CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. MANUEL CAMPOS SÁNCHEZ-BORDONA
présentées le 25 mai 2023 (1)
Affaire C‑667/21
ZQ
contre
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts
[demande de décision préjudicielle formée par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne)]
« Renvoi préjudiciel – Protection des données à caractère personnel – Données à caractère personnel concernant la santé – Appréciation de la capacité de travail d’un employé – Service de contrôle médical d’une caisse d’assurance maladie – Traitement des données à caractère personnel relatives à la santé des employés – Droit à réparation d’un préjudice – Incidence du degré de gravité de la faute »
1. Le présent renvoi préjudiciel porte sur l’interprétation du règlement (UE) 2016/679 (2) en ce qui concerne : a) le traitement des données à caractère personnel relatives à la santé ; et b) la réparation des préjudices subis du fait d’une (prétendue) violation du RGPD lui-même.
2. Bien que la Cour ait déjà statué sur les dispositions du RGPD (3) qui ont trait à ces questions, celles posées dans le cadre du présent renvoi préjudiciel sont inédites, à l’exception de la quatrième (4).
I. Le cadre juridique
A. Le droit de l’Union : le RGPD
3. Sont pertinents pour le litige au principal les considérants figurant dans le préambule du RGPD sous les numéros 4, 10, 35, 51 à 54 et 146.
4. Aux termes de l’article 9 du RGPD (intitulé « Traitement portant sur des catégories particulières de données à caractère personnel ») :
« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
[...]
b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;
[...]
h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 ;
[...]
3. Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.
4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. »
5. L’article 82 du RGPD (intitulé « Droit à réparation et responsabilité ») est libellé comme suit :
« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
[...]
3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
[...] »
B. Le droit allemand : le code social, cinquième livre
6. Conformément à l’article 278, paragraphe 1, première phrase, du Sozialgesetzbuch Fünftes Buch (5), un service médical (6) des caisses d’assurance maladie (7) est institué dans chacun des Länder sous la forme d’un organisme de droit public. L’une de ses fonctions, attribuées par la loi, est de réaliser des expertises destinées à lever les doutes sur l’incapacité de travail des assurés.
7. En vertu de l’article 275, paragraphe 1, première phrase, point 3, sous b), les KV sont tenues, dans certaines conditions, de demander au MDK correspondant, en cas d’incapacité de travail d’un assuré attestée par un certificat médical, de réaliser une expertise visant à dissiper les doutes quant à cette incapacité.
II. Les faits, le litige et les questions préjudicielles
8. Depuis l’année 1991, ZQ était employé comme salarié par le MDK de Nordrhein (Allemagne) en tant qu’administrateur-système et collaborateur du bureau d’assistance du service informatique.
9. Le MDK réalise des expertises sur l’incapacité de travail des personnes assurées auprès des KV. Parmi ces expertises peuvent figurer celles relatives à la santé des propres employés du MDK.
10. Le traitement des données s’effectue, entre autres, conformément aux règles suivantes énoncées dans une note de service interne (8) :
– les « données sociales » des employés ne peuvent pas être collectées ni conservées sur leur lieu de travail. En outre, ces données, produites lorsque le MDK est chargé par une KV de réaliser une expertise, ne doivent pas être confondues avec les données des employés qui sont traitées dans le cadre de la relation de travail ou de service ;
– les demandes d’expertise relatives aux employés du MDK sont qualifiées de « cas particuliers » et sont gérées exclusivement par une cellule spécifique (9) ;
– une fois l’expertise relative à l’employé du MDK réalisée, les documents y afférents et l’expertise sont versés aux archives numériques du MDK. L’établissement d’un lien entre ces documents et des personnes déterminées n’est possible qu’au moyen d’une clé spécifique, sous réserve d’une autorisation d’accès soumise à une procédure technique.
11. Les employés du « département informatique » de la cellule « cas particuliers » peuvent, après la clôture du dossier, accéder aux expertises établies à la suite d’une demande concernant les employés du MDK, dans le respect du devoir de confidentialité auquel ils sont tenus de par la loi.
12. ZQ a été en incapacité de travail de façon ininterrompue pour cause de maladie à compter du 22 novembre 2017.
13. À partir du 24 mai 2018 (10), il a perçu des indemnités de maladie, versées par la KV à laquelle il est affilié. Le 6 juin 2018, cette dernière a demandé au MDK de réaliser une expertise visant à lever des doutes relatifs à l’incapacité de travail de ZQ.
14. Le MDK a accepté la demande d’expertise, qu’il a attribuée à la cellule « cas particuliers ». Le 22 juin 2018, un médecin salarié de MDK appartenant à cette cellule a établi un rapport d’expertise qui contenait un diagnostic de la maladie de ZQ. Pour élaborer ce rapport, ce médecin a téléphoné au médecin traitant de ZQ et obtenu de sa part des renseignements pertinents.
15. Ce rapport d’expertise a été versé à l’archive numérique de MDK.
16. Par l’intermédiaire de son médecin traitant, ZQ a eu connaissance de l’appel téléphonique du médecin du MDK.
17. Le 1er août 2018, ZQ a pris contact avec une collègue du département informatique du MDK, à laquelle il a demandé si une expertise le concernant était conservée. Après une recherche dans l’archive, cette collègue a répondu par l’affirmative. À la demande de ZQ, elle a photographié l’expertise et lui a envoyé les clichés.
18. Le 15 août 2018, ZQ a sollicité sans succès le paiement d’une indemnisation d’un montant de 20 000 euros auprès du MDK, sur le fondement de l’article 82 du RGPD.
