This document is an excerpt from the EUR-Lex website
Document 62021CJ0667
Judgment of the Court (Third Chamber) of 21 December 2023.#ZQ v Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.#Request for a preliminary ruling from the Bundesarbeitsgericht.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 6(1) – Conditions for lawful processing – Article 9(1) to (3) – Processing of special categories of data – Data concerning health – Assessment of an employee’s working capacity – Health insurance medical service processing data concerning the health of its own employees – Conditions for such processing and whether permissible – Article 82(1) – Right to compensation and liability – Compensation for non-material damage – Compensatory function – Impact of negligence on the part of the data controller.#Case C-667/21.
Arrêt de la Cour (troisième chambre) du 21 décembre 2023.
ZQ contre Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Demande de décision préjudicielle, introduite par le Bundesarbeitsgericht.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 6, paragraphe 1 – Conditions de licéité du traitement – Article 9, paragraphes 1 à 3 – Traitement portant sur des catégories particulières de données – Données concernant la santé – Appréciation de la capacité de travail d’un employé – Service médical en matière d’assurance maladie traitant des données relatives à la santé de ses propres employés – Admissibilité et conditions d’un tel traitement – Article 82, paragraphe 1 – Droit à réparation et responsabilité – Réparation d’un préjudice moral – Fonction compensatoire – Incidence de la faute commise par le responsable du traitement.
Affaire C-667/21.
Arrêt de la Cour (troisième chambre) du 21 décembre 2023.
ZQ contre Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Demande de décision préjudicielle, introduite par le Bundesarbeitsgericht.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 6, paragraphe 1 – Conditions de licéité du traitement – Article 9, paragraphes 1 à 3 – Traitement portant sur des catégories particulières de données – Données concernant la santé – Appréciation de la capacité de travail d’un employé – Service médical en matière d’assurance maladie traitant des données relatives à la santé de ses propres employés – Admissibilité et conditions d’un tel traitement – Article 82, paragraphe 1 – Droit à réparation et responsabilité – Réparation d’un préjudice moral – Fonction compensatoire – Incidence de la faute commise par le responsable du traitement.
Affaire C-667/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2023:1022
ARRÊT DE LA COUR (troisième chambre)
21 décembre 2023 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 6, paragraphe 1 – Conditions de licéité du traitement – Article 9, paragraphes 1 à 3 – Traitement portant sur des catégories particulières de données – Données concernant la santé – Appréciation de la capacité de travail d’un employé – Service médical en matière d’assurance maladie traitant des données relatives à la santé de ses propres employés – Admissibilité et conditions d’un tel traitement – Article 82, paragraphe 1 – Droit à réparation et responsabilité – Réparation d’un préjudice moral – Fonction compensatoire – Incidence de la faute commise par le responsable du traitement »
Dans l’affaire C‑667/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), par décision du 26 août 2021, parvenue à la Cour le 8 novembre 2021, dans la procédure
ZQ
contre
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,
LA COUR (troisième chambre),
composée de Mme K. Jürimäe, présidente de chambre, MM. N. Piçarra, M. Safjan, N. Jääskinen (rapporteur) et M. Gavalec, juges,
avocat général : M. M. Campos Sánchez-Bordona,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– |
pour ZQ, par Me E. Daun, Rechtsanwalt, |
– |
pour le Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, par Me M. Wehner, Rechtsanwalt, |
– |
pour l’Irlande, par Mme M. Browne, Chief State Solicitor, M. A. Joyce et Mme M. Lane, en qualité d’agents, assistés de M. D. Fennelly, BL, |
– |
pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato, |
– |
pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents, |
ayant entendu l’avocat général en ses conclusions à l’audience du 25 mai 2023,
rend le présent
Arrêt
1 |
La demande de décision préjudicielle porte sur l’interprétation de l’article 9, paragraphe 1, paragraphe 2, sous h), et paragraphe 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), lu en combinaison avec l’article 6, paragraphe 1, de ce règlement, ainsi que sur l’interprétation de l’article 82, paragraphe 1, de celui-ci. |
2 |
Cette demande a été présentée dans le cadre d’un litige opposant ZQ à son employeur, le Medizinischer Dienst der Krankenversicherung Nordrhein (service médical de l’assurance maladie de Rhénanie du Nord, Allemagne) (ci-après le « MDK Nordrhein »), au sujet de la réparation du préjudice que le premier prétend avoir subi en raison d’un traitement de données concernant sa santé qui aurait été effectué de manière illicite par le second. |
Le cadre juridique
Le droit de l’Union
3 |
Les considérants 4 à 8, 10, 35, 51 à 53, 75 et 146 du RGPD sont libellés comme suit :
[...]
[...]
[...]
[...]
[...]
|
4 |
Figurant sous le chapitre I de ce règlement, relatif aux « [d]ispositions générales », l’article 2 de celui-ci, lui-même intitulé « Champ d’application matériel », prévoit, à son paragraphe 1 : « Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. » |
5 |
L’article 4 dudit règlement, intitulé « Définitions », dispose : « Aux fins du présent règlement, on entend par :
[...]
[...]
[...] » |
6 |
Le chapitre II du RGPD, relatif aux « [p]rincipes » fixés par ce dernier, comprend les articles 5 à 11 de celui-ci. |
7 |
L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit : « 1. Les données à caractère personnel doivent être :
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). » |
8 |
L’article 6 dudit règlement, intitulé « Licéité du traitement », dispose, à son paragraphe 1 : « Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. » |
9 |
L’article 9 du même règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », est rédigé comme suit : « 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. 2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie : [...]
[...]
