Language of document :

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 25 mai 2023 (1)

Affaire C667/21

ZQ

contre

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts

[demande de décision préjudicielle formée par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Données à caractère personnel concernant la santé – Appréciation de la capacité de travail d’un employé – Service de contrôle médical d’une caisse d’assurance maladie – Traitement des données à caractère personnel relatives à la santé des employés – Droit à réparation d’un préjudice – Incidence du degré de gravité de la faute »






1.        Le présent renvoi préjudiciel porte sur l’interprétation du règlement (UE) 2016/679 (2) en ce qui concerne : a) le traitement des données à caractère personnel relatives à la santé ; et b) la réparation des préjudices subis du fait d’une (prétendue) violation du RGPD lui-même.

2.        Bien que la Cour ait déjà statué sur les dispositions du RGPD (3) qui ont trait à ces questions, celles posées dans le cadre du présent renvoi préjudiciel sont inédites, à l’exception de la quatrième (4).

I.      Le cadre juridique

A.      Le droit de l’Union : le RGPD

3.        Sont pertinents pour le litige au principal les considérants figurant dans le préambule du RGPD sous les numéros 4, 10, 35, 51 à 54 et 146.

4.        Aux termes de l’article 9 du RGPD (intitulé « Traitement portant sur des catégories particulières de données à caractère personnel ») :

« 1.      Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2.      Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

[...]

b)      le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;

[...]

h)      le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 ;

[...]

3.      Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.

4.      Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. »

5.        L’article 82 du RGPD (intitulé « Droit à réparation et responsabilité ») est libellé comme suit :

« 1.      Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

[...]

3.      Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

[...] »

B.      Le droit allemand : le code social, cinquième livre

6.        Conformément à l’article 278, paragraphe 1, première phrase, du Sozialgesetzbuch Fünftes Buch (5), un service médical (6) des caisses d’assurance maladie (7) est institué dans chacun des Länder sous la forme d’un organisme de droit public. L’une de ses fonctions, attribuées par la loi, est de réaliser des expertises destinées à lever les doutes sur l’incapacité de travail des assurés.

7.        En vertu de l’article 275, paragraphe 1, première phrase, point 3, sous b), les KV sont tenues, dans certaines conditions, de demander au MDK correspondant, en cas d’incapacité de travail d’un assuré attestée par un certificat médical, de réaliser une expertise visant à dissiper les doutes quant à cette incapacité.

II.    Les faits, le litige et les questions préjudicielles

8.        Depuis l’année 1991, ZQ était employé comme salarié par le MDK de Nordrhein (Allemagne) en tant qu’administrateur-système et collaborateur du bureau d’assistance du service informatique.

9.        Le MDK réalise des expertises sur l’incapacité de travail des personnes assurées auprès des KV. Parmi ces expertises peuvent figurer celles relatives à la santé des propres employés du MDK.

10.      Le traitement des données s’effectue, entre autres, conformément aux règles suivantes énoncées dans une note de service interne (8) :

–      les « données sociales » des employés ne peuvent pas être collectées ni conservées sur leur lieu de travail. En outre, ces données, produites lorsque le MDK est chargé par une KV de réaliser une expertise, ne doivent pas être confondues avec les données des employés qui sont traitées dans le cadre de la relation de travail ou de service ;

–      les demandes d’expertise relatives aux employés du MDK sont qualifiées de « cas particuliers » et sont gérées exclusivement par une cellule spécifique (9) ;

–      une fois l’expertise relative à l’employé du MDK réalisée, les documents y afférents et l’expertise sont versés aux archives numériques du MDK. L’établissement d’un lien entre ces documents et des personnes déterminées n’est possible qu’au moyen d’une clé spécifique, sous réserve d’une autorisation d’accès soumise à une procédure technique.

11.      Les employés du « département informatique » de la cellule « cas particuliers » peuvent, après la clôture du dossier, accéder aux expertises établies à la suite d’une demande concernant les employés du MDK, dans le respect du devoir de confidentialité auquel ils sont tenus de par la loi.

12.      ZQ a été en incapacité de travail de façon ininterrompue pour cause de maladie à compter du 22 novembre 2017.

13.      À partir du 24 mai 2018 (10), il a perçu des indemnités de maladie, versées par la KV à laquelle il est affilié. Le 6 juin 2018, cette dernière a demandé au MDK de réaliser une expertise visant à lever des doutes relatifs à l’incapacité de travail de ZQ.

14.      Le MDK a accepté la demande d’expertise, qu’il a attribuée à la cellule « cas particuliers ». Le 22 juin 2018, un médecin salarié de MDK appartenant à cette cellule a établi un rapport d’expertise qui contenait un diagnostic de la maladie de ZQ. Pour élaborer ce rapport, ce médecin a téléphoné au médecin traitant de ZQ et obtenu de sa part des renseignements pertinents.

15.      Ce rapport d’expertise a été versé à l’archive numérique de MDK.

16.      Par l’intermédiaire de son médecin traitant, ZQ a eu connaissance de l’appel téléphonique du médecin du MDK.

17.      Le 1er août 2018, ZQ a pris contact avec une collègue du département informatique du MDK, à laquelle il a demandé si une expertise le concernant était conservée. Après une recherche dans l’archive, cette collègue a répondu par l’affirmative. À la demande de ZQ, elle a photographié l’expertise et lui a envoyé les clichés.

18.      Le 15 août 2018, ZQ a sollicité sans succès le paiement d’une indemnisation d’un montant de 20 000 euros auprès du MDK, sur le fondement de l’article 82 du RGPD.

19.      Le 17 octobre 2018, ZQ a formé un recours devant l’Arbeitsgericht Düsseldorf (tribunal du travail de Düsseldorf, Allemagne). Dans le cadre de cette procédure, il a, en outre, demandé l’octroi d’une indemnisation à hauteur du montant des salaires non perçus (11).

20.      Au cours de la procédure juridictionnelle, le MDK a mis fin à la relation de travail de ZQ.

21.      ZQ a succombé en ses conclusions tant en première instance qu’en appel (12).

22.      ZQ a saisi le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), qui a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      L’article 9, paragraphe 2, sous h), du [RGPD] doit-il être interprété en ce sens qu’il interdit au service médical d’une caisse d’assurance maladie de traiter des données concernant la santé de l’un de ses employés, dont dépend l’appréciation de la capacité de travail de cet employé ?

2)      Dans l’hypothèse où la Cour répondrait par la négative à la première question, de telle sorte qu’une dérogation à l’interdiction des traitements portant sur des données de santé énoncée à l’article 9, paragraphe 1, du RGPD serait envisagée, en application de l’article 9, paragraphe 2, sous h), du RGPD, dans un cas tel que celui de l’espèce, en plus des conditions énoncées à l’article 9, paragraphe 3, du RGPD, d’autres exigences relatives à la protection des données doivent-elles être respectées, et le cas échéant lesquelles ?

3)      Dans l’hypothèse où la Cour répondrait par la négative à la première question, de telle sorte qu’une dérogation à l’interdiction des traitements portant sur des données de santé énoncée à l’article 9, paragraphe 1, du RGPD serait envisagée, en application de l’article 9, paragraphe 2, sous h), du RGPD, dans un cas tel que celui de l’espèce, la licéité du traitement de données concernant la santé dépend-elle en outre du respect d’au moins l’une des conditions énoncées à l’article 6, paragraphe 1, du RGPD ?

4)      L’article 82, paragraphe 1, du RGPD a-t-il un caractère de prévention spéciale ou générale et cela doit-il être pris en compte pour l’évaluation du préjudice moral indemnisable que le responsable du traitement ou le sous‑traitant est tenu de réparer sur le fondement de cette disposition ?

5)      Le degré de gravité de la faute du responsable du traitement ou du sous‑traitant influe-t-il sur l’évaluation du préjudice moral indemnisable sur le fondement de l’article 82, paragraphe 1, du RGPD ? Plus particulièrement, une absence de faute ou une faute légère de la part du responsable du traitement ou du sous-traitant peut-elle être retenue à sa décharge ? »

III. La procédure devant la Cour

23.      La demande de décision préjudicielle a été enregistrée au greffe de la Cour le 8 novembre 2021.

24.      Des observations écrites ont été déposées par ZQ, le MDK, les gouvernements irlandais et italien ainsi que par la Commission européenne.

25.      La tenue d’une audience n’a pas été jugée nécessaire.

26.      À la demande de la Cour, les présentes conclusions n’aborderont pas la quatrième question préjudicielle (13).

