Outils destinés à faciliter les voyages dans l’UE lors de la pandémie de COVID-19 Des initiatives pertinentes, parfois réussies, parfois peu utilisées

Synthèse

I Après la détection des premiers cas de COVID-19 dans l’UE, les États membres ont commencé, en mars 2020, à interdire les voyages et à imposer d’autres restrictions à la libre circulation des citoyens. Pour faciliter les déplacements et contribuer au suivi des cas de COVID-19, la Commission a élaboré quatre outils:

• la passerelle européenne d’interconnexion – destinée à assurer l’interopérabilité à l’échelle de l’UE entre les applications nationales de suivi des contacts;
• le formulaire numérique européen de localisation des passagers – un outil remplaçant les formulaires papier utilisés lors des voyages pour collecter des informations nécessaires au suivi des contacts;
• le certificat COVID numérique de l’UE – un certificat attestant une vaccination, une guérison ou un résultat de test négatif;
• la plateforme d’échange des formulaires de localisation des passagers – une solution permettant l’échange des données de suivi des contacts entre les autorités nationales des différents États membres.

II Notre audit visait à déterminer si la Commission avait élaboré des outils efficaces pour faciliter les voyages dans l’UE pendant la pandémie de COVID-19. Nous avions donc pour but de recenser les exemples de bonnes pratiques et les éléments à améliorer dans la façon dont la Commission développe des outils informatiques pour faciliter la libre circulation lors d’une crise sanitaire. L’audit objet du présent rapport vient compléter celui qui a donné lieu au rapport spécial 13/2022, dans lequel nous avons évalué si la Commission avait pris des mesures efficaces pour protéger le droit des personnes à la libre circulation durant la pandémie de COVID-19.

III Dans l’ensemble, nous estimons, en conclusion, que malgré ses compétences limitées en matière de politique de santé publique, la Commission a agi rapidement en proposant des solutions techniques adaptées pour faciliter les voyages dans l’UE durant la pandémie de COVID-19. Les États membres les ayant utilisés de façon très variable, ces outils n’ont toutefois pas tous eu la même incidence pour ce qui est de faciliter les voyages.

IV La Commission a rapidement mobilisé 71 millions d’euros pour l’élaboration des outils en combinant plusieurs sources de financement et en ayant recours à des contrats-cadres existants plutôt qu’à des procédures d’appel d’offres. La passerelle de suivi des contacts a été disponible peu après le début de la pandémie, tandis que le certificat COVID numérique de l’UE l’a été au moment de l’intensification des efforts de vaccination sur l’ensemble du continent. Les travaux techniques et législatifs concernant ces outils ont été rapides. Cependant, plusieurs États membres avaient déjà élaboré leur propre formulaire numérique de localisation des passagers avant que celui proposé par l’UE soit disponible.

V La Commission a conçu ces outils en tenant compte de l’obligation de garantir la protection des données et des bonnes pratiques en matière de sécurité informatique. Elle n’est toutefois pas compétente pour vérifier que les pays utilisant le certificat COVID numérique de l’UE respectent les exigences de sécurité informatique.

VI Le certificat COVID numérique de l’UE a efficacement facilité les déplacements et a permis d’améliorer le partage d’informations et la coordination en ce qui concerne les restrictions de voyage. Les États membres et de nombreux pays tiers ont largement utilisé le système des certificats numériques de l’UE, dont plus de 1,7 milliard d’exemplaires avaient été émis dans l’UE et l’Espace économique européen (EEE) en mars 2022. En outre, dans le mois qui a suivi l’entrée en vigueur du règlement relatif au certificat COVID numérique de l’UE, les États membres avaient considérablement harmonisé leurs restrictions de voyage. Nous avons toutefois constaté que les procédures mises en place pour que les pays puissent s’informer mutuellement au sujet d’incidents nécessitant une réaction urgente (par exemple l’existence de certificats frauduleux) prenaient du temps en raison de difficultés à identifier les bons interlocuteurs dans les autres pays.

VII Les autres outils que nous avons examinés n’ont pas eu l’incidence recherchée du fait qu’ils ont été peu utilisés. Seuls quatre États membres ont eu recours au formulaire numérique européen de localisation des passagers, tandis que d’autres pays ont continué de s’appuyer sur les solutions élaborées au niveau national. Globalement, l’utilisation de la plateforme d’échange des formulaires et de la passerelle de suivi des contacts est restée limitée.

VIII Sur la base de ces conclusions, nous recommandons à la Commission:

• d’analyser les causes du faible recours aux formulaires numériques européens de localisation des passagers et de s’y attaquer;
• de rendre plus efficace la communication sur les incidents liés aux certificats numériques de l’UE;
• d’élaborer des outils de l’UE pertinents pour faire face aux crises à l’avenir.

Introduction

01 La libre circulation des personnes désigne le droit pour les citoyens de l’UE et les membres de leur famille de circuler et de séjourner librement sur le territoire des États membres. Au cœur du projet européen depuis sa création¹, elle constitue l’une des quatre libertés fondamentales garanties par l’UE (avec la libre circulation des marchandises, celle des services et celle des capitaux). La directive sur la libre circulation² fixe les conditions et les limitations qui s’appliquent.

02 La protection de la santé humaine relève de la compétence des États membres³. La Commission européenne joue donc un rôle limité dans la politique de santé, portant essentiellement sur la coordination⁴. Elle peut appuyer et compléter l’action des États membres, qui disposent d’une grande latitude pour définir leurs propres politiques de santé⁵.

03 Après la détection des premiers cas de COVID-19, les États membres ont commencé, en mars 2020, à imposer des contrôles aux frontières et à restreindre la libre circulation des citoyens afin de limiter la propagation de la pandémie. La Commission est cependant restée chargée de vérifier si ces restrictions étaient conformes à la législation de l’UE relative à la libre circulation. Afin de limiter l’incidence des mesures relatives à la COVID-19 sur la libre circulation, la Commission a pris diverses initiatives dans le but de favoriser la coordination entre les États membres.

04 Elle a également mis au point les outils ci-après pour faciliter les voyages et permettre le suivi des cas de COVID-19 (voir l’annexe I pour une description détaillée de ces outils):

• une passerelle de suivi des contacts, à savoir la passerelle européenne d’interconnexion;
• le formulaire numérique de localisation des passagers;
• le certificat COVID numérique de l’UE;
• une plateforme d’échange de formulaires de localisation des passagers.

05 Les applications de suivi des contacts, qui permettent d’informer de manière anonyme les utilisateurs qu’ils peuvent avoir été en contact avec une personne infectée, ont été parmi les premiers outils disponibles. La Commission a développé un lien entre les applications de suivi des contacts de différents États membres, afin que celles-ci servent également à faciliter les voyages au sein de l’UE.

06 Pendant la pandémie, pour faciliter le suivi des contacts lors des voyages, les passagers ont été invités à fournir leurs coordonnées dans des formulaires de localisation des passagers, transmis aux autorités nationales compétentes. En cas de résultat positif au test de dépistage d’un passager, les autorités utilisaient ces formulaires pour avertir les personnes assises à côté qu’elles feraient bien d’effectuer un test de dépistage de la COVID-19 et de prendre des mesures de précaution. La Commission a mis au point le formulaire numérique européen de localisation des passagers pour simplifier l’utilisation des formulaires nationaux lors des crises sanitaires transfrontières telles que la pandémie de COVID-19. Le troisième programme Santé de l’UE (2014-2020) comportait une action conjointe intitulée «EU Healthy Gateways», dans le cadre de laquelle des formulaires papier pour les transports maritimes et terrestres avaient déjà commencé à être élaborés sur la base de modèles internationaux avant la flambée de COVID-19. Cette action conjointe a ensuite servi à faciliter la numérisation des formulaires de localisation des passagers.

07 La Commission a également mis au point le certificat COVID numérique de l’UE, qui constituait une preuve vérifiable et mutuellement acceptée que son détenteur avait été vacciné contre la COVID-19, avait récemment effectué un test de dépistage avec un résultat négatif ou s’était rétabli de cette maladie. Les États membres sont tenus d’accepter ces certificats lorsqu’ils décident, dans le contexte de la pandémie de COVID-19, de réclamer aux voyageurs une preuve de vaccination, de résultat de test négatif ou de rétablissement.

08 Le dernier outil mis au point par la Commission consistait en une plateforme permettant l’échange des formulaires de localisation des passagers entre les États membres. Grâce à cette plateforme, les équipes en charge du suivi des contacts ont pu échanger directement entre elles des formulaires par voie électronique, ce qui a permis de réduire le délai nécessaire pour avertir les voyageurs à risque.

09 Plusieurs services de la Commission ont pris part à la mise au point de ces outils. La direction générale de la santé et de la sécurité alimentaire et la direction générale des réseaux de communication, du contenu et des technologies étaient les autorités d’exploitation de la passerelle de suivi des contacts. Ces deux directions générales ont également piloté l’élaboration du certificat numérique de l’UE avec la direction générale de la justice et des consommateurs et celle de la migration et des affaires intérieures. En outre, la direction générale de l’informatique a fourni l’infrastructure informatique nécessaire.

10 Les États membres ont aussi participé au développement de ces outils, principalement par l’intermédiaire du réseau «Santé en ligne» (voir encadré 1). Des agences de l’UE telles que le Centre européen de prévention et de contrôle des maladies ou l’Agence européenne des médicaments y ont également contribué. La mise au point des outils de localisation des passagers a été coordonnée par les États membres, dans le cadre d’une action conjointe financée au titre du troisième programme de l’UE dans le domaine de la santé, par l’Agence de l’Union européenne pour la sécurité aérienne et par la direction générale de la mobilité et des transports.

11 La finalité des outils de l’UE était unique en son genre, dans la mesure où elle n’était comparable à celle d’aucun autre système existant au moment où ces outils ont été développés. Pour que les outils de l’UE susmentionnés permettent de faciliter le plus efficacement possible les voyages pendant la pandémie de COVID-19, il importait que tous les États membres les adoptent afin d’assurer une utilisation cohérente des données de santé pour gérer les déplacements dans l’UE et de coordonner leurs restrictions de voyage.

12 Aux 71 millions d’euros mobilisés par la Commission pour soutenir le développement des outils informatiques se sont ajoutés 100 millions d’euros qu’elle a alloués aux États membres pour les aider à supporter la charge financière liée aux tests de dépistage de la COVID-19. Le nombre de certificats COVID numériques émis a aussi augmenté du fait de l’intensification des tests et de la vaccination. Les voyages transfrontaliers dans l’UE peuvent faire intervenir certains de ces outils, voire tous, comme le montre la figure 1.

Étendue et approche de l’audit

13 L’audit objet du présent rapport vient compléter un précédent rapport spécial⁷, dans lequel nous avons évalué si la Commission avait pris des mesures efficaces pour protéger le droit des personnes à la libre circulation pendant la pandémie de COVID-19. Le premier rapport portait sur les vérifications de la Commission concernant les contrôles aux frontières Schengen, sur les restrictions de voyage correspondantes et sur les efforts de coordination au niveau de l’UE.

14 Ce deuxième audit visait à déterminer si la Commission avait élaboré des outils efficaces pour faciliter les voyages dans l’UE pendant la crise liée à la COVID-19. En l’occurrence, nous avons voulu recenser les exemples de bonnes pratiques et les éléments à améliorer dans la façon dont la Commission développe des outils informatiques pour faciliter la libre circulation lors de crises sanitaires. Afin de répondre à la question d’audit principale, nous nous sommes posé les deux sous-questions ci-après.

• La Commission a-t-elle correctement élaboré les outils de l’UE destinés à faciliter les voyages?
• Les États membres ont-ils largement utilisé les outils de l’UE et cela a-t-il permis d’améliorer la coordination et le partage d’informations sur les restrictions de voyage qu’ils ont imposées?

15 Notre audit couvre la période allant d’octobre 2020 à juin 2022 et porte sur les quatre outils de l’UE énumérés au point 04, ainsi que sur les financements de l’UE correspondants. Il ne porte pas sur les financements de l’UE en faveur de la vaccination contre la COVID-19, que nous avons déjà examinés dans notre rapport spécial sur l’acquisition, par l’UE, de vaccins contre cette maladie⁸.

16 Pour l’effectuer, nous nous sommes appuyés sur des examens documentaires, des questionnaires écrits et des entretiens avec les parties prenantes concernées. Nous avons examiné et analysé:

• la législation de l’UE applicable, afin de recenser les principales exigences réglementaires et les responsabilités des différents intervenants;
• les documents internes de la Commission relatifs au développement technique et à l’adoption formelle du certificat COVID numérique de l’UE, de la passerelle européenne d’interconnexion, du formulaire numérique de localisation des passagers et de la plateforme d’échange de formulaires de localisation des passagers;
• les publications de la Commission sur les voyages dans le contexte de la pandémie de COVID-19, telles que les orientations, les communications et les propositions de recommandations ou d’actes législatifs;
• les cahiers des charges, les évaluations de la sécurité et des risques, les rapports de tests d’intrusion et les plans de sécurité informatique relatifs aux outils, afin de permettre à nos experts informatiques de vérifier si les outils remplissent les exigences de sécurité.

17 Pour recueillir des éléments probants, confirmer les faits et corroborer les données collectées auprès d’autres sources, nous avons mené des entretiens d’audit avec des représentants:

• des directions générales (DG) Justice et consommateurs, Mobilité et transports, Santé et sécurité alimentaire et Réseaux de communication, contenu et technologie de la Commission;
• du Centre européen de prévention et de contrôle des maladies, responsables, entre autres, de la cartographie des risques liés à la COVID-19 et des orientations concernant cette maladie;
• des autorités sanitaires des États membres et de pays tiers;
• de compagnies aériennes, du secteur des voyages et d’associations de consommateurs.

18 Nous avons également réalisé une enquête afin d’obtenir un retour d’informations sur l’utilisation de ces outils dans chaque État membre. Sur les 27 délégués des États membres qui composent le dispositif intégré du Conseil pour une réaction au niveau politique dans les situations de crise, 13 ont répondu à notre enquête, ce qui représente un taux de participation de 48 %. Cette enquête a servi à étayer notre analyse et à corroborer nos observations.

Observations

La Commission a mis au point des solutions technologiques appropriées, mais les États membres ne les ont pas toujours adoptées

19 Dans cette section, nous examinons si la Commission a correctement élaboré les outils destinés à faciliter les voyages pendant la pandémie de COVID-19, et notamment si elle a:

1. rapidement mobilisé des fonds de l’Union après le début de la pandémie;
2. livré les outils en temps opportun;
3. tenu compte des besoins des États membres et de leur volonté d’utiliser ces outils;
4. tenu compte des questions de sécurité informatique et de respect de la vie privée en ce qui concerne les données sensibles en matière de santé.

20 Nous avons examiné si les choix opérés par la Commission quant aux sources de financement et aux prestataires de services lui avaient permis de commencer à œuvrer à l’élaboration des outils immédiatement après le début de la pandémie. Nous nous sommes également penchés sur le processus de consultation afin de déterminer si les outils étaient en phase avec les priorités des États membres. Enfin, nous avons vérifié si les outils étaient conformes aux bonnes pratiques en matière de protection des données à caractère personnel et de sécurité informatique.

La Commission a rapidement mobilisé des fonds de l’UE pour élaborer les outils

21 La Commission a mobilisé des fonds de l’UE provenant de différentes sources, telles que l’instrument d’aide d’urgence et le programme pour une Europe numérique. L’UE a alloué 71 millions d’euros au développement des outils. La figure 2 donne une vue d’ensemble du financement des outils par l’UE.

22 Le financement de l’Union pour le certificat numérique de l’UE s’est élevé à 50 millions d’euros (43 millions d’euros au titre de l’instrument d’aide d’urgence et 7 millions d’euros provenant du programme pour une Europe numérique). En mars 2022, 77 % de ce budget avaient été alloués à l’élaboration et à l’adaptation de solutions nationales ainsi qu’à leur mise en relation avec le service passerelle pour le certificat COVID numérique de l’UE: 21,9 millions d’euros avaient été engagés en faveur d’un contractant privé et 16,7 millions d’euros avaient été versés aux États membres sous la forme de subventions.

23 Au total, l’UE a consacré environ 16,8 millions d’euros à la passerelle de suivi des contacts (dont 13 millions d’euros au titre de l’instrument d’aide d’urgence). La Commission a justifié ce financement par la nécessité de faciliter l’échange de données entre pays, afin que les applications nationales permettent d’avertir les utilisateurs ayant été en contact avec un utilisateur de l’application d’un autre pays testé positif à la COVID-19.

24 La plateforme d’échange de formulaires de localisation des passagers et le formulaire numérique européen de localisation des passagers ont nécessité des financements beaucoup moins importants de la part de l’Union, avec respectivement 2,9 millions d’euros (provenant pour l’essentiel de l’instrument d’aide d’urgence) et 1,3 million d’euros (y compris un financement au titre des programmes de l’UE en matière de santé). Les fonds alloués à la plateforme d’échange ont servi à financer un projet pilote visant à évaluer sa faisabilité et à l’étendre à un plus grand nombre d’États membres et de modes de transport. Le financement disponible pour la version numérique des formulaires de localisation des passagers a servi au développement et à l’hébergement en nuage de l’outil ainsi qu’à son transfert vers l’environnement informatique de la Commission européenne.

25 En outre, après le lancement du certificat COVID numérique de l’UE, l’Union a mobilisé 100 millions d’euros pour soutenir les tests de dépistage de la COVID-19 dans les États membres⁹. Ce financement faisait suite à l’accord politique conclu le 20 mai 2021 entre le Parlement européen et le Conseil sur le règlement relatif au certificat COVID numérique de l’UE. Les États membres ont utilisé la grande majorité (90 %) de cette dotation, ce qui a permis de délivrer davantage de certificats fondés sur des tests pour faciliter les voyages.

