Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si la notion de « traitement » de données à caractère personnel, visée à l’article 4, point 2, du RGPD, doit être interprétée en ce sens qu’elle inclut la vérification, au moyen d’une application mobile nationale, de la validité de certificats COVID‑19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement 2021/953 et utilisés par un État membre à des fins nationales.

Il est constant que plusieurs des informations auxquelles la personne chargée d’effectuer le contrôle accède lors du contrôle de la validité d’un certificat COVID numérique de l’UE constituent des « données à caractère personnel », au sens de l’article 4, point 1, du RGPD. Il ressort en effet de cette disposition que la notion de « données à caractère personnel » désigne « toute information se rapportant à une personne physique identifiée ou identifiable » et que cette identification peut notamment résulter de l’utilisation du nom de la personne concernée.

Cela étant précisé, il convient de relever que l’article 4, point 2, du RGPD définit la notion de « traitement » comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ». Dans une énumération non exhaustive, introduite par la locution « telles que », cette disposition mentionne comme exemples de traitement, la consultation et l’utilisation de données à caractère personnel. Il ressort ainsi du libellé de ladite disposition, notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large [voir, en ce sens, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35].

Cette interprétation large des notions de « données à caractère personnel » et de « traitement » est conforme à l’objectif de garantir l’effectivité du droit fondamental à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, mentionné au considérant 1 du RGPD, qui préside à l’application de ce règlement.

Or, en l’occurrence, une application mobile nationale, telle l’application « čTečka », scanne le code QR figurant sur le certificat COVID numérique de l’UE afin de convertir les données personnelles que renferme ce code en un format lisible par la personne chargée de contrôler la validité de ce certificat. Ce faisant, une telle application permet à la personne chargée d’effectuer le contrôle de consulter, à l’issue d’un processus automatisé, à savoir le scannage, des données à caractère personnel et de les utiliser afin d’apprécier si la situation de la personne concernée est conforme aux règles de validation, autrement dit aux exigences sanitaires applicables. Le résultat de cette évaluation est également automatisé puisqu’une coche verte s’affiche sur le téléphone portable du contrôleur lorsque les exigences sanitaires sont respectées, tandis que, dans le cas contraire, une croix rouge apparaît.

Il convient donc de considérer que la vérification, au moyen de l’application « čTečka », de la validité de certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement 2021/953, constitue un « traitement », au sens de l’article 4, point 2, du RGPD et relève, conformément à l’article 2, paragraphe 1, de ce règlement, du champ d’application matériel de ce dernier.

L’interprétation visée au point 30 du présent arrêt est corroborée par le règlement 2021/953 qui prévoit que la mise en œuvre du certificat COVID numérique de l’UE constitue un traitement, au sens de l’article 4, point 2, du RGPD. L’article 1er, paragraphe 2, du règlement 2021/953 dispose, en effet, que ce règlement « prévoit la base juridique du traitement des données à caractère personnel nécessaires à la délivrance de ces certificats ainsi que du traitement des informations nécessaires pour vérifier et confirmer l’authenticité et la validité de ces certificats dans le plein respect du [RGPD] ». En outre, il découle du considérant 48 du règlement 2021/953, d’une part, que le RGPD s’applique au traitement des données à caractère personnel effectué lors de la mise en œuvre du règlement 2021/953 et, d’autre part, que ce dernier établit le fondement juridique pour le traitement des données à caractère personnel, au sens de l’article 6, paragraphe 1, sous c), et de l’article 9, paragraphe 2, sous g), du RGPD, nécessaire à la délivrance et à la vérification des certificats interopérables prévus par le règlement 2021/953. L’article 10, paragraphe 1, de ce règlement confirme également que le RGPD s’applique au traitement de données à caractère personnel effectué dans le cadre de la mise en œuvre du règlement 2021/953.

Il incombera, par conséquent, à la juridiction de renvoi de vérifier si le traitement introduit par la mesure exceptionnelle est, d’une part, conforme aux principes relatifs au traitement des données énoncés à l’article 5 du RGPD et, d’autre part, répond à l’un des principes relatifs à la licéité du traitement énumérés à l’article 6 de ce règlement [voir, notamment, arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96, et du 4 mai 2023, Bundesrepublik Deutschland, C‑60/22, EU:C:2023:373, point 57].

Eu égard aux considérations qui précèdent, la notion de « traitement » de données à caractère personnel, visée à l’article 4, point 2, du RGPD, doit être interprétée en ce sens qu’elle inclut la vérification, au moyen d’une application mobile nationale, de la validité de certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement 2021/953 et utilisés par un État membre à des fins nationales.

(CJUE, C‑659/22 ; Arrêt de la Cour du 5 octobre 2023 ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Nejvyšší správní soud (Cour administrative suprême, République tchèque) dans la procédure RK contr eMinisterstvo zdravotnictví : https://curia.europa.eu/juris/document/document.jsf?text=&docid=278248&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=528890; n 24-33)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)