IV.    Analyse

A.      Sur la première question préjudicielle

27.      La juridiction de renvoi souhaite savoir si l’article 9, paragraphe 2, sous h), du RGPD interdit à un MDK de traiter des données concernant la santé de l’un de ses propres employés, dont dépend l’appréciation de la capacité de travail de ce dernier. Elle s’interroge donc sur la licéité du traitement eu égard à l’entité qui l’effectue (14).

28.      L’article 9 du RGPD vise des catégories particulières de données, telles que celles concernant la santé d’une personne. Il énonce une interdiction générale de traitement des données « sensibles » (paragraphe 1) et énumère de manière exhaustive les circonstances dans lesquelles l’interdiction générale ne s’applique pas (paragraphe 2).

29.      En particulier, l’article 9, paragraphe 2, sous h), du RGPD prévoit une dérogation (à l’interdiction générale) pour le traitement de données à caractère personnel « aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale ».

30.      À mon sens, cette disposition offre au MDK une base suffisante à son action en l’espèce (15). Il est indifférent que le responsable du traitement soit également l’employeur de la personne concernée, dans la mesure où le MDK n’agit pas en tant qu’employeur de celle-ci, mais en tant que service médical d’une KV à laquelle la personne concernée était affiliée (16).

31.      Je ne vois aucune raison d’interpréter l’article 9, paragraphe 2, sous h), du RGPD en ce sens qu’il interdirait à un service médical de traiter les données de santé de ses employés pour la finalité énoncée dans cette disposition. Les critères d’interprétation habituels conduisent plutôt à la solution contraire (absence d’une telle interdiction).

32.      D’un point de vue littéral, l’article 9, paragraphe 2, sous h), du RGPD ne prévoit aucune exclusion en ce sens, ni n’impose comme condition du traitement que le responsable soit un « tiers neutre » (17).

33.      Les antécédents législatifs et l’évolution de cette disposition n’indiquent pas non plus qu’une interdiction telle que celle évoquée dans la première question préjudicielle existe, ni que son inclusion ait été voulue (18).

34.      La finalité des dispositions du RGPD sur le traitement des données relatives à la santé consiste, ainsi que la Cour l’a jugé (19), à accorder une protection renforcée aux personnes concernées, compte tenu de la sensibilité particulière de ces données pour les droits fondamentaux en cause. L’interdiction générale visée à l’article 9, paragraphe 1, du RGPD contribue à cet objectif. Elle n’est toutefois pas absolue (20).

35.      Dans ce domaine, comme dans d’autres relatifs au traitement de données à caractère personnel, le choix du législateur, une fois l’interdiction générale établie, a été :

–      d’introduire des dérogations, sous la forme d’une liste de situations particulières qui peuvent être regroupées (schématiquement) en deux catégories : les situations dans lesquelles la personne concernée elle‑même autorise le traitement ou en bénéficie, et celles dans lesquelles il existe des intérêts qui l’emportent sur ceux de chaque individu ;

–      d’entourer un certain type de traitement de garanties spécifiques allant au‑delà de celles qui s’appliquent au reste des données à caractère personnel « non sensibles », et qui s’y ajoutent (21) ;

–      d’autoriser les États membres à introduire d’autres conditions, voire des limitations, applicables au traitement de données à caractère personnel. Il en va ainsi des données concernant la santé (article 9, paragraphe 4, et considérant 53, in fine, du RGPD) ou des données des employés dans le cadre des relations de travail (article 88 du RGPD) (22).

36.      Or, dans l’absolu, rien ne s’opposerait à ce que, parmi les garanties spécifiques que je viens de mentionner, figure l’interdiction pour un MDK de traiter des données concernant la santé de ses employés. Il ne me semble toutefois pas que cette option (que le législateur de l’Union n’a pas retenue) soit indispensable pour préserver l’objectif susvisé.

37.      Je considère donc que l’interdiction sur laquelle la juridiction de renvoi s’interroge n’est pas une conséquence inéluctable d’une interprétation téléologique de l’article 9, paragraphe 2, sous h), du RGPD.

38.      Je ne crois pas non plus qu’une interprétation systématique de cette disposition aboutisse à une autre solution, car :

–      même en admettant, pour les besoins de la discussion, qu’il soit approprié de considérer l’article 9, paragraphe 2, sous b), du RGPD comme étant la seule base permettant à un employeur de traiter des données concernant la santé de ses employés (23), cela n’affecterait pas la possibilité pour la même entité, non plus en tant qu’employeur, mais en tant que service médical qui a accepté la demande d’une KV, d’effectuer le traitement au titre d’une autre dérogation visée à cet article 9, paragraphe 2 (24) ;

–      l’article 9, paragraphe 3, du RGPD énonce les conditions applicables aux personnes qui traitent des données à caractère personnel relatives à la santé. Le paragraphe 2, sous h), de l’article 9 renvoie expressément au paragraphe 3 ; d’un point de vue subjectif, le traitement n’est subordonné à aucune autre condition (25).

39.      Je propose donc de répondre à la première question préjudicielle par la négative (à savoir que l’interdiction en cause n’existe pas dans le RGPD), ce qui permet d’aborder la question suivante.

B.      Sur la deuxième question préjudicielle

40.      Au cas où (comme je le suggère) la réponse à la première question préjudicielle serait négative, la juridiction de renvoi souhaite savoir si, « dans un cas tel que celui de l’espèce, en plus des conditions énoncées à l’article 9, paragraphe 3, du RGPD, [il existe] d’autres exigences relatives à la protection des données [...], et le cas échéant lesquelles ».

41.      La réponse, d’une manière générale, ne devrait pas soulever de difficultés majeures (26). La Cour a dit pour droit que tout traitement de données à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD et répondre à l’une des conditions de licéité énumérées à l’article 6 dudit règlement (27).

42.      Selon la juridiction de renvoi, le respect de l’obligation de secret (article 9, paragraphe 3, du RGPD) ne suffirait pas à protéger les données dans des circonstances telles que celles de l’espèce. Elle propose d’autres mesures complémentaires qui, à son avis, seraient les seules de nature à atteindre cet objectif (28).

43.      J’estime que l’article 9, paragraphe 3, du RGPD ne peut, en soi, servir de base à ces mesures supplémentaires. Son libellé clair (qui se borne à détailler une disposition déjà présente dans la directive 95/46) (29) ne permet pas d’étayer des propositions telles que celle de la juridiction de renvoi.

44.      Ces propositions pourraient en revanche relever de l’article 9, paragraphe 4, du RGPD. En vertu de cette disposition, les États membres sont autorisés à imposer des « conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données [...] concernant la santé » (30). Il ne ressort toutefois pas de la décision de renvoi que la République fédérale d’Allemagne ait fait usage de cette faculté.

45.      Cela étant, et pour les raisons que j’ai développées plus haut dans les présentes conclusions, le traitement des données à caractère personnel relatives à la santé doit être soumis, entre autres principes, à celui qui est énoncé à l’article 5, paragraphe 1, sous f), du RGPD et aux obligations qui en découlent, lesquelles sont détaillées au chapitre IV de ce règlement.

46.      Le responsable du traitement (31) doit, en outre, adopter des mesures techniques et organisationnelles appropriées pour s’assurer qu’un traitement particulier est conforme au RGPD. C’est ce que prévoit, d’une manière générale, l’article 24, paragraphe 1, dudit règlement.

47.      Plus spécifiquement, l’article 32, paragraphe 1, du RGPD impose au responsable du traitement de mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » encouru par les données à caractère personnel en cause.

48.      Par application de ces règles au présent cas d’espèce, la qualité d’employeur du MDK vis-à-vis de ZQ lui impose un devoir de diligence plus élevé que d’habitude dans le traitement de ses données relatives à la santé, car les risques sont également plus élevés (32).

49.      Le MDK est conscient de ce fait. Lorsque, à la demande d’une KV à laquelle son employé est affilié, il réalise des expertises afin de lever des doutes relatifs à son (in)capacité de travail, il met en œuvre un ensemble de mesures ad hoc, techniques et organisationnelles, prévues pour adapter le traitement des données à caractère personnel relatives à la santé au RGPD (33).

50.      L’appréciation de ces mesures incombe à la juridiction de renvoi, qui peut décider, au terme de son examen, que les mesures adoptées n’étaient pas suffisantes. Toutefois, cela ne permet pas de déduire de l’article 9 du RGPD une obligation pour les MDK de décliner d’office toute demande d’expertise médicale (concernant leurs employés) émanant des KV (34).