[...] 3. Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents. 4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. » |
10 |
Le chapitre IV du RGPD, intitulé « Responsable du traitement et sous‑traitant », comprend les articles 24 à 43 de celui-ci. |
11 |
Figurant sous la section 1 de ce chapitre, intitulée « Obligations générales », l’article 24 de ce règlement, lui-même intitulé « Responsabilité du responsable du traitement », prévoit, à son paragraphe 1 : « Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. » |
12 |
Figurant sous la section 2 dudit chapitre, intitulée « Sécurité des données à caractère personnel », l’article 32 dudit règlement, lui-même intitulé « Sécurité du traitement », dispose, à son paragraphe 1 : « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
[...] » |
13 |
Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », contient les articles 77 à 84 de ce règlement. |
14 |
Aux termes de l’article 82 dudit règlement, intitulé « Droit à réparation et responsabilité » : « 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. 2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. [...] 3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. [...] » |
15 |
L’article 83 du RGPD, intitulé « Conditions générales pour imposer des amendes administratives », prévoit : « 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. 2. [...] Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
[...]
[...]
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave. [...] » |
16 |
L’article 84 de ce règlement, intitulé « Sanctions », dispose, à son paragraphe 1 : « Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. » |
Le droit allemand
17 |
En vertu de l’article 275, paragraphe 1, du Sozialgesetzbuch, Fünftes Buch (code social, cinquième livre), dans sa version applicable au litige au principal, les caisses de l’assurance maladie obligatoire sont tenues de demander à un Medizinischer Dienst (service médical) qui les assiste, en particulier, de réaliser une expertise visant à lever des doutes sur l’incapacité de travail d’un assuré, dans les cas déterminés par la loi ou lorsque la maladie de ce dernier le nécessite. |
18 |
L’article 278, paragraphe 1, de ce code prévoit qu’un tel service médical est institué dans chacun des Länder, sous la forme d’un organisme de droit public. |
Le litige au principal et les questions préjudicielles
19 |
Le MDK Nordrhein est un organisme de droit public qui, en tant que service médical de caisses d’assurance maladie, a pour mission légale, entre autres, de réaliser des expertises médicales tendant à dissiper des doutes relatifs à l’incapacité de travail de personnes assurées auprès des caisses de l’assurance maladie obligatoire qui relèvent de son ressort, y compris lorsque ces expertises concernent ses propres employés. |
20 |
Dans un tel cas, seuls les membres d’une unité spéciale, dénommée « cellule cas particuliers », sont autorisés à traiter les données dites « sociales » de cet employé, en utilisant un domaine verrouillé du système informatique de cet organisme, et à accéder aux archives numériques, après la clôture du dossier d’expertise. Une note de service interne portant sur ces cas prévoit, notamment, qu’un nombre restreint d’agents habilités, dont certains agents du service informatique, ont accès auxdites données. |
21 |
Le requérant au principal a travaillé au sein du service informatique du MDK Nordrhein, avant d’être placé en incapacité de travail pour raison médicale. À l’issue du semestre durant lequel cet organisme, en tant qu’employeur, a continué à le rémunérer, la caisse de l’assurance maladie obligatoire à laquelle il était affilié a commencé à lui verser des indemnités de maladie. |
22 |
Cette caisse a alors demandé au MDK Nordrhein de réaliser une expertise portant sur l’incapacité de travail du requérant au principal. Un médecin exerçant au sein de la « cellule cas particuliers » du MDK Nordrhein a réalisé l’expertise, notamment, en obtenant des renseignements auprès du médecin traitant du requérant au principal. Lorsque ce dernier en a été informé par son médecin traitant, il a contacté l’une de ses collègues du service informatique et l’a priée de prendre, puis de lui transmettre, des photographies du rapport d’expertise qui figurait dans les archives numériques du MDK Nordrhein. |
23 |
Estimant que des données concernant sa santé avaient ainsi fait l’objet d’un traitement illicite par son employeur, le requérant au principal a demandé à celui‑ci de lui verser une indemnisation d’un montant de 20000 euros, ce que le MDK Nordrhein a refusé. |
24 |
Par la suite, le requérant au principal a saisi l’Arbeitsgericht Düsseldorf (tribunal du travail de Düsseldorf, Allemagne) en vue d’obtenir, sur le fondement de l’article 82, paragraphe 1, du RGPD et de dispositions du droit allemand, que le MDK Nordrhein soit condamné à réparer le préjudice qu’il affirme avoir subi en raison du traitement de données à caractère personnel ainsi effectué. Il a essentiellement fait valoir, d’une part, que l’expertise en cause aurait dû être réalisée par un autre service médical pour éviter que ses collègues aient accès à des données concernant sa santé et, d’autre part, que les mesures de sécurité entourant l’archivage du rapport relatif à cette expertise étaient insuffisantes. Il a également soutenu que ce traitement constituait une violation des règles de droit protégeant de telles données qui lui avait occasionné des dommages tant moraux que matériels. |
25 |
En défense, le MDK Nordrhein a principalement soutenu que la collecte et la conservation des données concernant la santé du requérant au principal avaient été effectuées en conformité avec les dispositions relatives à la protection de telles données. |
26 |
Ayant été débouté de sa demande en première instance, le requérant au principal a interjeté appel devant le Landesarbeitsgericht Düsseldorf (tribunal supérieur du travail de Düsseldorf, Allemagne), qui a aussi rejeté son recours. Il a alors introduit un pourvoi en Revision devant le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), qui est la juridiction de renvoi dans la présente affaire. |
27 |
