CJUE, n° C-659/22, Arrêt de la Cour, RK contre Ministerstvo zdravotnictví, 5 octobre 2023

–

pour RK, par Mme D. Sudolská, advokátka,

–

pour le gouvernement tchèque, par MM. M. Smolek, O. Serdula et J. Vláčil, en qualité d’agents,

–

pour le gouvernement néerlandais, par Mmes M. K. Bulterman et A. Hanje, en qualité d’agents,

–

pour la Commission européenne, par MM. A. Bouchagiar, H. Kranenborg et P. Ondrůšek, en qualité d’agents,

1

La demande de décision préjudicielle porte sur l’interprétation de l’article 2, paragraphe 1, et de l’article 4, point 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2

Cette demande a été présentée dans le cadre d’un litige opposant RK au Ministerstvo zdravotnictví (ministère de la Santé, République tchèque, ci-après le « ministère ») au sujet de l’adoption par celui-ci d’une mesure exceptionnelle réglementant l’accès des personnes à certains lieux et évènements en vue de protéger la population face à la propagation de l’épidémie de COVID-19.

3

Aux termes du considérant 1 du RGPD, « [l]a protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne […] et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant ».

4

L’article 2 de ce règlement, intitulé « Champ d’application matériel », dispose, à son paragraphe 1 :

« Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

5

Le paragraphe 2 de cet article énumère quatre hypothèses dans lesquelles le RGPD « ne s’applique pas au traitement de données à caractère personnel ».

6

Aux termes de l’article 4 dudit règlement :

« Aux fins du présent règlement, on entend par :

[…] »

7

Les articles 5 et 6 de ce même règlement ont respectivement pour objet les « [p]rincipes relatifs au traitement des données à caractère personnel » et la « [l]icéité du traitement ».

8

Le considérant 48 du règlement (UE) 2021/953 du Parlement européen et du Conseil, du 14 juin 2021, relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19 (JO 2021, L 211, p. 1), énonce :

« Le [RGPD] s’applique au traitement des données à caractère personnel effectué lors de la mise en œuvre du présent règlement. Le présent règlement établit le fondement juridique pour le traitement des données à caractère personnel au sens de l’article 6, paragraphe 1, [sous] c), et de l’article 9, paragraphe 2, [sous] g), du [RGPD], nécessaire à la délivrance et à la vérification des certificats interopérables prévus par le présent règlement. […] Les États membres peuvent traiter des données à caractère personnel à d’autres fins, si la base juridique pour le traitement de ces données à d’autres fins, y compris les durées de conservation y afférentes, est prévue par le droit national, qui doit respecter le droit de l’Union en matière de protection des données et les principes d’effectivité, de nécessité et de proportionnalité, et devrait contenir des dispositions indiquant clairement la portée et l’étendue du traitement, la finalité spécifique concernée, les catégories d’entités pouvant vérifier le certificat ainsi que les garanties nécessaires pour prévenir les discriminations et les abus, compte tenu des risques pour les droits et libertés des personnes concernées. […] »

9

Intitulé « Objet », l’article 1er de ce règlement dispose :

« Le présent règlement établit un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) aux fins de faciliter l’exercice, par leurs titulaires, de leur droit à la libre circulation pendant la pandémie de COVID-19. Le présent règlement contribue également à faciliter la levée progressive des restrictions à la libre circulation mises en place par les États membres, conformément au droit de l’Union, pour limiter la propagation du SARS-CoV-2, de manière coordonnée.

Il prévoit la base juridique du traitement des données à caractère personnel nécessaires à la délivrance de ces certificats ainsi que du traitement des informations nécessaires pour vérifier et confirmer l’authenticité et la validité de ces certificats dans le plein respect du [RGPD]. »