19. Le 17 octobre 2018, ZQ a formé un recours devant l’Arbeitsgericht Düsseldorf (tribunal du travail de Düsseldorf, Allemagne). Dans le cadre de cette procédure, il a, en outre, demandé l’octroi d’une indemnisation à hauteur du montant des salaires non perçus (11).
20. Au cours de la procédure juridictionnelle, le MDK a mis fin à la relation de travail de ZQ.
21. ZQ a succombé en ses conclusions tant en première instance qu’en appel (12).
22. ZQ a saisi le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), qui a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 9, paragraphe 2, sous h), du [RGPD] doit-il être interprété en ce sens qu’il interdit au service médical d’une caisse d’assurance maladie de traiter des données concernant la santé de l’un de ses employés, dont dépend l’appréciation de la capacité de travail de cet employé ?
2) Dans l’hypothèse où la Cour répondrait par la négative à la première question, de telle sorte qu’une dérogation à l’interdiction des traitements portant sur des données de santé énoncée à l’article 9, paragraphe 1, du RGPD serait envisagée, en application de l’article 9, paragraphe 2, sous h), du RGPD, dans un cas tel que celui de l’espèce, en plus des conditions énoncées à l’article 9, paragraphe 3, du RGPD, d’autres exigences relatives à la protection des données doivent-elles être respectées, et le cas échéant lesquelles ?
3) Dans l’hypothèse où la Cour répondrait par la négative à la première question, de telle sorte qu’une dérogation à l’interdiction des traitements portant sur des données de santé énoncée à l’article 9, paragraphe 1, du RGPD serait envisagée, en application de l’article 9, paragraphe 2, sous h), du RGPD, dans un cas tel que celui de l’espèce, la licéité du traitement de données concernant la santé dépend-elle en outre du respect d’au moins l’une des conditions énoncées à l’article 6, paragraphe 1, du RGPD ?
4) L’article 82, paragraphe 1, du RGPD a-t-il un caractère de prévention spéciale ou générale et cela doit-il être pris en compte pour l’évaluation du préjudice moral indemnisable que le responsable du traitement ou le sous‑traitant est tenu de réparer sur le fondement de cette disposition ?
5) Le degré de gravité de la faute du responsable du traitement ou du sous‑traitant influe-t-il sur l’évaluation du préjudice moral indemnisable sur le fondement de l’article 82, paragraphe 1, du RGPD ? Plus particulièrement, une absence de faute ou une faute légère de la part du responsable du traitement ou du sous-traitant peut-elle être retenue à sa décharge ? »
III. La procédure devant la Cour
23. La demande de décision préjudicielle a été enregistrée au greffe de la Cour le 8 novembre 2021.
24. Des observations écrites ont été déposées par ZQ, le MDK, les gouvernements irlandais et italien ainsi que par la Commission européenne.
25. La tenue d’une audience n’a pas été jugée nécessaire.
26. À la demande de la Cour, les présentes conclusions n’aborderont pas la quatrième question préjudicielle (13).
IV. Analyse
A. Sur la première question préjudicielle
27. La juridiction de renvoi souhaite savoir si l’article 9, paragraphe 2, sous h), du RGPD interdit à un MDK de traiter des données concernant la santé de l’un de ses propres employés, dont dépend l’appréciation de la capacité de travail de ce dernier. Elle s’interroge donc sur la licéité du traitement eu égard à l’entité qui l’effectue (14).
28. L’article 9 du RGPD vise des catégories particulières de données, telles que celles concernant la santé d’une personne. Il énonce une interdiction générale de traitement des données « sensibles » (paragraphe 1) et énumère de manière exhaustive les circonstances dans lesquelles l’interdiction générale ne s’applique pas (paragraphe 2).
29. En particulier, l’article 9, paragraphe 2, sous h), du RGPD prévoit une dérogation (à l’interdiction générale) pour le traitement de données à caractère personnel « aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale ».
30. À mon sens, cette disposition offre au MDK une base suffisante à son action en l’espèce (15). Il est indifférent que le responsable du traitement soit également l’employeur de la personne concernée, dans la mesure où le MDK n’agit pas en tant qu’employeur de celle-ci, mais en tant que service médical d’une KV à laquelle la personne concernée était affiliée (16).
31. Je ne vois aucune raison d’interpréter l’article 9, paragraphe 2, sous h), du RGPD en ce sens qu’il interdirait à un service médical de traiter les données de santé de ses employés pour la finalité énoncée dans cette disposition. Les critères d’interprétation habituels conduisent plutôt à la solution contraire (absence d’une telle interdiction).
32. D’un point de vue littéral, l’article 9, paragraphe 2, sous h), du RGPD ne prévoit aucune exclusion en ce sens, ni n’impose comme condition du traitement que le responsable soit un « tiers neutre » (17).
33. Les antécédents législatifs et l’évolution de cette disposition n’indiquent pas non plus qu’une interdiction telle que celle évoquée dans la première question préjudicielle existe, ni que son inclusion ait été voulue (18).
34. La finalité des dispositions du RGPD sur le traitement des données relatives à la santé consiste, ainsi que la Cour l’a jugé (19), à accorder une protection renforcée aux personnes concernées, compte tenu de la sensibilité particulière de ces données pour les droits fondamentaux en cause. L’interdiction générale visée à l’article 9, paragraphe 1, du RGPD contribue à cet objectif. Elle n’est toutefois pas absolue (20).