26 Nous avons constaté que la Commission avait mobilisé ces fonds rapidement et qu’elle avait adopté une approche pragmatique pour élaborer les outils, en adéquation avec la nécessité de les livrer vite. Les outils ont été élaborés dans l’urgence, sans solliciter d’offres auprès de différents contractants. Plutôt que de recourir à des appels d’offres concurrentiels pour acquérir des licences et mettre au point la passerelle de suivi des contacts, le certificat COVID numérique de l’UE et la plateforme d’échange de formulaires de localisation des passagers, la Commission s’est appuyée sur des contrats-cadres qu’elle avait déjà passés avec un fournisseur de services informatiques le 30 octobre 2019 et le 24 février 2020. Les contrats-cadres établissent les conditions générales d’une relation commerciale et servent de base à la signature de contrats spécifiques concernant des livraisons particulières. Dans le cas des formulaires numériques européens de localisation des passagers, le premier financement a été obtenu en juillet 2020 au titre de l’action conjointe «Healthy Gateways» de l’UE, et a résulté de la réaffectation de fonds initialement alloués à des activités rendues impossibles par la pandémie.

27 Dans celui du certificat COVID numérique de l’UE, la Commission a sélectionné le fournisseur en s’appuyant sur un contrat-cadre attribué à l’issue d’une procédure négociée lancée en 2019 sans publication d’un avis de marché. Selon la Commission, le fournisseur retenu possédait une expérience dans le développement de passerelles de suivi des contacts et était le seul à disposer de l’expertise requise pour le logiciel devant servir au certificat COVID numérique de l’UE.

La Commission a mis au point la passerelle de suivi des contacts et le système des certificats COVID numériques de l’UE en temps utile, mais, pour les formulaires de localisation des passagers, les solutions nationales ont précédé celles de l’UE.

28 Lorsque l’Organisation mondiale de la santé (OMS) a qualifié l’épidémie de COVID-19 de pandémie en mars 2020, les États membres ont commencé à imposer des restrictions à la libre circulation¹⁰ et la Commission a commencé à publier des lignes directrices pour les aider à se coordonner¹¹. La passerelle de suivi des contacts a commencé à fonctionner sept mois après que l’état de pandémie a été déclaré, tandis que le certificat numérique de l’UE et le formulaire de localisation des passagers sont devenus opérationnels 15 mois après cette date. La figure 3 retrace la chronologie de la conception et de la mise en œuvre des outils. Compte tenu des exigences juridiques et techniques liées à ces outils qui sont décrites ci-dessous, nous estimons que la passerelle de suivi des contacts et le certificat COVID numérique de l’UE ont été mis au point en temps utile, mais pas les outils relatifs aux formulaires de localisation des passagers.

29 Le premier outil mis au point a été la passerelle de suivi des contacts, un système visant à garantir, à l’échelle de l’UE, l’interopérabilité entre les applications nationales de suivi des contacts. Le 13 mai 2020, la Commission a publié un ensemble d’orientations et de recommandations afin de contribuer à la levée progressive des restrictions de voyage¹² imposées par les États membres. Ces orientations prônaient l’utilisation de la technologie à cette fin. La passerelle est entrée en service en octobre 2020, cinq mois après leur publication par la Commission.

30 À la fin du mois d’avril 2020, soit un mois seulement après que les premières restrictions de voyage ont été imposées, les «Healthy Gateways» de l’UE ont proposé à la Commission de numériser les formulaires de localisation des passagers. Toutefois, les discussions entre la Commission et les États membres ayant duré plusieurs mois, cette proposition n’a été acceptée qu’en août 2020. Le Conseil a recommandé la mise au point d’un formulaire numérique de localisation des passagers commun à toute l’UE¹³ en octobre 2020. À l’époque, plusieurs États membres avaient déjà bien progressé dans l’élaboration de leurs propres solutions nationales (voir tableau 1).

31 À la suite de la recommandation du Conseil, la Commission a entamé les travaux relatifs à la plateforme d’échange de formulaires de localisation des passagers en novembre 2020. Cependant, sa décision d’exécution¹⁴ régissant l’échange de formulaires n’a été adoptée que le 27 mai 2021, et ce n’est qu’en juillet 2021 que les États membres ont réellement pu commencer à échanger des formulaires numériques sur la plateforme.

32 Le quatrième outil mis au point par la Commission est le certificat COVID numérique de l’UE. Ce certificat étant étroitement lié au processus de vaccination de l’UE, les travaux le concernant ont débuté bien après ceux relatifs aux autres outils. Les discussions entre la Commission et les États membres sur un certificat de vaccination contre la COVID-19 étaient en cours depuis novembre 2020 au sein du réseau «Santé en ligne»¹⁵ (voir encadré 1), à savoir depuis que l’Estonie avait présenté le premier projet pilote de certificat de vaccination vérifiable électroniquement.

33 Le 21 décembre 2020, l’Agence européenne des médicaments (EMA) a recommandé l’autorisation du premier vaccin; les premières vaccinations ont ainsi pu débuter quelques jours plus tard dans toute l’UE. Environ un mois plus tard, le 28 janvier 2021, les pays de l’UE ont adopté des lignes directrices de base pour des certificats interopérables de vaccination à des fins médicales¹⁶, prévoyant un identifiant unique pour chaque certificat et établissant les principes d’un cadre de confiance.

34 L’accord politique conclu le 20 mai 2021 entre le Parlement européen et le Conseil sur le règlement relatif au certificat COVID numérique de l’UE a fixé à fin juin la date limite pour la mise en œuvre du dispositif. La Commission a donc dû œuvrer au développement technique parallèlement aux travaux législatifs concernant ce règlement¹⁷. Pour concevoir l’architecture technique, elle s’est appuyée sur l’expérience acquise avec la passerelle de suivi des contacts, ce qui lui a permis d’accélérer le développement de ce nouvel outil. Le 17 mars 2021, la proposition législative de la Commission était prête¹⁸. Le 1^er juin 2021, sept pays ont commencé à utiliser le certificat COVID numérique de l’UE, un mois avant que le règlement entre en vigueur et permette aux citoyens et résidents de l’UE de se voir délivrer des certificats vérifiables et acceptés dans toute l’Union. Le 1^er juillet, tous les États membres de l’UE et de l’EEE étaient connectés au service passerelle pour le certificat COVID numérique de l’UE (à l’exception de l’Irlande, qui ne l’a rejoint que le 14 juillet 2021 en raison d’une cyberattaque menée contre son service national de santé en mai 2021).

35 Le Parlement européen et le Conseil ont adopté le règlement le 14 juin 2021, moins de trois mois après la proposition initiale¹⁹. Il s’agit d’un délai extrêmement court, étant donné que pour les actes législatifs de l’UE adoptés en première lecture, la procédure législative dure en moyenne un peu moins de 18 mois²⁰. Les certificats COVID numériques de l’UE ont ainsi pu être déployés au tout début des vacances d’été et alors que les efforts de vaccination s’intensifiaient sur l’ensemble du continent, l’Union ayant reçu, le 10 juillet 2021, suffisamment de doses pour vacciner 71 % de sa population adulte.

Lors de l’élaboration d’une partie des outils, la Commission n’est pas parvenue à lever les réticences de certains États membres

36 La nécessité de fournir rapidement les outils pour faciliter les voyages pendant la pandémie de COVID-19 a incité la Commission à commencer leur développement sans réaliser d’analyses d’impact au préalable. Ces analyses servent à estimer les effets probables des politiques publiques et à déterminer si une intervention de l’UE est nécessaire. En vertu des lignes directrices de l’UE pour une meilleure réglementation²¹, la Commission est tenue, dans des circonstances normales, d’effectuer une analyse d’impact avant l’adoption de toute nouvelle réglementation. Toutefois, ces lignes directrices précisent également que, dans des circonstances extraordinaires, telles qu’une urgence nécessitant une réaction rapide, il peut s’avérer impossible ou inapproprié de suivre toutes les étapes qu’elles prescrivent.

37 Même si elle n’a pas réalisé d’analyse d’impact, la Commission a consulté les États membres au sujet de la passerelle de suivi des contacts et de la certification numérique, dans le cadre de groupes de travail. Dès décembre 2020, un sous-groupe technique constitué au sein du réseau «Santé en ligne» a étudié les options en vue de soutenir le développement des certificats numériques de vaccination et de faciliter le partage des informations correspondantes entre les États membres. La Commission n’a pas mené de consultations aussi approfondies avant de mettre au point les autres outils. Notre enquête a confirmé que les outils de l’UE que nous avons examinés n’avaient pas tous suscité l’intérêt unanime des États membres.

38 Selon l’enquête, près de la moitié des 11 États membres qui ont déclaré ne pas avoir utilisé les outils relatifs aux formulaires de localisation des passagers étaient réticents à le faire pour des questions de protection des données et d’autres préoccupations d’ordre juridique. Trois États membres ont souligné qu’ils avaient déjà mis au point leurs propres formulaires nationaux de localisation des passagers, adaptés à leurs besoins particuliers, et qu’ils ne voyaient aucun avantage à les remplacer par les solutions de l’UE.

