Arrêt CJUE C‑34/​21 du 30 mars 2023

Durant la période COVID en 2020, le minis­tère de l’Éducation et de la Culture du Land alle­mand de Hesse adopte deux actes visant à fixer le cadre juri­dique de l’enseignement scolaire pendant cette période. L’un des aména­ge­ments offre la possi­bi­lité pour les élèves ne pouvant pas être présents en classe, d’assister en direct aux cours par visio­con­fé­rences. Pour respec­ter les pres­crip­tions de protec­tion des données, le consen­te­ment des élèves ou de leurs parents en cas de mino­rité est néces­saire pour l’accès au service.

Cependant, et c’est le fond de l’affaire, le consen­te­ment des ensei­gnants concer­nés n’est pas requis pour la diffu­sion en direct des cours. Le comité prin­ci­pal du person­nel des ensei­gnants auprès du minis­tère intro­duit alors une plainte contre le ministre en charge de ces ques­tions. Celui-ci rétorque que la diffu­sion des cours consti­tue un trai­te­ment de données person­nelles couvert par la régle­men­ta­tion natio­nale pouvant être réalisé sans le consen­te­ment des enseignants.

Saisi de l’affaire, le tribu­nal admi­nis­tra­tif de Wiesbaden (« Verwaltungsgericht Wiesbaden ») explique que, selon la volonté du légis­la­teur du Land, la régle­men­ta­tion natio­nale relève des caté­go­ries de « règles plus spéci­fiques » de l’art. 88 par. 1 RGPD que les États membres peuvent prévoir.

En effet, l’art. 88 RGPD prévoit une « clause d’ouverture » pour les États membres en matière de trai­te­ments de données person­nelles dans les rela­tions de travail. Les dispo­si­tions natio­nales en ques­tion disposent que le trai­te­ment de données des employés se fonde sur la « néces­sité » en tant que base juridique.

Le Tribunal émet toute­fois des doutes quant à la compa­ti­bi­lité de cette régle­men­ta­tion avec les condi­tions posées au par. 2 de l’art. 88 RGPD. Il saisit la CJUE à titre préjudiciel.

Liminairement, la Cour de justice de l’Union euro­péenne (CJUE) juge que le trai­te­ment de données person­nelles des ensei­gnants lors de cours publics en direct par vidéo­con­fé­rence relève du champ d’application du RGPD.

De surcroît, la Cour consi­dère que pour rentrer dans le champ d’application de l’art. 88 RGPD, la nature du lien juri­dique entre l’employé et l’employeur n’est pas impor­tante. La qualité d’employé ou de fonc­tion­naire, ainsi que son lien, de droit privé ou public, ne sont pas déter­mi­nants. La situa­tion en l’espèce rentre bien dans le champ de la clause d’ouverture de l’art. 88 RGPD.

La CJUE traite ensuite de la ques­tion de savoir si une « règle plus spéci­fique » selon l’art. 88 par. 1 RGPD doit remplir les condi­tions du par. 2 de l’article.

La Cour rappelle que, lorsque les États membres exercent la faculté qu’une clause d’ouverture leur octroie, ils ont la possi­bi­lité de prévoir des règles natio­nales supplé­men­taires, plus strictes ou déro­ga­toires. Ils jouissent égale­ment d’une marge d’appréciation sur la manière dont elles sont mises en œuvre. Néanmoins, cette marge de manœuvre est limi­tée par les condi­tions pres­crites par les dispo­si­tions et objec­tifs du RGPD. Concernant le texte de l’art. 88 RGPD, il ressort que les règles visées doivent avoir un contenu norma­tif propre au domaine régle­menté et distinct des règles générales.

Concernant le cadre géné­ral, l’art. 6 RGPD prévoit une liste exhaus­tive et limi­ta­tive des cas dans lesquels un trai­te­ment de données peut être consi­déré comme licite. De plus, l’art. 5 RGPD énonce les prin­cipes que tout trai­te­ment doit respecter.

La faculté octroyée par une clause d’ouverture aux États membres permet deux choses. Tout d’abord, ceux-ci peuvent inté­grer des éléments du RGPD dans leur droit natio­nal. Ensuite, la clause permet de rendre les dispo­si­tions natio­nales plus cohé­rentes et plus compré­hen­sibles pour les personnes concernées.

Par consé­quent, l’adoption de « règles plus spéci­fiques » en droit natio­nal fondées sur l’art. 88 RGPD ne sauraient se limi­ter à réité­rer les dispo­si­tions du RGPD. Les dispo­si­tions natio­nales ne peuvent pas se borner à répé­ter les prin­cipes de base d’un trai­te­ment de données person­nelles ou à renvoyer à ces condi­tions et principes.

La Cour ajoute que la limi­ta­tion prévue à l’art. 88 par. 2 RGPD quant à la marge d’appréciation des États membres se justi­fie par l’objectif du règle­ment qui est d’harmoniser les légis­la­tions natio­nales. Ce deuxième para­graphe reflète les limites de la diffé­ren­cia­tion accep­tée par le RGPD lorsque ces diffé­rences visent à

« proté­ger les droits et les liber­tés des employés en ce qui concerne le trai­te­ment de leurs données à carac­tère person­nel dans le cadre des rela­tions de travail ».

Lorsque les condi­tions et limites prévues par l’art. 88 par. 1 et 2 RGPD ne sont pas respec­tées, il faut consta­ter l’incompatibilité des dispo­si­tions natio­nales avec le droit supé­rieur. La Cour ajoute que ce constat relève de la seule compé­tence de la juri­dic­tion de renvoi.

Toutefois, la Cour estime qu’en l’espèce, les dispo­si­tions alle­mandes, subor­don­nant le trai­te­ment des données person­nelles des employés à la condi­tion que ce trai­te­ment soit néces­saire à certaines fins liées à l’exécution d’une rela­tion de travail, semblent répé­ter la condi­tion de licéité géné­rale de trai­te­ment de l’art. 6 par. 1 let. b RGPD. Cette règle n’ajoute rien de plus spéci­fique au sens de l’art. 88 par. 1 RGPD et n’a, partant, pas de contenu propre et distinct.

Si la juri­dic­tion de renvoi constate une incom­pa­ti­bi­lité entre le droit natio­nal et le droit euro­péen, ce qui serait le cas en l’espèce, elle doit lais­ser les dispo­si­tions en ques­tion inap­pli­quées. Cela se justi­fie par le prin­cipe de primauté du droit de l’Union sur toute dispo­si­tion contraire de la légis­la­tion natio­nale (CJUE, arrêt C‑106/​77 du 9 mars 1978, par. 17).

La CJUE conclut qu’en l’absence de règles plus spéci­fiques respec­tant les condi­tions et limites de l’art. 88 RGPD, le trai­te­ment de données person­nelles dans le cadre des rela­tions de travail, dans le secteur privé ou public, est direc­te­ment régi par le RGPD.

Le Tribunal admi­nis­tra­tif de Wiesbaden devra donc exami­ner si les dispo­si­tions légales du Land de Hesse sont compa­tibles avec l’art. 88 RGPD. À défaut, il devra exami­ner la licéité du trai­te­ment de données person­nelles lors de cours par vidéo­con­fé­rence selon l’art. 6 RGPD.

Cet arrêt peut égale­ment avoir des réper­cus­sions au niveau fédé­ral alle­mand et ne pas se limi­ter à la Hesse. En effet, il faudra se ques­tion­ner sur les consé­quences d’un tel arrêt sur l’art. 26 par. 1 de la Bundesdatenschutzgesetz (BDSG), dont le texte est quasi iden­tique à celui du Land de Hesse.