Cette dernière juridiction part des prémisses selon lesquelles, dans le litige au principal, l’expertise réalisée par le MDK Nordrhein, en tant que service médical, constitue un « traitement » de « données à caractère personnel » et, plus spécifiquement, de « données concernant la santé », au sens de l’article 4, points 1, 2 et 15, du RGPD, de sorte que cette opération relève du champ d’application matériel de ce règlement, tel que défini à l’article 2, paragraphe 1, de celui-ci. En outre, elle considère que le MDK Nordrhein est le « responsable du traitement » concerné, au sens de l’article 4, point 7, dudit règlement. |
28 |
Ses interrogations portent, en premier lieu, sur l’interprétation de plusieurs dispositions de l’article 9 du RGPD, lequel est relatif aux traitements portant sur des catégories particulières de données à caractère personnel, notamment compte tenu du fait que le traitement en cause au principal a été réalisé par un organisme qui est aussi l’employeur de la personne concernée, telle que définie à l’article 4, point 1, de ce règlement. |
29 |
Tout d’abord, la juridiction de renvoi doute que le traitement de données concernant la santé en cause au principal puisse relever de l’une des exceptions prévues au paragraphe 2 de l’article 9 du RGPD. Selon cette juridiction, seules les exceptions figurant aux points b) et h) de ce paragraphe 2 sont pertinentes en l’occurrence. Cependant, elle exclut d’emblée d’appliquer la dérogation prévue à ce point b) dans le cas d’espèce, au motif que le traitement en cause au principal n’était pas nécessaire aux fins des droits et des obligations du responsable du traitement, pris en sa qualité d’employeur de la personne concernée. En effet, ce traitement aurait été initié par un autre organisme, qui a demandé au MDK Nordrhein de procéder à un contrôle en sa qualité de service médical. En revanche, tout en étant encline à ne pas appliquer non plus la dérogation prévue à ce point h), car il lui semble que seul un traitement effectué par un « tiers neutre » devrait pouvoir en relever et qu’un organisme ne saurait se fonder sur sa « double fonction » d’employeur et de service médical pour écarter l’interdiction d’un tel traitement, la juridiction de renvoi ne se montre pas catégorique à cet égard. |
30 |
Ensuite, dans l’hypothèse où le traitement de données concernant la santé serait autorisé dans de telles circonstances en vertu de l’article 9, paragraphe 2, sous h), du RGPD, la juridiction de renvoi se questionne sur les règles afférentes à la protection des données concernant la santé qui doivent être respectées dans ce cadre. À son avis, ce règlement implique qu’il n’est pas suffisant que le responsable du traitement satisfasse aux exigences figurant à l’article 9, paragraphe 3, de celui-ci. Ce responsable devrait, en outre, garantir qu’aucun des collègues de la personne concernée ne puisse avoir un quelconque accès aux données concernant l’état de santé de cette dernière. |
31 |
Enfin, toujours dans la même hypothèse, cette juridiction souhaite savoir si au moins l’une des conditions visées à l’article 6, paragraphe 1, du RGPD doit, de surcroît, être remplie pour qu’un tel traitement soit licite. Selon elle, tel devrait être le cas et, dans le cadre du litige au principal, seuls les points c) et e) de cet article 6, paragraphe 1, premier alinéa, pourraient a priori être pertinents. Néanmoins, ces deux points c) et e) ne devraient pas s’appliquer, aux motifs que le traitement concerné n’est pas « nécessaire », au sens de ces dispositions, car il pourrait tout aussi bien être opéré par un autre service médical que le MDK Nordrhein. |
32 |
En second lieu, dans l’hypothèse où une violation du RGPD serait constituée en l’occurrence, la juridiction de renvoi s’interroge sur la réparation possiblement due au requérant au principal en vertu de l’article 82 de ce règlement. |
33 |
D’une part, elle souhaite savoir si la règle prévue à l’article 82, paragraphe 1, du RGPD revêt un caractère dissuasif ou punitif, en plus de sa fonction réparatrice, et, le cas échéant, s’il faudrait prendre en compte ledit caractère lors de la fixation du montant des dommages‑intérêts octroyés au titre d’un préjudice moral, notamment eu égard aux principes d’effectivité, de proportionnalité et d’équivalence consacrés dans d’autres domaines du droit de l’Union. |
34 |
D’autre part, cette juridiction tend à considérer que la responsabilité du responsable du traitement peut être engagée sur le fondement dudit article 82, paragraphe 1, sans nécessité d’établir qu’il a commis une faute. Éprouvant néanmoins des doutes, principalement au vu de règles de droit allemand, elle se demande s’il faudrait vérifier que la violation du RGPD en cause est imputable au responsable du traitement en raison d’un acte intentionnel ou d’une négligence de sa part et si le niveau de gravité de la faute éventuellement commise par celui-ci devrait influer sur les dommages‑intérêts alloués en réparation d’un préjudice moral. |
35 |
Dans ces conditions, le Bundesarbeitsgericht (Cour fédérale du travail) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
|
Sur les questions préjudicielles
Sur la première question
36 |
Par sa première question, la juridiction de renvoi demande, en substance, si, eu égard à l’interdiction de traiter des données concernant la santé prévue à l’article 9, paragraphe 1, du RGPD, le paragraphe 2, sous h), de cet article doit être interprété en ce sens que l’exception qu’il prévoit est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité non pas d’employeur, mais de service médical, afin d’apprécier la capacité de travail de cet employé. |
37 |
Selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie. La genèse d’une disposition du droit de l’Union peut également révéler des éléments pertinents pour son interprétation (arrêt du 16 mars 2023, Towercast, C‑449/21, EU:C:2023:207, point 31 et jurisprudence citée). |
38 |
En premier lieu, il convient de rappeler que l’article 9 du RGPD porte, comme l’indique son intitulé, sur le « [t]raitement de catégories particulières de données à caractère personnel », également qualifiées de données « sensibles » aux considérants 10 et 51 de ce règlement. |
39 |
Le considérant 51 du RGPD énonce que les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et ces droits. |