39 En outre, lors des consultations organisées dans le cadre de l’action conjointe «Healthy Gateways» en octobre 2021 et en mars 2022, les États membres de l’UE ont exprimé des avis divergents sur l’utilité des outils relatifs aux formulaires de localisation des passagers. Cinq d’entre eux ont déclaré utiliser au moins un des outils et 10 ont manifesté leur intérêt à le faire, mais 12 ont indiqué qu’il était peu probable qu’ils y recourent, dont deux (le Danemark et la Suède) ont même affirmé qu’ils n’étaient pas intéressés du tout.

40 Pour ce qui est de la passerelle de suivi des contacts, les États membres n’y ont pas tous adhéré lorsqu’elle a été mise à leur disposition en septembre 2020. Ils l’ont adoptée graduellement, en fonction de l’intérêt qu’ils y portaient et de l’état de préparation de leurs applications. À la mi-novembre 2020, six États membres y avaient connecté leurs applications. D’autres ont suivi progressivement jusqu’en juillet 2021, date à laquelle 19 États membres étaient connectés.

La Commission a répondu aux préoccupations relatives à la protection des données et a appliqué les bonnes pratiques en matière de sécurité informatique

41 Deux risques importants doivent être pris en considération lors de la mise au point d’outils pour la gestion des données de santé²²:

1. le risque pour la protection des données – celles concernant la santé sont hautement sensibles et sont considérées comme une catégorie particulière de données dans le règlement général de l’UE sur la protection des données²³. Les outils utilisés pour les gérer doivent donc offrir des garanties et comporter des contrôles spécifiques permettant de protéger les informations stockées et envoyées. Nous avons examiné les analyses d’impact relatives à la protection des données pour les outils concernés et avons vérifié si les processus mis en place permettaient de réduire au maximum le traitement des données à caractère personnel;
2. le risque pour la sécurité informatique – la transition numérique dans le domaine des soins de santé et l’accès aux dossiers médicaux sous format électronique augmentent le risque de cyberincidents, étant donné qu’ils offrent potentiellement de nouveaux points d’accès aux cybercriminels. Nous avons donc vérifié si les outils avaient été mis au point et étaient utilisés conformément aux bonnes pratiques en matière de sécurité²⁴.

42 Du point de vue de la protection des données, les États membres participants sont des «responsables conjoints du traitement des données» (au sens du règlement général sur la protection des données) pour les applications européennes, telles que la passerelle de suivi des contacts et certains volets spécifiques du certificat COVID numérique de l’UE. Ils partagent la responsabilité d’arrêter les modalités et finalités du traitement des données à caractère personnel et de mettre en place des contrôles appropriés. Chacun d’entre eux doit réaliser des analyses d’impact afin de détecter et d’atténuer les risques pouvant découler de l’utilisation de ces applications pour traiter des données à caractère personnel. La Commission, agissant en qualité de «sous-traitant des données» pour le compte des États membres, a aidé ceux-ci à élaborer leurs analyses d’impact relatives à la protection des données pour les outils de l’UE couverts par le présent rapport, en leur fournissant des pièces justificatives et des modèles²⁵. L’utilisation de ces modèles était facultative et la Commission n’était pas chargée de contrôler si les États membres y recouraient ou non.

43 Le certificat COVID numérique de l’UE et la passerelle de suivi des contacts reposent sur une architecture technique qui réduit au maximum la collecte de données à caractère personnel par les passerelles centrales de l’UE. Dans le cas du certificat COVID numérique de l’UE, les données à caractère personnel de chaque citoyen de l’UE restent stockées dans le système national, sous la responsabilité de l’État membre dont il relève. La passerelle centrale de l’UE reçoit uniquement des informations cryptographiques (et, à un stade ultérieur, les listes de révocation) requises pour permettre aux autorités nationales de vérifier la validité des certificats. Quant à la passerelle de suivi des contacts, elle ne traite que des données à caractère personnel pseudonymes, prenant la forme d’identifiants aléatoires (appelés «clés») générés par les applications de suivi des contacts. Cette façon de procéder a considérablement réduit les risques pour la protection des données.

44 Le règlement sur le certificat COVID numérique de l’UE ne prévoit pas de procédure standard pour révoquer les certificats, par exemple lorsqu’ils s’avèrent frauduleux. Les pays participants étaient libres de mettre en œuvre la solution technique de leur choix. La Commission n’était pas chargée d’évaluer la validité de ces solutions du point de vue de la protection des données.

45 Pour garantir la détection des certificats révoqués dans les autres pays, les États membres auraient dû procéder à des échanges bilatéraux de listes de révocation. L’une des préoccupations mises en lumière pendant notre audit était que de tels échanges bilatéraux, avec plusieurs intervenants appliquant des procédures de révocation différentes, étaient inefficaces, notamment lorsque le nombre de nouveaux certificats augmentait.

46 Pour répondre à ces inquiétudes, le 30 mars 2022, soit huit mois après l’introduction du certificat COVID numérique de l’UE, la Commission a publié un cahier des charges et des règles pour la mise en place d’un mécanisme plus efficace permettant l’échange des listes de révocation par l’intermédiaire de la passerelle centrale européenne. Le cahier des charges recommandait également trois technologies pour transmettre les listes de révocation depuis les bases de données nationales vers les applications servant à vérifier les certificats. Pour autant qu’elles soient correctement appliquées, les solutions ainsi proposées peuvent être considérées comme préservant la vie privée, même si l’une d’entre elles (à savoir les filtres de Bloom) tient davantage compte des préoccupations en la matière que les deux autres²⁶. Cependant, leur utilisation était facultative et la Commission n’était pas habilitée à contrôler si les États membres les appliquaient.

47 Les risques en matière de sécurité informatique peuvent être gérés et atténués à l’aide d’un cadre de sécurité informatique structuré²⁷. Un tel cadre est généralement composé de plusieurs éléments, par exemple des dispositions relatives à la gouvernance, ainsi que des politiques, des exigences et des normes de sécurité. Il prévoit également un ensemble de bonnes pratiques, comme la recherche active des faiblesses («analyses de vulnérabilité») et la mise à l’épreuve active des défenses («tests d’intrusion»).

48 La Commission dispose de son propre cadre de sécurité informatique²⁸ qui s’applique à tous les systèmes d’information hébergés dans ses centres de données, y compris la passerelle de suivi des contacts et celle pour les certificats COVID numériques de l’UE. Ce cadre est conforme aux normes internationales²⁹. Il impose à la Commission de réaliser une analyse des risques pour chaque système informatique, de traiter les risques pertinents au moyen d’un plan de sécurité informatique et d’appliquer un ensemble de politiques et de normes formelles en matière de sécurité.

49 La Commission a pris des mesures suffisantes pour garantir la sécurité informatique en ce qui concerne la passerelle de suivi des contacts. Une entreprise spécialisée a réalisé une évaluation de la sécurité portant sur la conception et le code source de la passerelle lorsque le système a été mis en service (en octobre 2020) et elle n’a détecté aucune faiblesse importante. Trois exercices de piratage éthique ont été menés pour obtenir une assurance supplémentaire quant à la sécurité de la passerelle.

50 La Commission a également défini des exigences minimales de sécurité pour les applications nationales de suivi des contacts connectées à la plateforme d’échange de la passerelle européenne. Notre analyse de l’architecture de sécurité et les réponses à notre enquête auprès des États membres ont montré que le processus technique de connexion des systèmes nationaux à la passerelle de l’UE (dit d’«entrée en relation») avait été structuré et tenait compte des aspects liés à la sécurité informatique.

51 Dans le cas des certificats COVID numériques de l’UE, la direction générale de l’informatique a soumis la passerelle à des évaluations de la vulnérabilité et un contractant indépendant a effectué des tests d’intrusion supplémentaires. Ces tests ont confirmé que la manière dont la passerelle centrale était conçue garantissait un niveau élevé de sécurité. La plupart des problèmes détectés concernaient plutôt l’infrastructure que le code source. Les vulnérabilités mises au jour ont fait l’objet d’un suivi. Les consultants qui ont effectué les tests d’intrusion sur la passerelle ont recommandé de réaliser un audit complet sur d’autres composants du système, y compris ceux pouvant être utilisés au niveau national, tels que le service de délivrance des certificats ou les applications mobiles. L’audit en question, achevé en avril 2022, n’a pas remis en cause l’architecture de sécurité de la passerelle.

52 Les États membres et les pays tiers participant au dispositif-cadre pour le certificat COVID numérique de l’UE généraient les certificats dans leurs systèmes nationaux. Si ces derniers avaient été compromis et que des tiers non autorisés y avaient eu accès, des utilisateurs malveillants auraient pu délivrer des certificats «valides» alors qu’ils étaient en réalité frauduleux. La diffusion de tels certificats sur une grande échelle aurait pu avoir une incidence sur la liberté de circulation en sapant la confiance dans le certificat COVID numérique de l’UE, ce qui aurait augmenté le risque que les États membres réintroduisent des restrictions supplémentaires. Il importait donc de veiller à ce que les systèmes nationaux soient assortis de contrôles de sécurité adéquats.

