Language of document : ECLI:EU:C:2022:710

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 22 septembre 2022 (1)

Affaire C34/21

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

en présence de :

Minister des Hessischen Kultusministeriums als Dienststellenleiter

[demande de décision préjudicielle formée par le Verwaltungsgericht Frankfurt am Main (tribunal administratif de Francfort-sur-le-Main, Allemagne)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Traitement de données dans le cadre des relations de travail – Article 88, paragraphe 1 – Règle plus spécifique – Exigences découlant de l’article 88, paragraphe 2 – Système scolaire régional – Enseignement en direct par visioconférence – Absence de consentement exprès des enseignants »






1.        Le litige à l’origine de la présente demande de décision préjudicielle porte, en substance, sur la question de savoir si les enseignants au service d’un ministère du Land de Hesse (Allemagne) doivent donner leur consentement à la diffusion de leurs cours par visioconférence ou si, en l’absence d’un tel consentement, le traitement de leurs données à caractère personnel (2) peut être fondé sur l’un des objectifs légitimes visés par le règlement (UE) 2016/679 (3).

2.        Le présent renvoi préjudiciel offre à la Cour l’occasion de se prononcer pour la première fois, sauf erreur de ma part, sur l’article 88 du RGPD. Aux termes de cette disposition, les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail.

I.      Le cadre juridique

A.      Le droit de l’Union : le RGPD

3.        Les considérants 8, 10, 45 et 155 du RGPD sont libellés comme suit :

« (8)      Lorsque le présent règlement dispose que le droit d’un État membre peut apporter des précisions ou des limitations aux règles qu’il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent.

[...]

(10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du présent règlement. [...]

[...]

(45)      Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis ou lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement devrait avoir un fondement dans le droit de l’Union ou dans le droit d’un État membre. Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Il devrait également appartenir au droit de l’Union ou au droit d’un État membre de déterminer la finalité du traitement. Par ailleurs, ce droit pourrait préciser les conditions générales du présent règlement régissant la licéité du traitement des données à caractère personnel, établir les spécifications visant à déterminer le responsable du traitement, le type de données à caractère personnel faisant l’objet du traitement, les personnes concernées, les entités auxquelles les données à caractère personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et d’autres mesures visant à garantir un traitement licite et loyal. [...]

[...]

(155)      Le droit des États membres ou des conventions collectives, y compris des “accords d’entreprise”, peuvent prévoir des règles spécifiques relatives au traitement des données à caractère personnel des employés dans le cadre des relations de travail, notamment les conditions dans lesquelles les données à caractère personnel dans le cadre des relations de travail peuvent être traitées sur la base du consentement de l’employé, aux fins du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, et aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail. »

4.        L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », se lit comme suit :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b)      collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;

c)      adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

d)      exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;

e)      conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;

f)      traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

5.        L’article 6 du RGPD, intitulé « Licéité du traitement », est ainsi libellé :

« 1.      Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)      la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b)      le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c)      le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

[...]

e)      le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f)      le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

2.      Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, [sous] c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.

3.      Le fondement du traitement visé au paragraphe 1, [sous] c) et e), est défini par :

a)      le droit de l’Union ; ou

b)      le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, [sous] e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

4.      Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :

a)      de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b)      du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

c)      de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;

d)      des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

e)      de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »

6.        L’article 88 du RGPD, intitulé « Traitement de données dans le cadre des relations de travail », dispose :

« 1.      Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail.

2.      Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.

3.      Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant. »

B.      Le droit allemand

1.      Le Hessisches Datenschutz – und Informationsfreiheitsgesetz

7.        L’article 23 de cet instrument législatif (4) se lit comme suit :

« (1)      Les données à caractère personnel des employés peuvent faire l’objet d’un traitement pour les besoins de la relation de travail si cela est nécessaire pour décider de l’établissement d’une relation de travail ou, après l’établissement de la relation de travail, pour son exécution, sa résiliation ou sa résolution, ainsi que pour la mise en œuvre de mesures de planification interne, organisationnelles, sociales et en matière de personnel. Cela vaut également pour l’exercice des droits ou le respect des obligations des organisations représentatives des employés découlant d’une loi ou d’un instrument de réglementation collective de travail, d’un accord d’entreprise ou de service (convention collective).