10

Intitulé « Certificat COVID numérique de l’UE », l’article 3 de ce règlement prévoit, à son paragraphe 1, que le cadre du certificat COVID numérique de l’UE permet la délivrance, la vérification et l’acceptation transfrontières de certificats de vaccination, de certificats de test, ainsi que de certificats de rétablissement. En outre, selon son paragraphe 2, « [l]es États membres, ou les organismes désignés agissant au nom des États membres, délivrent les certificats visés au paragraphe 1 du présent article sous forme numérique ou papier, ou les deux. Les futurs titulaires ont le droit de recevoir les certificats sous la forme de leur choix. Ces certificats sont faciles d’utilisation et contiennent un code-barres interopérable permettant de vérifier leur authenticité, leur validité et leur intégrité. Le code-barres respecte les spécifications techniques établies en vertu de l’article 9. Les informations contenues dans les certificats sont également présentées sous une forme lisible par l’homme et fournies, au moins, dans la ou les langues officielles de l’État membre de délivrance et en anglais. »

11

L’article 5, paragraphe 2, sous a), l’article 6, paragraphe 2, sous a), ainsi que l’article 7, paragraphe 2, sous a), dudit règlement prévoient, respectivement, qu’un certificat de vaccination, un certificat de test et un certificat de rétablissement contiennent l’identité de son titulaire.

12

L’article 10 du même règlement, intitulé « Protection des données à caractère personnel », prévoit, à ses quatre premiers paragraphes :

« 1. Le [RGPD] s’applique au traitement de données à caractère personnel effectué dans le cadre de la mise en œuvre du présent règlement.

2. Aux fins du présent règlement, les données à caractère personnel contenues dans les certificats délivrés en vertu du présent règlement sont traitées aux seules fins de l’accès aux informations contenues dans le certificat et de la vérification de ces informations afin de faciliter l’exercice du droit à la libre circulation au sein de l’Union durant la pandémie de COVID-19. Il n’est procédé à aucun autre traitement à l’issue de la période d’application du présent règlement.

3. Les données à caractère personnel contenues dans les certificats visés à l’article 3, paragraphe 1, ne sont traitées par les autorités compétentes de l’État membre de destination ou de transit, ou par les opérateurs de services transfrontières de transport de voyageurs qui sont tenus, en vertu du droit national, de mettre en œuvre certaines mesures de santé publique durant la pandémie de COVID-19, qu’aux seules fins de vérifier et confirmer la vaccination du titulaire, les résultats de ses tests ou son rétablissement. À cette fin, les données à caractère personnel sont limitées à ce qui est strictement nécessaire. Les données à caractère personnel auxquelles il a été accédé en vertu du présent paragraphe ne sont pas conservées.

4. Les données à caractère personnel traitées aux fins de la délivrance des certificats visés à l’article 3, paragraphe 1, y compris la délivrance d’un nouveau certificat, ne sont pas conservées par l’émetteur plus longtemps que ce qui est strictement nécessaire à la finalité poursuivie et, en tout état de cause, ne sont pas conservées au-delà de la période durant laquelle les certificats peuvent être utilisés pour exercer le droit à la libre circulation. »

13

Le ministère, par une mesure exceptionnelle du 29 décembre 2021 (ci-après la « mesure exceptionnelle »), adoptée en vue de la protection de la population face à une extension de la propagation de la pandémie de COVID-19, a soumis à diverses conditions, à compter du 3 janvier 2022, l’accès des personnes à certains espaces intérieurs et extérieurs, ainsi que leur participation à des événements de masse ou à d’autres activités. Ainsi était-il notamment exigé, premièrement, un test RT-PCR de détection de la présence du virus SARS-CoV-2 négatif datant de moins de 72 heures, pour les personnes âgées de moins de 18 ans, celles qui ne pouvaient pas se soumettre à la vaccination contre la Covid-19 en raison d’une contre-indication, ainsi que celles ne disposant pas d’un schéma vaccinal complet ; deuxièmement, l’expiration d’une période d’au moins 14 jours depuis l’obtention d’un schéma vaccinal complet avec un médicament approuvé ou troisièmement, la contamination, confirmée par un laboratoire, par la Covid-19, si la période d’isolement a pris fin et qu’il ne s’est pas écoulé plus de 180 jours à compter du premier test positif (ci-après les « conditions dites d’“absence d’infection” »).