53 Pour les contrôles de sécurité associés aux systèmes des États participants, la Commission s’est également appuyée sur des questionnaires d’autoévaluation remplis par les pays. Elle n’était toutefois pas habilitée à vérifier s’ils étaient véritablement conformes (par exemple, au regard des rapports sur les analyses de vulnérabilité, des rapports d’audit, des plans d’action ou des certifications internationales), ce qui limitait l’assurance quant à la posture de sécurité des systèmes nationaux.

54 Or les entretiens que nous avons menés ont confirmé qu’un incident de sécurité informatique s’était produit dans un pays hors UE. La solution nationale utilisée dans ce pays comportant une vulnérabilité, des utilisateurs non autorisés ont pu accéder à l’application et générer des certificats illégaux au niveau national, jusqu’à ce que l’incident soit détecté et résolu. Selon le rapport d’incident établi par le pays en question, cela ne concernait que quelques certificats.

55 Aucune solution technique ne permet d’atténuer tous les risques. Par exemple, même les contrôles de sécurité les plus élaborés ne peuvent empêcher des employés autorisés ayant légitimement accès aux systèmes nationaux d’abuser de leurs prérogatives pour établir des certificats frauduleux.

56 Un échange rapide d’informations entre les autorités compétentes est donc nécessaire pour que les incidents, tels que la délivrance de certificats frauduleux, puissent être signalés et résolus. Les États membres et les pays tiers que nous avons consultés nous ont indiqué que le signalement de ces problèmes prenait du temps en raison de difficultés à identifier les bons interlocuteurs dans les autres pays.

57 Pour ce qui est des formulaires numériques européens de localisation des passagers et de la plateforme d’échange, les pratiques recommandées en matière de sécurité informatique³⁰ qui ont été appliquées sont les suivantes: authentification à deux facteurs, protocoles de communication sécurisés, pare-feux d’applications web et contrôles d’accès physique. Le contractant a également réalisé une analyse des risques informatiques et mis en place une procédure structurée pour l’entrée en relation des pays avec le système.

58 Toutefois, le premier test d’intrusion dans le système n’a eu lieu qu’en mars 2022, soit un an après la connexion du premier pays. À la suite de ce test, le prestataire externe a élaboré un plan de mise en œuvre pour donner suite aux conclusions. Cela signifie que le système a fonctionné pendant un an avec des vulnérabilités non détectées.

Les outils de l’UE n’ont pas tous eu la même incidence pour ce qui est de faciliter les voyages pendant la pandémie de COVID-19

59 Dans cette section, nous examinons si les outils de l’UE ont permis de faciliter les voyages dans l’UE durant les premières années de la pandémie de COVID-19. Nous avons notamment examiné si ces outils:

1. ont été largement utilisés par les États membres, sans quoi ils n’auraient pas pu être efficaces;
2. ont permis d’améliorer la coordination et le partage d’informations entre les États membres en ce qui concerne l’imposition de restrictions de voyage, et donc de régler deux problèmes qui, comme nous l’avons constaté précédemment³¹, entravaient les voyages dans l’UE.

60 Nous avons compilé et analysé les données relatives à l’utilisation des outils par les États membres. Nous avons également comparé les restrictions de voyage imposées par les États membres avant la mise en place du certificat COVID numérique de l’UE à celles en vigueur après.

Peu utilisés dans les États membres, les outils liés au formulaire européen de localisation des passagers et la passerelle de suivi des contacts n’ont pas eu l’incidence escomptée

61 Les outils de l’UE devaient être largement utilisés pour avoir l’incidence escomptée. Le tableau 2 montre de manière synthétique quels outils ont été utilisés par chaque État membre. Il en ressort que le certificat COVID numérique de l’UE est le seul outil auquel tous les États membres ont eu recours.

62 Pour ce qui est de maîtriser la propagation de la COVID-19 et de faciliter les voyages en toute sécurité, les formulaires numériques européens de localisation des passagers et la plateforme d’échange de l’UE n’ont pas eu de véritable incidence, les États membres ne les ayant pas suffisamment utilisés.

63 Seuls quatre États membres ont eu recours au formulaire numérique européen de localisation des passagers³², tandis que 17 autres ont continué de s’appuyer sur les solutions élaborées au niveau national. Sur quelque 27 millions de formulaires délivrés jusqu’en février 2022, 91,6 % (24,7 millions) l’ont été en Italie.

64 De même, la plateforme d’échange a été très peu utilisée. En théorie, elle pouvait servir à échanger des informations à partir de n’importe quelle plateforme nationale, mais elle a surtout été adoptée par les pays qui utilisaient également les formulaires de l’UE. L’utilisation de la plateforme est restée globalement négligeable, avec seulement trois formulaires échangés en 2021 et 253 au cours des deux premiers mois de 2022. Sur ces 256 formulaires, 255 provenaient d’Espagne.

65 Le recours aux applications de suivi des contacts variait considérablement d’un État membre à l’autre. Certains États membres n’ont adopté aucune application de ce type. Dans ceux qui en ont adopté une, la part de la population ayant téléchargé l’application est restée limitée. Toutes applications de suivi des contacts confondues, les citoyens de l’UE ont effectué au total 74 millions de téléchargements (chiffres d’octobre 2021). Aucune statistique n’est toutefois disponible au niveau de l’UE sur le nombre de personnes qui les ont réellement utilisées.

66 Le 22 mai 2022, alors que le nombre total de cas confirmés de COVID-19 dépassait les 522 millions³³, 55 millions d’identifiants avaient été téléchargés depuis les téléphones des utilisateurs. Les données de la passerelle de suivi des contacts montrent que l’utilisation des outils de suivi des contacts était inégale d’un État membre à l’autre, l’Allemagne représentant à elle seule 83 % des identifiants transmis par les utilisateurs (voir annexe II).

67 D’une manière générale, les outils examinés ont été mis au point pour répondre à des besoins urgents et il était donc plus difficile d’établir systématiquement des synergies entre eux. Par exemple, bien qu’ils soient intrinsèquement liés, le formulaire numérique européen de localisation des passagers et la plateforme d’échange des formulaires ont été élaborés séparément (dans le cadre de l’action conjointe «Healthy Gateways» de l’UE pour le premier et par l’Agence de l’Union européenne pour la sécurité aérienne pour la seconde). De même, les orientations sur l’utilisation combinée du certificat COVID numérique de l’UE et du formulaire de localisation des passagers, disponibles au niveau de l’UE après le déploiement de chacun de ces outils, n’ont pas encore été mises en œuvre.

68 Étant donné que les outils ont été conçus pour être exploités à court terme, aucune procédure souple n’a été mise en place pour les utiliser à plus long terme ou pour les réactiver rapidement en cas de besoin. À titre d’exemple, l’actuelle base juridique du certificat COVID numérique de l’UE, qui expire en juin 2023, aurait besoin d’être renouvelée par le Parlement européen et le Conseil sur proposition de la Commission. Lors de notre audit, la Commission a souligné qu’il serait juridiquement et techniquement très difficile de rétablir rapidement le système des certificats.

Les États membres ont largement utilisé le certificat COVID numérique de l’UE, ce qui a permis de faciliter les voyages

69 Le service passerelle de l’UE pour les certificats numériques a été lancé le 1^er juin 2021. Sept États membres y étaient alors connectés. Un mois et demi plus tard, l’ensemble des 27 États membres de l’UE l’étaient. Cet outil proposé par la Commission a également suscité beaucoup d’intérêt en dehors de l’UE. En juillet 2022, 45 pays et territoires non-membres de l’UE avaient adopté son cadre pour le certificat COVID numérique de l’UE.

70 Au 13 octobre 2021, les États membres avaient délivré 585 millions de certificats. Cinq mois plus tard, ce chiffre atteignait 1,7 milliard, dont une majorité de certificats (1,1 milliard) pour attester une vaccination. Si ce nombre est supérieur à la population de l’UE, c’est parce que plusieurs certificats peuvent concerner une même personne (par exemple des certificats de test délivrés avant la vaccination). Un certificat COVID numérique de l’UE était généré pour chaque vaccination, résultat de test de dépistage ou rétablissement. Le certificat COVID numérique de l’UE a été utilisé pour faciliter les voyages, mais aussi pour contrôler l’accès aux espaces publics tels que les restaurants ou les salles de spectacles dans les États membres. La figure 4 présente une ventilation de ces 1,7 milliard de certificats COVID numériques de l’UE par État membre.

71 Les outils examinés dans le présent rapport visaient à faciliter les voyages sûrs. La pandémie a poussé les États membres à introduire toute une série de restrictions de voyage. Dans notre rapport spécial sur la libre circulation dans l’UE pendant la pandémie de COVID-19³⁴, nous avons conclu qu’en juin 2021, les États membres appliquaient encore, sans coordination, de nombreuses restrictions de voyage, comme la nécessité de présenter un test PCR négatif, l’obligation de quarantaine ou des interdictions d’entrée sur leur territoire.