[...]

(4)      Le traitement de données à caractère personnel, y compris de catégories particulières de données à caractère personnel des employés, est autorisé aux fins de la relation de travail sur la base de conventions collectives. À cet égard, les partenaires de négociation doivent respecter l’article 88, paragraphe 2, du [RGPD].

(5)      Le responsable du traitement doit prendre les mesures appropriées pour veiller au respect, en particulier, des principes régissant le traitement des données à caractère personnel énoncés à l’article 5 du [RGPD].

[...]

(8)      Sont employés au sens de la présente loi :

[...]

7.      les fonctionnaires soumis au Hessisches Beamtengesetz [(5)], les magistrats du Land ainsi que les personnes effectuant un service civil.

[...] »

2.      Le HBG

8.        L’article 86, paragraphe 4, de cette loi dispose :

« L’employeur ne peut collecter de données à caractère personnel concernant les candidats, les fonctionnaires et les anciens fonctionnaires que dans la mesure où cela est nécessaire à l’établissement, à l’exécution, à la cessation ou à la résolution de la relation de travail, ou à la mise en œuvre de mesures organisationnelles, sociales et en matière de personnel, y compris, notamment, à des fins de programmation et d’utilisation des ressources humaines, ou dans la mesure où cela est autorisé par une disposition légale ou par un accord de service. [...] »

II.    Les faits à l’origine du litige et les questions préjudicielles

9.        Le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), qui est à l’origine de l’introduction de la présente demande de décision préjudicielle, n’a pas fourni de description circonstanciée des faits du litige, des dispositions attaquées dans le cadre de celui-ci (6), ni des étapes de la procédure, mais s’est plutôt attaché à exposer ses doutes sur les aspects juridiques.

10.      Cette juridiction se borne à constater que les parties « s’opposent sur le point de savoir si la mise en place de la diffusion en direct d’un cours par des systèmes de visioconférence requiert, outre le consentement des parents pour leurs enfants ou celui des élèves majeurs, le consentement de l’enseignant concerné, ou si le traitement des données en cause est couvert par l’article 23, paragraphe 1, première phrase, [du HDSIG] ».

11.      En particulier, elle nourrit des doutes quant au fait que l’article 23, paragraphe 1, première phrase, du HDSIG constitue une « règle plus spécifique » en ce qui concerne le traitement des données à caractère personnel des employés en vertu de l’article 88 du RGPD. Selon elle, cette disposition ne satisfait pas aux exigences de l’article 88, paragraphe 2, du RGPD, car :

–        elle se réfère uniquement à la « nécessité » comme base juridique du traitement des données des employés ou des fonctionnaires ;

–        tout traitement de données des employés allant au-delà du traitement de données strictement nécessaire dans le cadre du contrat de travail requiert une mise en balance des intérêts qui dépasse la simple nécessité, ce que la loi nationale ne prévoit pas.

12.      La juridiction de renvoi déclare ne pas adhérer à la jurisprudence du Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) relative à la compatibilité de la disposition fédérale correspondant à l’article 23, paragraphe 1, première phrase, du HDSIG (7) avec l’article 88 du RGPD.

13.      La juridiction a quo considère, en revanche, que :

–        l’insertion dans la législation nationale du principe de « nécessité » ne constitue pas une mise en œuvre concrète des exigences énoncées à l’article 88, paragraphe 2, du RGPD ;

–        l’indication selon laquelle le responsable du traitement doit notamment respecter les principes énoncés à l’article 5 du RGPD ne satisfait pas non plus à ces exigences, dès lors que cet article ne contient aucune protection spécifique des travailleurs ;

–        le législateur a pris en compte, dans le principe, l’article 88, paragraphe 2, du RGPD en exigeant qu’il soit respecté dans le cadre des conventions collectives, sans pour autant examiner lui-même la série d’exigences prévue à ce paragraphe ni s’y conformer, que ce soit dans la loi ou dans l’exposé des motifs des dispositions légales correspondantes.