C.      Sur la troisième question préjudicielle

51.      Dans l’hypothèse où la réponse à la première question préjudicielle serait négative, la juridiction de renvoi, par sa troisième question, souhaite savoir si la dérogation à l’interdiction des traitements portant sur des données relatives à la santé « dépend [...] en outre du respect d’au moins l’une des conditions énoncées à l’article 6, paragraphe 1, du RGPD ».

52.      Pour répondre à cette interrogation, il convient d’analyser la relation entre l’article 9, paragraphe 2, du RGPD et son article 6, relatif à la licéité du traitement. La nécessité de se conformer à ce dernier article dans tout traitement de données est mentionnée dans les arrêts de la Cour que j’ai cités dans les présentes conclusions (35).

53.      En particulier, l’arrêt rendu dans l’affaire C‑439/19 (36) a interprété l’article 10 du RGPD, portant sur une autre catégorie de données à caractère personnel sensibles (celles relatives aux condamnations pénales et aux infractions) (37), en ce sens que l’article 6 de ce règlement s’applique conjointement avec l’article 10.

54.      Ce même postulat est-il susceptible d’être étendu aux données à caractère personnel visées à l’article 9 du RGPD ?

55.      Les articles 9 et 10 du RGPD ont une structure différente. L’article 10 contient un renvoi explicite à l’article 6, paragraphe 1, du RGPD, qui ne figure pas à l’article 9.

56.      Le contenu de l’article 9, paragraphe 2, et celui de l’article 10 du RGPD ne sont pas non plus comparables : l’article 10 se borne à prévoir une restriction subjective au traitement, alors que l’article 9, paragraphe 2, énonce les finalités (ou circonstances) qui le justifient, à l’instar de l’article 6, paragraphe 1.

57.      En effet, le parallélisme entre l’article 6, paragraphe 1, et l’article 9, paragraphe 2, du RGPD est tel que, à première vue, il semblerait que les circonstances que ce dernier énumère détaillent les conditions définies dans le premier : elles les précisent tout en les rendant plus strictes.

58.      La genèse et l’évolution de l’article 9 du RGPD remettent toutefois en cause le fait que la relation qui le lie à l’article 6 repose sur la distinction entre « loi spéciale » et « loi générale ».

59.      Il apparaît que cette interprétation a effectivement été soutenue par les délégations de certains États membres (38). Toutefois, les documents relatifs à la négociation de l’article 9 font état de divergences non pas quant au renvoi à l’article 6 (39), mais quant à la portée de ce renvoi (à son paragraphe 1 uniquement, ou à d’autres paragraphes également ?) (40). En définitive, la référence à l’article 6 a été supprimée de l’article 9 (41) et il a été décidé de maintenir dans le préambule un paragraphe semblable à l’actuel considérant 51 du RGPD (42).

60.      L’idée de cumul ou de complémentarité entre ces deux dispositions est partagée par le Comité européen de la protection des données (43) et était défendue par le groupe de travail dit « Article 29 » (44) en rapport avec l’article 8 de la directive 95/46 (45). Cette interprétation n’est toutefois pas unanimement acceptée par la doctrine ni par d’autres organismes d’importance en la matière (46).

61.      Au vu des différents points de l’article 9, paragraphe 2, du RGPD, j’ai tendance à penser que la relation entre cette disposition et l’article 6 ne permet pas, en réalité, d’apporter une réponse unique. En effet :

–      certaines dérogations à l’interdiction du traitement telles que celles énoncées à l’article 9, paragraphe 2, sous a), c), g) et i) (47), sont en corrélation directe avec une base légale spécifique prévue à l’article 6, paragraphe 1, du RGPD et l’absorbent ;

–      il n’en va pas de même d’autres dérogations énumérées à l’article 9, paragraphe 2, du RGPD, qui exigent bel et bien une justification supplémentaire au titre de l’article 6, paragraphe 1. Tel est le cas, à mon sens, de l’article 9, paragraphe 2, sous h), du RGPD, sur lequel porte la présente question préjudicielle.

62.      Je considère donc que, pour s’assurer de la licéité du traitement de données sensibles autorisé par l’article 9, paragraphe 2, sous h), du RGPD, il convient de rechercher dans chaque cas particulier quelle condition parmi celles détaillées à l’article 6, paragraphe 1, légitime ce traitement.

63.      La juridiction de renvoi ne conteste pas qu’il en soit ainsi : au contraire, en se fondant sur cette prémisse, elle s’attache à démontrer que le traitement effectué par le MDK n’est pas justifié par l’une des conditions énoncées à l’article 6 du RGPD (48).

64.      À première vue, il ne me semble pas qu’il existe un ordre de priorité entre les bases légales prévues par cette disposition. Une analyse plus approfondie pourrait révéler la nécessité d’apporter des nuances (49). J’estime toutefois qu’une telle analyse irait au-delà de ce qui est nécessaire pour statuer sur le présent renvoi préjudiciel (50).

65.      En somme, en réponse à la troisième question préjudicielle, il conviendrait d’indiquer à la juridiction de renvoi que la dérogation à l’interdiction de traiter des données relatives à la santé exige le respect d’au moins l’une des conditions énoncées à l’article 6, paragraphe 1, du RGPD.

D.      Sur la cinquième question préjudicielle

66.      La juridiction de renvoi souhaite savoir si le « degré de gravité de la faute du responsable du traitement ou du sous-traitant influe [...] sur l’évaluation du préjudice moral indemnisable sur le fondement de l’article 82, paragraphe 1, du RGPD » et, en particulier, si « une absence de faute ou une faute légère de la part du responsable du traitement ou du sous-traitant peut [...] être retenue à sa décharge ».

67.      Dans cette question, la juridiction de renvoi part de l’hypothèse qu’une violation du RGPD (51) a été commise par celui qui apparaît comme étant le responsable du traitement des données, et s’interroge sur le point de savoir si, pour calculer le montant de la réparation du préjudice résultant de cette violation, le degré de gravité de la faute de ce responsable doit être pris en compte. Selon la juridiction de renvoi, il n’est pas certain que l’absence de faute ou une faute légère de la part du responsable puisse être qualifiée d’élément à décharge.

68.      Prise au pied de la lettre, cette question se focalise sur la quantification du montant de la réparation. Les explications qui l’accompagnent ont néanmoins suscité une certaine confusion, car elles ne précisaient pas clairement si elles se référaient à la faute en tant que condition de l’imputation de la responsabilité ou en tant que facteur d’ajustement du montant de la réparation.

69.      Invitée par la Cour à lever cette ambiguïté, la juridiction de renvoi a expliqué que la question portait sur ces deux aspects, sans apporter davantage de précisions sur leur lien avec le litige au principal.

70.      À la lumière de ces éclaircissements, je propose de répondre aux interrogations de la juridiction de renvoi après avoir (également) pris en considération celles qui ont été soulevées par le MDK au sujet de l’éventuelle implication de la personne concernée dans la survenance du dommage (52). Mon exposé comportera trois étapes :

–      dans la première, j’aborderai le fondement de l’imputation de la responsabilité prévue à l’article 82 du RGPD ;

–      dans la deuxième, j’analyserai l’incidence que pourrait avoir la consultation de données à caractère personnel par un employé du responsable du traitement (53). L’élément essentiel et spécifique de ce cas d’espèce est que ledit employé a procédé à cette consultation à la demande de la personne concernée ;

–      dans la troisième, je me prononcerai sur l’influence que le degré de gravité de la faute du responsable du traitement peut avoir sur l’appréciation concrète du préjudice moral indemnisable.

1.      Fondement de la responsabilité civile prévue à l’article 82 du RGPD

71.      La juridiction de renvoi est d’avis que l’article 82, paragraphe 1, du RGPD ne subordonne pas la responsabilité civile (du gestionnaire (54) du traitement) à l’existence ou à la preuve d’une intention ou d’une négligence. Elle ajoute que le paragraphe 3 du même article n’étaye aucune autre solution.

72.      J’admets qu’il est difficile de déterminer quel modèle de responsabilité civile a été adopté par le RGPD et que diverses interprétations sont a priori possibles (55). L’approche retenue par la juridiction de renvoi en fait partie et, à mon sens, est correcte.