14

La mesure exceptionnelle obligeait les clients (spectateurs, participants) à apporter la preuve du respect de ces conditions et imposait aux exploitants (organisateurs) d’en contrôler le respect au moyen de l’application mobile du ministère dénommée « čTečka ». Si le client ne démontrait pas qu’il respectait lesdites conditions, il était interdit à l’exploitant de lui fournir le service et de lui donner accès à l’espace ou à l’événement. Selon la mesure exceptionnelle, cette application garantissait une vérification fiable de l’authenticité et de la validité du document justificatif présenté contenant le code QR.

15

Afin de statuer sur le recours en annulation de la mesure exceptionnelle formé par RK le 20 janvier 2022, le Nejvyšší správní soud (Cour administrative suprême, République tchèque), qui est la juridiction de renvoi, estime nécessaire de commencer par examiner si le contrôle des conditions dites d’« absence d’infection » au moyen de l’application « čTečka » constitue un « traitement » automatisé de données à caractère personnel, au sens de l’article 4, point 2, du RGPD, étant précisé qu’elle considère que les informations contenues dans les certificats numériques de l’UE constituent des données à caractère personnel, au sens de l’article 4, point 1, de ce règlement. Dans l’affirmative, ledit règlement s’appliquerait, conformément à son article 2, paragraphe 1.

16

La juridiction de renvoi précise que l’application « čTečka » permet de contrôler et de vérifier la validité des certificats COVID numériques de l’UE délivrés en vertu du règlement 2021/953. Cette application scanne le code QR du certificat avec l’appareil photo du téléphone portable de la personne chargée d’effectuer le contrôle. Cette personne dispose ensuite d’un aperçu des données d’identification de base du titulaire du certificat (nom, prénom et date de naissance) ainsi que du statut, valide ou invalide, de ce certificat. En cliquant sur une certaine touche de l’application, la personne chargée d’effectuer le contrôle peut accéder à l’ensemble des informations mentionnées dans ledit certificat, telles que la vaccination, le type de vaccin, le fabricant du vaccin, le nombre de doses reçues, la date de la vaccination, la date du premier résultat positif ainsi que l’émetteur du certificat. L’application « čTečka » se borne à afficher temporairement ces données sur l’écran du téléphone portable de la personne chargée d’effectuer le contrôle, de sorte que lesdites données ne sont ni conservées ni transférées.

17

Cette juridiction indique que, afin de vérifier la validité d’un certificat COVID numérique de l’UE, cette application télécharge, une fois toutes les 24 heures ou sur demande, les clés publiques des certificats des États membres et les règles de validation des États membres depuis l’interface du ministère. Ce processus peut se dérouler également hors ligne. Lors de l’installation de l’application sur le téléphone portable de la personne chargée d’effectuer le contrôle, s’affiche un texte mentionnant que « l’application čTečka est exploitée conformément au droit de l’Union et au droit de la République tchèque et facilite la libre circulation des personnes et l’accès aux services et aux événements durant la pandémie de COVID-19. L’application traite les données à caractère personnel des titulaires de certificats COVID numériques des États membres de l’Union en vue de leur contrôle par des personnes habilitées sur la base du règlement de l’Union, de mesures exceptionnelles du [ministère] ou sur une base volontaire. L’application ne conserve et ne transmet nulle part les données à caractère personnel et concernant la santé des personnes contrôlées. Des informations détaillées sur le traitement des données à caractère personnel peuvent être trouvées dans les conditions d’utilisation ».

18

La juridiction de renvoi relève en outre que, en vertu de l’article 3, paragraphe 2, du règlement 2021/953, un certificat délivré par un État membre doit contenir un code-barres interopérable permettant de vérifier son authenticité, sa validité et son intégrité. Elle indique que la conversion des données à caractère personnel mentionnées au point 16 du présent arrêt, depuis le format lisible par une machine en un format lisible par l’homme, est effectuée au moyen d’un processus automatisé, à savoir l’application « čTečka », ce qui pourrait caractériser un traitement de données à caractère personnel, au sens de l’article 4, point 2, du RGPD.

