Arrêt de la Cour de justice de l’Union euro­péenne (CJUE) du 21 décembre 2023, Affaire C‑667/​21

Introduction

MDK Nordrhein est un orga­nisme de droit public offrant un service médi­cal aux caisses d’assurance mala­die. Il est chargé de réali­ser des exper­tises médi­cales visant à évaluer l’incapacité de travail des assu­rés. Lorsqu’il doit établir une exper­tise concer­nant ses propres employés, seuls les membres de la « cellule cas parti­cu­liers » sont auto­ri­sés à trai­ter les données desdits employés.

Un employé du service infor­ma­tique de MDK Nordrhein se retrouve en inca­pa­cité de travail. Sa caisse d’assurance mala­die obli­ga­toire demande à MDK Nordrhein de réali­ser une exper­tise. Apprenant l’existence de cette exper­tise, l’employé concerné demande à un de ses collègues du service infor­ma­tique de lui trans­mettre des photo­gra­phies du rapport d’expertise, ce que fait ce dernier.

Estimant que ses données concer­nant la santé ont fait l’objet d’un trai­te­ment illi­cite par son employeur, l’employé concerné réclame en vain le verse­ment d’une indem­nité de EUR 20’000.- de la part de MDK Nordrhein. Débouté par les deux premières instances, il intro­duit un pour­voi en révi­sion devant le Tribunal fédé­ral du travail alle­mand (Bundesarbeitsgericht), lequel saisit la CJUE de plusieurs ques­tions préjudicielles.

Le trai­te­ment des données concer­nant la santé (ques­tions 1 à 3)

Le trai­te­ment portant sur des caté­go­ries de données sensibles est inter­dit (art. 9 par. 1 RGPD), sauf si l’une des condi­tions de l’art. 9 par. 2 RGPD est réali­sée. Parmi ces déro­ga­tions figure l’art. 9 par. 2 let. h RGPD, lequel permet le trai­te­ment de données sensibles pour autant (i) qu’il soit néces­saire à l’appréciation de la capa­cité de travail du travailleur (ii) sur la base du droit de l’UE, du droit d’un État membre ou d’un contrat conclu avec un profes­sion­nel de la santé et (iii) qu’il respecte les condi­tions et garan­ties de l’art. 9 par. 3 RGPD. Dans le présent arrêt, la CJUE indique que l’art. 9 par. 2 let. h RGPD n’est pas réservé aux tiers indé­pen­dants de l’employeur. Par consé­quent, il s’applique égale­ment aux situa­tions où un orga­nisme de contrôle médi­cal tel que MDK Nordrhein traite des données sensibles de l’un de ses employés en qualité de service médical.

La CJUE précise égale­ment que dans de telles circons­tances, l’art. 9 par. 3 RGPD n’impose pas au respon­sable de prendre des mesures empê­chant les employés qui côtoient profes­sion­nel­le­ment la personne concer­née d’accéder à ses données. Toutefois, une telle exigence peut décou­ler du droit natio­nal des États membres (art. 9 par. 4 RGPD), voire des prin­cipes d’intégrité et de confi­den­tia­lité (art. 5 par. 1 let. f RGPD, concré­tisé à l’art. 32 par. 1 RGPD).

Cet arrêt précise aussi qu’en présence de données concer­nant la santé, il n’est pas suffi­sant de lever l’interdiction prévue à l’art. 9 par. 1 RGPD pour pouvoir les trai­ter. Même lorsque le respon­sable du trai­te­ment se prévaut d’une des déro­ga­tions prévues à l’art. 9 par. 2 RGPD, la licéité du trai­te­ment s’apprécie toujours selon l’art. 6 par. 1 RGPD (cf. consi­dé­rant 51 du RGPD).

La répa­ra­tion du dommage (ques­tions 4 et 5)

Les autres ques­tions préju­di­cielles permettent à la CJUE de procé­der à plusieurs rappels sur le régime de respon­sa­bi­lité prévu à l’art. 82 RGPD. Aux termes de cette disposition,

« [t]oute personne ayant subi un dommage maté­riel ou moral du fait d’une viola­tion du présent règle­ment a le droit d’ob­te­nir du respon­sable du trai­te­ment ou du sous-trai­tant répa­ra­tion du préju­dice subi ».