40 |
Ainsi, l’article 9, paragraphe 1, du RGPD pose le principe de l’interdiction des traitements portant sur les catégories particulières de données à caractère personnel qu’il énumère. Parmi ces dernières, figurent les « données concernant la santé », telles que définies à l’article 4, point 15, de ce règlement, lu à la lumière de son considérant 35, lesquelles sont visées dans la présente affaire. |
41 |
La Cour a précisé que la finalité de l’article 9, paragraphe 1, dudit règlement consiste à assurer une protection accrue contre des traitements qui, en raison de la sensibilité particulière des données en faisant l’objet, sont susceptibles de constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis aux articles 7 et 8 de la charte des droits fondamentaux [voir, en ce sens, arrêt du 5 juin 2023, Commission/Pologne (Indépendance et vie privée des juges), C‑204/21, EU:C:2023:442, point 345 et jurisprudence citée]. |
42 |
L’article 9, paragraphe 2, sous a) à j), du RGPD prévoit, cependant, une liste exhaustive d’exceptions au principe de l’interdiction de traiter ces données sensibles. |
43 |
En particulier, l’article 9, paragraphe 2, sous h), du RGPD autorise un tel traitement s’il est « nécessaire aux fins [notamment] de l’appréciation de la capacité de travail du travailleur [...] sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé ». Cette disposition précise que tout traitement fondé sur celle‑ci est, de surcroît, spécifiquement « soumis aux conditions et garanties visées au paragraphe 3 » de cet article 9. |
44 |
Il résulte de l’article 9, paragraphe 2, sous h), du RGPD, lu en combinaison avec le paragraphe 3 de cet article, que la possibilité de traiter des données sensibles, telles que celles concernant la santé, se trouve strictement encadrée par une série de conditions cumulatives. Ces dernières sont relatives, premièrement, aux finalités énumérées audit point h) – parmi lesquelles figure l’appréciation de la capacité de travail d’un travailleur –, deuxièmement, au fondement juridique de ce traitement – qu’il s’agisse du droit de l’Union, du droit d’un État membre ou d’un contrat conclu avec un professionnel de la santé, selon le même point h) – et enfin, troisièmement, au devoir de confidentialité auquel sont tenues les personnes habilitées à effectuer un tel traitement, en vertu de cet article 9, paragraphe 3, ces personnes devant toutes être soumises à une obligation de secret conformément à cette dernière disposition. |
45 |
Ainsi que M. l’avocat général l’a relevé, en substance, aux points 32 et 33 de ses conclusions, ni le libellé de l’article 9, paragraphe 2, sous h), du RGPD ni la genèse de cette disposition ne fournissent d’éléments de nature à considérer que l’application de la dérogation prévue à ladite disposition serait réservée, comme la juridiction de renvoi le suggère, aux hypothèses où le traitement est réalisé par un « tiers neutre et non par l’employeur » de la personne concernée, telle que définie à l’article 4, point 1, de ce règlement. |
46 |
Eu égard à l’avis de la juridiction de renvoi selon lequel, en substance, un organisme ne devrait pas pouvoir se fonder sur sa « double fonction » d’employeur de la personne concernée et de service médical pour échapper au principe de l’interdiction de traiter des données concernant la santé, énoncé à l’article 9, paragraphe 1, du RGPD, il y a lieu de préciser qu’il est déterminant de prendre en considération le titre auquel le traitement de ces données est effectué. |
47 |
En effet, si cet article 9, paragraphe 1, interdit, par principe, le traitement des données concernant la santé, le paragraphe 2 dudit article prévoit, à ses points a) à j), dix dérogations qui sont indépendantes les unes des autres et qui doivent donc être appréciées de manière autonome. Il s’ensuit que le fait que les conditions d’application de l’une des dérogations prévues à ce paragraphe 2 ne sont pas réunies ne saurait faire obstacle à ce qu’un responsable de traitement puisse se prévaloir d’une autre dérogation mentionnée à cette disposition. |
48 |
Il découle de ce qui précède que l’article 9, paragraphe 2, sous h), du RGPD, lu en combinaison avec le paragraphe 3 de cet article, n’exclut nullement l’applicabilité de l’exception énoncée à ce point h) à des situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité de service médical, et non en qualité d’employeur, afin d’apprécier la capacité de travail de cet employé. |
49 |
En second lieu, une telle interprétation est confortée par la prise en compte du système dans lequel s’inscrit l’article 9, paragraphe 2, sous h), du RGPD ainsi que par les objectifs que poursuivent ce règlement et cette disposition. |
50 |
Premièrement, certes, dans la mesure où il prévoit une exception au principe de l’interdiction du traitement des catégories particulières de données à caractère personnel, l’article 9, paragraphe 2, du RGPD doit être interprété de manière restrictive [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 76]. |
51 |
Toutefois, le respect du principe d’interdiction énoncé à l’article 9, paragraphe 1, du RGPD ne peut conduire à réduire le champ d’application d’une autre disposition de ce règlement d’une manière qui irait à l’encontre du libellé clair de cette dernière. Or, l’interprétation suggérée, selon laquelle le champ d’application de l’exception prévue à cet article 9, paragraphe 2, sous h), devrait être limité aux hypothèses où un « tiers neutre » traite des données concernant la santé aux fins de l’appréciation de la capacité de travail d’un travailleur, ajouterait une exigence qui ne ressort aucunement du libellé clair de cette dernière disposition. |
52 |
À cet égard, il est sans incidence qu’en l’occurrence, dans l’hypothèse où le MDK Nordrhein se verrait interdire de remplir sa mission de service médical lorsqu’il s’agit de l’un de ses propres employés, un autre organisme de contrôle médical serait en mesure de s’en charger. Il importe de souligner que cette alternative, évoquée par la juridiction de renvoi, n’est pas nécessairement présente ou réalisable dans tous les États membres et dans toutes les situations susceptibles d’être couvertes par l’article 9, paragraphe 2, sous h), du RGPD. Or, l’interprétation de cette disposition ne saurait être guidée par des considérations tirées du système de santé d’un seul État membre ou issues de circonstances propres au litige au principal. |