19

La juridiction de renvoi doute toutefois que cette simple opération de conversion et l’affichage de ces données sur un téléphone portable constituent un « traitement », au sens de cette disposition, d’autant plus que ces deux opérations ne peuvent entraîner un usage ou une exploitation abusifs des données à caractère personnel ni une interférence dans le droit à la protection de ces données puisque l’application ne transfère pas les données ainsi obtenues.

20

La juridiction de renvoi considère, par ailleurs, que pourrait également constituer un traitement de données à caractère personnel la vérification de la validité du certificat par l’application « čTečka », dès lors que cette opération conduit à utiliser les données à caractère personnel qui sont contenues dans ce certificat et qui se rapportent à la santé de la personne contrôlée. En effet, afin de pouvoir évaluer si le certificat est valide ou non et de déterminer si les conditions dites d’« absence d’infection » prévues par la mesure exceptionnelle sont satisfaites par la personne concernée, l’application devrait nécessairement comparer les informations concernant la santé de cette personne, telle la date de vaccination, avec les règles de validation en vigueur à ce moment-là.

21

Enfin, cette juridiction estime qu’un traitement de données à caractère personnel pourrait être constitué par la combinaison des processus qui se déroulent lors du contrôle des certificats par l’application « čTečka », à savoir la conversion des données personnelles depuis le code QR en un format lisible par l’homme, leur affichage sur un téléphone portable, leur consultation par le contrôleur et l’évaluation de la validité du certificat par cette application par une comparaison des données à caractère personnel concernant la santé avec les règles de validation. Bien que, envisagées individuellement, ces opérations puissent ne pas constituer un traitement, au sens de l’article 4, point 2, du RGPD, leur juxtaposition pourrait conduire à cette qualification.

22

Dans cette optique, cette juridiction relève que l’article 10, paragraphes 1 et 3, du règlement 2021/953 prévoit expressément que, aux fins de l’exercice du droit à la libre circulation au sein de l’Union, le RGPD s’applique au traitement des données à caractère personnel contenues dans les certificats COVID numériques de l’UE. En outre, selon le considérant 48 du règlement 2021/953, le traitement des données à caractère personnel contenues dans les certificats devrait avoir un régime juridique uniforme.

23

Dans ces conditions, le Nejvyšší správní soud (Cour administrative suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« La vérification, en recourant à l’application nationale “čTečka”, de la validité de certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement [2021/953], qui sont utilisés par la République tchèque à des fins nationales, donne-t-elle lieu à un traitement automatisé de données à caractère personnel, au sens de l’article 4, point 2, du [RGPD] de sorte qu’elle relève du champ d’application matériel [de ce] règlement en vertu de l’article 2, paragraphe 1, dudit règlement ? »

24

Par sa question, la juridiction de renvoi demande, en substance, si la notion de « traitement » de données à caractère personnel, visée à l’article 4, point 2, du RGPD, doit être interprétée en ce sens qu’elle inclut la vérification, au moyen d’une application mobile nationale, de la validité de certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement 2021/953 et utilisés par un État membre à des fins nationales.

25

Il est constant que plusieurs des informations auxquelles la personne chargée d’effectuer le contrôle accède lors du contrôle de la validité d’un certificat COVID numérique de l’UE, telles qu’elles sont exposées au point 16 du présent arrêt, constituent des « données à caractère personnel », au sens de l’article 4, point 1, du RGPD. Il ressort en effet de cette disposition que la notion de « données à caractère personnel » désigne « toute information se rapportant à une personne physique identifiée ou identifiable » et que cette identification peut notamment résulter de l’utilisation du nom de la personne concernée.

26

À ce dernier égard, il suffit de constater que l’article 5, paragraphe 2, sous a), l’article 6, paragraphe 2, sous a), ainsi que l’article 7, paragraphe 2, sous a), du règlement 2021/953 prévoient, respectivement, qu’un certificat de vaccination, un certificat de test et un certificat de rétablissement contiennent l’identité de son titulaire.

27

Cela étant précisé, il convient de relever que l’article 4, point 2, du RGPD définit la notion de « traitement » comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ». Dans une énumération non exhaustive, introduite par la locution « telles que », cette disposition mentionne comme exemples de traitement, la consultation et l’utilisation de données à caractère personnel. Il ressort ainsi du libellé de ladite disposition, notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large [voir, en ce sens, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C-175/20, EU:C:2022:124, point 35].