Confirmant son raison­ne­ment déve­loppé dans l’arrêt UI contre Österreichische Post (C‑300/​21), la CJUE rappelle que la créance fondée sur l’art. 82 RGPD suppose (i) une viola­tion du RGPD, (ii) un dommage maté­riel ou moral, (iii) un lien de causa­lité entre la viola­tion du RGPD et le dommage et (iv) une faute, laquelle est présu­mée (art. 82 par. 2 et 3 RGPD).

Le RGPD ne pres­cri­vant pas de méthode d’évaluation du dommage, il convient d’y appli­quer le droit natio­nal, pour autant qu’il respecte les prin­cipes d’équivalence et d’effectivité. Toutefois, la CJUE précise que la répa­ra­tion n’a qu’une fonc­tion compen­sa­toire – à l’exclusion de toute fonc­tion puni­tive, qui est assu­rée par les art. 83 s. RGPD – et doit permettre de compen­ser inté­gra­le­ment le préju­dice effec­ti­ve­ment subi par la personne concer­née (cf. consi­dé­rant 146 RGPD). Puisque les dommages-inté­rêts alloués au titre de répa­ra­tion du préju­dice n’ont qu’une portée compen­sa­toire, la gravité de la faute n’a pas à être prise en compte pour déter­mi­ner leur montant.

Une appré­cia­tion

Cet arrêt est instruc­tif à plusieurs titres. D’abord, la CJUE rappelle que même en cas de déro­ga­tion (art. 9 par. 2 RGPD) à l’interdiction de trai­ter des données sensibles (art. 9 par. 1 RGPD), le respon­sable du trai­te­ment devra toujours se préva­loir d’un motif de licéité au sens de l’art. 6 RGPD.

Ensuite, la CJUE clari­fie que l’art. 82 RGPD instaure bien une respon­sa­bi­lité pour faute. Dans la mesure où la faute est présu­mée, il revient au respon­sable du trai­te­ment de démon­trer qu’aucune faute ne lui est impu­table. Ce raison­ne­ment de la CJUE est cohé­rent avec les autres dispo­si­tions du RGPD. En effet, le prin­cipe de respon­sa­bi­lité impose au respon­sable du trai­te­ment de démon­trer qu’il respecte le RGPD (art. 5 par 2 RGPD). Il lui revient donc de prou­ver le respect des art. 24 et 32 RGPD, c’est-à-dire qu’il a bien adopté des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour démon­trer la confor­mité du trai­te­ment avec le RGPD (art. 24 par. 1 RGPD) et pour garan­tir un niveau de sécu­rité des données adapté au risque, compte tenu des connais­sances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des fina­li­tés du trai­te­ment ainsi que des risques (art. 32 RGPD). Le registre des acti­vi­tés de trai­te­ment (art. 30 RGPD) devrait d’ailleurs four­nir des infor­ma­tions utiles à cet effet. Si les mesures ont été adop­tées, le respon­sable du trai­te­ment dispose des infor­ma­tions qui devraient lui permettre de se disculper.

Enfin, le présent arrêt met en évidence que la simple viola­tion du RGPD ne donne pas droit à des dommages-inté­rêts. Encore faut-il que cette viola­tion provoque un dommage, qu’il soit maté­riel ou moral. Dans le cas d’espèce, le dommage moral est dû à l’accès aux données de l’employé par ses collègues. La CJUE n’a donc pas eu à déter­mi­ner si la simple crainte qu’un tiers puisse indû­ment accé­der aux données consti­tue un dommage moral.

Cette dernière ques­tion a toute­fois fait l’objet de l’arrêt BL contre MediaMarktSaturn Hagen-Iserlohn GmbH (affaire C‑687/​21). La CJUE y précise d’abord que le dommage moral n’a pas à atteindre un certain seuil de gravité pour être répa­rable. Le dommage moral, aussi minime soit-il, donne droit à une répa­ra­tion. En revanche, le simple risque pure­ment hypo­thé­tique d’usage abusif des données person­nelles ne crée pas encore de dommage. Ainsi, lorsqu’il est établi que personne n’a pris connais­sance des données person­nelles, il n’y a pas de dommage.

Au vu de ce qui précède, la personne concer­née qui se prévaut d’un dommage moral ne peut se faire l’économie d’exposer en quoi la viola­tion du RGPD a concrè­te­ment provo­qué un dommage.