C.J.U.E., 21 décembre 2023, Aff C–667/21 (ZQ c/ MEDIZINISCHER DIENST DER KRANKENVERSICHERUNG NORDRHEIN, KÖRPERSCHAFT DES ÖFFENTLICHEN RECHTS), EU:C:2023:1022

Dans un arrêt très fouillé du 21 décembre 2023 la Cour de Justice reprend la question de la licéité du traitement de données à caractère médical aux fins d’évaluer l’état de santé du travailleur dans le cadre d’une incapacité de travail.

Les faits

Un service médical de caisses d’assurance-maladie (Allemagne) a notamment pour objet de réaliser des expertises médicales en matière d’incapacité de travail dans le cadre du régime légal d’assurance maladie obligatoire.

Ces expertises peuvent être réalisées pour ses propres employés également. Dans ce cas seuls les membres d’une unité spéciale sont autorisés à traiter les données sociales et utilisent pour ce un domaine verrouillé du système informatique de l’organisme. Après la clôture du dossier d’expertise ils peuvent accéder aux archives numériques. Seul un nombre restreint d’agents habilités peuvent avoir accès à ces données.

Un employé de ce service informatique est tombé en incapacité de travail et a, après la fin de l’intervention de l’employeur, perçu des indemnités de maladie, versées par sa caisse. Celle-ci a alors demandé au service médical d’effectuer une expertise sur l’incapacité de travail, ce qui fut fait.

Ayant obtenu via une collègue des photographies du rapport d’expertise figurant dans les archives numériques, l’intéressé a estimé que les données concernant sa santé avaient fait l’objet d’un traitement illicite par son employeur et a postulé le paiement d’une indemnité de l’ordre de 20 000 €.

Rétroactes procéduraux

Vu le refus de l’employeur, il a introduit une procédure devant l’Arbeitsgericht Düsseldorf (Tribunal du travail de Düsseldorf), se fondant sur l’article 82 paragraphe 1^er du RGPD ainsi que sur des dispositions de droit interne, demandant la condamnation de l’employeur à réparer le préjudice subi vu le traitement de données à caractère personnel ainsi effectué.

Il a considéré d’une part que l’expertise aurait dû être réalisée par un autre service médical, afin que ses collègues n’aient pas accès à des données concernant sa santé et de l’autre que les mesures de sécurité entourant l’archivage étaient insuffisantes.

Il fut débouté de sa demande en première instance et interjeta appel devant le Landsarbeitsgericht Düsseldorf (Tribunal supérieur du travail de Düsseldorf), qui a également rejeté le recours. Un pourvoi a été introduit devant le Bundesarbeitsgericht (Cour fédérale du travail), qui a interrogé la Cour de Justice.

Les questions préjudicielles

Pour le juge de renvoi, l’expertise constitue un « traitement » de « données à caractère personnel » et plus spécifiquement de « données concernant la santé ». Il s’agit dès lors d’une question relevant du champ d’application matériel du RGPD. En outre, le service médical est considéré comme le « responsable du traitement ».

Elle pose dès lors plusieurs questions sur l’interprétation de l’article 9, relatif au traitement portant sur des catégories particulières de données à caractère personnel notamment eu égard au fait que ce traitement a été réalisé par un organisme qui est également l’employeur de l’intéressé.

La première question est relative aux exceptions prévues au paragraphe 2 de l’article 9. À supposer que le traitement de données concernant la santé soit autorisé dans la situation visée, se pose la question des règles afférentes à la protection des données concernant la santé à respecter en plus des exigences figurant à l’article 9 paragraphe 3. Pour le juge allemand, le responsable du traitement devrait en effet en outre garantir qu’aucun des collègues de la personne concernée ne puisse avoir un quelconque accès aux données relatives à l’état de santé. Toujours dans la même hypothèse, la cour pose encore des questions relatives aux conditions visées à l’article 6, dont celle de savoir si le traitement était « nécessaire ».

Ensuite, la cour repart d’une autre hypothèse, étant la violation du RGPD. Elle s’interroge alors sur la réparation due en application de l’article 82 du Règlement et pose la question de savoir si la règle qui y figure revêt un caractère dissuasif ou punitif en plus de sa fonction réparatrice et s’il faudrait prendre celui-ci en compte pour fixer les dommages et intérêts au titre de réparation d’un préjudice moral, et ce notamment eu égard aux principes de droit communautaire d’effectivité, de proportionnalité et d’équivalence

Par ailleurs, le juge de renvoi envisage que la responsabilité du responsable du traitement soit engagée sur le fondement de la même disposition (paragraphe 1) sans que ne doive être établie une faute. Vu les dispositions du droit allemand, il interroge également la Cour de justice sur l’exigence d’un acte intentionnel ou d’une négligence ou encore sur l’influence du niveau de gravité de la faute. En conséquence, cinq questions sont adressées à la Cour de justice.

La décision de la Cour

La première question est résumée par la Cour comme portant sur le point de savoir si, eu égard à l’interdiction de traitement des données relatives à la santé (article 9 paragraphe 1 RGPD), le paragraphe 2 sous h) de la disposition doit être interprété en ce sens que l’exception qu’il prévoit s’applique aux situations dans lesquelles un organisme de contrôle traite des données concernant la santé de l’un de ses employés en qualité non d’employeur mais de service médical, et ce afin d’apprécier la capacité travail de celui-ci.