72 En effet, jusqu’à la mise en place du certificat COVID numérique de l’UE, les restrictions à l’entrée pour les voyageurs étaient en rapport avec le niveau de risque sanitaire de leur zone géographique de provenance. Cette situation a changé en juillet 2021 avec l’entrée en vigueur du règlement sur le certificat COVID numérique de l’UE, les restrictions ayant rapidement commencé à viser les individus plutôt que les zones géographiques et étant principalement liées à la détention ou non d’un certificat valide.

73 Le règlement sur le certificat COVID numérique de l’UE, qui a conduit à cette évolution de la nature des restrictions de voyage, a également instauré un nouveau mécanisme formel visant à améliorer le partage d’informations en la matière. Depuis son entrée en vigueur, chaque État membre qui a l’intention d’imposer de nouvelles restrictions doit en informer la Commission et les autres États membres, et en préciser les raisons, l’étendue et la durée. En mars 2022, 13 États membres avaient transmis des informations en application de cette disposition.

74 En juillet 2021, la consultation de la Commission sur les restrictions de voyage a révélé que tous les États membres (à l’exception de la Grèce, de l’Italie et de la Hongrie, qui n’ont répondu que plus tard) avaient levé leurs restrictions pour les titulaires d’un certificat COVID numérique de l’UE. La figure 5 montre les différences entre les restrictions de voyage appliquées en juin 2021, avant la mise en place du système de certificats, et celles imposées juste après (en juillet 2021). Douze des 13 États membres qui ont répondu à notre enquête ont reconnu que le certificat COVID numérique de l’UE avait contribué à coordonner les restrictions de voyage entre les États membres.

Conclusions et recommandations

75 Nous estimons, en conclusion, que malgré ses compétences limitées en matière de politique de santé publique, la Commission a agi rapidement en proposant des solutions techniques adaptées pour faciliter les voyages dans l’UE pendant la pandémie de COVID-19. Toutefois, l’incidence de certains de ces outils dépend de la volonté des États membres de les utiliser. Si le certificat COVID numérique de l’UE a rencontré un franc succès et s’est avéré efficace pour faciliter les voyages, les autres outils ont eu un impact plus modeste en raison de leur utilisation limitée.

76 La Commission a rapidement mobilisé 71 millions d’euros pour l’élaboration des outils en combinant plusieurs sources de financement et en ayant recours à des contrats-cadres existants plutôt qu’à des procédures d’appel d’offres. La finalité des outils était unique en son genre, dans la mesure où elle n’est comparable à celle d’aucun autre système existant (points 21 à 27).

77 La Commission a produit la passerelle de suivi des contacts et le certificat COVID numérique de l’UE en temps utile. La passerelle, conçue pour assurer l’interopérabilité entre les applications nationales, a été mise en service en octobre 2020, sept mois après que l’Organisation mondiale de la santé (OMS) a qualifié l’épidémie de COVID-19 de pandémie. Facilité par l’expérience acquise avec ladite passerelle, le développement technique du certificat COVID numérique de l’UE a été achevé avant que les États membres aient fini de mettre en œuvre leurs plans de vaccination. Le processus législatif en vue de l’adoption du certificat COVID numérique de l’UE a également été beaucoup plus rapide que d’habitude (points 28 à 35).

78 La Commission n’est pas parvenue à lever les réticences de certains États membres à utiliser les solutions proposées par l’UE pour les formulaires de localisation des passagers, qui ont été livrées alors que plusieurs États membres avaient déjà mis au point leurs propres outils. De ce fait, ces solutions n’ont été utilisées que par cinq États membres (points 36 à 40).

Recommandation n° 1 – Analyser les causes du faible recours aux formulaires numériques européens de localisation des passagers et s’y attaquer

La Commission devrait s’attaquer aux causes du faible recours aux formulaires numériques européens de localisation des passagers et à la plateforme d’échange de l’UE, ainsi que promouvoir une utilisation accrue de ces outils par les États membres en cas de futures vagues de COVID-19.

Quand? Décembre 2023 au plus tard

79 Dans l’ensemble, la Commission a tenu compte des exigences relatives à la protection des données et des bonnes pratiques en matière de sécurité informatique lorsqu’elle a conçu les outils. Ces outils réduisent au maximum l’utilisation des données à caractère personnel (points 42 à 43). Des évaluations des risques pour la sécurité et des tests d’intrusion ont en général été systématiquement effectués, sauf dans le cas du formulaire numérique européen de localisation des passagers, où, en raison de la réalisation tardive des tests de sécurité, le système a fonctionné pendant un an avec des vulnérabilités non détectées (points 47 à 51, 57 et 58).

80 En ce qui concerne le certificat COVID numérique de l’UE, les pays participants ont dû procéder à des échanges bilatéraux de listes de certificats frauduleux en utilisant différents canaux de communication. Cette approche rend moins efficace le blocage des certificats frauduleux. En mars 2022, la Commission a proposé des solutions viables pour résoudre ce problème, mais leur utilisation était facultative (points 44 à 46). En outre, les procédures mises en place pour que les pays puissent s’informer mutuellement au sujet d’incidents nécessitant une réaction urgente (par exemple l’existence de certificats frauduleux) prennent du temps (points 55 et 56).

Recommandation n° 2 – Rendre plus efficace la communication sur les incidents liés aux certificats numériques de l’UE

La Commission devrait faciliter la communication directe entre les personnes de contact officielles de chaque pays participant au dispositif relatif aux certificats COVID numériques de l’UE, afin de permettre une communication plus efficace en cas d’urgence concernant ces derniers.

Quand? Juin 2023 au plus tard

81 Les codes utilisés dans les certificats COVID numériques de l’UE étant générés par les systèmes nationaux des pays participants, ces systèmes devaient comporter des contrôles de sécurité adéquats. La Commission s’est appuyée sur les autoévaluations de la sécurité informatique effectuées par les pays participants, parce qu’elle n’est pas habilitée à vérifier si ces contrôles sont effectivement conformes aux exigences de sécurité, ce qui limite l’assurance quant à la posture de sécurité des systèmes nationaux (points 52 à 54).

82 Les formulaires européens de localisation des passagers et la passerelle de suivi des contacts n’ont pas eu l’incidence escomptée, parce qu’ils ont été peu utilisés. Seuls quatre États membres ont eu recours au formulaire numérique européen de localisation des passagers, tandis que d’autres pays ont continué de s’appuyer sur les solutions élaborées au niveau national. Globalement, l’utilisation de la plateforme pour échanger des formulaires de localisation des passagers est restée négligeable, avec seulement trois formulaires échangés en 2021 et 253 au cours des deux premiers mois de 2022. La passerelle de suivi des contacts a pâti du succès mitigé des applications de suivi au niveau national, et le trafic a très majoritairement été généré par un seul pays (points 61 à 67).

83 Les outils que nous avons examinés ont été mis au point pour répondre à des besoins urgents, et fonctionnent indépendamment les uns des autres. De ce fait, et en raison de la diversité des solutions nationales relatives aux formulaires de localisation des passagers, il a été plus difficile d’assurer une adoption homogène des outils de l’UE. Ceux-ci ont également été conçus pour être exploités à court terme en réponse à la crise sanitaire. Aucune procédure spécifique n’a été mise en place pour les utiliser à plus long terme ou pour les réactiver rapidement en cas de besoin. La base juridique actuelle du certificat COVID numérique de l’UE expire en juin 2023 et son renouvellement éventuel devrait s’effectuer suivant la procédure législative standard de l’UE (point 68).

84 Nous avons constaté que les certificats COVID numériques de l’UE avaient efficacement facilité les voyages pendant la pandémie de COVID-19. Les États membres et plusieurs pays tiers ont largement eu recours à ces certificats, dont plus de 1,7 milliard d’exemplaires avaient été émis dans l’UE et l’EEE en mars 2022. Nous avons en outre observé que dans le mois qui a suivi l’entrée en vigueur du règlement relatif au certificat COVID numérique de l’UE, les États membres avaient considérablement harmonisé leurs restrictions de voyage. Plus précisément, l’ensemble des États membres avaient levé les restrictions de déplacement pour tout citoyen de l’UE détenteur d’un tel certificat qui avait été vacciné contre la COVID-19, avait récemment reçu un résultat négatif à un test de dépistage ou s’était rétabli de cette maladie.

85 La mise en place du certificat COVID numérique de l’UE a en outre amélioré le partage d’informations et la coordination en ce qui concerne les restrictions de voyage, étant donné que le règlement applicable impose aux États membres de signaler et de justifier l’introduction de telles restrictions (points 69 à 74).

Recommandation n° 3 — Élaborer des outils de l’UE pertinents pour faire face aux crises futures

La Commission devrait:

1. recenser les outils de l’Union créés pendant la pandémie de COVID-19 qui ont été le plus utiles aux citoyens et aux États membres et élaborer des procédures pour les réactiver rapidement en cas d’urgence;
2. par des synergies ou des simplifications, rendre les outils de l’UE destinés à faciliter le suivi des contacts durant les crises plus facilement accessibles aux citoyens européens;
3. analyser, en collaboration avec les États membres, la nécessité de disposer d’outils supplémentaires pour faire face à d’éventuelles crises futures.

