La Cour de justice de l’Union européenne a rendu une décision fondamentale concernant l’interprétation de la notion de traitement au sens du règlement général sur la protection des données.
Cette affaire s’inscrit dans le cadre de mesures sanitaires exceptionnelles imposant le contrôle des conditions d’absence d’infection pour accéder à certains espaces publics ou privés.
Le litige opposait un particulier à une autorité ministérielle au sujet de l’obligation faite aux exploitants de vérifier les certificats sanitaires au moyen d’une application mobile nationale.
Cette application permettait de scanner un code afin d’afficher temporairement l’identité du titulaire, son statut vaccinal et les détails techniques relatifs au produit médical administré.
Saisie d’un recours en annulation contre cette mesure, la Cour administrative suprême de République tchèque a décidé de surseoir à statuer pour interroger la juridiction européenne.
Le juge national souhaitait savoir si la conversion automatisée de données en un format lisible par l’homme constitue un traitement, malgré l’absence de conservation des informations.
La Cour juge que la vérification de la validité de certificats par une application mobile nationale constitue un traitement automatisé relevant du champ d’application matériel du règlement.
L’analyse de cette solution impose d’étudier l’interprétation extensive de la notion de traitement avant d’envisager les garanties offertes à la protection des droits fondamentaux des personnes.
I. Une qualification juridique fondée sur une interprétation extensive
A. L’assimilation des opérations de consultation automatisée au traitement
La Cour rappelle que le législateur a entendu donner à la notion de traitement une portée large en visant « toute opération ou tout ensemble d’opérations ».
L’application mobile nationale scanne le code pour convertir les informations en un format lisible, permettant ainsi à la personne chargée du contrôle de procéder à leur « consultation ».
Ce processus automatisé permet d’apprécier si la situation de la personne concernée est conforme aux exigences sanitaires, ce qui caractérise une « utilisation » de données à caractère personnel.
L’utilisation d’un appareil photographique pour capter un code numérique constitue une étape technique intégrée dans une chaîne d’opérations aboutissant à la visualisation de données identifiantes.
B. L’indifférence du caractère temporaire de l’affichage des données
La juridiction de renvoi s’interrogeait sur l’existence d’un traitement dès lors que les données ne sont ni conservées ni transférées vers un serveur de stockage centralisé.
Le juge européen écarte cette objection en soulignant que l’affichage sur un écran suffit à caractériser l’accès à des informations se rapportant à une personne physique identifiable.
Le règlement 2021/953 prévoit d’ailleurs explicitement que le cadre juridique de la protection des données s’applique à la vérification et à la confirmation de l’authenticité des certificats.
L’absence d’enregistrement persistant n’exclut pas l’existence d’une ingérence dans la sphère privée de l’individu dont les informations de santé sont révélées à un tiers contrôleur.
II. Une garantie de l’effectivité du droit à la protection des données
A. La consécration d’un niveau élevé de protection des personnes physiques
Cette interprétation extensive est conforme à l’objectif de garantir l’effectivité du droit fondamental à la protection des personnes physiques mentionné au premier considérant du règlement général.
La Cour souligne que l’accès aux données d’identification de base, telles que le nom et la date de naissance, doit être strictement encadré par les principes juridiques européens.
La protection des informations relatives à la santé exige une vigilance particulière afin de prévenir les discriminations et les abus potentiels résultant de l’usage massif d’outils numériques.
Le juge européen affirme ainsi sa volonté de maintenir un contrôle juridictionnel rigoureux sur les technologies de surveillance employées par les administrations nationales dans un contexte de crise.
B. L’assujettissement des contrôles sanitaires aux principes de licéité
La qualification de traitement entraîne l’obligation pour les autorités nationales de respecter les principes de licéité, de loyauté et de transparence énoncés à l’article 5 du règlement.
Le ministère doit justifier que la mesure exceptionnelle répond à l’un des fondements juridiques autorisant le traitement de catégories particulières de données au sens de l’article 9.
Il incombe désormais à la juridiction de renvoi de vérifier si le dispositif respecte les principes de nécessité et de proportionnalité au regard des objectifs de santé publique.
Cette décision assure une uniformité de protection pour tous les citoyens de l’Union dont les certificats interopérables sont utilisés à des fins nationales par un État membre.