73.      Interpréter l’article 82, paragraphe 1, du RGPD en ce sens qu’il instaure un régime de responsabilité civile détachée de la faute du gestionnaire du traitement est, à mon sens, conforme à son libellé, trouve un appui immédiat dans les travaux préparatoires et, surtout, sert l’objectif de la règle. Cette interprétation est admissible à la lumière d’autres paragraphes de ladite disposition, ainsi que du système considéré dans son ensemble.

a)      Approche littérale

74.      La position défendue par la juridiction de renvoi est conforme au libellé de l’article 82, paragraphe 1, du RGPD. Au regard de la lettre de cette disposition, le droit d’être indemnisé par le responsable du traitement est purement et simplement lié aux préjudices subis en raison d’une violation du RGPD lui-même.

75.      Les autres paragraphes de l’article 82 n’induisent pas de réponse différente (56). En particulier, je me garderai bien de déduire l’exigence d’une faute à partir du terme « imputable » figurant au paragraphe 3 de cet article 82. Ce terme apparaît uniquement dans certaines versions linguistiques du RGPD ; d’autres, au contraire, utilisent le mot « responsable ». Dans la version en langue allemande, ni l’article 82 ni le préambule n’emploient le terme technique propre à la responsabilité pour faute (« Verschulden ») (57).

76.      La comparaison des différentes dispositions du RGPD montre que la terminologie employée n’est pas toujours dénuée d’ambiguïté, de sorte qu’il convient de faire preuve d’une extrême prudence lorsque l’on tire des conséquences de son libellé. La version en langue anglaise, par exemple, utilise le mot « responsible » dans de multiples acceptions (58).

77.      L’absence de référence à l’intention ou à la faute du responsable du traitement à l’article 82 du RGPD contraste avec les mentions de l’article 83 concernant les amendes administratives : « [p]our décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative », il est dûment tenu compte, dans chaque cas d’espèce, du fait que la violation du RGPD a été commise délibérément ou par négligence (59).

78.      Si la divergence entre les libellés affaiblit le pouvoir de persuasion du critère de l’interprétation littérale, elle corrobore à tout le moins l’idée que ni l’intention ni la faute ne figurent à l’article 82 du RGPD et que cette absence est voulue et non attribuable à un oubli du législateur.

b)      Travaux préparatoires

79.      Le débat sur le fondement de l’imputation de la responsabilité finalement retenu dans le RGPD est obscurci par le contexte dans lequel il s’est déroulé au sein du Conseil, marqué par la question de la pluralité des acteurs du traitement.

80.      Ce débat a été mêlé à des considérations procédurales, sans obéir à un schéma conceptuel permettant d’opérer une distinction entre la fonction de la faute en tant que fondement de l’imputation de la responsabilité, d’une part, et celle de l’absence de faute aux fins de l’exonération de cette même responsabilité, du point de vue du lien de causalité, d’autre part.

81.      Je pense néanmoins que les travaux préparatoires plaident en faveur d’une interprétation de l’article 82, paragraphe 1, du RGPD selon laquelle la responsabilité civile ne dépend pas de la faute du responsable du traitement.

82.      La proposition de la Commission suivait l’approche de la directive 95/46 et ne mentionnait pas la négligence. Dans certains documents du Conseil, il est indiqué que la responsabilité envisagée est définie comme une « strict liability » (60).

83.      En vertu d’un amendement proposé au sein de la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen, l’article 82 (alors article 77), paragraphe 1, du RGPD, aurait été formulé en des termes qui liaient la responsabilité à l’intention ou à la négligence (61). Il n’a pas été adopté (62).

84.      Au sein du Conseil, le débat portant sur l’article 77 et le critère d’imputation de la responsabilité a également concerné la question de l’attribution et de la répartition des responsabilités en cas d’intervention de plusieurs personnes au cours de la même opération de traitement. Dans ce contexte, la présidence a proposé deux options (63) :

–      selon la première (64), chaque gestionnaire ou sous-traitant du traitement était considéré comme juridiquement responsable de l’intégralité du préjudice vis-à-vis de la personne concernée (65), lorsqu’il avait violé des obligations qui lui incombaient en vertu du RGPD (66). Sa participation au préjudice, même insignifiante, permettait à la personne concernée de réclamer le montant intégral de la réparation. Si plusieurs parties étaient impliquées, la personne concernée pouvait réclamer ce montant à chacune d’entre elles (67). Chacune des parties était toutefois exonérée de sa responsabilité si elle démontrait n’être en rien responsable (« responsible ») du préjudice (« 0 % responsibility »), ainsi que le prévoyait le paragraphe 3 de l’article. Le modèle était décrit comme étant « closer (but certainly not equal to) to the “liability follows fault principle” » (68) ;

–      la seconde option entraînait pour le gestionnaire du traitement une obligation impérative d’indemniser la personne concernée pour l’intégralité du préjudice, en lui imposant une sorte de responsabilité absolue, dans la mesure où aucune exonération n’était prévue (69). La personne concernée ne pouvait demander réparation au sous-traitant qu’à titre subsidiaire (70). Aucune exonération n’était non plus prévue pour lui.

85.      Le texte de compromis présenté par la présidence pour approbation sous forme d’orientation générale (71) retient la première option, même s’il renforce le caractère exceptionnel de l’exonération et rend la preuve y afférente plus difficile à rapporter en formulant l’article 77, paragraphe 3, de la manière suivante : « [...] if it [le responsable du traitement/sous-traitant] proves that it is not in any way responsible [...] » (72). Ce libellé correspond à celui de l’article finalement approuvé.

86.      En somme, l’analyse du processus législatif ayant mené au texte final du RGPD permet de conclure que la responsabilité visée à l’article 82, paragraphe 1, de ce règlement n’est pas liée à la faute du gestionnaire du traitement.

c)      Finalité

87.      Le RGPD met en place un système conçu pour assurer un niveau élevé de protection des personnes physiques, tout en levant les obstacles aux flux de données à caractère personnel (73). Dans ce système, l’article 82 du RGPD poursuit une finalité compensatoire, sans préjudice du fait qu’il vise également, de manière accessoire, à dissuader ou à prévenir les comportements contraires à ses prescriptions (74).

88.      Veiller à la réparation du préjudice est un objectif en soi, comme le démontre l’importance que le législateur lui accorde et qui apparaît à la simple lecture du texte. Dans le cadre du RGPD, l’obtention d’une réparation, en cas de survenance d’un dommage, est un droit de la personne concernée ; la notion de préjudice doit être interprétée au sens large, et la réparation doit être complète et effective.

89.      La réparation est liée à l’objectif consistant à renforcer la confiance des citoyens dans l’environnement numérique, finalité de portée générale que le RGPD énonce dans son considérant 7. Garantir à la personne concernée que, par principe, elle n’aura pas à supporter purement et simplement le préjudice résultant d’un traitement illicite de ses données est de nature à favoriser cette confiance : son patrimoine juridique est protégé et, sur le plan procédural, sa demande de réparation est plus simple.

90.      Le fait que l’article 82, paragraphe 1, du RGPD n’associe pas l’obligation de réparation au non‑respect d’un devoir de diligence s’inscrit dans la logique de cette approche. Cette obligation est imposée, sur décision du législateur, à la personne qui occupe une position particulière de gardien ou de garant dans la relation et en raison, précisément, de cette seule circonstance.

91.      On serait donc tenté de dire que, dans le cadre du RGPD, c’est la situation de la victime qui subit le préjudice résultant de la violation qui importe, alors qu’aucune règle ne lui impose l’obligation de le supporter.

92.      Il est indifférent, pour la victime, que la personne ayant causé le préjudice ait commis ou non une faute : l’élément décisif est que le gestionnaire du traitement lui a occasionné un préjudice, matériel ou moral, consécutif à une violation du RGPD.

93.      Les objectifs précédemment décrits sont plus facilement atteints par un modèle qui tend à ce que le préjudice établi :

–      soit réparé en toutes circonstances (sauf cause d’exonération, qui sera exceptionnelle) et

–      donne lieu à une réparation dont l’obtention est (relativement) simple, non seulement parce qu’il n’est pas nécessaire de prouver la faute du responsable du traitement, mais également parce que, en présence d’une violation et d’un dommage qui lui est associé, l’imputation de la responsabilité ne dépend d’aucun degré de gravité de la faute.

94.      Dans le cadre de l’adaptation à la révolution numérique (75), cette solution me semble cohérente. L’évolution technologique rapide exige que, dans le cas des activités les plus courantes de traitement de données exercées en ligne, l’absence d’intention ou de négligence n’empêche pas de réparer des préjudices qui, autrement, ne seraient pas couverts.

d)      Système

95.      L’interprétation que je propose est plus conforme à l’économie du RGPD. L’article 82, paragraphe 3, de ce règlement le confirme : l’exonération est possible si le responsable du traitement « prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ».