Quand? En septembre 2023 au plus tard pour les recommandations sous a) et c) et d’ici septembre 2024 pour la recommandation sous b)

Le présent rapport a été adopté par la Chambre III, présidée par Bettina Jakobsen, Membre de la Cour des comptes, à Luxembourg le 22 novembre 2022.

Annexes

Annexe I – Description des outils de l’UE qui ont facilité les voyages en toute sécurité pendant la pandémie de COVID-19

Passerelle européenne d’interconnexion

La passerelle européenne d’interconnexion est un système destiné à assurer l’interopérabilité entre les applications nationales de suivi des contacts. Ces applications ont été mises au point pour informer les citoyens des contacts potentiellement à risque et contribuer ainsi à briser les chaînes de transmission de la COVID-19.

Une application de suivi des contacts enregistre en permanence ceux qui ont lieu entre ses utilisateurs. Elle génère une nouvelle «clé» (à savoir un identifiant) pour son utilisateur toutes les 15 minutes afin de protéger sa vie privée. L’application utilise la technologie Bluetooth pour détecter les téléphones portables des autres utilisateurs situés à proximité et procéder à un échange de clés. À chaque fois que des utilisateurs se croisent, un échange de clés a lieu entre eux. Ces clés sont stockées sur les téléphones des deux utilisateurs.

Lorsqu’un utilisateur est testé positif à la COVID-19, il le déclare dans l’application, qui transmet au serveur d’arrière-plan national de son pays toutes les clés enregistrées sur son téléphone au cours des 14 derniers jours. Les clés de l’utilisateur infecté sont alors transmises depuis ce serveur aux applications de tous les autres utilisateurs, où elles sont comparées aux clés stockées sur leur téléphone. S’il y a concordance, cela signifie que cet utilisateur s’est trouvé à proximité de la personne testée positive et l’application l’en avertit.

La majorité des États membres ont adopté cette approche décentralisée, qui veut que les combinaisons de clés stockées sur le téléphone des personnes infectées soient envoyées aux applications des utilisateurs et que la comparaison se fasse sur le téléphone de chacun d’entre eux. Quelques États membres ont choisi une approche plus centralisée, dans le cadre de laquelle la comparaison des clés et la mise en correspondance avec les appareils des utilisateurs sont effectuées sur les serveurs centraux nationaux.

Les plateformes nationales de suivi des contacts qui ont adopté l’approche décentralisée et dont les composantes technologiques sont compatibles peuvent échanger entre elles, par l’intermédiaire de la passerelle de suivi des contacts de l’UE, les clés anonymisées des personnes infectées. Les voyageurs peuvent ainsi utiliser leur application nationale de suivi des contacts lorsqu’ils se rendent dans un autre pays connecté à la passerelle de l’UE.

Formulaire numérique de localisation des passagers

Les formulaires de localisation des passagers permettent aux autorités sanitaires de prendre plus facilement contact avec les passagers qui ont été exposés à une maladie infectieuse durant un déplacement en avion, en train, en bateau ou en bus. L’Organisation mondiale de la santé et l’Organisation de l’aviation civile internationale avaient déjà commencé à mettre au point ces formulaires lors de précédentes épidémies (notamment celle d’Ébola).

Généralement, les pays qui imposaient de remplir un formulaire de localisation des passagers utilisaient souvent des formulaires papier. Toutefois, ces derniers présentent des limites importantes: ils peuvent être difficiles à lire et les données qu’ils contiennent ne peuvent faire l’objet d’un traitement automatisé qu’après avoir été saisies manuellement dans des systèmes informatiques. Ces limitations ont incité de nombreux pays à opter pour des versions électroniques. Une application web de l’UE (le «formulaire numérique européen de localisation des passagers») a été mise au point pour simplifier l’utilisation des formulaires de localisation des passagers en cas de menaces transfrontières pour la santé, telles que la COVID-19.

Les voyageurs remplissent le formulaire en ligne avec les détails de leur voyage et reçoivent un code à réponse rapide («code QR») unique. Les autorités compétentes des pays de destination peuvent scanner ce code pour vérifier que les passagers ont fourni les informations requises. La version numérique du formulaire vise à faciliter et à accélérer la collecte et l’échange de données entre les parties prenantes, dans le but de rendre le suivi des contacts plus efficient et plus efficace.

Service d’échange de formulaires de localisation des passagers

Lorsqu’un voyageur est testé positif à la COVID-19, les données collectées par un pays à l’aide des formulaires de localisation des passagers peuvent devoir être fournies en toute sécurité aux autres pays concernés aux seules fins du suivi des contacts COVID-19. Compte tenu des limites de l’actuel système européen d’échange d’informations en matière de santé (le «système d’alerte précoce et de réaction»), la Commission a décidé de mettre en place une plateforme spécifique pour l’échange, entre différents systèmes nationaux, des données recueillies à l’aide des formulaires de localisation des passagers.

La plateforme d’échange de formulaires de localisation des passagers permet la transmission sécurisée de données cryptées entre les autorités nationales compétentes et ne stocke aucune donnée. Les autorités des États membres peuvent se connecter par l’intermédiaire des systèmes soit nationaux, soit de l’UE, de formulaires numériques de localisation des passagers.

Certificat COVID numérique de l’UE

Le certificat COVID numérique de l’UE atteste que son détenteur a été vacciné contre la COVID-19, a reçu un résultat négatif à un test de dépistage ou s’est rétabli de cette maladie. Il est délivré par les autorités nationales compétentes.

Les certificats peuvent être délivrés tant sur support papier que sous format électronique. Dans les deux cas, ils contiennent un code QR qui les protège contre la falsification. La sécurité de cette solution repose sur l’utilisation de clés de chiffrement publiques et privées. Il y a donc deux clés: une clé privée, qui sert à signer numériquement le code QR, et une clé publique, qui permet de vérifier la signature numérique.

Chaque autorité de délivrance dispose de sa propre clé privée et de la clé publique correspondante. Les clés privées sont stockées de manière sécurisée, alors que les clés publiques sont partagées dans la base de données centrale nationale. L’autorité compétente met son système de délivrance à la disposition des acteurs du secteur de la santé (par exemple les hôpitaux et les centres de dépistage) sur autorisation afin de leur permettre de signer numériquement les certificats.

Les applications utilisées pour vérifier l’authenticité des certificats COVID numériques de l’UE obtiennent les clés publiques à partir des bases de données nationales. Les bases de données nationales s’échangent les clés publiques par l’intermédiaire du service passerelle pour le certificat COVID numérique de l’UE. Cette passerelle permet donc la vérification mutuelle des certificats entre les différents pays.

Annexe II – Recours aux applications de suivi des contacts dans l’UE

Les applications de suivi des contacts n’ont pas rencontré le même succès partout dans l’UE. Elles n’ont été téléchargées par plus de 50 % de la population que dans deux États membres seulement. La figure ci-après montre la diversité des situations dans les États membres où une application décentralisée de suivi des contacts était utilisée.

Le fait de télécharger l’application ne signifie pas nécessairement que la fonction de suivi des contacts a effectivement été utilisée. Pour cela, il faut que le citoyen ait activé l’application et qu’il ait déclaré volontairement la positivité de son test de dépistage de la COVID-19. Lorsqu’un utilisateur déclare avoir été testé positif, les clés concernées sont téléchargées depuis son téléphone vers la passerelle de suivi des contacts. Les données extraites de la passerelle indiquent que l’utilisation de la fonction de suivi des contacts variait d’un État membre à l’autre. Elles montrent également que l’écrasante majorité des clés téléchargées vers la passerelle provenaient d’un seul pays.

Glossaire

Analyse de vulnérabilité: processus d’inspection d’un dispositif réseau, d’un système informatique ou d’une application visant à détecter les éventuels problèmes et points faibles.

Contrôles aux frontières: vérifications et surveillance effectuées à une frontière sur les personnes qui la franchissent ou ont l’intention de le faire.

Espace Schengen: espace composé de 26 pays européens qui ont supprimé les contrôles des passeports et de l’immigration à leurs frontières communes.

Responsable du traitement: au sens du règlement général sur la protection des données, personne ou organisation qui détermine les finalités et les moyens du traitement de données à caractère personnel.

Test d’intrusion: méthode d’évaluation de la sécurité d’un système informatique consistant en des tentatives visant à forcer ses dispositifs de sécurité au moyen de techniques et d’outils utilisés habituellement par les cybercriminels.

Réponses de la Commission européenne

https://www.eca.europa.eu/fr/Pages/DocItem.aspx?did=62947.

Calendrier

https://www.eca.europa.eu/fr/Pages/DocItem.aspx?did=62947.

