Dans un arrêt rendu sur renvoi préjudiciel, la Cour de justice de l’Union européenne a été amenée à clarifier la notion de « traitement » de données à caractère personnel dans le contexte de mesures sanitaires nationales. En l’espèce, une mesure adoptée par un État membre pour lutter contre la pandémie de Covid-19 subordonnait l’accès à certains lieux et événements à la présentation d’un certificat sanitaire. La vérification de ce document était effectuée par des opérateurs privés au moyen d’une application mobile gouvernementale qui scannait le code QR du certificat, affichant temporairement sur l’écran du contrôleur des données d’identification et de santé du titulaire, sans pour autant les conserver ni les transmettre.
Saisie d’un recours en annulation contre cette mesure, la juridiction administrative suprême de cet État membre a émis des doutes sur la qualification juridique de ce processus de vérification. Elle a alors interrogé la Cour de justice afin de déterminer si une telle opération, impliquant une lecture automatisée et un affichage éphémère de données personnelles, constituait un « traitement » au sens du Règlement général sur la protection des données. La question de droit posée était donc de savoir si la simple vérification de la validité d’un certificat au moyen d’une application mobile, sans stockage des informations consultées, relevait du champ d’application du règlement.
À cette question, la Cour de justice répond par l’affirmative, en consacrant une interprétation extensive de la notion. Elle juge que la vérification de certificats par une application mobile « inclut la vérification […] de la validité de certificats covid-19 interopérables […] et utilisés par un État membre à des fins nationales ». Cette solution repose sur une analyse littérale et téléologique de la définition du traitement, confirmant la soumission de toute opération sur des données personnelles, même brève, aux exigences du droit de l’Union.
La portée de cette décision est significative, car en qualifiant de « traitement » une simple consultation automatisée, la Cour réaffirme la primauté des principes de protection des données (I), ce qui a pour conséquence directe de soumettre la légalité des mesures sanitaires nationales à un contrôle de conformité approfondi au regard du règlement (II).
***
La Cour de justice fonde sa décision sur une interprétation extensive de la définition légale du traitement de données à caractère personnel, en s’appuyant tant sur le libellé du règlement que sur la finalité de la protection qu’il institue. Cette approche est d’abord justifiée par l’inclusion des opérations les plus fugaces dans le champ de la définition (A), puis renforcée par les dispositions propres au règlement établissant le certificat sanitaire, qui prévoyaient explicitement un tel encadrement (B).
Le raisonnement de la Cour s’ancre dans l’article 4, point 2, du RGPD, qui définit le traitement comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ». La Cour souligne à juste titre que l’emploi des termes « toute opération » et la liste d’exemples non exhaustive, qui mentionne notamment « la consultation » et « l’utilisation », démontrent la volonté du législateur de l’Union de conférer une « portée large » à cette notion. Ainsi, le fait que les données ne soient ni conservées durablement ni transférées à des tiers est indifférent pour la qualification de l’opération.
En l’espèce, le processus de vérification constituait bien un ensemble d’opérations : le scan du code QR, la conversion des données en un format lisible, leur affichage sur un écran, et enfin leur utilisation pour évaluer la conformité du titulaire aux exigences sanitaires. La Cour estime que ces actions, prises dans leur ensemble, correspondent sans équivoque à une consultation et à une utilisation de données personnelles. En conséquence, l’argument selon lequel l’absence de stockage empêcherait de retenir la qualification de traitement est écarté, car il méconnaît la lettre même du texte qui n’impose aucune condition de durée ou de pérennité de l’opération.
Au-delà de l’analyse du seul RGPD, la Cour trouve une confirmation de son interprétation dans le règlement 2021/953, qui a spécifiquement mis en place le certificat COVID numérique de l’Union. Ce texte, loin d’être silencieux sur la question, anticipait et encadrait la gestion des données personnelles qu’il instituait. La Cour relève ainsi que l’article 1er de ce règlement « prévoit la base juridique du traitement des données à caractère personnel nécessaires […] pour vérifier et confirmer l’authenticité et la validité de ces certificats ». Cette disposition établit donc explicitement que l’acte de vérification est un traitement.
De plus, le considérant 48 et l’article 10 du même règlement confirment que le RGPD s’applique pleinement aux opérations effectuées dans ce cadre. En agissant de la sorte, le législateur de l’Union avait lui-même qualifié l’ensemble du dispositif, de la délivrance à la vérification des certificats, de traitement de données personnelles. La solution de la Cour ne fait donc que tirer les conséquences logiques d’un cadre normatif déjà établi, rendant sa décision non seulement juridiquement fondée mais également cohérente avec l’intention exprimée dans le droit dérivé spécifique.
En qualifiant ainsi la vérification des certificats, la Cour de justice renforce l’application du RGPD à des dispositifs sanitaires nationaux, ouvrant la voie à un contrôle de leur légalité au regard des principes fondamentaux de la protection des données.
***
La décision commentée emporte des conséquences pratiques importantes pour les États membres, car elle soumet entièrement les modalités de contrôle des politiques sanitaires aux exigences du droit de la protection des données. En refusant de limiter la notion de traitement aux seules opérations impliquant une conservation des données (A), la Cour impose au juge national de procéder à un examen de fond de la mesure litigieuse au regard des principes de licéité et de proportionnalité (B).
La juridiction de renvoi s’interrogeait sur la pertinence de la qualification de traitement, dès lors que l’application « ne transfère pas les données ainsi obtenues » et ne les conserve pas. En balayant ce doute, la Cour de justice prévient la création d’une brèche dans le système de protection des données, qui aurait pu exempter de nombreuses opérations automatisées du respect du RGPD au motif de leur caractère instantané. Une telle approche aurait considérablement affaibli le droit à la protection des données, car une ingérence dans la vie privée peut parfaitement résulter d’une simple consultation, même éphémère.
La Cour rappelle que l’objectif du RGPD est d’assurer « l’effectivité du droit fondamental à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ». Permettre qu’une application accède à des données de santé sensibles, les traite pour prendre une décision (autoriser ou refuser un accès) et échappe au contrôle du RGPD au seul motif de l’absence de stockage serait contraire à cet objectif. La Cour adopte donc une vision pragmatique : dès lors qu’il y a une action automatisée sur une donnée personnelle, le RGPD a vocation à s’appliquer, car un risque pour les droits et libertés de la personne concernée existe.
En affirmant que la vérification des certificats constitue un traitement, la Cour ne tranche pas le litige au fond mais en définit le cadre juridique. Elle renvoie explicitement à la juridiction nationale la tâche de vérifier la compatibilité de la mesure avec les règles substantielles du RGPD. Comme l’indique le point 32 de l’arrêt, il incombera à cette juridiction de s’assurer que le traitement est « conforme aux principes relatifs au traitement des données énoncés à l’article 5 du rgpd » et qu’il « répond à l’un des principes relatifs à la licéité du traitement énumérés à l’article 6 de ce règlement ».
Cette précision constitue le cœur de la portée de l’arrêt. Le juge national devra désormais examiner si la mesure respecte notamment les principes de limitation des finalités, de minimisation des données et de proportionnalité. Il devra également s’assurer que le traitement repose sur une base juridique valable, telle que l’exécution d’une mission d’intérêt public. En somme, la qualification de traitement n’est pas une fin en soi, mais l’acte qui déclenche un contrôle de légalité approfondi, garantissant que les mesures prises au nom de la santé publique ne portent pas une atteinte excessive au droit fondamental à la protection des données.