53 |
Secondement, l’interprétation figurant au point 48 du présent arrêt est conforme aux objectifs du RGPD et à ceux de l’article 9 de ce règlement. |
54 |
Ainsi, le considérant 4 du RGPD énonce que le droit à la protection des données à caractère personnel n’est pas un droit absolu, puisqu’il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité (voir, en ce sens, arrêt du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 78). En outre, la Cour a déjà souligné que les mécanismes permettant de trouver un juste équilibre entre les différents droits et intérêts en présence sont inscrits dans le RGPD lui‑même (voir, en ce sens, arrêt du 17 juin 2021, M.I.C.M., C‑597/19, EU:C:2021:492, point 112). |
55 |
Ces considérations valent y compris lorsque les données concernées relèvent des catégories particulières qui sont visées à l’article 9 de ce règlement [voir, en ce sens, arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, points 57 et 66 à 68], telles que les données concernant la santé. |
56 |
Plus spécifiquement, il ressort du considérant 52 du RGPD que des « dérogations à l’interdiction de traiter ces catégories particulières de données » devraient être autorisées « lorsque l’intérêt public le commande, notamment [...] dans le domaine du droit du travail et du droit de la protection sociale, » ainsi qu’« à des fins de santé, [...] en particulier pour assurer la qualité et l’efficience des procédures de règlement des demandes de prestations et de services dans le régime d’assurance-maladie ». Le considérant 53 de ce règlement énonce aussi que des traitements effectués « à des fins liées à la santé » devraient être possibles « lorsque cela est nécessaire pour atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale ». |
57 |
C’est dans cette perspective d’ensemble et eu égard aux divers intérêts légitimes en présence que le législateur de l’Union a prévu, à l’article 9, paragraphe 2, sous h), du RGPD, une possibilité de déroger au principe de l’interdiction du traitement des données concernant la santé énoncé au paragraphe 1 de cet article, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par les autres dispositions de ce règlement pertinentes, en particulier le paragraphe 3 dudit article 9, dispositions dans lesquelles ne figure pas l’exigence qu’un service médical qui traite de telles données au titre dudit point h) soit une entité distincte de l’employeur de la personne concernée. |
58 |
Compte tenu des motifs qui précèdent, et sans préjudice des réponses qui seront apportées aux deuxième et troisième questions, il convient de répondre à la première question que l’article 9, paragraphe 2, sous h), du RGPD doit être interprété en ce sens que l’exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité non pas d’employeur, mais de service médical, afin d’apprécier la capacité de travail de cet employé, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par le paragraphe 3 dudit article 9. |
Sur la deuxième question
59 |
Selon la juridiction de renvoi, il ressort des considérants 35, 51, 53 et 75 du RGPD qu’il ne suffit pas de satisfaire aux exigences de l’article 9, paragraphe 3, de celui‑ci, dans une situation telle que celle en cause au principal, où le responsable du traitement est également l’employeur de la personne dont la capacité de travail est évaluée. Ce règlement commanderait, en outre, d’écarter du traitement de données concernant la santé tous les employés du responsable du traitement amenés à avoir un quelconque contact professionnel avec cette personne. D’après cette juridiction, tout responsable du traitement disposant de plusieurs établissements, comme le MDK Nordrhein, devrait faire en sorte que l’entité chargée du traitement des données concernant la santé des employés de ce responsable relève toujours d’un autre établissement que celui au sein duquel travaille l’employé concerné. De surcroît, l’obligation de secret professionnel pesant sur les employés habilités à traiter de telles données n’empêcherait pas, dans les faits, qu’un collègue de la personne concernée puisse accéder aux données la concernant, ce qui entraînerait des risques de dommages, tels que l’atteinte à la réputation de cette dernière. |
60 |
Dans ces conditions, par sa deuxième question, la juridiction de renvoi souhaite, en substance, savoir si les dispositions du RGPD doivent être interprétées en ce sens que le responsable d’un traitement de données concernant la santé, fondé sur l’article 9, paragraphe 2, sous h), de ce règlement, est tenu de garantir qu’aucun collègue de la personne concernée ne puisse accéder aux données se rapportant à l’état de santé de celle‑ci. |
61 |
Il convient de rappeler que, en vertu de l’article 9, paragraphe 3, du RGPD, un traitement portant sur les données et visant les finalités respectivement énumérées au paragraphe 1 et au paragraphe 2, sous h), de cet article 9, en l’occurrence des données concernant la santé d’un travailleur aux fins de l’appréciation de sa capacité de travail, ne peut être réalisé que si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents. |
62 |
En adoptant l’article 9, paragraphe 3, de ce règlement qui se réfère précisément au paragraphe 2, sous h), du même article, le législateur de l’Union a défini les mesures de protection spécifiques qu’il entendait imposer aux responsables de tels traitements, lesquelles consistent à ce que ces derniers soient réservés à des personnes soumises à une obligation de secret, conformément aux conditions détaillées audit paragraphe 3. Il n’y a donc pas lieu d’ajouter au libellé de cette dernière disposition des exigences que celle‑ci ne mentionne pas. |
63 |
Il s’ensuit, ainsi que M. l’avocat général l’a relevé, en substance, au point 43 de ses conclusions, que l’article 9, paragraphe 3, du RGPD ne peut servir de base juridique à une mesure garantissant qu’aucun collègue de la personne concernée ne puisse accéder aux données se rapportant à l’état de santé de celle‑ci. |
64 |