Équipe d’audit

Les rapports spéciaux de la Cour présentent les résultats de ses audits relatifs aux politiques et programmes de l’Union ou à des questions de gestion concernant des domaines budgétaires spécifiques. La Cour sélectionne et conçoit ces activités d’audit de manière à maximiser leur impact en tenant compte des risques pour la performance ou la conformité, du niveau des recettes ou des dépenses concernées, des évolutions escomptées ainsi que de l’importance politique et de l’intérêt du public.

L’audit de la performance objet du présent rapport a été réalisé par la Chambre III (Action extérieure, sécurité et justice), présidée par Bettina Jakobsen, Membre de la Cour. L’audit a été effectué sous la responsabilité de Baudilio Tomé Muguruza, Membre de la Cour, assisté de: Daniel Costa De Magalhaes, chef de cabinet; Ignacio Garcia de Parada Miranda, attaché de cabinet; Alejandro Ballester-Gallardo, manager principal; Piotr Senator, chef de mission; João Coelho, Mirko Iaconisi, Ioanna Topa et Andrej Minarovic, auditeurs. L’assistance linguistique a été fournie par Michael Pyper.

De gauche à droite: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi et Michael Pyper.

Notes

¹ Article 20, paragraphe 2, point a), et article 21, paragraphe 1, du traité sur le fonctionnement de l’UE (TFUE).

² Directive 2004/38/CE.

³ Article 168, paragraphe 7, du TFUE.

⁴ Article 17 du traité sur l’Union européenne (TUE).

⁵ Article 4, paragraphe 2, point k), article 6, point a), et article 168 du TFUE.

⁶ Directive 2011/24/UE relative à l’application des droits des patients en matière de soins de santé transfrontaliers.

⁷ Rapport spécial 13/2022.

⁸ Rapport spécial 19/2022.

⁹ Déclaration de la Commission du 15 juin 2021.

¹⁰ Voir figure 4 du rapport spécial 13/2022.

¹¹ Lignes directrices relatives aux mesures de gestion des frontières visant à protéger la santé publique et à garantir la disponibilité des biens et des services essentiels, C(2020) 1753 final, JO C 86 I du 16.3.2020.

¹² Communications C(2020) 3250, C(2020) 3251 et C(2020) 3139 de la Commission.

¹³ Recommandation (UE) 2020/1475 du Conseil.

¹⁴ Décision d’exécution (UE) 2021/858 de la Commission.

¹⁵ «Santé en ligne et COVID-19», site internet de la Commission européenne.

¹⁶ Réseau «Santé en ligne», «Guidelines on verifiable vaccination certificates - basic interoperability elements» (lignes directrices concernant les certificats de vaccination vérifiables et les éléments d’interopérabilité de base), 12 mars 2021.

¹⁷ Règlement (UE) 2021/953.

¹⁸ Proposition de règlement COM(2021) 130.

¹⁹ Procédure 2021/0068/COD.

²⁰ Rapport d’activité «Évolution et tendances de la procédure législative ordinaire», Parlement européen.

²¹ Better Regulation Guidelines (lignes directrices pour une meilleure réglementation) [SWD(2017) 350], 7 juillet 2017.

²² ENISA,Taking Care of Health Data.

²³ Règlement (UE) 2016/679 du Parlement européen et du Conseil.

²⁴ ISACA,Certified Information System Auditor review manual, 2019; Organisation internationale de normalisation et Commission électrotechnique internationale, norme ISO/IEC 27001.

²⁵ Notamment un modèle d’analyse de risques relative à la protection des données (Draft Data Protection Risk Assessment –DPRA-DRAFT).

²⁶ Réseau «Santé en ligne», «EU DCC Revocation — B2A Communication between the Backend and the Applications», section 4.6.3.

²⁷ ISACA,Certified Information System Auditor review manual, 2019.

²⁸ Décision (UE, Euratom) 2017/46 de la Commission sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne et décision C(2017) 8841 de la Commission du 13 décembre 2017 portant modalités d’application des articles 3, 5, 7, 8, 9, 10, 11, 12, 14 et 15 de la décision (UE, Euratom) 2017/46.

²⁹ Organisation internationale de normalisation et Commission électrotechnique internationale, normes ISO/IEC 27001, 27002, 27005 et 27035.

³⁰ Organisation internationale de normalisation et Commission électrotechnique internationale, norme ISO/IEC 27001.

³¹ Rapport spécial 13/2022, points 69 et 75.

³² Fiches de traçabilité numériques européennes.

³³ OMS,Weekly epidemiological update on COVID-19 (Rapport hebdomadaire sur la COVID-19), 25 mai 2012.

³⁴ Rapport spécial 13/2022.

Contact

COUR DES COMPTES EUROPÉENNE
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG

Tél. +352 4398-1
Contact: eca.europa.eu/fr/Pages/ContactForm.aspx
Site internet: eca.europa.eu
Twitter: @EUAuditors

De nombreuses autres informations sur l'Union européenne sont disponibles sur l'internet via le serveur Europa (https://europa.eu).

Luxembourg: Office des publications de l'Union européenne, 2023

PDF	ISBN 978-92-847-9239-9	ISSN 1977-5695	doi:10.2865/896099	QJ-AB-22-027-FR-N
HTML	ISBN 978-92-847-9244-3	ISSN 1977-5695	doi:10.2865/98098	QJ-AB-22-027-FR-Q

DROITS D’AUTEUR

© Union européenne, 2023

La politique de réutilisation de la Cour des comptes européenne est définie dans la décision n° 6-2019 de la Cour des comptes européenne sur la politique d’ouverture des données et la réutilisation des documents.

Sauf indication contraire (par exemple dans une déclaration distincte concernant les droits d’auteur), le contenu des documents de la Cour, qui appartient à l’UE, fait l’objet d’une licence Creative Commons Attribution 4.0 International (CC BY 4.0). Ainsi, en règle générale, vous pouvez en réutiliser le contenu à condition de mentionner la source et d’indiquer les modifications éventuelles que vous avez apportées. Si vous réutilisez du contenu de la Cour des comptes européenne, vous avez l’obligation de ne pas altérer le sens ou le message initial des documents. La Cour des comptes européenne ne répond pas des conséquences de la réutilisation.

Vous êtes tenu(e) d’obtenir une autorisation supplémentaire si un contenu spécifique représente des personnes physiques identifiables (par exemple sur des photos des agents de la Cour) ou comprend des travaux de tiers.

Lorsqu’une telle autorisation a été obtenue, elle annule et remplace l’autorisation générale susmentionnée et doit clairement indiquer toute restriction d’utilisation.

Pour utiliser ou reproduire des contenus qui n’appartiennent pas à l’UE, il peut être nécessaire de demander l’autorisation directement aux titulaires des droits d’auteur.

Les logiciels ou documents couverts par les droits de propriété industrielle tels que les brevets, les marques, les modèles déposés, les logos et les noms, sont exclus de la politique de réutilisation de la Cour des comptes européenne.

La famille de sites internet institutionnels de l’Union européenne relevant du domaine europa.eu fournit des liens vers des sites tiers. Étant donné que la Cour n’a aucun contrôle sur leur contenu, vous êtes invité(e) à prendre connaissance de leurs politiques respectives en matière de droits d’auteur et de protection des données.

Utilisation du logo de la Cour des comptes européenne

Le logo de la Cour des comptes européenne ne peut être utilisé sans l’accord préalable de celle-ci.

COMMENT PRENDRE CONTACT AVEC L'UNION EUROPÉENNE?

En personne
Dans toute l'Union européenne, des centaines de centres Europe Direct sont à votre disposition. Pour connaître l'adresse du centre le plus proche, visitez la page suivante: european-union.europa.eu/contact-eu/meet-us_fr

Par téléphone ou par écrit
Europe Direct est un service qui répond à vos questions sur l'Union européenne. Vous pouvez prendre contact avec ce service:

• par téléphone:
• via un numéro gratuit: 00 800 6 7 8 9 10 11 (certains opérateurs facturent cependant ces appels),
• au numéro de standard suivant: +32 22999696;
• en utilisant le formulaire suivant: european-union.europa.eu/contact-eu/write-us_fr

COMMENT TROUVER DES INFORMATIONS SUR L'UNION EUROPÉENNE?

En ligne
Des informations sur l'Union européenne sont disponibles, dans toutes les langues officielles de l'UE, sur le site internet Europa (european-union.europa.eu).

Publications de l'Union européenne
Vous pouvez consulter ou commander ces publications à l'adresse op.europa.eu/fr/publications. Vous pouvez obtenir plusieurs exemplaires de publications gratuites en contactant Europe Direct ou votre centre de documentation local (european-union.europa.eu/contact-eu/meet-us_fr).

Droit de l'Union européenne et documents connexes
Pour accéder aux informations juridiques de l'Union, y compris à l'ensemble du droit de l'UE depuis 1951 dans toutes les versions linguistiques officielles, consultez EUR-Lex (eur-lex.europa.eu).

Données ouvertes de l'Union européenne
Le portail data.europa.eu donne accès à des jeux de données ouvertes provenant des institutions, organes et agences de l'UE. Ces données peuvent être téléchargées et réutilisées gratuitement, à des fins commerciales ou non. Le portail donne également accès à une multitude de jeux de données des pays européens.