Krankenversicherung Nordrhein (Protection of natural persons with regard to the processing of personal data - Medical health insurance service processing data relating to the health of its own employees - Judgment) French Text [2023] EUECJ C-667/21 (21 December 2023)


BAILII is celebrating 24 years of free online access to the law! Would you consider making a contribution?

No donation is too small. If every visitor before 31 December gives just £5, it will have a significant impact on BAILII's ability to continue providing free access to the law.
Thank you very much for your support!



BAILII [Home] [Databases] [World Law] [Multidatabase Search] [Help] [Feedback]

Court of Justice of the European Communities (including Court of First Instance Decisions)


You are here: BAILII >> Databases >> Court of Justice of the European Communities (including Court of First Instance Decisions) >> Krankenversicherung Nordrhein (Protection of natural persons with regard to the processing of personal data - Medical health insurance service processing data relating to the health of its own employees - Judgment) French Text [2023] EUECJ C-667/21 (21 December 2023)
URL: http://www.bailii.org/eu/cases/EUECJ/2023/C66721.html
Cite as: ECLI:EU:C:2023:1022, [2023] EUECJ C-667/21, EU:C:2023:1022

[New search] [Contents list] [Help]


ARRÊT DE LA COUR (troisième chambre)

21 décembre 2023 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 6, paragraphe 1 – Conditions de licéité du traitement – Article 9, paragraphes 1 à 3 – Traitement portant sur des catégories particulières de données – Données concernant la santé – Appréciation de la capacité de travail d’un employé – Service médical en matière d’assurance maladie traitant des données relatives à la santé de ses propres employés – Admissibilité et conditions d’un tel traitement – Article 82, paragraphe 1 – Droit à réparation et responsabilité – Réparation d’un préjudice moral – Fonction compensatoire – Incidence de la faute commise par le responsable du traitement »

Dans l’affaire C‑667/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), par décision du 26 août 2021, parvenue à la Cour le 8 novembre 2021, dans la procédure

ZQ

contre

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

LA COUR (troisième chambre),

composée de Mme K. Jürimäe, présidente de chambre, MM. N. Piçarra, M. Safjan, N. Jääskinen (rapporteur) et M. Gavalec, juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

–        pour ZQ, par Me E. Daun, Rechtsanwalt,

–        pour le Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, par Me M. Wehner, Rechtsanwalt,

–        pour l’Irlande, par Mme M. Browne, Chief State Solicitor, M. A. Joyce et Mme M. Lane, en qualité d’agents, assistés de M. D. Fennelly, BL,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,

–        pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 25 mai 2023,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 9, paragraphe 1, paragraphe 2, sous h), et paragraphe 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), lu en combinaison avec l’article 6, paragraphe 1, de ce règlement, ainsi que sur l’interprétation de l’article 82, paragraphe 1, de celui-ci.

2        Cette demande a été présentée dans le cadre d’un litige opposant ZQ à son employeur, le Medizinischer Dienst der Krankenversicherung Nordrhein (service médical de l’assurance maladie de Rhénanie du Nord, Allemagne) (ci-après le « MDK Nordrhein »), au sujet de la réparation du préjudice que le premier prétend avoir subi en raison d’un traitement de données concernant sa santé qui aurait été effectué de manière illicite par le second.

 Le cadre juridique

 Le droit de l’Union

3        Les considérants 4 à 8, 10, 35, 51 à 53, 75 et 146 du RGPD sont libellés comme suit :

« (4)      Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la [charte des droits fondamentaux de l’Union européenne], consacrés par les traités, en particulier le respect de la vie privée et familiale, [...] la protection des données à caractère personnel, [...]

(5)      L’intégration économique et sociale résultant du fonctionnement du marché intérieur a conduit à une augmentation substantielle des flux transfrontaliers de données à caractère personnel. Les échanges de données à caractère personnel entre acteurs publics et privés, y compris les personnes physiques, les associations et les entreprises, se sont intensifiés dans l’ensemble de l’Union [européenne]. Le droit de l’Union appelle les autorités nationales des États membres à coopérer et à échanger des données à caractère personnel, afin d’être en mesure de remplir leurs missions ou d’accomplir des tâches pour le compte d’une autorité d’un autre État membre.

(6)      L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu’aux autorités publiques d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial. Les technologies ont transformé à la fois l’économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.

(7)      Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques.

(8)      Lorsque le présent règlement dispose que le droit d’un État membre peut apporter des précisions ou des limitations aux règles qu’il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent.

[...]

(10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...] Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci‑après dénommées “données sensibles”). [...]

[...]

(35)      Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. [...]

[...]

(51)      Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. [...] Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques [...]

(52)      Des dérogations à l’interdiction de traiter des catégories particulières de données à caractère personnel devraient également être autorisées lorsque le droit de l’Union ou le droit d’un État membre le prévoit, et sous réserve de garanties appropriées, de manière à protéger les données à caractère personnel et d’autres droits fondamentaux, lorsque l’intérêt public le commande, notamment le traitement des données à caractère personnel dans le domaine du droit du travail et du droit de la protection sociale, y compris les retraites, et à des fins de sécurité, de surveillance et d’alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d’autres menaces graves pour la santé. Ces dérogations sont possibles à des fins de santé, en ce compris la santé publique et la gestion des services de soins de santé, en particulier pour assurer la qualité et l’efficience des procédures de règlement des demandes de prestations et de services dans le régime d’assurance‑maladie, ou à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. [...]

(53)      Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu’à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale, y compris le traitement, par les autorités de gestion et les autorités centrales de santé nationales, de ces données, en vue du contrôle de la qualité, de l’information des gestionnaires et de la supervision générale, au niveau national et local, du système de soins de santé ou de protection sociale et en vue d’assurer la continuité des soins de santé ou de la protection sociale [...]. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l’Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. [...]

[...]

(75)      Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ; lorsque le traitement concerne [...] des données concernant la santé [...] ; lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, [...] en vue de créer ou d’utiliser des profils individuels ; [...]

[...]

