La Cour de justice de l'Union européenne (CJUE) a été saisie d'une question préjudicielle concernant l'interprétation de la notion de "traitement" de données à caractère personnel, telle que définie à l'article 4, point 2, du Règlement général sur la protection des données (RGPD). La question se posait dans le contexte de la vérification de la validité des certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement 2021/953, qui étaient utilisés par un État membre (la République Tchèque) à des fins nationales au moyen d'une application mobile nationale appelée "čTečka".
Le litige principal : portait sur une mesure exceptionnelle prise par le ministère en République tchèque en réponse à la pandémie de COVID-19. Cette mesure imposait des conditions d'accès à certains lieux et événements, qui étaient vérifiées par une application mobile.
La question préjudicielle posée à la CJUE portait sur la qualification de cette vérification par l'application mobile comme un "traitement" automatisé de données à caractère personnel, en vertu du RGPD, et donc sur son applicabilité aux fins nationales en République tchèque. La juridiction de renvoi se demandait si les opérations de conversion des données et de vérification de la validité du certificat constituaient un traitement et si cette combinaison pouvait être qualifiée de traitement de données à caractère personnel.
Par sa question, la juridiction de renvoi demandait, en substance, si la notion de "traitement" de données à caractère personnel, visée à l’article 4, point 2, du RGPD, devait être interprétée en ce sens qu’elle inclut la vérification, au moyen d’une application mobile nationale, de la validité de certificats COVID‑19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement 2021/953 et utilisés par un État membre à des fins nationales.
La CJUE a conclu que : la vérification effectuée par cette application mobile constituait un "traitement" au sens de l'article 4, point 2, du RGPD. Cette interprétation découle de la définition large de la notion de "traitement" qui englobe toute opération appliquée à des données à caractère personnel, que ce soit de manière automatisée ou non. La CJUE a souligné que cette interprétation large était conforme à l'objectif fondamental du RGPD, à savoir garantir la protection des données à caractère personnel des individus.
En outre : la CJUE note que le règlement 2021/953, qui régit les certificats COVID-19 interopérables, reconnaît également que leur mise en œuvre constitue un traitement au sens du RGPD. Le règlement établit la base juridique pour le traitement des données nécessaires à la délivrance et à la vérification de ces certificats, conformément aux dispositions du RGPD.
La CJUE précise pour finir que : la juridiction nationale devrait ensuite vérifier si ce traitement respecte les principes énoncés dans le RGPD, notamment les principes relatifs au traitement des données énoncés à l'article 5 et les principes relatifs à la licéité du traitement énumérés à l'article 6.
En conclusion : la CJUE a interprété que la vérification de la validité des certificats COVID-19 interopérables par l'application mobile nationale constituait un "traitement" au sens du RGPD et relevait de la compétence du RGPD, et elle a renvoyé la question à la juridiction nationale pour vérification ultérieure de la conformité de ce traitement aux dispositions du RGPD.