96.      L’expression « nullement » se détache de ce libellé et donne à penser que le modèle en question n’est pas un modèle fondé sur la faute (même très légère) assorti d’un renversement de la charge de la preuve.

97.      Considérer que la réparation ne dépend pas de la faute du responsable du traitement confère à l’article 82 une signification propre au sein du chapitre VIII et, en définitive, du RGPD dans son ensemble.

98.      Le législateur de l’Union part du principe que le traitement des données à caractère personnel peut être source de risques. Il impose aux acteurs du traitement d’évaluer ces risques ainsi que d’adopter et d’actualiser des mesures de nature à prévenir et minimiser ceux qu’ils ont identifiés (76).

99.      Il a été affirmé qu’un modèle de responsabilité civile fondé sur la faute incite à la diligence et, partant, favorise la protection contre les risques, alors que le modèle alternatif, qui ne tient pas compte de la manière dont l’acteur du traitement s’est comporté, découragerait ce dernier de faire preuve de prudence (parce que, en cas de préjudice, il devra l’indemniser en tout état de cause).

100. Je suis d’avis que ce résultat (77) est acceptable dans le cadre du RGPD. L’article 82 s’inscrit dans une structure normative complexe qui recourt à des instruments de droit public et de droit privé pour protéger les données à caractère personnel. Dans cette structure, la négligence (et l’intentionnalité) sont pertinentes aux fins des sanctions administratives. Je ne vois pas la nécessité qu’elles le soient également pour ce qui est de la responsabilité civile (78), car cela porterait atteinte aux objectifs de l’article 82 et réduirait, en outre, l’attrait pratique de la solution qu’il prévoit.

2.      Incidence de l’intervention de la personne concernée

101. Les interrogations quant à la nécessité d’une faute du responsable du traitement sont liées, en l’espèce, aux conséquences qui pourraient découler de l’intervention de la personne concernée (79).

102. Pour une meilleure compréhension de ce qui suit, il convient de préciser que les circonstances du litige ont été considérées sous deux angles différents :

–      dans la première optique, le traitement des données à caractère personnel de ZQ par le MDK constitue une violation du RGPD (en l’occurrence, de ses articles 9 ou 6). La violation cause un préjudice en elle-même (80) ;

–      dans la seconde optique, le traitement de données décrit ne constitue pas une violation du RGPD ou n’entraîne pas de préjudice. Ce dernier résulterait de la consultation des données par une employée du MDK, à l’instigation de la personne concernée (81).

103. J’estime, en tout état de cause, que, comme semble le soutenir la juridiction de renvoi (82), pour déterminer l’incidence (éventuelle) du comportement de la personne concernée sur la commission de l’acte illicite qui a causé le préjudice, il convient de se référer à l’article 82, paragraphe 3, du RGPD.

104. Cette disposition n’énumère pas, ne serait-ce qu’à titre d’exemple, de motifs spécifiques d’exonération de la responsabilité. Le considérant 146 de ce règlement ne le fait pas non plus (83).

105. Il semblerait que le RGPD se distingue, sur ce point, de la directive 95/46, dont l’article 23, paragraphe 2, contenait une règle semblable (84) à l’actuel article 82, paragraphe 3, de ce règlement : le considérant 55 de la directive 95/46 citait, à titre d’exemples de motifs d’exonération, l’existence d’une faute de la personne concernée ou d’un cas de force majeure (85), lesquels sont absents du RGPD.

106. Sauf erreur de ma part, les travaux préparatoires du RGPD ne font pas état d’une quelconque discussion sur ces deux exemples, qui figuraient bien dans la proposition de la Commission (86) et que le Parlement a conservés (87).

107. Leur suppression, et l’apparition de l’expression « nullement », sont intervenues dans le cadre du débat, déjà mentionné, concernant la manière de réglementer la responsabilité en cas de traitement par plusieurs gestionnaires ou sous-traitants (88).

108. Il ressort de la documentation disponible (89) que, dans la version finale, le gestionnaire du traitement bénéficie de l’exonération s’il démontre n’être en rien responsable (« responsible ») du préjudice (« 0 % responsibility »). Il en va de même pour le sous-traitant (90).

109. Compte tenu de ce qui précède, je ne pense pas que la suppression de ces deux exemples dans le préambule, parallèlement à l’ajout de l’expression « nullement » dans ce même préambule et à l’article 82, paragraphe 3, du RGPD, ait pour conséquence (ni comme objectif) d’exclure l’activité de la personne concernée des motifs d’exonération de responsabilité (91).

110. Il semble plutôt que l’activité de la personne concernée reste de nature à provoquer, selon les cas, la rupture du lien indispensable entre le « fait » (ce terme est employé à l’article 82, paragraphe 3, du RGPD) et la qualité d’auteur de l’acte du responsable. Le fait de souligner le caractère restrictif de la clause dérogatoire n’empêche pas qu’un acte particulier de la personne concernée puisse déclencher, en lui-même, le dommage et entraîner, par voie de conséquence, l’exonération de responsabilité du gestionnaire du traitement.

111. L’interprétation systématique plaide en faveur de la prise en compte, dans le cadre de la responsabilité en cas de dommages, de l’implication de la personne concernée dans la survenance de ceux-ci. Dans le système du RGPD, les individus prennent part à la protection de leurs données et, à cet effet, disposent d’instruments qui sont, en eux‑mêmes, des droits.

112. D’un point de vue téléologique, j’estime que le RGPD vise à accorder une protection élevée, mais pas au point d’obliger le responsable à indemniser également les préjudices résultant d’événements ou d’actions imputables à la personne concernée (92).

3.      Calcul de la réparation. Incidence du degré de gravité de la faute commise par le responsable du dommage

113. La juridiction de renvoi a confirmé que la cinquième question préjudicielle porte sur le point de savoir si le degré de gravité de la faute commise par le responsable du traitement a une incidence sur le calcul de la réparation. Elle cherche à déterminer plus précisément si l’absence de faute ou l’existence d’une faute légère de la part de ce responsable peut être retenue à sa décharge.

114. L’article 82 du RGPD est laconique, voire muet, quant aux aspects clés de la réparation susceptibles d’avoir une incidence sur le calcul de son montant. Il ne fournit pas d’indications à l’interprète de cette disposition sur les éléments constitutifs de la réparation (93), sur les critères d’évaluation (de quantification) de ces éléments (94) ou sur les facteurs susceptibles d’influencer son montant (95).

115. En dépit de ce qui précède, je considère que le RGPD confère à la personne concernée le droit à une réparation dont le montant est déterminé en fonction du préjudice effectivement subi. Une fois que le montant qui compense objectivement ce préjudice a été établi, il ne devrait pas être modifié pour tenir compte de la négligence plus ou moins grande du responsable du traitement.

116. Pour étayer mon propos, je renvoie, mutatis mutandis, aux considérations que j’ai développées au sujet de l’imputation de la responsabilité au gestionnaire du traitement, indépendamment de sa faute, dans le système de l’article 82 du RGPD. Du point de vue de la victime, dont le patrimoine (matériel et immatériel) doit être indemne après la survenance du dommage, la réparation de ce dernier doit intervenir sans lien avec la faute du gestionnaire du traitement, quel que soit son degré de gravité (96).

117. Je crois que l’on peut retenir la même solution en partant du constat que l’article 82 du RGPD (dont les travaux préparatoires ne fournissent pas d’indications dans un sens ou dans l’autre) (97) diffère d’autres instruments du droit de l’Union, qui opèrent une distinction expresse selon que l’intéressé est intervenu dans la violation « en connaissance de cause » ou non, lorsqu’il s’agit de fixer le montant de l’indemnisation due au titre de la responsabilité civile (98).

118. Cette appréciation est corroborée, selon moi, par deux autres arguments :

–      l’article 83 du RGPD s’attache à la négligence (et à l’intention) de l’auteur de la violation pour moduler le montant de l’amende (99). Le législateur aurait pu adopter ce même critère pour le calcul du montant dû au titre de la responsabilité civile, mais il s’en est abstenu ;

–      le RGPD insiste sur le fait que la réparation doit être complète et effective (100) (considérant 146 et article 82, paragraphe 4, lorsque plusieurs responsables ou sous-traitants participent à la même opération de traitement) (101). À mon sens, l’adjectif « complète » exclut une modulation à la baisse du montant de la réparation pour tenir compte du degré de négligence moindre du responsable du traitement (102).

V.      Conclusion

119. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre au Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) de la manière suivante :

L’article 9, paragraphe 2, sous h), l’article 9, paragraphe 3, ainsi que l’article 82, paragraphes 1 et 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

Ils n’interdisent pas au service médical d’une caisse d’assurance maladie de traiter des données concernant la santé de l’un de ses employés, dont dépend l’appréciation de sa capacité de travail.

Ils admettent une dérogation à l’interdiction de traiter des données à caractère personnel relatives à la santé, lorsque ce traitement est nécessaire à l’appréciation de la capacité de travail de l’employé, qu’il est conforme aux principes de l’article 5 et qu’il remplit l’une des conditions de licéité prévues à l’article 6 du règlement 2016/679.

Le degré de gravité de la faute du responsable du traitement ou du sous‑traitant n’est pas pertinent aux fins de l’engagement de la responsabilité de l’un ou de l’autre, ni aux fins de la quantification du préjudice moral indemnisable sur le fondement de l’article 82, paragraphe 1, du règlement 2016/679.

La participation de la personne concernée au fait générateur de l’obligation de réparation peut entraîner, selon les cas, l’exonération de responsabilité du responsable du traitement ou du sous-traitant prévue à l’article 82, paragraphe 3, du règlement 2016/679.

1      Langue originale : l’espagnol.

2      Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

3      Ainsi que sur l’article 8 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), prédécesseur direct de l’article 9 du RGPD.

4      La quatrième question est en substance identique à la première question posée dans l’affaire C‑300/21, Österreichische Post (Préjudice moral lié au traitement de données personnelles), dans laquelle j’ai présenté mes conclusions le 6 octobre 2022 (EU:C:2022:756) (ci-après les « conclusions dans l’affaire C‑300/21 ») et sur laquelle la Cour a statué par son arrêt du 4 mai 2023 (EU:C:2023:370).

5      Code social, cinquième livre.

6      Medizinischer Dienst der Krankenversicherung (ci-après le « MDK »).

7      Krankenversicherung (ci-après la « KV »).

8      « Note de service relative à la protection des données sociales des employés [du MDK] et de leurs proches », résumée aux points 6 et suiv. de la décision de renvoi.

9      Une cellule virtuelle dénommée « cas particuliers » a été créée dans le système de traitement informatisé de données utilisé au sein du MDK, à laquelle seuls les employés de cette cellule ont accès.

10      En raison de la fin (fixée par la loi) de la période de maintien de sa rémunération par le MDK.

11      Il estime que, en l’absence de la violation relative à ses données à caractère personnel, il aurait pu reprendre son activité professionnelle à partir de décembre 2018.

12      ArbG Düsseldorf, Urteil vom 22.02.2019 – 4 Ca 6116/18, et LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19, respectivement.

13      S’agissant de son contenu, je renvoie à l’arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C‑300/21, EU:C:2023:370).

14      Ce qui suit ne préjuge pas de la réponse à la troisième question préjudicielle.

15      Je considère qu’il est préférable d’utiliser cette disposition plutôt que l’article 9, paragraphe 2, sous b), du RGPD. Il ne semble pas que le traitement ait été nécessaire (ni en ce qui concerne le MDK en tant qu’employeur, ni en ce qui concerne ZQ en tant qu’employé) aux fins de l’exécution des obligations et de l’exercice des droits dans le cadre de la relation de travail.

16      Un traitement de données sensibles en tant qu’employeur (c’est-à-dire à des fins liées à la relation de travail) ne serait licite que s’il remplissait les conditions énoncées dans le RGPD pour le traitement de données pour une finalité autre que celle pour laquelle elles ont été collectées.

17      Point 22 de la décision de renvoi. Le RGPD impose bel et bien, en revanche, que d’autres caractéristiques, énumérées à l’article 9, paragraphe 3, soient réunies : sur la portée de cette disposition, voir points 40 et suiv. des présentes conclusions.

18      L’article 9 du RGPD a succédé à l’article 8 de la directive 95/46. Dans la proposition de la Commission [proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM(2012) 11 final, du 25 janvier 2012, ci-après la « proposition de la Commission »], le traitement des données à caractère personnel relatives à la santé était régi par l’article 81, qui définissait les motifs du traitement et indiquait que celui-ci devait être effectué sur la base du droit de l’Union ou de la législation des États membres. Il incombait à ces derniers de prévoir les garanties nécessaires à la protection des intérêts légitimes de la personne concernée. Le contenu de l’article 81 a été intégré à l’article 9, paragraphe 2, sous h), ainsi qu’à l’article 9, paragraphe 4, du RGPD, comme il ressort du document no 14270/14 adressé par la présidence du Conseil au groupe de travail « Protection des données », du 16 octobre 2014.

19      Arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C‑136/17, EU:C:2019:773, point 44) : « [...] [les] exigences spécifiques [...] aux traitements portant sur les catégories particulières [de] données [ont pour] finalité [...] [d’]assurer une protection accrue à l’encontre de tels traitements qui, en raison de la sensibilité particulière de ces données, sont susceptibles de constituer, ainsi qu’il ressort également du considérant 33 de [la directive 95/46] et du considérant 51 [du RGPD], une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte ».

20      Le droit fondamental à la protection des données à caractère personnel ne prévaut pas automatiquement sur tout autre, même lorsque les catégories particulières de l’article 9, paragraphe 1, du RGPD sont en jeu : voir arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C‑136/17, EU:C:2019:773, points 66 à 68).

21      Article 9, paragraphe 3, du RGPD.

22      L’article 88 du RGPD autorise les États membres à prévoir des règles « plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail ». Sur l’interprétation de cette disposition, je renvoie à l’arrêt du 30 mars 2023, Hauptpersonalrat der Lehrerinnen und Lehrer (C‑34/21, EU:C:2023:270).

23      Tel semble être le point de vue de la juridiction de renvoi. Pour ma part, je renvoie à la note de bas de page 15 des présentes conclusions.

24      Je partage l’avis de la Commission selon lequel le « deuxième paragraphe [de l’article 9 du RGPD] ne prévoit ni une hiérarchie particulière ni une éventuelle relation de dépendance entre les exceptions, qui coexistent sur un pied d’égalité » (point 13 de ses observations écrites).

25      Il n’est pas exigé, à la différence de la directive 95/46, que le traitement soit « effectué par un praticien de la santé soumis […] au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente » (mise en italique par mes soins). Il faut toutefois que le traitement soit réalisé par des personnes soumises à l’obligation de secret.

26      Se référant aux données « particulièrement sensibles du point de vue des libertés et des droits fondamentaux », le considérant 51 du RGPD énonce que, « [o]utre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement ».

27      Arrêt du 16 janvier 2019, Deutsche Post (C‑496/17, EU:C:2019:26, point 57 et jurisprudence citée). S’agissant des données sensibles, voir arrêts du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C‑136/17, EU:C:2019:773, point 64), ainsi que du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, points 96, 99, 100 et 102).

28      Décision de renvoi, points 25 à 27. La juridiction de renvoi évoque la création de deux cellules « cas particuliers » indépendantes ainsi que d’unités informatiques séparées lorsque sont en jeu des expertises concernant des employés de services informatiques (tels que ZQ). L’objectif final serait qu’aucun employé du MDK ne puisse accéder, de fait, aux données de santé d’un collègue ni avoir connaissance de l’existence d’un contrôle de la capacité de travail de ce dernier.

29      Article 8, paragraphe 3. Comme je l’ai déjà indiqué, le RGPD a élargi le cercle des personnes autorisées à effectuer le traitement.

30      Le paragraphe 4 a été inséré dans l’article 9 du RGPD à la suite d’une proposition de la République fédérale d’Allemagne : document no 6834/15 adressé par la présidence au Conseil, du 9 mars 2015.

31      La juridiction de renvoi qualifie ainsi le MDK (point 16 de la décision de renvoi). Je ne mentionnerai donc pas le sous-traitant dans la suite des présentes conclusions, sauf si cela s’avère opportun à un moment donné. En principe, les considérations exposées en rapport avec le responsable du traitement valent pour le sous-traitant.

32      La juridiction de renvoi craint notamment qu’une violation de la sécurité, si elle devait se produire, conduise les collègues de ZQ à prendre connaissance de son état de santé, ce qui pourrait donner lieu à des supputations quant à sa productivité. Elle ajoute que les informations relatives à la simple existence d’une expertise médicale concernant une incapacité de travail sont des informations sensibles, dans la mesure où elles peuvent suggérer la possibilité d’une simulation de cette incapacité (point 26 de la décision de renvoi).

33      Voir point 10 des présentes conclusions.

34      Point 27 de la décision de renvoi.

35      Voir note de bas de page 27. Sur la relation entre les articles 6 et 9 du RGPD, voir également l’affaire C‑252/21, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social). Les conclusions de l’avocat général Rantos ont été présentées le 20 septembre 2022 (C‑252/21, EU:C:2022:704).

36      Arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (EU:C:2021:504, points 96, 99, 100 et 102).

37      Le contenu de l’article 10 du RGPD figurait à l’article 8 de la directive 95/46. Ce dernier regroupait toutes les catégories particulières de données, même s’il différenciait le traitement des données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté, qu’il abordait au paragraphe 5. La séparation formelle opérée dans le RGPD n’est pas due à un changement ayant affecté la conviction selon laquelle les données à caractère personnel relatives aux condamnations pénales et aux infractions sont « sensibles ».

38      Document no 17072/4/14 Rev. 4 adressé par le Conseil au Comité des représentants permanents, 4 mars 2015, note de bas de page 60.

39      Relatif, comme dans la version finale, à la licéité du traitement.

40      Document no 17072/4/14 Rev. 4 adressé par le Conseil au Comité des représentants permanents, 4 mars 2015, article 9, paragraphe 2 [« Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with [...] »] et note de bas de page 60.

41      À partir du document no 6834/15 adressé par la présidence au Conseil, du 9 mars 2015.

42      Ce qui n’a assurément pas permis de dissiper les doutes de toutes les délégations. Voir, par exemple, document no 7466/15 adressé par la présidence aux délégations, du 26 mars 2015, note de bas de page 38.

43      Lignes directrices 03/2020 sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19, avril 2020, point 15.

44      « Advice paper on special categories of data », Ares(2011)444105 – 20 avril 2011, p. 5.

45      Tel est également l’avis exprimé publiquement par la Commission : « Minutes of the second meeting of the Commission expert group on Regulation (EU) 2016/679 and Directive (EU) 2016/680 », réunion tenue le 10 octobre 2016, p. 2 ; et « Minutes of the meeting of the Commission Expert Group on Regulation (EU) 2016/679 and Directive (EU) 2016/680 », réunion tenue le 20 février 2018, p. 2.

46      Petri, T., « Art. 9 », dans Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, marg. 26, par exemple, exprime une opinion favorable au cumul ou à la complémentarité, tout en reconnaissant néanmoins que cette opinion n’est pas unanime. Le Manuel de droit européen en matière de protection des données, élaboré par l’Agence des droits fondamentaux de l’Union européenne, 2018, section 4.1.1, formule l’avis opposé.

47      Qui visent respectivement le consentement explicite de la personne concernée, le traitement nécessaire à la sauvegarde des intérêts vitaux d’une personne se trouvant dans l’incapacité physique ou juridique de donner son consentement et le traitement nécessaire pour des motifs d’intérêt public.

48      Points 30 et 31 de la décision de renvoi.

49      Par exemple, quant à la question de savoir si le consentement de la personne concernée, en tant que base légale s’ajoutant à l’autorisation prévue à l’article 9, paragraphe 2, sous h), du RGPD, doit être le consentement explicite qu’exige cette même disposition, ou si le consentement requis à l’article 6, paragraphe 1, sous a), suffit.

50      Tout autre est la question, d’une portée plus réduite, de savoir si, à la lumière des développements consacrés par la juridiction de renvoi à l’article 6, paragraphe 1, il conviendrait de préciser la signification des conditions qu’il énonce, en particulier celles des points c) et e). À cet égard, je renvoie à la jurisprudence de la Cour : en ce qui concerne les dispositions de la directive 95/46, voir arrêts du 16 décembre 2008, Huber (C‑524/06, EU:C:2008:724, point 62), ainsi que du 30 mai 2013, Worten (C‑342/12, EU:C:2013:355, point 37) ; et, s’agissant du RGPD, voir arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, points 66 et suiv.).

51      La juridiction de renvoi est encline à constater la violation des articles 9 et 6 du RGPD résultant du traitement effectué par le MDK. Au point 32 de la décision de renvoi, elle affirme que la violation en elle-même confère un droit à réparation ; au point 33, elle insiste sur le fait que la violation entraîne automatiquement un préjudice (« la violation du RGPD induit déjà un dommage moral ouvrant droit à réparation »). Pour les raisons que j’ai exposées dans mes conclusions dans l’affaire C‑300/21, je ne partage pas cette opinion.

52      Points 78 à 80 des observations du MDK. Selon ce dernier, c’est la personne concernée elle‑même qui, en recourant aux services d’une collègue de son unité au lieu de demander la communication de son dossier et d’exercer son droit d’accès auprès du MDK conformément à l’article 15 du RGPD, est à l’origine de la consultation des données litigieuses et s’est infligée un préjudice. Voir, dans le même sens, arrêt rendu en appel par le LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19, paragraphe 4.3.4.3.

53      L’employé, affecté au même département que la personne concernée, a accédé aux données en dehors des cas de figure pour lesquels il possédait une autorisation, c’est-à-dire à des fins autres que l’exécution de la prestation de travail prévue dans son contrat.

54      Dans la suite des présentes conclusions, j’utiliserai indistinctement le terme « gestionnaire » comme synonyme de « responsable ».

55      Abstraction faite de ceux qui soutiennent qu’il s’agit d’un aspect non réglementé, les avis divergent entre les partisans d’un système de responsabilité objective et ceux qui défendent un système de responsabilité pour faute assorti d’un renversement de la charge de la preuve. En réalité, comme c’est le cas pour d’autres régimes de responsabilité (civile) sectorielle, je ne pense pas que le RGPD s’inscrive pleinement dans l’un ou l’autre des deux principaux paradigmes théoriques, dont les frontières ne sont pas non plus très précises. Du fait de son libellé, il est susceptible de relever de chacun d’entre eux, avec des nuances qui, en définitive, brouillent les modèles : du premier, en raison du degré élevé de diligence qui devrait être prouvé pour éviter l’imputation de la responsabilité ; du second, en raison de l’introduction de critères de diligence/négligence dans les causes d’exonération, ou lorsque la violation est constatée, selon la nature de la disposition en cause.

56      Le paragraphe 2, qui peut être lu comme l’envers du paragraphe 1 en ce qu’il envisage la responsabilité du point de vue des débiteurs d’obligations, ne mentionne pas non plus la moindre exigence d’une faute.

57      Dans la version en langue espagnole, en revanche, le terme « imputable » figure à l’article 47, paragraphe 2, sous f), du RGPD qui, en ce qui concerne les informations auxquelles il subordonne l’approbation de règles d’entreprise contraignantes, fait référence à l’exonération de responsabilité au sein de groupes de sociétés établis à l’intérieur et à l’extérieur de l’Union. La version en langue allemande utilise une périphrase (« dem betreffenden Mitglied nicht zur Last gelegt werden kann »).

58      Voir article 82, paragraphe 3, article 68, paragraphe 4, ou article 75, paragraphe 6, du RGPD.

59      Article 83, paragraphe 2, sous b), et article 83, paragraphe 3, du RGPD. Je me suis prononcé sur l’interprétation de ces dispositions dans mes conclusions dans l’affaire C‑807/21, Deutsche Wohnen (EU:C:2023:360).

60      Voir, notamment, document no 17831/13 adressé par la présidence du Conseil au groupe de travail « Protection des données », du 16 décembre 2013, note de bas de page 542.

61      Amendement no 2819, proposé par S. Ilchev, Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), document PE501.927v04‑00, Amendments (9) : « Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence. » Mise en italique par mes soins.

62      Voir le texte accompagnant la résolution législative du 12 mars 2014 sur la proposition de la Commission (JO 2017, C 378, p. 399).

63      Document no 9083/15 adressé par la présidence aux conseillers JAI du groupe de travail « Protection des données », du 27 mai 2015. La différence entre ces options portait sur l’article 77, paragraphes 3 à 6. Le paragraphe 1, qui établissait le principe de la responsabilité du responsable du traitement et du sous-traitant, ainsi que le paragraphe 2, qui définissait le champ d’application matériel de la responsabilité de chacun d’entre eux, en limitant celle du sous‑traitant, étaient identiques.

64      Ibid., point 5.

65      « [...] each non‑compliant controller and/or processor involved in the processing are held liable for the entire amount of the damage. »

66      Ou, en ce qui concerne le sous-traitant, lorsqu’il n’avait pas respecté les instructions du responsable du traitement conformes au RGPD.

67      Avec la possibilité d’engager ultérieurement une action récursoire : article 77, paragraphe 6, dans la première option.

68      Document no 9083/15 adressé par la présidence aux conseillers JAI du groupe de travail « Protection des données », du 27 mai 2015, point 7. La délégation du Royaume-Uni avait ouvertement envisagé une responsabilité pour faute. Au vu de ses arguments, une question en ce sens avait été posée aux autres délégations (document no 7722/15 adressé par la présidence au groupe de travail « Protection des données », du 13 avril 2015, points 10 et 11). L’option finalement proposée semble suivre le compromis élaboré par la délégation allemande (document no 8150/1/15 Rev. 1, du 6 mai 2015), qui distinguait la relation entre le responsable du traitement/sous-traitant et la personne concernée de la relation entre le responsable du traitement et le sous-traitant, et prévoyait, pour cette dernière, une imputation de la responsabilité fondée sur l’intention ou la faute : « liability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his duties laid down in this Regulation ». Pour ce qui était de la personne concernée, l’absence de négligence permettait l’exonération de responsabilité.

69      Ibid., point 6, qui se conclut ainsi : « In other words, the mere fact that an entity was involved in a non‑compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages. »

70      Article 77, paragraphe 4a, dans la seconde option : « If a data subject is not able to bring a claim for compensation against the controller [...] »

71      Document no 9565/15 adressé par la présidence au Conseil, du 11 juin 2015.

72      Mise en italique par mes soins. Parallèlement à cet ajout, les exemples de causes d’exonération ont été supprimés du considérant 118 : voir points 104 et suiv. des présentes conclusions.

73      Considérant 10 du RGPD.

74      Je renvoie à mes conclusions dans l’affaire C‑300/21. Comme je l’ai indiqué à cette occasion, le législateur souhaite encourager l’application privée des règles relatives à la protection des données à caractère personnel. À cet effet, le chapitre VIII du RGPD a mis des instruments à la disposition de la personne concernée. L’indemnisation au titre de la responsabilité civile est l’un de ces instruments, mais elle ne comporte pas de fonctions punitives.

75      Tel est l’un des arguments avancés dans la proposition de la Commission pour aller au-delà de la directive 95/46.

76      Considérants 77 et suiv. du RGPD.

77      Qu’il convient de nuancer : la responsabilité remplit une fonction préventive, dans la mesure où elle influence la décision de l’acteur du traitement quant au niveau d’activité à exercer. L’interprétation que je propose permet d’établir un lien entre l’article 82 du RGPD et les principes du traitement tels que la limitation des finalités, la minimisation des données et l’exactitude [article 5, paragraphe 1, sous b), c) et d), du RGPD].

78      En faisant de la négligence le critère d’imputation de la responsabilité.

79      Voir note de bas de page 52 des présentes conclusions.

80      Position défendue par la juridiction de renvoi (voir note de bas de page 51 des présentes conclusions). Selon elle, le fait que la personne concernée ait participé à la violation en demandant que ses données soient consultées ne devrait avoir aucune incidence aux fins de l’imputation de la responsabilité. Il pourrait être pertinent, en revanche, lors du calcul de la réparation.

81      Position défendue par MDK et la juridiction d’appel (voir note de bas de page 52 des présentes conclusions). En réalité, il pourrait être soutenu que, sous cet angle, l’élément « préjudice » fait défaut : volenti non fit iniuria.

82      Point 40 de la décision de renvoi.

83      Contrairement à ce que l’on observe dans d’autres domaines (par exemple celui de la responsabilité du fait des produits défectueux), l’énumération des motifs d’exonération ne prend pas la forme, dans le RGPD, d’une liste exhaustive.

84      « Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. »

85      Le responsable du traitement « peut être exonéré de sa responsabilité s’il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu’il établit l’existence d’une faute de la personne concernée ou d’un cas de force majeure ». Mise en italique par mes soins.

86      Considérant 118 de la proposition de la Commission.

87      Considérant 118 du texte accompagnant la résolution législative du Parlement, du 12 mars 2014, sur la proposition de la Commission.

88      Voir points 84 et suiv. des présentes conclusions. Ces exemples apparaissent dans les documents relatifs aux négociations au sein du Conseil, mais ne figurent déjà plus dans le texte de compromis, document no 9565/15, du 11 juin 2015.

89      Je renvoie principalement au document no 9083/15 adressé par la présidence aux conseillers JAI du groupe de travail « Protection des données », du 27 mai 2015.

90      Au vu du contexte (à savoir, je le répète, l’attention particulière portée aux cas impliquant plusieurs acteurs du traitement), il est légitime de conclure que l’une des possibilités dont dispose le responsable du traitement à cet effet serait de prouver que le préjudice résulte exclusivement de l’action du sous-traitant, et inversement pour ce dernier.

91      Il en va de même de la force majeure, qui était l’autre motif expressément mentionné au considérant 55 de la directive 95/46 (voir point 105 des présentes conclusions).

92      Je ne préjuge naturellement pas de la question de l’intervention de tiers. Sur cet aspect, voir conclusions de l’avocat général Pitruzzella dans l’affaire Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353).

93      Afin de dissiper les doutes qui existaient sous l’empire de la directive 95/46, le RGPD précise qu’il couvre les dommages moraux. Le considérant 146 de ce règlement se réfère à « tout dommage » et souligne que la notion de « dommage » doit être interprétée au sens large, à la lumière de la jurisprudence de la Cour. La portée exacte de cette indication fait toujours débat.

94      Il n’indique pas si, pour déterminer le montant du dommage dans chaque cas d’espèce, il convient de recourir à des barèmes, de privilégier des sommes forfaitaires ou d’utiliser d’autres méthodes de calcul.

95      Parmi ces facteurs pourraient éventuellement figurer : a) celui qui a été suggéré par la juridiction de renvoi ; b) l’existence d’une faute de la personne concernée, que le MDK évoque au point 80 de ses observations, et c) d’autres facteurs, tels que l’introduction d’un plafonnement du montant de la réparation, afin de ne pas décourager de manière injustifiée les opérations de traitement de données ou les activités économiques qui en dépendent.

96      Points 87 et suiv. des présentes conclusions.

97      La directive 95/46 ne prévoyait rien à cet égard. Je n’ai trouvé aucune trace d’une discussion sur ce point dans les travaux préparatoires du RGPD.

98      Règlement (CE) no 2100/94 du Conseil, du 27 juillet 1994, instituant un régime de protection communautaire des obtentions végétales (JO 1994, L 227, p. 1), article 94, paragraphe 2, ou directive 2004/48/CE du Parlement européen et du Conseil, du 29 avril 2004, relative au respect des droits de propriété intellectuelle (JO 2004, L 157, p. 45), article 13 et considérant 26.

99      Article 83, paragraphe 2, sous b), et considérant 148 du RGPD. Dans ce cadre, il est tenu compte du critère de proportionnalité non seulement en ce qui concerne l’acte, mais aussi pour déterminer si l’amende fait peser une charge disproportionnée sur une personne physique. Le gouvernement irlandais, au point 54 de ses observations, propose d’appliquer ce critère à la responsabilité civile. Là encore, aucun argument de texte ne permet de conclure que ce critère fait partie intégrante de l’article 82 ; ni les travaux préparatoires, ni la finalité de la règle, ni sa fonction au sein du règlement ne plaident en faveur de cette application.

100      La réparation effective doit être en mesure de remplir sa fonction de sauvegarde du droit à la protection des données.

101      Les uns et les autres sont civilement responsables au sens de l’article 82, paragraphes 2 et 3, du RGPD. Ils répondent de l’ensemble du préjudice indépendamment de leur niveau de contribution au dommage.

102      Je n’exclus pas que d’autres circonstances puissent justifier une réduction du montant : je pense, par exemple, à une mise en balance, dans des cas particuliers, entre le droit à réparation (et, par extension, le droit à la protection des données) et d’autres biens ou droits de même rang. Dans le RGPD, l’adjectif complète vise également à assurer la prise en compte d’un certain type de préjudices (les préjudices moraux), à éviter que la réparation ne se limite aux préjudices indirects (elle doit inclure d’autres aspects, comme la Cour l’a souligné dans d’autres domaines) et à garantir que la participation de plusieurs acteurs au traitement ne rende pas l’accès à la réparation plus difficile, bien au contraire.