(146)      Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous‑traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. Cela est sans préjudice de toute action en dommages‑intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit d’un État membre. Un traitement effectué en violation du présent règlement comprend aussi un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit d’un État membre précisant les règles du présent règlement. Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. [...] »

4        Figurant sous le chapitre I de ce règlement, relatif aux « [d]ispositions générales », l’article 2 de celui-ci, lui-même intitulé « Champ d’application matériel », prévoit, à son paragraphe 1 :

« Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

5        L’article 4 dudit règlement, intitulé « Définitions », dispose :

« Aux fins du présent règlement, on entend par :

1)      “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...]

2)      “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel [...]

[...]

7)      “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...]

[...]

15)      “données concernant la santé”, les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ;

[...] »

6        Le chapitre II du RGPD, relatif aux « [p]rincipes » fixés par ce dernier, comprend les articles 5 à 11 de celui-ci.

7        L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

f)      traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

8        L’article 6 dudit règlement, intitulé « Licéité du traitement », dispose, à son paragraphe 1 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)      la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b)      le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c)      le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d)      le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e)      le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f)      le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. »

9        L’article 9 du même règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », est rédigé comme suit :

« 1.      Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2.      Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

[...]

b)      le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;

[...]

h)      le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 ;

[...]

3.      Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.

4.      Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. »

10      Le chapitre IV du RGPD, intitulé « Responsable du traitement et sous‑traitant », comprend les articles 24 à 43 de celui-ci.

11      Figurant sous la section 1 de ce chapitre, intitulée « Obligations générales », l’article 24 de ce règlement, lui-même intitulé « Responsabilité du responsable du traitement », prévoit, à son paragraphe 1 :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

12      Figurant sous la section 2 dudit chapitre, intitulée « Sécurité des données à caractère personnel », l’article 32 dudit règlement, lui-même intitulé « Sécurité du traitement », dispose, à son paragraphe 1 :

« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a)      la pseudonymisation et le chiffrement des données à caractère personnel ;

b)      des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

[...] »

13      Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », contient les articles 77 à 84 de ce règlement.

14      Aux termes de l’article 82 dudit règlement, intitulé « Droit à réparation et responsabilité » :

« 1.      Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2.      Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. [...]

3.      Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

[...] »

15      L’article 83 du RGPD, intitulé « Conditions générales pour imposer des amendes administratives », prévoit :

« 1.      Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2.      [...] Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

a)      la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;

b)      le fait que la violation a été commise délibérément ou par négligence ;

[...]

d)      le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;

[...]

k)      toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

3.      Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

[...] »

16      L’article 84 de ce règlement, intitulé « Sanctions », dispose, à son paragraphe 1 :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »

 Le droit allemand

17      En vertu de l’article 275, paragraphe 1, du Sozialgesetzbuch, Fünftes Buch (code social, cinquième livre), dans sa version applicable au litige au principal, les caisses de l’assurance maladie obligatoire sont tenues de demander à un Medizinischer Dienst (service médical) qui les assiste, en particulier, de réaliser une expertise visant à lever des doutes sur l’incapacité de travail d’un assuré, dans les cas déterminés par la loi ou lorsque la maladie de ce dernier le nécessite.

18      L’article 278, paragraphe 1, de ce code prévoit qu’un tel service médical est institué dans chacun des Länder, sous la forme d’un organisme de droit public.

 Le litige au principal et les questions préjudicielles

19      Le MDK Nordrhein est un organisme de droit public qui, en tant que service médical de caisses d’assurance maladie, a pour mission légale, entre autres, de réaliser des expertises médicales tendant à dissiper des doutes relatifs à l’incapacité de travail de personnes assurées auprès des caisses de l’assurance maladie obligatoire qui relèvent de son ressort, y compris lorsque ces expertises concernent ses propres employés.

20      Dans un tel cas, seuls les membres d’une unité spéciale, dénommée « cellule cas particuliers », sont autorisés à traiter les données dites « sociales » de cet employé, en utilisant un domaine verrouillé du système informatique de cet organisme, et à accéder aux archives numériques, après la clôture du dossier d’expertise. Une note de service interne portant sur ces cas prévoit, notamment, qu’un nombre restreint d’agents habilités, dont certains agents du service informatique, ont accès auxdites données.

21      Le requérant au principal a travaillé au sein du service informatique du MDK Nordrhein, avant d’être placé en incapacité de travail pour raison médicale. À l’issue du semestre durant lequel cet organisme, en tant qu’employeur, a continué à le rémunérer, la caisse de l’assurance maladie obligatoire à laquelle il était affilié a commencé à lui verser des indemnités de maladie.

22      Cette caisse a alors demandé au MDK Nordrhein de réaliser une expertise portant sur l’incapacité de travail du requérant au principal. Un médecin exerçant au sein de la « cellule cas particuliers » du MDK Nordrhein a réalisé l’expertise, notamment, en obtenant des renseignements auprès du médecin traitant du requérant au principal. Lorsque ce dernier en a été informé par son médecin traitant, il a contacté l’une de ses collègues du service informatique et l’a priée de prendre, puis de lui transmettre, des photographies du rapport d’expertise qui figurait dans les archives numériques du MDK Nordrhein.

23      Estimant que des données concernant sa santé avaient ainsi fait l’objet d’un traitement illicite par son employeur, le requérant au principal a demandé à celui‑ci de lui verser une indemnisation d’un montant de 20 000 euros, ce que le MDK Nordrhein a refusé.

24      Par la suite, le requérant au principal a saisi l’Arbeitsgericht Düsseldorf (tribunal du travail de Düsseldorf, Allemagne) en vue d’obtenir, sur le fondement de l’article 82, paragraphe 1, du RGPD et de dispositions du droit allemand, que le MDK Nordrhein soit condamné à réparer le préjudice qu’il affirme avoir subi en raison du traitement de données à caractère personnel ainsi effectué. Il a essentiellement fait valoir, d’une part, que l’expertise en cause aurait dû être réalisée par un autre service médical pour éviter que ses collègues aient accès à des données concernant sa santé et, d’autre part, que les mesures de sécurité entourant l’archivage du rapport relatif à cette expertise étaient insuffisantes. Il a également soutenu que ce traitement constituait une violation des règles de droit protégeant de telles données qui lui avait occasionné des dommages tant moraux que matériels.