35. Dans ce domaine, comme dans d’autres relatifs au traitement de données à caractère personnel, le choix du législateur, une fois l’interdiction générale établie, a été :
– d’introduire des dérogations, sous la forme d’une liste de situations particulières qui peuvent être regroupées (schématiquement) en deux catégories : les situations dans lesquelles la personne concernée elle‑même autorise le traitement ou en bénéficie, et celles dans lesquelles il existe des intérêts qui l’emportent sur ceux de chaque individu ;
– d’entourer un certain type de traitement de garanties spécifiques allant au‑delà de celles qui s’appliquent au reste des données à caractère personnel « non sensibles », et qui s’y ajoutent (21) ;
– d’autoriser les États membres à introduire d’autres conditions, voire des limitations, applicables au traitement de données à caractère personnel. Il en va ainsi des données concernant la santé (article 9, paragraphe 4, et considérant 53, in fine, du RGPD) ou des données des employés dans le cadre des relations de travail (article 88 du RGPD) (22).
36. Or, dans l’absolu, rien ne s’opposerait à ce que, parmi les garanties spécifiques que je viens de mentionner, figure l’interdiction pour un MDK de traiter des données concernant la santé de ses employés. Il ne me semble toutefois pas que cette option (que le législateur de l’Union n’a pas retenue) soit indispensable pour préserver l’objectif susvisé.
37. Je considère donc que l’interdiction sur laquelle la juridiction de renvoi s’interroge n’est pas une conséquence inéluctable d’une interprétation téléologique de l’article 9, paragraphe 2, sous h), du RGPD.
38. Je ne crois pas non plus qu’une interprétation systématique de cette disposition aboutisse à une autre solution, car :
– même en admettant, pour les besoins de la discussion, qu’il soit approprié de considérer l’article 9, paragraphe 2, sous b), du RGPD comme étant la seule base permettant à un employeur de traiter des données concernant la santé de ses employés (23), cela n’affecterait pas la possibilité pour la même entité, non plus en tant qu’employeur, mais en tant que service médical qui a accepté la demande d’une KV, d’effectuer le traitement au titre d’une autre dérogation visée à cet article 9, paragraphe 2 (24) ;
– l’article 9, paragraphe 3, du RGPD énonce les conditions applicables aux personnes qui traitent des données à caractère personnel relatives à la santé. Le paragraphe 2, sous h), de l’article 9 renvoie expressément au paragraphe 3 ; d’un point de vue subjectif, le traitement n’est subordonné à aucune autre condition (25).
39. Je propose donc de répondre à la première question préjudicielle par la négative (à savoir que l’interdiction en cause n’existe pas dans le RGPD), ce qui permet d’aborder la question suivante.
B. Sur la deuxième question préjudicielle
40. Au cas où (comme je le suggère) la réponse à la première question préjudicielle serait négative, la juridiction de renvoi souhaite savoir si, « dans un cas tel que celui de l’espèce, en plus des conditions énoncées à l’article 9, paragraphe 3, du RGPD, [il existe] d’autres exigences relatives à la protection des données [...], et le cas échéant lesquelles ».
41. La réponse, d’une manière générale, ne devrait pas soulever de difficultés majeures (26). La Cour a dit pour droit que tout traitement de données à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD et répondre à l’une des conditions de licéité énumérées à l’article 6 dudit règlement (27).
42. Selon la juridiction de renvoi, le respect de l’obligation de secret (article 9, paragraphe 3, du RGPD) ne suffirait pas à protéger les données dans des circonstances telles que celles de l’espèce. Elle propose d’autres mesures complémentaires qui, à son avis, seraient les seules de nature à atteindre cet objectif (28).
43. J’estime que l’article 9, paragraphe 3, du RGPD ne peut, en soi, servir de base à ces mesures supplémentaires. Son libellé clair (qui se borne à détailler une disposition déjà présente dans la directive 95/46) (29) ne permet pas d’étayer des propositions telles que celle de la juridiction de renvoi.
44. Ces propositions pourraient en revanche relever de l’article 9, paragraphe 4, du RGPD. En vertu de cette disposition, les États membres sont autorisés à imposer des « conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données [...] concernant la santé » (30). Il ne ressort toutefois pas de la décision de renvoi que la République fédérale d’Allemagne ait fait usage de cette faculté.
45. Cela étant, et pour les raisons que j’ai développées plus haut dans les présentes conclusions, le traitement des données à caractère personnel relatives à la santé doit être soumis, entre autres principes, à celui qui est énoncé à l’article 5, paragraphe 1, sous f), du RGPD et aux obligations qui en découlent, lesquelles sont détaillées au chapitre IV de ce règlement.
46. Le responsable du traitement (31) doit, en outre, adopter des mesures techniques et organisationnelles appropriées pour s’assurer qu’un traitement particulier est conforme au RGPD. C’est ce que prévoit, d’une manière générale, l’article 24, paragraphe 1, dudit règlement.
47. Plus spécifiquement, l’article 32, paragraphe 1, du RGPD impose au responsable du traitement de mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » encouru par les données à caractère personnel en cause.
48. Par application de ces règles au présent cas d’espèce, la qualité d’employeur du MDK vis-à-vis de ZQ lui impose un devoir de diligence plus élevé que d’habitude dans le traitement de ses données relatives à la santé, car les risques sont également plus élevés (32).
49. Le MDK est conscient de ce fait. Lorsque, à la demande d’une KV à laquelle son employé est affilié, il réalise des expertises afin de lever des doutes relatifs à son (in)capacité de travail, il met en œuvre un ensemble de mesures ad hoc, techniques et organisationnelles, prévues pour adapter le traitement des données à caractère personnel relatives à la santé au RGPD (33).
50. L’appréciation de ces mesures incombe à la juridiction de renvoi, qui peut décider, au terme de son examen, que les mesures adoptées n’étaient pas suffisantes. Toutefois, cela ne permet pas de déduire de l’article 9 du RGPD une obligation pour les MDK de décliner d’office toute demande d’expertise médicale (concernant leurs employés) émanant des KV (34).
C. Sur la troisième question préjudicielle
51. Dans l’hypothèse où la réponse à la première question préjudicielle serait négative, la juridiction de renvoi, par sa troisième question, souhaite savoir si la dérogation à l’interdiction des traitements portant sur des données relatives à la santé « dépend [...] en outre du respect d’au moins l’une des conditions énoncées à l’article 6, paragraphe 1, du RGPD ».
52. Pour répondre à cette interrogation, il convient d’analyser la relation entre l’article 9, paragraphe 2, du RGPD et son article 6, relatif à la licéité du traitement. La nécessité de se conformer à ce dernier article dans tout traitement de données est mentionnée dans les arrêts de la Cour que j’ai cités dans les présentes conclusions (35).
53. En particulier, l’arrêt rendu dans l’affaire C‑439/19 (36) a interprété l’article 10 du RGPD, portant sur une autre catégorie de données à caractère personnel sensibles (celles relatives aux condamnations pénales et aux infractions) (37), en ce sens que l’article 6 de ce règlement s’applique conjointement avec l’article 10.
54. Ce même postulat est-il susceptible d’être étendu aux données à caractère personnel visées à l’article 9 du RGPD ?
55. Les articles 9 et 10 du RGPD ont une structure différente. L’article 10 contient un renvoi explicite à l’article 6, paragraphe 1, du RGPD, qui ne figure pas à l’article 9.
56. Le contenu de l’article 9, paragraphe 2, et celui de l’article 10 du RGPD ne sont pas non plus comparables : l’article 10 se borne à prévoir une restriction subjective au traitement, alors que l’article 9, paragraphe 2, énonce les finalités (ou circonstances) qui le justifient, à l’instar de l’article 6, paragraphe 1.
57. En effet, le parallélisme entre l’article 6, paragraphe 1, et l’article 9, paragraphe 2, du RGPD est tel que, à première vue, il semblerait que les circonstances que ce dernier énumère détaillent les conditions définies dans le premier : elles les précisent tout en les rendant plus strictes.
58. La genèse et l’évolution de l’article 9 du RGPD remettent toutefois en cause le fait que la relation qui le lie à l’article 6 repose sur la distinction entre « loi spéciale » et « loi générale ».
59. Il apparaît que cette interprétation a effectivement été soutenue par les délégations de certains États membres (38). Toutefois, les documents relatifs à la négociation de l’article 9 font état de divergences non pas quant au renvoi à l’article 6 (39), mais quant à la portée de ce renvoi (à son paragraphe 1 uniquement, ou à d’autres paragraphes également ?) (40). En définitive, la référence à l’article 6 a été supprimée de l’article 9 (41) et il a été décidé de maintenir dans le préambule un paragraphe semblable à l’actuel considérant 51 du RGPD (42).
60. L’idée de cumul ou de complémentarité entre ces deux dispositions est partagée par le Comité européen de la protection des données (43) et était défendue par le groupe de travail dit « Article 29 » (44) en rapport avec l’article 8 de la directive 95/46 (45). Cette interprétation n’est toutefois pas unanimement acceptée par la doctrine ni par d’autres organismes d’importance en la matière (46).
61. Au vu des différents points de l’article 9, paragraphe 2, du RGPD, j’ai tendance à penser que la relation entre cette disposition et l’article 6 ne permet pas, en réalité, d’apporter une réponse unique. En effet :
– certaines dérogations à l’interdiction du traitement telles que celles énoncées à l’article 9, paragraphe 2, sous a), c), g) et i) (47), sont en corrélation directe avec une base légale spécifique prévue à l’article 6, paragraphe 1, du RGPD et l’absorbent ;
– il n’en va pas de même d’autres dérogations énumérées à l’article 9, paragraphe 2, du RGPD, qui exigent bel et bien une justification supplémentaire au titre de l’article 6, paragraphe 1. Tel est le cas, à mon sens, de l’article 9, paragraphe 2, sous h), du RGPD, sur lequel porte la présente question préjudicielle.
62. Je considère donc que, pour s’assurer de la licéité du traitement de données sensibles autorisé par l’article 9, paragraphe 2, sous h), du RGPD, il convient de rechercher dans chaque cas particulier quelle condition parmi celles détaillées à l’article 6, paragraphe 1, légitime ce traitement.
63. La juridiction de renvoi ne conteste pas qu’il en soit ainsi : au contraire, en se fondant sur cette prémisse, elle s’attache à démontrer que le traitement effectué par le MDK n’est pas justifié par l’une des conditions énoncées à l’article 6 du RGPD (48).
64. À première vue, il ne me semble pas qu’il existe un ordre de priorité entre les bases légales prévues par cette disposition. Une analyse plus approfondie pourrait révéler la nécessité d’apporter des nuances (49). J’estime toutefois qu’une telle analyse irait au-delà de ce qui est nécessaire pour statuer sur le présent renvoi préjudiciel (50).
65. En somme, en réponse à la troisième question préjudicielle, il conviendrait d’indiquer à la juridiction de renvoi que la dérogation à l’interdiction de traiter des données relatives à la santé exige le respect d’au moins l’une des conditions énoncées à l’article 6, paragraphe 1, du RGPD.
D. Sur la cinquième question préjudicielle
66. La juridiction de renvoi souhaite savoir si le « degré de gravité de la faute du responsable du traitement ou du sous-traitant influe [...] sur l’évaluation du préjudice moral indemnisable sur le fondement de l’article 82, paragraphe 1, du RGPD » et, en particulier, si « une absence de faute ou une faute légère de la part du responsable du traitement ou du sous-traitant peut [...] être retenue à sa décharge ».
67. Dans cette question, la juridiction de renvoi part de l’hypothèse qu’une violation du RGPD (51) a été commise par celui qui apparaît comme étant le responsable du traitement des données, et s’interroge sur le point de savoir si, pour calculer le montant de la réparation du préjudice résultant de cette violation, le degré de gravité de la faute de ce responsable doit être pris en compte. Selon la juridiction de renvoi, il n’est pas certain que l’absence de faute ou une faute légère de la part du responsable puisse être qualifiée d’élément à décharge.
68. Prise au pied de la lettre, cette question se focalise sur la quantification du montant de la réparation. Les explications qui l’accompagnent ont néanmoins suscité une certaine confusion, car elles ne précisaient pas clairement si elles se référaient à la faute en tant que condition de l’imputation de la responsabilité ou en tant que facteur d’ajustement du montant de la réparation.
69. Invitée par la Cour à lever cette ambiguïté, la juridiction de renvoi a expliqué que la question portait sur ces deux aspects, sans apporter davantage de précisions sur leur lien avec le litige au principal.
70. À la lumière de ces éclaircissements, je propose de répondre aux interrogations de la juridiction de renvoi après avoir (également) pris en considération celles qui ont été soulevées par le MDK au sujet de l’éventuelle implication de la personne concernée dans la survenance du dommage (52). Mon exposé comportera trois étapes :
– dans la première, j’aborderai le fondement de l’imputation de la responsabilité prévue à l’article 82 du RGPD ;
– dans la deuxième, j’analyserai l’incidence que pourrait avoir la consultation de données à caractère personnel par un employé du responsable du traitement (53). L’élément essentiel et spécifique de ce cas d’espèce est que ledit employé a procédé à cette consultation à la demande de la personne concernée ;
– dans la troisième, je me prononcerai sur l’influence que le degré de gravité de la faute du responsable du traitement peut avoir sur l’appréciation concrète du préjudice moral indemnisable.
1. Fondement de la responsabilité civile prévue à l’article 82 du RGPD
71. La juridiction de renvoi est d’avis que l’article 82, paragraphe 1, du RGPD ne subordonne pas la responsabilité civile (du gestionnaire (54) du traitement) à l’existence ou à la preuve d’une intention ou d’une négligence. Elle ajoute que le paragraphe 3 du même article n’étaye aucune autre solution.
72. J’admets qu’il est difficile de déterminer quel modèle de responsabilité civile a été adopté par le RGPD et que diverses interprétations sont a priori possibles (55). L’approche retenue par la juridiction de renvoi en fait partie et, à mon sens, est correcte.
73. Interpréter l’article 82, paragraphe 1, du RGPD en ce sens qu’il instaure un régime de responsabilité civile détachée de la faute du gestionnaire du traitement est, à mon sens, conforme à son libellé, trouve un appui immédiat dans les travaux préparatoires et, surtout, sert l’objectif de la règle. Cette interprétation est admissible à la lumière d’autres paragraphes de ladite disposition, ainsi que du système considéré dans son ensemble.
a) Approche littérale
74. La position défendue par la juridiction de renvoi est conforme au libellé de l’article 82, paragraphe 1, du RGPD. Au regard de la lettre de cette disposition, le droit d’être indemnisé par le responsable du traitement est purement et simplement lié aux préjudices subis en raison d’une violation du RGPD lui-même.
75. Les autres paragraphes de l’article 82 n’induisent pas de réponse différente (56). En particulier, je me garderai bien de déduire l’exigence d’une faute à partir du terme « imputable » figurant au paragraphe 3 de cet article 82. Ce terme apparaît uniquement dans certaines versions linguistiques du RGPD ; d’autres, au contraire, utilisent le mot « responsable ». Dans la version en langue allemande, ni l’article 82 ni le préambule n’emploient le terme technique propre à la responsabilité pour faute (« Verschulden ») (57).
76. La comparaison des différentes dispositions du RGPD montre que la terminologie employée n’est pas toujours dénuée d’ambiguïté, de sorte qu’il convient de faire preuve d’une extrême prudence lorsque l’on tire des conséquences de son libellé. La version en langue anglaise, par exemple, utilise le mot « responsible » dans de multiples acceptions (58).
77. L’absence de référence à l’intention ou à la faute du responsable du traitement à l’article 82 du RGPD contraste avec les mentions de l’article 83 concernant les amendes administratives : « [p]our décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative », il est dûment tenu compte, dans chaque cas d’espèce, du fait que la violation du RGPD a été commise délibérément ou par négligence (59).
78. Si la divergence entre les libellés affaiblit le pouvoir de persuasion du critère de l’interprétation littérale, elle corrobore à tout le moins l’idée que ni l’intention ni la faute ne figurent à l’article 82 du RGPD et que cette absence est voulue et non attribuable à un oubli du législateur.
b) Travaux préparatoires
79. Le débat sur le fondement de l’imputation de la responsabilité finalement retenu dans le RGPD est obscurci par le contexte dans lequel il s’est déroulé au sein du Conseil, marqué par la question de la pluralité des acteurs du traitement.
80. Ce débat a été mêlé à des considérations procédurales, sans obéir à un schéma conceptuel permettant d’opérer une distinction entre la fonction de la faute en tant que fondement de l’imputation de la responsabilité, d’une part, et celle de l’absence de faute aux fins de l’exonération de cette même responsabilité, du point de vue du lien de causalité, d’autre part.
81. Je pense néanmoins que les travaux préparatoires plaident en faveur d’une interprétation de l’article 82, paragraphe 1, du RGPD selon laquelle la responsabilité civile ne dépend pas de la faute du responsable du traitement.
82. La proposition de la Commission suivait l’approche de la directive 95/46 et ne mentionnait pas la négligence. Dans certains documents du Conseil, il est indiqué que la responsabilité envisagée est définie comme une « strict liability » (60).
83. En vertu d’un amendement proposé au sein de la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen, l’article 82 (alors article 77), paragraphe 1, du RGPD, aurait été formulé en des termes qui liaient la responsabilité à l’intention ou à la négligence (61). Il n’a pas été adopté (62).
84. Au sein du Conseil, le débat portant sur l’article 77 et le critère d’imputation de la responsabilité a également concerné la question de l’attribution et de la répartition des responsabilités en cas d’intervention de plusieurs personnes au cours de la même opération de traitement. Dans ce contexte, la présidence a proposé deux options (63) :
– selon la première (64), chaque gestionnaire ou sous-traitant du traitement était considéré comme juridiquement responsable de l’intégralité du préjudice vis-à-vis de la personne concernée (65), lorsqu’il avait violé des obligations qui lui incombaient en vertu du RGPD (66). Sa participation au préjudice, même insignifiante, permettait à la personne concernée de réclamer le montant intégral de la réparation. Si plusieurs parties étaient impliquées, la personne concernée pouvait réclamer ce montant à chacune d’entre elles (67). Chacune des parties était toutefois exonérée de sa responsabilité si elle démontrait n’être en rien responsable (« responsible ») du préjudice (« 0 % responsibility »), ainsi que le prévoyait le paragraphe 3 de l’article. Le modèle était décrit comme étant « closer (but certainly not equal to) to the “liability follows fault principle” » (68) ;
– la seconde option entraînait pour le gestionnaire du traitement une obligation impérative d’indemniser la personne concernée pour l’intégralité du préjudice, en lui imposant une sorte de responsabilité absolue, dans la mesure où aucune exonération n’était prévue (69). La personne concernée ne pouvait demander réparation au sous-traitant qu’à titre subsidiaire (70). Aucune exonération n’était non plus prévue pour lui.
85. Le texte de compromis présenté par la présidence pour approbation sous forme d’orientation générale (71) retient la première option, même s’il renforce le caractère exceptionnel de l’exonération et rend la preuve y afférente plus difficile à rapporter en formulant l’article 77, paragraphe 3, de la manière suivante : « [...] if it [le responsable du traitement/sous-traitant] proves that it is not in any way responsible [...] » (72). Ce libellé correspond à celui de l’article finalement approuvé.
86. En somme, l’analyse du processus législatif ayant mené au texte final du RGPD permet de conclure que la responsabilité visée à l’article 82, paragraphe 1, de ce règlement n’est pas liée à la faute du gestionnaire du traitement.
c) Finalité
87. Le RGPD met en place un système conçu pour assurer un niveau élevé de protection des personnes physiques, tout en levant les obstacles aux flux de données à caractère personnel (73). Dans ce système, l’article 82 du RGPD poursuit une finalité compensatoire, sans préjudice du fait qu’il vise également, de manière accessoire, à dissuader ou à prévenir les comportements contraires à ses prescriptions (74).
88. Veiller à la réparation du préjudice est un objectif en soi, comme le démontre l’importance que le législateur lui accorde et qui apparaît à la simple lecture du texte. Dans le cadre du RGPD, l’obtention d’une réparation, en cas de survenance d’un dommage, est un droit de la personne concernée ; la notion de préjudice doit être interprétée au sens large, et la réparation doit être complète et effective.
89. La réparation est liée à l’objectif consistant à renforcer la confiance des citoyens dans l’environnement numérique, finalité de portée générale que le RGPD énonce dans son considérant 7. Garantir à la personne concernée que, par principe, elle n’aura pas à supporter purement et simplement le préjudice résultant d’un traitement illicite de ses données est de nature à favoriser cette confiance : son patrimoine juridique est protégé et, sur le plan procédural, sa demande de réparation est plus simple.
90. Le fait que l’article 82, paragraphe 1, du RGPD n’associe pas l’obligation de réparation au non‑respect d’un devoir de diligence s’inscrit dans la logique de cette approche. Cette obligation est imposée, sur décision du législateur, à la personne qui occupe une position particulière de gardien ou de garant dans la relation et en raison, précisément, de cette seule circonstance.
91. On serait donc tenté de dire que, dans le cadre du RGPD, c’est la situation de la victime qui subit le préjudice résultant de la violation qui importe, alors qu’aucune règle ne lui impose l’obligation de le supporter.
92. Il est indifférent, pour la victime, que la personne ayant causé le préjudice ait commis ou non une faute : l’élément décisif est que le gestionnaire du traitement lui a occasionné un préjudice, matériel ou moral, consécutif à une violation du RGPD.
93. Les objectifs précédemment décrits sont plus facilement atteints par un modèle qui tend à ce que le préjudice établi :
– soit réparé en toutes circonstances (sauf cause d’exonération, qui sera exceptionnelle) et
– donne lieu à une réparation dont l’obtention est (relativement) simple, non seulement parce qu’il n’est pas nécessaire de prouver la faute du responsable du traitement, mais également parce que, en présence d’une violation et d’un dommage qui lui est associé, l’imputation de la responsabilité ne dépend d’aucun degré de gravité de la faute.
94. Dans le cadre de l’adaptation à la révolution numérique (75), cette solution me semble cohérente. L’évolution technologique rapide exige que, dans le cas des activités les plus courantes de traitement de données exercées en ligne, l’absence d’intention ou de négligence n’empêche pas de réparer des préjudices qui, autrement, ne seraient pas couverts.
d) Système
95. L’interprétation que je propose est plus conforme à l’économie du RGPD. L’article 82, paragraphe 3, de ce règlement le confirme : l’exonération est possible si le responsable du traitement « prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ».
96. L’expression « nullement » se détache de ce libellé et donne à penser que le modèle en question n’est pas un modèle fondé sur la faute (même très légère) assorti d’un renversement de la charge de la preuve.
97. Considérer que la réparation ne dépend pas de la faute du responsable du traitement confère à l’article 82 une signification propre au sein du chapitre VIII et, en définitive, du RGPD dans son ensemble.
98. Le législateur de l’Union part du principe que le traitement des données à caractère personnel peut être source de risques. Il impose aux acteurs du traitement d’évaluer ces risques ainsi que d’adopter et d’actualiser des mesures de nature à prévenir et minimiser ceux qu’ils ont identifiés (76).
99. Il a été affirmé qu’un modèle de responsabilité civile fondé sur la faute incite à la diligence et, partant, favorise la protection contre les risques, alors que le modèle alternatif, qui ne tient pas compte de la manière dont l’acteur du traitement s’est comporté, découragerait ce dernier de faire preuve de prudence (parce que, en cas de préjudice, il devra l’indemniser en tout état de cause).
100. Je suis d’avis que ce résultat (77) est acceptable dans le cadre du RGPD. L’article 82 s’inscrit dans une structure normative complexe qui recourt à des instruments de droit public et de droit privé pour protéger les données à caractère personnel. Dans cette structure, la négligence (et l’intentionnalité) sont pertinentes aux fins des sanctions administratives. Je ne vois pas la nécessité qu’elles le soient également pour ce qui est de la responsabilité civile (78), car cela porterait atteinte aux objectifs de l’article 82 et réduirait, en outre, l’attrait pratique de la solution qu’il prévoit.
2. Incidence de l’intervention de la personne concernée
101. Les interrogations quant à la nécessité d’une faute du responsable du traitement sont liées, en l’espèce, aux conséquences qui pourraient découler de l’intervention de la personne concernée (79).
102. Pour une meilleure compréhension de ce qui suit, il convient de préciser que les circonstances du litige ont été considérées sous deux angles différents :
– dans la première optique, le traitement des données à caractère personnel de ZQ par le MDK constitue une violation du RGPD (en l’occurrence, de ses articles 9 ou 6). La violation cause un préjudice en elle-même (80) ;
– dans la seconde optique, le traitement de données décrit ne constitue pas une violation du RGPD ou n’entraîne pas de préjudice. Ce dernier résulterait de la consultation des données par une employée du MDK, à l’instigation de la personne concernée (81).
103. J’estime, en tout état de cause, que, comme semble le soutenir la juridiction de renvoi (82), pour déterminer l’incidence (éventuelle) du comportement de la personne concernée sur la commission de l’acte illicite qui a causé le préjudice, il convient de se référer à l’article 82, paragraphe 3, du RGPD.
104. Cette disposition n’énumère pas, ne serait-ce qu’à titre d’exemple, de motifs spécifiques d’exonération de la responsabilité. Le considérant 146 de ce règlement ne le fait pas non plus (83).
105. Il semblerait que le RGPD se distingue, sur ce point, de la directive 95/46, dont l’article 23, paragraphe 2, contenait une règle semblable (84) à l’actuel article 82, paragraphe 3, de ce règlement : le considérant 55 de la directive 95/46 citait, à titre d’exemples de motifs d’exonération, l’existence d’une faute de la personne concernée ou d’un cas de force majeure (85), lesquels sont absents du RGPD.
106. Sauf erreur de ma part, les travaux préparatoires du RGPD ne font pas état d’une quelconque discussion sur ces deux exemples, qui figuraient bien dans la proposition de la Commission (86) et que le Parlement a conservés (87).
107. Leur suppression, et l’apparition de l’expression « nullement », sont intervenues dans le cadre du débat, déjà mentionné, concernant la manière de réglementer la responsabilité en cas de traitement par plusieurs gestionnaires ou sous-traitants (88).
108. Il ressort de la documentation disponible (89) que, dans la version finale, le gestionnaire du traitement bénéficie de l’exonération s’il démontre n’être en rien responsable (« responsible ») du préjudice (« 0 % responsibility »). Il en va de même pour le sous-traitant (90).
109. Compte tenu de ce qui précède, je ne pense pas que la suppression de ces deux exemples dans le préambule, parallèlement à l’ajout de l’expression « nullement » dans ce même préambule et à l’article 82, paragraphe 3, du RGPD, ait pour conséquence (ni comme objectif) d’exclure l’activité de la personne concernée des motifs d’exonération de responsabilité (91).
110. Il semble plutôt que l’activité de la personne concernée reste de nature à provoquer, selon les cas, la rupture du lien indispensable entre le « fait » (ce terme est employé à l’article 82, paragraphe 3, du RGPD) et la qualité d’auteur de l’acte du responsable. Le fait de souligner le caractère restrictif de la clause dérogatoire n’empêche pas qu’un acte particulier de la personne concernée puisse déclencher, en lui-même, le dommage et entraîner, par voie de conséquence, l’exonération de responsabilité du gestionnaire du traitement.
111. L’interprétation systématique plaide en faveur de la prise en compte, dans le cadre de la responsabilité en cas de dommages, de l’implication de la personne concernée dans la survenance de ceux-ci. Dans le système du RGPD, les individus prennent part à la protection de leurs données et, à cet effet, disposent d’instruments qui sont, en eux‑mêmes, des droits.
112. D’un point de vue téléologique, j’estime que le RGPD vise à accorder une protection élevée, mais pas au point d’obliger le responsable à indemniser également les préjudices résultant d’événements ou d’actions imputables à la personne concernée (92).
3. Calcul de la réparation. Incidence du degré de gravité de la faute commise par le responsable du dommage
113. La juridiction de renvoi a confirmé que la cinquième question préjudicielle porte sur le point de savoir si le degré de gravité de la faute commise par le responsable du traitement a une incidence sur le calcul de la réparation. Elle cherche à déterminer plus précisément si l’absence de faute ou l’existence d’une faute légère de la part de ce responsable peut être retenue à sa décharge.
114. L’article 82 du RGPD est laconique, voire muet, quant aux aspects clés de la réparation susceptibles d’avoir une incidence sur le calcul de son montant. Il ne fournit pas d’indications à l’interprète de cette disposition sur les éléments constitutifs de la réparation (93), sur les critères d’évaluation (de quantification) de ces éléments (94) ou sur les facteurs susceptibles d’influencer son montant (95).
115. En dépit de ce qui précède, je considère que le RGPD confère à la personne concernée le droit à une réparation dont le montant est déterminé en fonction du préjudice effectivement subi. Une fois que le montant qui compense objectivement ce préjudice a été établi, il ne devrait pas être modifié pour tenir compte de la négligence plus ou moins grande du responsable du traitement.
116. Pour étayer mon propos, je renvoie, mutatis mutandis, aux considérations que j’ai développées au sujet de l’imputation de la responsabilité au gestionnaire du traitement, indépendamment de sa faute, dans le système de l’article 82 du RGPD. Du point de vue de la victime, dont le patrimoine (matériel et immatériel) doit être indemne après la survenance du dommage, la réparation de ce dernier doit intervenir sans lien avec la faute du gestionnaire du traitement, quel que soit son degré de gravité (96).
117. Je crois que l’on peut retenir la même solution en partant du constat que l’article 82 du RGPD (dont les travaux préparatoires ne fournissent pas d’indications dans un sens ou dans l’autre) (97) diffère d’autres instruments du droit de l’Union, qui opèrent une distinction expresse selon que l’intéressé est intervenu dans la violation « en connaissance de cause » ou non, lorsqu’il s’agit de fixer le montant de l’indemnisation due au titre de la responsabilité civile (98).
118. Cette appréciation est corroborée, selon moi, par deux autres arguments :
– l’article 83 du RGPD s’attache à la négligence (et à l’intention) de l’auteur de la violation pour moduler le montant de l’amende (99). Le législateur aurait pu adopter ce même critère pour le calcul du montant dû au titre de la responsabilité civile, mais il s’en est abstenu ;
– le RGPD insiste sur le fait que la réparation doit être complète et effective (100) (considérant 146 et article 82, paragraphe 4, lorsque plusieurs responsables ou sous-traitants participent à la même opération de traitement) (101). À mon sens, l’adjectif « complète » exclut une modulation à la baisse du montant de la réparation pour tenir compte du degré de négligence moindre du responsable du traitement (102).
V. Conclusion
119. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre au Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) de la manière suivante :
L’article 9, paragraphe 2, sous h), l’article 9, paragraphe 3, ainsi que l’article 82, paragraphes 1 et 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doivent être interprétés en ce sens que :
Ils n’interdisent pas au service médical d’une caisse d’assurance maladie de traiter des données concernant la santé de l’un de ses employés, dont dépend l’appréciation de sa capacité de travail.
Ils admettent une dérogation à l’interdiction de traiter des données à caractère personnel relatives à la santé, lorsque ce traitement est nécessaire à l’appréciation de la capacité de travail de l’employé, qu’il est conforme aux principes de l’article 5 et qu’il remplit l’une des conditions de licéité prévues à l’article 6 du règlement 2016/679.
Le degré de gravité de la faute du responsable du traitement ou du sous‑traitant n’est pas pertinent aux fins de l’engagement de la responsabilité de l’un ou de l’autre, ni aux fins de la quantification du préjudice moral indemnisable sur le fondement de l’article 82, paragraphe 1, du règlement 2016/679.
La participation de la personne concernée au fait générateur de l’obligation de réparation peut entraîner, selon les cas, l’exonération de responsabilité du responsable du traitement ou du sous-traitant prévue à l’article 82, paragraphe 3, du règlement 2016/679.