Il convient cependant d’apprécier si l’exigence consistant à garantir qu’aucun collègue de la personne concernée n’ait accès aux données se rapportant à l’état de santé de celle‑ci peut être imposée au responsable d’un traitement de données de santé, fondé sur l’article 9, paragraphe 2, sous h), du RGPD, sur la base d’une autre disposition de ce règlement. |
65 |
À cet égard, il importe de préciser que la seule possibilité pour les États membres d’ajouter une telle exigence, par rapport à celles énoncées aux paragraphes 2 et 3 de l’article 9 dudit règlement, réside dans la faculté que leur confère explicitement le paragraphe 4 de cet article de « maintenir ou [d’]introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement [...] des données concernant la santé ». |
66 |
Néanmoins, ces éventuelles conditions supplémentaires résultent non pas des dispositions du RGPD en elles‑mêmes, mais, le cas échéant, de règles de droit national régissant des traitements de ce type, règles à l’égard desquelles ce règlement laisse expressément une marge d’appréciation aux États membres (voir, en ce sens, arrêt du 30 mars 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, points 51 et 78). |
67 |
Il convient, en outre, de souligner qu’un État membre qui entendrait faire usage de la faculté ouverte à l’article 9, paragraphe 4, dudit règlement devrait, conformément au principe de proportionnalité, s’assurer que les conséquences pratiques, notamment d’ordre organisationnel, économique et médical, engendrées par les exigences supplémentaires dont cet État entend imposer le respect, ne sont pas excessives pour les responsables d’un tel traitement, lesquels ne disposent pas nécessairement de dimensions ou de ressources techniques et humaines qui soient suffisantes pour satisfaire à ces exigences. En effet, celles-ci ne sauraient nuire à l’effet utile de l’autorisation de traitement qui est expressément prévue à l’article 9, paragraphe 2, sous h), du même règlement et encadrée au paragraphe 3 de cet article. |
68 |
Enfin, il importe de souligner que, en vertu l’article 32, paragraphe 1, sous a) et b), du RGPD, qui concrétise les principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), de ce règlement, tout responsable du traitement de données à caractère personnel est tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, en particulier la pseudonymisation et le chiffrement de telles données, ainsi que des moyens permettant de garantir, notamment, la confidentialité et l’intégrité des systèmes et des services de traitement. Pour déterminer les modalités pratiques de cette obligation, le responsable du traitement doit, conformément à cet article 32, paragraphe 1, tenir compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. |
69 |
Il incombera, toutefois, à la juridiction de renvoi d’apprécier si l’ensemble des mesures techniques et organisationnelles mises en œuvre, en l’occurrence, par le MDK Nordrhein sont conformes aux prescriptions de l’article 32, paragraphe 1, sous a) et b), du RGPD. |
70 |
Il y a donc lieu de répondre à la deuxième question que l’article 9, paragraphe 3, du RGPD doit être interprété en ce sens que le responsable d’un traitement de données concernant la santé, fondé sur l’article 9, paragraphe 2, sous h), de ce règlement, n’est pas tenu, en vertu de ces dispositions, de garantir qu’aucun collègue de la personne concernée ne peut accéder aux données se rapportant à l’état de santé de celle‑ci. Toutefois, une telle obligation peut s’imposer au responsable d’un tel traitement soit en vertu d’une réglementation adoptée par un État membre sur la base de l’article 9, paragraphe 4, dudit règlement, soit au titre des principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), du même règlement et concrétisés à l’article 32, paragraphe 1, sous a) et b), de celui-ci. |
Sur la troisième question
71 |
Par sa troisième question, la juridiction de renvoi s’interroge, en substance, sur le point de savoir si l’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du RGPD doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1. |
72 |
À cet égard, il y a lieu de rappeler que les articles 5, 6 et 9 du RGPD figurent dans le chapitre II de ce règlement, intitulé « Principes », et sont relatifs, respectivement, aux principes relatifs au traitement des données à caractère personnel, aux conditions de licéité du traitement et au traitement portant sur des catégories particulières de données à caractère personnel. |
73 |
En outre, il convient de relever que le considérant 51 du RGPD indique explicitement que, « [o]utre les exigences spécifiques » applicables aux traitements portant sur des données « particulièrement sensibles », qui sont énoncées à l’article 9, paragraphes 2 et 3, de ce règlement, sans préjudice des mesures éventuellement adoptées par un État membre sur le fondement du paragraphe 4 de cet article, « les principes généraux et les autres règles [dudit] règlement devraient [aussi] s’appliquer [à un tel traitement], en particulier en ce qui concerne les conditions de licéité du traitement », telles qu’elles ressortent de l’article 6 du même règlement. |
74 |
Dès lors, conformément à l’article 6, paragraphe 1, premier alinéa, du RGPD, un traitement portant sur des données « particulièrement sensibles », telles que celles concernant la santé, n’est licite que si au moins l’une des conditions énoncées audit paragraphe 1, premier alinéa, sous a) à f), est remplie. |
75 |
Or, l’article 6, paragraphe 1, premier alinéa, dudit règlement prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme licite. Ainsi, pour qu’il puisse être considéré comme légitime, un traitement doit relever de l’un des cas prévus à cette disposition [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 90 ainsi que jurisprudence citée]. |
76 |
Partant, la Cour a itérativement jugé que tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, du RGPD et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 de ce règlement [arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 57 et jurisprudence citée]. |
77 |
De surcroît, il a déjà été jugé que, dans la mesure où les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II de ce règlement, ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, dudit règlement, le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la jurisprudence de la Cour, ces autres dispositions dudit chapitre qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions [arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 58 et jurisprudence citée]. |
78 |
Il s’ensuit, en particulier, que, dans la mesure où l’article 9, paragraphe 2, sous h), du RGPD a pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, de ce règlement, un traitement de données concernant la santé qui est fondé sur cette première disposition doit respecter, afin d’être licite, à la fois les exigences découlant de celle‑ci ainsi que les obligations résultant de ces deux dernières dispositions et, en particulier, remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1. |
79 |
Eu égard à ce qui précède, il convient de répondre à la troisième question que l’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du RGPD doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1. |
Sur la quatrième question
80 |
Par sa quatrième question, la juridiction de renvoi souhaite savoir, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévue à cette disposition remplit non seulement une fonction compensatoire, mais aussi une fonction dissuasive ou punitive et, dans l’affirmative, si cette dernière doit éventuellement être prise en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition. |
81 |
Il convient de rappeler que l’article 82, paragraphe 1, du RGPD énonce que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ». |
82 |
La Cour a interprété cette disposition en ce sens que la simple violation du RGPD ne suffit pas pour conférer un droit à réparation, après avoir mis en exergue, notamment, que l’existence d’un « dommage » ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu à cet article 82, paragraphe 1, tout comme l’existence d’une violation de ce règlement et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 32 et 42]. |
83 |
En outre, la Cour a jugé que, puisque le RGPD ne contient pas de disposition ayant pour objet de définir les règles relatives à l’évaluation des dommages‑intérêts dus au titre du droit à réparation consacré à l’article 82 de ce règlement, les juges nationaux doivent à cette fin appliquer, en vertu du principe de l’autonomie procédurale, les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union, tels que définis par la jurisprudence constante de la Cour [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 53, 54 et 59]. |
84 |
Dans ce contexte et eu égard au considérant 146, sixième phrase, du RGPD, selon lequel cet instrument tend à assurer une « réparation complète et effective pour le dommage subi », la Cour a relevé que, compte tenu de la fonction compensatoire du droit à réparation prévu à l’article 82 de ce règlement, une réparation pécuniaire fondée sur cet article doit être considérée comme étant « complète et effective » si elle permet de compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement, sans qu’il soit nécessaire, aux fins d’une telle compensation intégrale, d’imposer le versement de dommages-intérêts punitifs [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 57 et 58]. |
85 |
À cet égard, il importe de souligner que l’article 82 du RGPD revêt une fonction non pas punitive mais compensatoire, contrairement à d’autres dispositions de ce règlement figurant aussi au chapitre VIII de celui-ci, à savoir ses articles 83 et 84, qui ont, quant à eux, essentiellement une finalité punitive, puisqu’ils permettent respectivement d’infliger des amendes administratives ainsi que d’autres sanctions. L’articulation entre les règles énoncées audit article 82 et celles énoncées auxdits articles 83 et 84 démontre qu’il existe une différence entre ces deux catégories de dispositions, mais aussi une complémentarité, en termes d’incitation à respecter le RGPD, étant observé que le droit de toute personne à demander réparation d’un préjudice renforce le caractère opérationnel des règles de protection prévues par ce règlement et est de nature à décourager la réitération de comportements illicites [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 38 et 40]. |
86 |
Dès lors que le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD ne remplit pas une fonction dissuasive, voire punitive, telle qu’envisagée par la juridiction de renvoi, la gravité de la violation de ce règlement ayant causé le dommage concerné ne saurait influer sur le montant des dommages‑intérêts octroyés au titre de cette disposition, même lorsqu’il s’agit d’un dommage non pas matériel mais moral. Il s’ensuit que ce montant ne saurait être fixé à un niveau dépassant la compensation complète de ce préjudice. |
87 |
Par conséquent, il y a lieu de répondre à la quatrième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive. |
Sur la cinquième question
88 |
Il ressort des éléments transmis par la juridiction de renvoi, en réponse à une demande d’éclaircissements lui ayant été adressée conformément à l’article 101 du règlement de procédure de la Cour, que la cinquième question tend à déterminer, d’une part, si l’existence et/ou la preuve d’une faute sont des conditions requises pour que la responsabilité du responsable du traitement ou du sous-traitant puisse être engagée et, d’autre part, quelle répercussion le degré de gravité d’une faute du responsable du traitement ou du sous-traitant est susceptible d’avoir sur l’évaluation concrète des dommages‑intérêts à verser en réparation du préjudice moral subi. |
89 |
Compte tenu de cette réponse de la juridiction de renvoi, il y a lieu de comprendre la cinquième question comme visant, en substance, à savoir, d’une part, si l’article 82 du RGPD doit être interprété en ce sens que l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui-ci et, d’autre part, si le degré de gravité de cette faute doit être pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition. |
90 |
S’agissant du premier volet de cette question, il convient d’observer que, comme cela a été rappelé au point 82 du présent arrêt, l’article 82, paragraphe 1, du RGPD subordonne le droit à réparation à la réunion de trois éléments, à savoir l’existence d’une violation de ce règlement, l’existence d’un dommage subi ainsi que l’existence d’un lien de causalité entre cette violation et ce dommage. |