25      En défense, le MDK Nordrhein a principalement soutenu que la collecte et la conservation des données concernant la santé du requérant au principal avaient été effectuées en conformité avec les dispositions relatives à la protection de telles données.

26      Ayant été débouté de sa demande en première instance, le requérant au principal a interjeté appel devant le Landesarbeitsgericht Düsseldorf (tribunal supérieur du travail de Düsseldorf, Allemagne), qui a aussi rejeté son recours. Il a alors introduit un pourvoi en Revision devant le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), qui est la juridiction de renvoi dans la présente affaire.

27      Cette dernière juridiction part des prémisses selon lesquelles, dans le litige au principal, l’expertise réalisée par le MDK Nordrhein, en tant que service médical, constitue un « traitement » de « données à caractère personnel » et, plus spécifiquement, de « données concernant la santé », au sens de l’article 4, points 1, 2 et 15, du RGPD, de sorte que cette opération relève du champ d’application matériel de ce règlement, tel que défini à l’article 2, paragraphe 1, de celui-ci. En outre, elle considère que le MDK Nordrhein est le « responsable du traitement » concerné, au sens de l’article 4, point 7, dudit règlement.

28      Ses interrogations portent, en premier lieu, sur l’interprétation de plusieurs dispositions de l’article 9 du RGPD, lequel est relatif aux traitements portant sur des catégories particulières de données à caractère personnel, notamment compte tenu du fait que le traitement en cause au principal a été réalisé par un organisme qui est aussi l’employeur de la personne concernée, telle que définie à l’article 4, point 1, de ce règlement.

29      Tout d’abord, la juridiction de renvoi doute que le traitement de données concernant la santé en cause au principal puisse relever de l’une des exceptions prévues au paragraphe 2 de l’article 9 du RGPD. Selon cette juridiction, seules les exceptions figurant aux points b) et h) de ce paragraphe 2 sont pertinentes en l’occurrence. Cependant, elle exclut d’emblée d’appliquer la dérogation prévue à ce point b) dans le cas d’espèce, au motif que le traitement en cause au principal n’était pas nécessaire aux fins des droits et des obligations du responsable du traitement, pris en sa qualité d’employeur de la personne concernée. En effet, ce traitement aurait été initié par un autre organisme, qui a demandé au MDK Nordrhein de procéder à un contrôle en sa qualité de service médical. En revanche, tout en étant encline à ne pas appliquer non plus la dérogation prévue à ce point h), car il lui semble que seul un traitement effectué par un « tiers neutre » devrait pouvoir en relever et qu’un organisme ne saurait se fonder sur sa « double fonction » d’employeur et de service médical pour écarter l’interdiction d’un tel traitement, la juridiction de renvoi ne se montre pas catégorique à cet égard.

30      Ensuite, dans l’hypothèse où le traitement de données concernant la santé serait autorisé dans de telles circonstances en vertu de l’article 9, paragraphe 2, sous h), du RGPD, la juridiction de renvoi se questionne sur les règles afférentes à la protection des données concernant la santé qui doivent être respectées dans ce cadre. À son avis, ce règlement implique qu’il n’est pas suffisant que le responsable du traitement satisfasse aux exigences figurant à l’article 9, paragraphe 3, de celui-ci. Ce responsable devrait, en outre, garantir qu’aucun des collègues de la personne concernée ne puisse avoir un quelconque accès aux données concernant l’état de santé de cette dernière.

31      Enfin, toujours dans la même hypothèse, cette juridiction souhaite savoir si au moins l’une des conditions visées à l’article 6, paragraphe 1, du RGPD doit, de surcroît, être remplie pour qu’un tel traitement soit licite. Selon elle, tel devrait être le cas et, dans le cadre du litige au principal, seuls les points c) et e) de cet article 6, paragraphe 1, premier alinéa, pourraient a priori être pertinents. Néanmoins, ces deux points c) et e) ne devraient pas s’appliquer, aux motifs que le traitement concerné n’est pas « nécessaire », au sens de ces dispositions, car il pourrait tout aussi bien être opéré par un autre service médical que le MDK Nordrhein.

32      En second lieu, dans l’hypothèse où une violation du RGPD serait constituée en l’occurrence, la juridiction de renvoi s’interroge sur la réparation possiblement due au requérant au principal en vertu de l’article 82 de ce règlement.

33      D’une part, elle souhaite savoir si la règle prévue à l’article 82, paragraphe 1, du RGPD revêt un caractère dissuasif ou punitif, en plus de sa fonction réparatrice, et, le cas échéant, s’il faudrait prendre en compte ledit caractère lors de la fixation du montant des dommages‑intérêts octroyés au titre d’un préjudice moral, notamment eu égard aux principes d’effectivité, de proportionnalité et d’équivalence consacrés dans d’autres domaines du droit de l’Union.

34      D’autre part, cette juridiction tend à considérer que la responsabilité du responsable du traitement peut être engagée sur le fondement dudit article 82, paragraphe 1, sans nécessité d’établir qu’il a commis une faute. Éprouvant néanmoins des doutes, principalement au vu de règles de droit allemand, elle se demande s’il faudrait vérifier que la violation du RGPD en cause est imputable au responsable du traitement en raison d’un acte intentionnel ou d’une négligence de sa part et si le niveau de gravité de la faute éventuellement commise par celui-ci devrait influer sur les dommages‑intérêts alloués en réparation d’un préjudice moral.

35      Dans ces conditions, le Bundesarbeitsgericht (Cour fédérale du travail) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      L’article 9, paragraphe 2, sous h), du [RGPD] doit-il être interprété en ce sens qu’il interdit au service médical d’une caisse d’assurance maladie de traiter des données concernant la santé de l’un de ses employés, dont dépend l’appréciation de la capacité de travail de cet employé ?

2)      Dans l’hypothèse où la Cour répondrait par la négative à la première question, de telle sorte qu’une dérogation à l’interdiction des traitements portant sur des données concernant la santé énoncée à l’article 9, paragraphe 1, du RGPD serait envisagée, en application de l’article 9, paragraphe 2, sous h), du RGPD, dans un cas tel que celui de l’espèce, en plus des conditions énoncées à l’article 9, paragraphe 3, du RGPD, d’autres exigences relatives à la protection des données doivent-elles être respectées, et le cas échéant lesquelles ?

3)      Dans l’hypothèse où la Cour répondrait par la négative à la première question, de telle sorte qu’une dérogation à l’interdiction des traitements portant sur des données concernant la santé énoncée à l’article 9, paragraphe 1, du RGPD serait envisagée, en application de l’article 9, paragraphe 2, sous h), du RGPD, dans un cas tel que celui de l’espèce, la licéité du traitement de données concernant la santé dépend-elle en outre du respect d’au moins l’une des conditions énoncées à l’article 6, paragraphe 1, du RGPD ?

4)      L’article 82, paragraphe 1, du RGPD a-t-il un caractère de prévention spéciale ou générale et cela doit-il être pris en compte pour l’évaluation du préjudice moral indemnisable que le responsable du traitement ou le sous‑traitant est tenu de réparer sur le fondement de cette disposition ?

5)      Le degré de gravité de la faute du responsable du traitement ou du sous‑traitant influe-t-il sur l’évaluation du préjudice moral indemnisable sur le fondement de l’article 82, paragraphe 1, du RGPD ? Plus particulièrement, une absence de faute ou une faute légère de la part du responsable du traitement ou du sous-traitant peut-elle être retenue à sa décharge ? »

 Sur les questions préjudicielles

 Sur la première question

36      Par sa première question, la juridiction de renvoi demande, en substance, si, eu égard à l’interdiction de traiter des données concernant la santé prévue à l’article 9, paragraphe 1, du RGPD, le paragraphe 2, sous h), de cet article doit être interprété en ce sens que l’exception qu’il prévoit est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité non pas d’employeur, mais de service médical, afin d’apprécier la capacité de travail de cet employé.

37      Selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie. La genèse d’une disposition du droit de l’Union peut également révéler des éléments pertinents pour son interprétation (arrêt du 16 mars 2023, Towercast, C‑449/21, EU:C:2023:207, point 31 et jurisprudence citée).

38      En premier lieu, il convient de rappeler que l’article 9 du RGPD porte, comme l’indique son intitulé, sur le « [t]raitement de catégories particulières de données à caractère personnel », également qualifiées de données « sensibles » aux considérants 10 et 51 de ce règlement.

39      Le considérant 51 du RGPD énonce que les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et ces droits.

40      Ainsi, l’article 9, paragraphe 1, du RGPD pose le principe de l’interdiction des traitements portant sur les catégories particulières de données à caractère personnel qu’il énumère. Parmi ces dernières, figurent les « données concernant la santé », telles que définies à l’article 4, point 15, de ce règlement, lu à la lumière de son considérant 35, lesquelles sont visées dans la présente affaire.

41      La Cour a précisé que la finalité de l’article 9, paragraphe 1, dudit règlement consiste à assurer une protection accrue contre des traitements qui, en raison de la sensibilité particulière des données en faisant l’objet, sont susceptibles de constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis aux articles 7 et 8 de la charte des droits fondamentaux [voir, en ce sens, arrêt du 5 juin 2023, Commission/Pologne (Indépendance et vie privée des juges), C‑204/21, EU:C:2023:442, point 345 et jurisprudence citée].

42      L’article 9, paragraphe 2, sous a) à j), du RGPD prévoit, cependant, une liste exhaustive d’exceptions au principe de l’interdiction de traiter ces données sensibles.

43      En particulier, l’article 9, paragraphe 2, sous h), du RGPD autorise un tel traitement s’il est « nécessaire aux fins [notamment] de l’appréciation de la capacité de travail du travailleur [...] sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé ». Cette disposition précise que tout traitement fondé sur celle‑ci est, de surcroît, spécifiquement « soumis aux conditions et garanties visées au paragraphe 3 » de cet article 9.

44      Il résulte de l’article 9, paragraphe 2, sous h), du RGPD, lu en combinaison avec le paragraphe 3 de cet article, que la possibilité de traiter des données sensibles, telles que celles concernant la santé, se trouve strictement encadrée par une série de conditions cumulatives. Ces dernières sont relatives, premièrement, aux finalités énumérées audit point h) – parmi lesquelles figure l’appréciation de la capacité de travail d’un travailleur –, deuxièmement, au fondement juridique de ce traitement – qu’il s’agisse du droit de l’Union, du droit d’un État membre ou d’un contrat conclu avec un professionnel de la santé, selon le même point h) – et enfin, troisièmement, au devoir de confidentialité auquel sont tenues les personnes habilitées à effectuer un tel traitement, en vertu de cet article 9, paragraphe 3, ces personnes devant toutes être soumises à une obligation de secret conformément à cette dernière disposition.

45      Ainsi que M. l’avocat général l’a relevé, en substance, aux points 32 et 33 de ses conclusions, ni le libellé de l’article 9, paragraphe 2, sous h), du RGPD ni la genèse de cette disposition ne fournissent d’éléments de nature à considérer que l’application de la dérogation prévue à ladite disposition serait réservée, comme la juridiction de renvoi le suggère, aux hypothèses où le traitement est réalisé par un « tiers neutre et non par l’employeur » de la personne concernée, telle que définie à l’article 4, point 1, de ce règlement.

46      Eu égard à l’avis de la juridiction de renvoi selon lequel, en substance, un organisme ne devrait pas pouvoir se fonder sur sa « double fonction » d’employeur de la personne concernée et de service médical pour échapper au principe de l’interdiction de traiter des données concernant la santé, énoncé à l’article 9, paragraphe 1, du RGPD, il y a lieu de préciser qu’il est déterminant de prendre en considération le titre auquel le traitement de ces données est effectué.

47      En effet, si cet article 9, paragraphe 1, interdit, par principe, le traitement des données concernant la santé, le paragraphe 2 dudit article prévoit, à ses points a) à j), dix dérogations qui sont indépendantes les unes des autres et qui doivent donc être appréciées de manière autonome. Il s’ensuit que le fait que les conditions d’application de l’une des dérogations prévues à ce paragraphe 2 ne sont pas réunies ne saurait faire obstacle à ce qu’un responsable de traitement puisse se prévaloir d’une autre dérogation mentionnée à cette disposition.

48      Il découle de ce qui précède que l’article 9, paragraphe 2, sous h), du RGPD, lu en combinaison avec le paragraphe 3 de cet article, n’exclut nullement l’applicabilité de l’exception énoncée à ce point h) à des situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité de service médical, et non en qualité d’employeur, afin d’apprécier la capacité de travail de cet employé.

49      En second lieu, une telle interprétation est confortée par la prise en compte du système dans lequel s’inscrit l’article 9, paragraphe 2, sous h), du RGPD ainsi que par les objectifs que poursuivent ce règlement et cette disposition.

50      Premièrement, certes, dans la mesure où il prévoit une exception au principe de l’interdiction du traitement des catégories particulières de données à caractère personnel, l’article 9, paragraphe 2, du RGPD doit être interprété de manière restrictive [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 76].

51      Toutefois, le respect du principe d’interdiction énoncé à l’article 9, paragraphe 1, du RGPD ne peut conduire à réduire le champ d’application d’une autre disposition de ce règlement d’une manière qui irait à l’encontre du libellé clair de cette dernière. Or, l’interprétation suggérée, selon laquelle le champ d’application de l’exception prévue à cet article 9, paragraphe 2, sous h), devrait être limité aux hypothèses où un « tiers neutre » traite des données concernant la santé aux fins de l’appréciation de la capacité de travail d’un travailleur, ajouterait une exigence qui ne ressort aucunement du libellé clair de cette dernière disposition.

52      À cet égard, il est sans incidence qu’en l’occurrence, dans l’hypothèse où le MDK Nordrhein se verrait interdire de remplir sa mission de service médical lorsqu’il s’agit de l’un de ses propres employés, un autre organisme de contrôle médical serait en mesure de s’en charger. Il importe de souligner que cette alternative, évoquée par la juridiction de renvoi, n’est pas nécessairement présente ou réalisable dans tous les États membres et dans toutes les situations susceptibles d’être couvertes par l’article 9, paragraphe 2, sous h), du RGPD. Or, l’interprétation de cette disposition ne saurait être guidée par des considérations tirées du système de santé d’un seul État membre ou issues de circonstances propres au litige au principal.

53      Secondement, l’interprétation figurant au point 48 du présent arrêt est conforme aux objectifs du RGPD et à ceux de l’article 9 de ce règlement.

54      Ainsi, le considérant 4 du RGPD énonce que le droit à la protection des données à caractère personnel n’est pas un droit absolu, puisqu’il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité (voir, en ce sens, arrêt du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 78). En outre, la Cour a déjà souligné que les mécanismes permettant de trouver un juste équilibre entre les différents droits et intérêts en présence sont inscrits dans le RGPD lui‑même (voir, en ce sens, arrêt du 17 juin 2021, M.I.C.M., C‑597/19, EU:C:2021:492, point 112).

55      Ces considérations valent y compris lorsque les données concernées relèvent des catégories particulières qui sont visées à l’article 9 de ce règlement [voir, en ce sens, arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, points 57 et 66 à 68], telles que les données concernant la santé.

56      Plus spécifiquement, il ressort du considérant 52 du RGPD que des « dérogations à l’interdiction de traiter ces catégories particulières de données » devraient être autorisées « lorsque l’intérêt public le commande, notamment [...] dans le domaine du droit du travail et du droit de la protection sociale, » ainsi qu’« à des fins de santé, [...] en particulier pour assurer la qualité et l’efficience des procédures de règlement des demandes de prestations et de services dans le régime d’assurance-maladie ». Le considérant 53 de ce règlement énonce aussi que des traitements effectués « à des fins liées à la santé » devraient être possibles « lorsque cela est nécessaire pour atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale ».

57      C’est dans cette perspective d’ensemble et eu égard aux divers intérêts légitimes en présence que le législateur de l’Union a prévu, à l’article 9, paragraphe 2, sous h), du RGPD, une possibilité de déroger au principe de l’interdiction du traitement des données concernant la santé énoncé au paragraphe 1 de cet article, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par les autres dispositions de ce règlement pertinentes, en particulier le paragraphe 3 dudit article 9, dispositions dans lesquelles ne figure pas l’exigence qu’un service médical qui traite de telles données au titre dudit point h) soit une entité distincte de l’employeur de la personne concernée.

58      Compte tenu des motifs qui précèdent, et sans préjudice des réponses qui seront apportées aux deuxième et troisième questions, il convient de répondre à la première question que l’article 9, paragraphe 2, sous h), du RGPD doit être interprété en ce sens que l’exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité non pas d’employeur, mais de service médical, afin d’apprécier la capacité de travail de cet employé, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par le paragraphe 3 dudit article 9.

 Sur la deuxième question

59      Selon la juridiction de renvoi, il ressort des considérants 35, 51, 53 et 75 du RGPD qu’il ne suffit pas de satisfaire aux exigences de l’article 9, paragraphe 3, de celui‑ci, dans une situation telle que celle en cause au principal, où le responsable du traitement est également l’employeur de la personne dont la capacité de travail est évaluée. Ce règlement commanderait, en outre, d’écarter du traitement de données concernant la santé tous les employés du responsable du traitement amenés à avoir un quelconque contact professionnel avec cette personne. D’après cette juridiction, tout responsable du traitement disposant de plusieurs établissements, comme le MDK Nordrhein, devrait faire en sorte que l’entité chargée du traitement des données concernant la santé des employés de ce responsable relève toujours d’un autre établissement que celui au sein duquel travaille l’employé concerné. De surcroît, l’obligation de secret professionnel pesant sur les employés habilités à traiter de telles données n’empêcherait pas, dans les faits, qu’un collègue de la personne concernée puisse accéder aux données la concernant, ce qui entraînerait des risques de dommages, tels que l’atteinte à la réputation de cette dernière.

60      Dans ces conditions, par sa deuxième question, la juridiction de renvoi souhaite, en substance, savoir si les dispositions du RGPD doivent être interprétées en ce sens que le responsable d’un traitement de données concernant la santé, fondé sur l’article 9, paragraphe 2, sous h), de ce règlement, est tenu de garantir qu’aucun collègue de la personne concernée ne puisse accéder aux données se rapportant à l’état de santé de celle‑ci.

61      Il convient de rappeler que, en vertu de l’article 9, paragraphe 3, du RGPD, un traitement portant sur les données et visant les finalités respectivement énumérées au paragraphe 1 et au paragraphe 2, sous h), de cet article 9, en l’occurrence des données concernant la santé d’un travailleur aux fins de l’appréciation de sa capacité de travail, ne peut être réalisé que si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.

62      En adoptant l’article 9, paragraphe 3, de ce règlement qui se réfère précisément au paragraphe 2, sous h), du même article, le législateur de l’Union a défini les mesures de protection spécifiques qu’il entendait imposer aux responsables de tels traitements, lesquelles consistent à ce que ces derniers soient réservés à des personnes soumises à une obligation de secret, conformément aux conditions détaillées audit paragraphe 3. Il n’y a donc pas lieu d’ajouter au libellé de cette dernière disposition des exigences que celle‑ci ne mentionne pas.

63      Il s’ensuit, ainsi que M. l’avocat général l’a relevé, en substance, au point 43 de ses conclusions, que l’article 9, paragraphe 3, du RGPD ne peut servir de base juridique à une mesure garantissant qu’aucun collègue de la personne concernée ne puisse accéder aux données se rapportant à l’état de santé de celle‑ci.

64      Il convient cependant d’apprécier si l’exigence consistant à garantir qu’aucun collègue de la personne concernée n’ait accès aux données se rapportant à l’état de santé de celle‑ci peut être imposée au responsable d’un traitement de données de santé, fondé sur l’article 9, paragraphe 2, sous h), du RGPD, sur la base d’une autre disposition de ce règlement.

65      À cet égard, il importe de préciser que la seule possibilité pour les États membres d’ajouter une telle exigence, par rapport à celles énoncées aux paragraphes 2 et 3 de l’article 9 dudit règlement, réside dans la faculté que leur confère explicitement le paragraphe 4 de cet article de « maintenir ou [d’]introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement [...] des données concernant la santé ».

66      Néanmoins, ces éventuelles conditions supplémentaires résultent non pas des dispositions du RGPD en elles‑mêmes, mais, le cas échéant, de règles de droit national régissant des traitements de ce type, règles à l’égard desquelles ce règlement laisse expressément une marge d’appréciation aux États membres (voir, en ce sens, arrêt du 30 mars 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, points 51 et 78).

67      Il convient, en outre, de souligner qu’un État membre qui entendrait faire usage de la faculté ouverte à l’article 9, paragraphe 4, dudit règlement devrait, conformément au principe de proportionnalité, s’assurer que les conséquences pratiques, notamment d’ordre organisationnel, économique et médical, engendrées par les exigences supplémentaires dont cet État entend imposer le respect, ne sont pas excessives pour les responsables d’un tel traitement, lesquels ne disposent pas nécessairement de dimensions ou de ressources techniques et humaines qui soient suffisantes pour satisfaire à ces exigences. En effet, celles-ci ne sauraient nuire à l’effet utile de l’autorisation de traitement qui est expressément prévue à l’article 9, paragraphe 2, sous h), du même règlement et encadrée au paragraphe 3 de cet article.

68      Enfin, il importe de souligner que, en vertu l’article 32, paragraphe 1, sous a) et b), du RGPD, qui concrétise les principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), de ce règlement, tout responsable du traitement de données à caractère personnel est tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, en particulier la pseudonymisation et le chiffrement de telles données, ainsi que des moyens permettant de garantir, notamment, la confidentialité et l’intégrité des systèmes et des services de traitement. Pour déterminer les modalités pratiques de cette obligation, le responsable du traitement doit, conformément à cet article 32, paragraphe 1, tenir compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques.

69      Il incombera, toutefois, à la juridiction de renvoi d’apprécier si l’ensemble des mesures techniques et organisationnelles mises en œuvre, en l’occurrence, par le MDK Nordrhein sont conformes aux prescriptions de l’article 32, paragraphe 1, sous a) et b), du RGPD.

70      Il y a donc lieu de répondre à la deuxième question que l’article 9, paragraphe 3, du RGPD doit être interprété en ce sens que le responsable d’un traitement de données concernant la santé, fondé sur l’article 9, paragraphe 2, sous h), de ce règlement, n’est pas tenu, en vertu de ces dispositions, de garantir qu’aucun collègue de la personne concernée ne peut accéder aux données se rapportant à l’état de santé de celle‑ci. Toutefois, une telle obligation peut s’imposer au responsable d’un tel traitement soit en vertu d’une réglementation adoptée par un État membre sur la base de l’article 9, paragraphe 4, dudit règlement, soit au titre des principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), du même règlement et concrétisés à l’article 32, paragraphe 1, sous a) et b), de celui-ci.

 Sur la troisième question

71      Par sa troisième question, la juridiction de renvoi s’interroge, en substance, sur le point de savoir si l’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du RGPD doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.

72      À cet égard, il y a lieu de rappeler que les articles 5, 6 et 9 du RGPD figurent dans le chapitre II de ce règlement, intitulé « Principes », et sont relatifs, respectivement, aux principes relatifs au traitement des données à caractère personnel, aux conditions de licéité du traitement et au traitement portant sur des catégories particulières de données à caractère personnel.

73      En outre, il convient de relever que le considérant 51 du RGPD indique explicitement que, « [o]utre les exigences spécifiques » applicables aux traitements portant sur des données « particulièrement sensibles », qui sont énoncées à l’article 9, paragraphes 2 et 3, de ce règlement, sans préjudice des mesures éventuellement adoptées par un État membre sur le fondement du paragraphe 4 de cet article, « les principes généraux et les autres règles [dudit] règlement devraient [aussi] s’appliquer [à un tel traitement], en particulier en ce qui concerne les conditions de licéité du traitement », telles qu’elles ressortent de l’article 6 du même règlement.

74      Dès lors, conformément à l’article 6, paragraphe 1, premier alinéa, du RGPD, un traitement portant sur des données « particulièrement sensibles », telles que celles concernant la santé, n’est licite que si au moins l’une des conditions énoncées audit paragraphe 1, premier alinéa, sous a) à f), est remplie.

75      Or, l’article 6, paragraphe 1, premier alinéa, dudit règlement prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme licite. Ainsi, pour qu’il puisse être considéré comme légitime, un traitement doit relever de l’un des cas prévus à cette disposition [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 90 ainsi que jurisprudence citée].

76      Partant, la Cour a itérativement jugé que tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, du RGPD et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 de ce règlement [arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 57 et jurisprudence citée].

77      De surcroît, il a déjà été jugé que, dans la mesure où les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II de ce règlement, ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, dudit règlement, le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la jurisprudence de la Cour, ces autres dispositions dudit chapitre qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions [arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 58 et jurisprudence citée].

78      Il s’ensuit, en particulier, que, dans la mesure où l’article 9, paragraphe 2, sous h), du RGPD a pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, de ce règlement, un traitement de données concernant la santé qui est fondé sur cette première disposition doit respecter, afin d’être licite, à la fois les exigences découlant de celle‑ci ainsi que les obligations résultant de ces deux dernières dispositions et, en particulier, remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.

79      Eu égard à ce qui précède, il convient de répondre à la troisième question que l’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du RGPD doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.

 Sur la quatrième question

80      Par sa quatrième question, la juridiction de renvoi souhaite savoir, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévue à cette disposition remplit non seulement une fonction compensatoire, mais aussi une fonction dissuasive ou punitive et, dans l’affirmative, si cette dernière doit éventuellement être prise en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition.

81      Il convient de rappeler que l’article 82, paragraphe 1, du RGPD énonce que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».

82      La Cour a interprété cette disposition en ce sens que la simple violation du RGPD ne suffit pas pour conférer un droit à réparation, après avoir mis en exergue, notamment, que l’existence d’un « dommage » ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu à cet article 82, paragraphe 1, tout comme l’existence d’une violation de ce règlement et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 32 et 42].

83      En outre, la Cour a jugé que, puisque le RGPD ne contient pas de disposition ayant pour objet de définir les règles relatives à l’évaluation des dommages‑intérêts dus au titre du droit à réparation consacré à l’article 82 de ce règlement, les juges nationaux doivent à cette fin appliquer, en vertu du principe de l’autonomie procédurale, les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union, tels que définis par la jurisprudence constante de la Cour [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 53, 54 et 59].

84      Dans ce contexte et eu égard au considérant 146, sixième phrase, du RGPD, selon lequel cet instrument tend à assurer une « réparation complète et effective pour le dommage subi », la Cour a relevé que, compte tenu de la fonction compensatoire du droit à réparation prévu à l’article 82 de ce règlement, une réparation pécuniaire fondée sur cet article doit être considérée comme étant « complète et effective » si elle permet de compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement, sans qu’il soit nécessaire, aux fins d’une telle compensation intégrale, d’imposer le versement de dommages-intérêts punitifs [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 57 et 58].

85      À cet égard, il importe de souligner que l’article 82 du RGPD revêt une fonction non pas punitive mais compensatoire, contrairement à d’autres dispositions de ce règlement figurant aussi au chapitre VIII de celui-ci, à savoir ses articles 83 et 84, qui ont, quant à eux, essentiellement une finalité punitive, puisqu’ils permettent respectivement d’infliger des amendes administratives ainsi que d’autres sanctions. L’articulation entre les règles énoncées audit article 82 et celles énoncées auxdits articles 83 et 84 démontre qu’il existe une différence entre ces deux catégories de dispositions, mais aussi une complémentarité, en termes d’incitation à respecter le RGPD, étant observé que le droit de toute personne à demander réparation d’un préjudice renforce le caractère opérationnel des règles de protection prévues par ce règlement et est de nature à décourager la réitération de comportements illicites [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 38 et 40].

86      Dès lors que le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD ne remplit pas une fonction dissuasive, voire punitive, telle qu’envisagée par la juridiction de renvoi, la gravité de la violation de ce règlement ayant causé le dommage concerné ne saurait influer sur le montant des dommages‑intérêts octroyés au titre de cette disposition, même lorsqu’il s’agit d’un dommage non pas matériel mais moral. Il s’ensuit que ce montant ne saurait être fixé à un niveau dépassant la compensation complète de ce préjudice.

87      Par conséquent, il y a lieu de répondre à la quatrième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive.

 Sur la cinquième question

88      Il ressort des éléments transmis par la juridiction de renvoi, en réponse à une demande d’éclaircissements lui ayant été adressée conformément à l’article 101 du règlement de procédure de la Cour, que la cinquième question tend à déterminer, d’une part, si l’existence et/ou la preuve d’une faute sont des conditions requises pour que la responsabilité du responsable du traitement ou du sous-traitant puisse être engagée et, d’autre part, quelle répercussion le degré de gravité d’une faute du responsable du traitement ou du sous-traitant est susceptible d’avoir sur l’évaluation concrète des dommages‑intérêts à verser en réparation du préjudice moral subi.

89      Compte tenu de cette réponse de la juridiction de renvoi, il y a lieu de comprendre la cinquième question comme visant, en substance, à savoir, d’une part, si l’article 82 du RGPD doit être interprété en ce sens que l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui-ci et, d’autre part, si le degré de gravité de cette faute doit être pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition.

90      S’agissant du premier volet de cette question, il convient d’observer que, comme cela a été rappelé au point 82 du présent arrêt, l’article 82, paragraphe 1, du RGPD subordonne le droit à réparation à la réunion de trois éléments, à savoir l’existence d’une violation de ce règlement, l’existence d’un dommage subi ainsi que l’existence d’un lien de causalité entre cette violation et ce dommage.

91      L’article 82, paragraphe 2, du RGPD dispose, quant à lui, que tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation de ce règlement. Or, le libellé de cette disposition dans certaines de ses versions linguistiques, notamment la version allemande qui est celle de la langue de procédure dans la présente affaire, ne permet pas de déterminer avec certitude si la violation en question doit être imputable au responsable du traitement pour que sa responsabilité puisse être engagée.

92      À cet égard, il ressort d’une analyse des différentes versions linguistiques de la première phrase de l’article 82, paragraphe 2, du RGPD que le responsable du traitement est présumé avoir participé au traitement constituant la violation de ce règlement qui est visée. En effet, tandis que les versions en langues allemande, française ou finnoise sont formulées de manière ouverte, un certain nombre d’autres versions linguistiques s’avèrent plus précises et utilisent un déterminant démonstratif pour la troisième occurrence du terme « traitement », ou pour la troisième référence à ce terme, de telle sorte qu’il est clair que cette troisième occurrence ou référence renvoie à la même opération que la deuxième occurrence de ce terme. Tel est le cas des versions en langues espagnole, estonienne, grecque, italienne ou roumaine.

93      L’article 82, paragraphe 3, du RGPD vient préciser, dans cette perspective, qu’un responsable du traitement est exonéré de responsabilité, au titre du paragraphe 2 de cet article 82, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

94      Il ressort ainsi d’une analyse combinée de ces différentes dispositions de l’article 82 du RGPD que cet article prévoit un régime de responsabilité pour faute dans lequel la charge de la preuve pèse, non pas sur la personne qui a subi un dommage, mais sur le responsable du traitement.

95      Une telle interprétation est corroborée par le contexte dans lequel s’insère cet article 82 ainsi que par les objectifs poursuivis par le législateur de l’Union à travers le RGPD.

96      À cet égard, premièrement, il ressort des libellés des articles 24 et 32 du RGPD que ces dispositions se bornent à imposer au responsable du traitement d’adopter des mesures techniques et organisationnelles destinées à éviter, dans toute la mesure du possible, toute violation de données à caractère personnel. Le caractère approprié de telles mesures doit être évalué de manière concrète, en examinant si ces mesures ont été mises en œuvre par le responsable du traitement en tenant compte des différents critères visés auxdits articles et des besoins de protection des données spécifiquement inhérents au traitement concerné ainsi qu’aux risques induits par ce dernier (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 30).

97      Or, une telle obligation serait remise en question si le responsable du traitement était, ensuite, tenu de réparer tout dommage causé par un traitement opéré en violation du RGPD.

98      Deuxièmement, s’agissant des objectifs du RGPD, il ressort des considérants 4 à 8 de ce règlement que celui-ci vise à mettre en œuvre un équilibre entre les intérêts des responsables du traitement de données à caractère personnel et les droits des personnes dont de telles données sont traitées. Le but recherché est de permettre le développement de l’économie numérique, tout en garantissant un niveau élevé de protection des personnes. C’est ainsi une mise en balance, des intérêts du responsable du traitement et des personnes dont les données personnelles sont traitées, qui est visée. Or, un mécanisme de responsabilité pour faute assorti d’un renversement de la charge de la preuve, comme le prévoit l’article 82 du RGPD, permet précisément d’assurer un tel équilibre.

99      D’une part, comme l’a observé M. l’avocat général, en substance, au point 93 de ses conclusions, il ne serait pas conforme à l’objectif d’une telle protection élevée d’opter pour une interprétation selon laquelle les personnes concernées ayant subi un dommage du fait d’une violation du RGPD devraient, dans le cadre d’une action en réparation fondée sur l’article 82 de celui-ci, supporter la charge de prouver non pas seulement l’existence de cette violation et du dommage en ayant résulté pour elles, mais aussi l’existence d’une faute commise par le responsable du traitement délibérément ou par négligence, voire le degré de gravité de cette faute, alors même que ledit article 82 ne formule pas de telles exigences (voir, par analogie, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 56).

100    D’autre part, un régime de responsabilité sans faute n’assurerait pas la réalisation de l’objectif de sécurité juridique qui est visé par le législateur, ainsi que cela ressort du considérant 7 du RGPD.

101    S’agissant du second volet de la cinquième question, relatif à la fixation du montant des dommages‑intérêts éventuellement dus en vertu de l’article 82 du RGPD, il convient de rappeler que, comme cela a été souligné au point 83 du présent arrêt, aux fins de l’évaluation de ces dommages‑intérêts, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union, tels que définis par la jurisprudence constante de la Cour.

102    Il importe de préciser que, eu égard à sa fonction compensatoire, l’article 82 du RGPD ne requiert pas que le degré de gravité de la violation de ce règlement, que le responsable du traitement est présumé avoir commise, soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition, mais exige que ce montant soit fixé de manière à compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement, ainsi que cela ressort des points 84 et 87 du présent arrêt.

103    Par conséquent, il y a lieu de répondre à la cinquième question que l’article 82 du RGPD doit être interprété en ce sens que, d’une part, l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui‑ci, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition.

 Sur les dépens

104    La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (troisième chambre) dit pour droit :

1)      L’article 9, paragraphe 2, sous h), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

l’exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité non pas d’employeur, mais de service médical, afin d’apprécier la capacité de travail de cet employé, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par le paragraphe 3 dudit article 9.

2)      L’article 9, paragraphe 3, du règlement 2016/679

doit être interprété en ce sens que :

le responsable d’un traitement de données concernant la santé, fondé sur l’article 9, paragraphe 2, sous h), de ce règlement, n’est pas tenu, en vertu de ces dispositions, de garantir qu’aucun collègue de la personne concernée ne peut accéder aux données se rapportant à l’état de santé de celleci. Toutefois, une telle obligation peut s’imposer au responsable d’un tel traitement soit en vertu d’une réglementation adoptée par un État membre sur la base de l’article 9, paragraphe 4, dudit règlement, soit au titre des principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), du même règlement et concrétisés à l’article 32, paragraphe 1, sous a) et b), de celui-ci.

3)      L’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du règlement 2016/679

doivent être interprétés en ce sens que :

un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celleci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.

4)      L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive.

5)      L’article 82 du règlement 2016/679

doit être interprété en ce sens que :

d’une part, l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celuici, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommagesintérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition.

Signatures


*      Langue de procédure : l’allemand.

© European Union
The source of this judgment is the Europa web site. The information on this site is subject to a information found here: Important legal notice. This electronic version is not authentic and is subject to amendment.


BAILII: Copyright Policy | Disclaimers | Privacy Policy | Feedback | Donate to BAILII
URL: http://www.bailii.org/eu/cases/EUECJ/2023/C66721.html