La Cour rappelle que l’article 9 porte sur le traitement de catégories particulières de données à caractère personnel, celles-ci étant également qualifiées de « données sensibles ». Ces données sont en vertu du considérant 51 du RGPD l’objet d’une protection particulière car liées aux libertés et droits fondamentaux. Leur traitement peut constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. La Cour renvoie aux articles 7 et 8 de la Charte des droits fondamentaux et à son arrêt du 5 juin 2023 (C.J.U.E., 5 juin 2023, Aff. C–204/21, (COMMISSION c/ POLOGNE (Indépendance et vie privée des juges), EU:C:2023:442).

L’exception à ce principe visée à l’article 9 paragraphe 2 sous h) autorise ce traitement s’il est nécessaire aux fins notamment d’apprécier la capacité de travail du travailleur sur la base du droit de l’Union, de celui d’un État membre ou encore d’un contrat conclu avec un professionnel de la santé. Tout traitement doit dans ce cas répondre en outre aux conditions et garanties visées au paragraphe 3 du même article 9.

Il y a dès lors une série de conditions cumulatives à respecter. Celles-ci sont notamment liées aux finalités poursuivies (dont la capacité de travail d’un travailleur), au fondement juridique de ce traitement ainsi qu’au devoir de confidentialité auquel sont tenues les personnes habilitées à effectuer ce traitement, celles-ci devant être soumises à une obligation de secret.

Pour la Cour, ce qui est déterminant est le titre auquel le traitement des données est effectué. Le texte de l’article 9 paragraphe 2 sous h) lu en combinaison avec le paragraphe 3 n’exclut pour la Cour nullement que soit applicable l’exception prévue à ce point h) à des situations dans lesquelles l’organisme de contrôle médical traite de données relatives à la santé de l’un de ses employés en tant que service médical et non en qualité d’employeur, et ce dans le cadre de l’appréciation de la capacité travail.

Elle précise encore que cette interprétation est confortée par le système dans lequel s’inscrit cette disposition ainsi que par les objectifs du Règlement.

Elle répond dès lors que l’article 9 paragraphe 2 sous h) du RGPD doit être interprété en ce sens que l’exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés non pas en qualité d’employeur mais de service médical afin d’apprécier la capacité de travail de celui-ci, sous réserve que le traitement satisfasse aux conditions et garanties du point h) et du paragraphe 3 de l’article 9.

La Cour résume ensuite l’objet de la deuxième question, qui est de savoir si les dispositions du RGPD doivent être interprétées en ce sens que le responsable d’un traitement de données concernant la santé est tenu de garantir qu’aucun collègue de la personne concernée ne puisse accéder à ces données.

Elle rappelle d’abord qu’un tel traitement ne peut être effectué que par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents ou sous sa responsabilité ou par une autre personne également soumise à une obligation de secret. Il s’agit de mesures de protection spécifiques. Tel est l’objet de l’article 9 paragraphe 3, qui ne peut dès lors servir de base juridique garantissant qu’aucun collègue ne pourra accéder aux données en cause.

La Cour se tourne dès lors vers l’examen de la question à partir de l’article 9 paragraphe 2 sous h). Elle rappelle que les États membres peuvent ajouter des exigences supplémentaires, cela étant prévu à l’article 9 paragraphe 4, qui leur permet de maintenir ou d’introduire des conditions supplémentaires y compris des limitations en ce qui concerne le traitement des données concernant la santé. Une marge d’appréciation est ici laissée aux États membres.

Sur la troisième question, portant sur l’obligation de remplir également au moins l’une des conditions de licéité énoncées à l’article 6 paragraphe 1, la Cour rappelle que celui-ci en son premier alinéa prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère é personnel peut être considéré comme licite. Pour être légitime, le traitement doit dès lors relever de l’un des cas prévus à cette disposition.

La Cour répond dès lors à la question posée par l’affirmative : les deux dispositions visées doivent être interprétées en ce sens qu’un traitement de données concernant la santé fondé sur l’article 9 paragraphe 2 sous h) doit, afin d’être licite, non seulement respecter les exigences découlant de celui-ci mais également au moins l’une des conditions de licéité prévues à l’article 6 paragraphe 1.

La Cour en vient ensuite à la réparation, objet des quatrième et cinquième questions et répond, ici, en substance que l’article 82, paragraphe 1 du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur cette disposition doit permettre de compenser intégralement le préjudice concrètement subi (et non une fonction dissuasive ou punitive). Elle rappelle ici le droit de toute personne à demander réparation d’un préjudice subi en cas de violation des obligations du Règlement, et ceci aux fins de décourager la réitération de comportements illicites

Elle précise également que le même article 82 du RGPD doit être interprété en ce sens que d’une part l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui-ci, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. Par ailleurs cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages et intérêts alloués en réparation d’un préjudice moral.

Intérêt de la décision

Cet arrêt de la troisième chambre de la Cour de Justice est particulièrement important, s’agissant d’un litige relatif au traitement de données concernant la santé dans le cadre de l’appréciation de la capacité de travail d’un employé.

La Cour s’y prononce sur l’admissibilité et les conditions d’un tel traitement, précisant, outre la portée des articles 6, paragraphe 1, 9 paragraphe 2 sous h) et paragraphe 3, celle de l’article 82 relatif à la réparation. Ceci est l’occasion de revenir à son arrêt du 4 mai 2023 (C.J.U.E., 4 mai 2023, Aff. n° 300/21 (UI c/ Österreichische Post AG), EU :C : 2023 :370), arrêt auquel elle renvoie d’ailleurs.

Elle y a donné l’interprétation de l’article 82 : celui-ci doit être interprété en ce sens que, aux fins de la fixation du montant des dommages-intérêts dus au titre du droit à réparation consacré à cet article, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés.
Plus spécifiquement sur son paragraphe 1, elle énonce que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation et ce paragraphe s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité.