CJUE – Amt der Tiroler Landesregierung – C-638/23

Dans le cadre de mesures destinées à lutter contre la pandémie de COVID-19, l’Office, une entité administrative auxiliaire au service du gouverneur et du gouvernement du Land du Tyrol, a envoyé une « lettre de rappel de vaccination » à toutes les personnes majeures résidant dans le Land du Tyrol n’ayant pas encore été vaccinées contre ce virus. Afin d’identifier les destinataires de ces lettres, l’Office a mandaté deux entreprises privées, qui ont procédé à un croisement des données figurant dans le registre central des vaccinations ainsi que dans le registre des patients, lequel mentionnait leur adresse de résidence.

L’un de ces destinataires, a saisi l’Autorité de protection des données d’une plainte contre l’Office au titre d’un traitement illégal de ses données à caractère personnel. Devant cette autorité, l’Office a indiqué avoir la qualité de « responsable du traitement » et qu’il était à l’origine de la lettre envoyée à CW.

Par décision du 22 août 2022, ladite autorité a constaté que l’Office avait violé le droit de CW à la protection de ses données à caractère personnel, dans la mesure où, afin de lui envoyer une « lettre de rappel de vaccination », l’Office avait consulté les données de l’intéressé figurant dans le registre des vaccinations, alors qu’il ne disposait pas d’un droit d’accès à ce registre ni au registre des patients. L’Office a introduit un recours contre cette décision devant le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche), et des questions ont finalement été renvoyées devant la CJUE.