par exemple un IIS) ; l’annexe 2 des lignes directrices décrit la composition de l’UVCI.

Détermination d’un cadre de confiance

Les lignes directrices reposent sur les principes suivants :

• simplicité grâce à un système pouvant accueillir à la fois des supports papier et numériques (des processus de vérification différents s’appliqueront selon le type de support) ;
• flexibilité et compatibilité avec les solutions nationales pouvant exister ;
• protection rigoureuse des données personnelles, pour laquelle les mesures nécessaires doivent être développées ;
• approche par étapes, avec l’intervention d’un accord entre États membres à chaque étape du processus.

Au niveau de la conception, une analyse de sécurité et une évaluation des risques devront être effectuées. Le but est d’assurer un niveau de protection suffisant contre la falsification ou la réutilisation de certificats valides émis pour des tiers.

Elles nécessiteront de mener des travaux supplémentaires avec d’autres groupes et organisations dans une approche coordonnée au niveau européen, afin de :

• fournir des mécanismes permettant de vérifier l’autorisation des émetteurs de certificats ;
• permettre la vérification des certificats de vaccination ;
• fournir une aide pour des fonctionnalités supplémentaires, telles que la révocation des certificats émis ;
• analyser les incidences juridiques d’un cadre de confiance ; et
• concevoir une solution conforme au RGPD

Les prochaines étapes

Des travaux ultérieurs devront intervenir au sein du réseau eHealth, notamment pour préciser les mesures à prendre nécessaires concernant :

• la protection des données,
• le cadre de confiance,
• l’enregistrement des vaccinations ou
• l’interopérabilité en général.

A ce jour, quelques États membres se montreraient déjà favorables à la mise en place de certificats de vaccination ; c’est cas par exemple, de la Pologne et du Danemark. En France, l’idée fait toutefois encore débat et paraît prématurée pour certains prématurée, la vaccination n’en étant qu’à ses débuts.

Isabelle Chivoret
Zarine Ramjauny
Lexing Santé numérique

(1) Oral conclusions drawn by president Charles Michel following the video conference of the members of the European Council on 21 January 2021.
(2) Le réseau eHealth a été institué par l’article 14 de la Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers, aux termes duquel : « L’Union soutient et facilite la coopération et l’échange d’informations entre les États membres dans le cadre d’un réseau constitué sur la base du volontariat reliant les autorités nationales chargées de la santé en ligne désignées par les États membres ».
(3) Guidelines on proof of vaccination for medical purposes – basic interoperability elements.