28

Cette interprétation large des notions de « données à caractère personnel » et de « traitement » est conforme à l’objectif de garantir l’effectivité du droit fondamental à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, mentionné au considérant 1 du RGPD, qui préside à l’application de ce règlement.

29

Or, en l’occurrence, une application mobile nationale, telle l’application « čTečka », scanne le code QR figurant sur le certificat COVID numérique de l’UE afin de convertir les données personnelles que renferme ce code en un format lisible par la personne chargée de contrôler la validité de ce certificat. Ce faisant, une telle application permet à la personne chargée d’effectuer le contrôle de consulter, à l’issue d’un processus automatisé, à savoir le scannage, des données à caractère personnel et de les utiliser afin d’apprécier si la situation de la personne concernée est conforme aux règles de validation, autrement dit aux exigences sanitaires applicables. Le résultat de cette évaluation est également automatisé puisqu’une coche verte s’affiche sur le téléphone portable du contrôleur lorsque les exigences sanitaires sont respectées, tandis que, dans le cas contraire, une croix rouge apparaît.

30

Il convient donc de considérer que la vérification, au moyen de l’application « čTečka », de la validité de certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement 2021/953, constitue un « traitement », au sens de l’article 4, point 2, du RGPD et relève, conformément à l’article 2, paragraphe 1, de ce règlement, du champ d’application matériel de ce dernier.

31

L’interprétation visée au point 30 du présent arrêt est corroborée par le règlement 2021/953 qui prévoit que la mise en œuvre du certificat COVID numérique de l’UE constitue un traitement, au sens de l’article 4, point 2, du RGPD. L’article 1er, paragraphe 2, du règlement 2021/953 dispose, en effet, que ce règlement « prévoit la base juridique du traitement des données à caractère personnel nécessaires à la délivrance de ces certificats ainsi que du traitement des informations nécessaires pour vérifier et confirmer l’authenticité et la validité de ces certificats dans le plein respect du [RGPD] ». En outre, il découle du considérant 48 du règlement 2021/953, d’une part, que le RGPD s’applique au traitement des données à caractère personnel effectué lors de la mise en œuvre du règlement 2021/953 et, d’autre part, que ce dernier établit le fondement juridique pour le traitement des données à caractère personnel, au sens de l’article 6, paragraphe 1, sous c), et de l’article 9, paragraphe 2, sous g), du RGPD, nécessaire à la délivrance et à la vérification des certificats interopérables prévus par le règlement 2021/953. L’article 10, paragraphe 1, de ce règlement confirme également que le RGPD s’applique au traitement de données à caractère personnel effectué dans le cadre de la mise en œuvre du règlement 2021/953.

32

Il incombera, par conséquent, à la juridiction de renvoi de vérifier si le traitement introduit par la mesure exceptionnelle est, d’une part, conforme aux principes relatifs au traitement des données énoncés à l’article 5 du RGPD et, d’autre part, répond à l’un des principes relatifs à la licéité du traitement énumérés à l’article 6 de ce règlement [voir, notamment, arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C-439/19, EU:C:2021:504, point 96, et du 4 mai 2023, Bundesrepublik Deutschland, C-60/22, EU:C:2023:373, point 57].

33

Eu égard aux considérations qui précèdent, la notion de « traitement » de données à caractère personnel, visée à l’article 4, point 2, du RGPD, doit être interprétée en ce sens qu’elle inclut la vérification, au moyen d’une application mobile nationale, de la validité de certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement 2021/953 et utilisés par un État membre à des fins nationales.

34

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (huitième chambre) dit pour droit :

La notion de « traitement » de données à caractère personnel, visée à l’article 4, point 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprétée en ce sens que :

elle inclut la vérification, au moyen d’une application mobile nationale, de la validité de certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement (UE) 2021/953 du Parlement européen et du Conseil, du 14 juin 2021, relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19, et utilisés par un État membre à des fins nationales.

Signatures