91 |
L’article 82, paragraphe 2, du RGPD dispose, quant à lui, que tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation de ce règlement. Or, le libellé de cette disposition dans certaines de ses versions linguistiques, notamment la version allemande qui est celle de la langue de procédure dans la présente affaire, ne permet pas de déterminer avec certitude si la violation en question doit être imputable au responsable du traitement pour que sa responsabilité puisse être engagée. |
92 |
À cet égard, il ressort d’une analyse des différentes versions linguistiques de la première phrase de l’article 82, paragraphe 2, du RGPD que le responsable du traitement est présumé avoir participé au traitement constituant la violation de ce règlement qui est visée. En effet, tandis que les versions en langues allemande, française ou finnoise sont formulées de manière ouverte, un certain nombre d’autres versions linguistiques s’avèrent plus précises et utilisent un déterminant démonstratif pour la troisième occurrence du terme « traitement », ou pour la troisième référence à ce terme, de telle sorte qu’il est clair que cette troisième occurrence ou référence renvoie à la même opération que la deuxième occurrence de ce terme. Tel est le cas des versions en langues espagnole, estonienne, grecque, italienne ou roumaine. |
93 |
L’article 82, paragraphe 3, du RGPD vient préciser, dans cette perspective, qu’un responsable du traitement est exonéré de responsabilité, au titre du paragraphe 2 de cet article 82, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. |
94 |
Il ressort ainsi d’une analyse combinée de ces différentes dispositions de l’article 82 du RGPD que cet article prévoit un régime de responsabilité pour faute dans lequel la charge de la preuve pèse, non pas sur la personne qui a subi un dommage, mais sur le responsable du traitement. |
95 |
Une telle interprétation est corroborée par le contexte dans lequel s’insère cet article 82 ainsi que par les objectifs poursuivis par le législateur de l’Union à travers le RGPD. |
96 |
À cet égard, premièrement, il ressort des libellés des articles 24 et 32 du RGPD que ces dispositions se bornent à imposer au responsable du traitement d’adopter des mesures techniques et organisationnelles destinées à éviter, dans toute la mesure du possible, toute violation de données à caractère personnel. Le caractère approprié de telles mesures doit être évalué de manière concrète, en examinant si ces mesures ont été mises en œuvre par le responsable du traitement en tenant compte des différents critères visés auxdits articles et des besoins de protection des données spécifiquement inhérents au traitement concerné ainsi qu’aux risques induits par ce dernier (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 30). |
97 |
Or, une telle obligation serait remise en question si le responsable du traitement était, ensuite, tenu de réparer tout dommage causé par un traitement opéré en violation du RGPD. |
98 |
Deuxièmement, s’agissant des objectifs du RGPD, il ressort des considérants 4 à 8 de ce règlement que celui-ci vise à mettre en œuvre un équilibre entre les intérêts des responsables du traitement de données à caractère personnel et les droits des personnes dont de telles données sont traitées. Le but recherché est de permettre le développement de l’économie numérique, tout en garantissant un niveau élevé de protection des personnes. C’est ainsi une mise en balance, des intérêts du responsable du traitement et des personnes dont les données personnelles sont traitées, qui est visée. Or, un mécanisme de responsabilité pour faute assorti d’un renversement de la charge de la preuve, comme le prévoit l’article 82 du RGPD, permet précisément d’assurer un tel équilibre. |
99 |
D’une part, comme l’a observé M. l’avocat général, en substance, au point 93 de ses conclusions, il ne serait pas conforme à l’objectif d’une telle protection élevée d’opter pour une interprétation selon laquelle les personnes concernées ayant subi un dommage du fait d’une violation du RGPD devraient, dans le cadre d’une action en réparation fondée sur l’article 82 de celui-ci, supporter la charge de prouver non pas seulement l’existence de cette violation et du dommage en ayant résulté pour elles, mais aussi l’existence d’une faute commise par le responsable du traitement délibérément ou par négligence, voire le degré de gravité de cette faute, alors même que ledit article 82 ne formule pas de telles exigences (voir, par analogie, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 56). |
100 |
D’autre part, un régime de responsabilité sans faute n’assurerait pas la réalisation de l’objectif de sécurité juridique qui est visé par le législateur, ainsi que cela ressort du considérant 7 du RGPD. |
101 |
S’agissant du second volet de la cinquième question, relatif à la fixation du montant des dommages‑intérêts éventuellement dus en vertu de l’article 82 du RGPD, il convient de rappeler que, comme cela a été souligné au point 83 du présent arrêt, aux fins de l’évaluation de ces dommages‑intérêts, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union, tels que définis par la jurisprudence constante de la Cour. |
102 |
Il importe de préciser que, eu égard à sa fonction compensatoire, l’article 82 du RGPD ne requiert pas que le degré de gravité de la violation de ce règlement, que le responsable du traitement est présumé avoir commise, soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition, mais exige que ce montant soit fixé de manière à compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement, ainsi que cela ressort des points 84 et 87 du présent arrêt. |
103 |
Par conséquent, il y a lieu de répondre à la cinquième question que l’article 82 du RGPD doit être interprété en ce sens que, d’une part, l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui‑ci, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition. |
Sur les dépens
104 |
La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement. |
Par ces motifs, la Cour (troisième chambre) dit pour droit : |
|
|
|
|
|
Signatures |
( *1 ) Langue de procédure : l’allemand.