14.      C’est dans ce contexte que cette juridiction a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      L’article 88, paragraphe 1, du [RGPD] doit-il être interprété en ce sens que, afin de constituer une règle plus spécifique pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail au sens de l’article 88, paragraphe 1, du [RGPD], une règle de droit doit remplir les conditions posées pour ce type de règles par l’article 88, paragraphe 2, du [RGPD] ?

2)      Lorsqu’elle ne répond manifestement pas aux exigences de l’article 88, paragraphe 2, du [RGPD], une norme nationale peut-elle néanmoins rester applicable ? »

III. La procédure devant la Cour

15.      La demande de décision préjudicielle a été enregistrée au greffe de la Cour le 20 janvier 2021.

16.      Avec effet au 1er décembre 2021 (8), la compétence pour régler le litige au principal a été transférée au Verwaltungsgericht Frankfurt am Main (tribunal administratif de Francfort-sur-le-Main, Allemagne), devant lequel la procédure s’est poursuivie.

17.      Des observations écrites ont été déposées par les gouvernements allemand, autrichien et roumain ainsi que par la Commission européenne. Tous, de même que le comité du personnel des enseignants, ont répondu par écrit aux questions qui leur ont été adressées par la Cour avant l’audience.

18.      Le comité du personnel des enseignants, le Hessisches Kultusministerium (ministère de la Culture du Land de Hesse, Allemagne), le gouvernement allemand et la Commission ont pris part à l’audience, qui s’est tenue le 30 juin 2022.

IV.    Analyse

A.      Recevabilité du renvoi préjudiciel

19.      Dans ses observations écrites, le gouvernement allemand avait soutenu que le renvoi préjudiciel était irrecevable, dans la mesure où, en cherchant à déterminer si le traitement de données à caractère personnel inhérent à la diffusion en direct de cours par visioconférence est couvert par l’article 23, paragraphe 1, du HDSIG, la juridiction de renvoi n’explique pas les raisons pour lesquelles elle exclut la possibilité qu’un tel traitement soit autorisé en vertu du consentement du professeur.

20.      Lors de l’audience, le gouvernement allemand a, en partie, nuancé cet argument en reconnaissant que la Cour serait amenée à se prononcer (en d’autres termes, que le renvoi serait recevable) en cas d’absence de consentement des enseignants concernés au traitement de leurs données à caractère personnel.

21.      En tout état de cause, le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (9).

22.      Aucune de ces circonstances ne caractérise le présent renvoi préjudiciel, qui bénéficie d’une présomption de pertinence (10). La prémisse qui sous-tend ce renvoi est que tous les enseignants ne consentent pas nécessairement au traitement de leurs données à caractère personnel, de sorte qu’il subsiste un intérêt à déterminer si la règle (11) qui couvrirait ce traitement sans le consentement de la personne concernée est conforme au droit de l’Union.

23.      Le présent renvoi préjudiciel se résume, précisément, à la question de savoir si la réglementation qui fonderait le traitement de données à caractère personnel des enseignants, en l’absence de leur consentement, remplit ou non les conditions de l’article 88, paragraphes 1 et 2, du RGPD. Le lien suffisant entre le litige et les dispositions du droit de l’Union dont l’interprétation est demandée est donc indéniable.

B.      Sur le fond

1.      Observations liminaires

24.      Par sa première question préjudicielle, la juridiction de renvoi cherche à savoir si, pour qu’une disposition législative constitue une « règle plus spécifique » au sens de l’article 88, paragraphe 1, du RGPD, elle doit satisfaire aux exigences de l’article 88, paragraphe 2, du RGPD.

25.      La lecture de l’article 88 du RGPD amène à conclure que les « règles plus spécifiques » visées au paragraphe 1 de cette disposition doivent être conformes aux exigences de son paragraphe 2.

26.      Conformément à l’article 88, paragraphe 2, du RGPD, « [c]es règles » (c’est-à-dire les règles plus spécifiques visées au paragraphe 1 de cet article et que les États membres peuvent prévoir) doivent comprendre des « mesures appropriées et spécifiques » pour protéger la dignité, les intérêts légitimes et les droits fondamentaux des employés. Lesdites règles doivent accorder une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe, et aux systèmes de contrôle sur le lieu de travail.

27.      Il existe donc un lien évident entre ces deux paragraphes de l’article 88 du RGPD : le paragraphe 2 de cette disposition précise, en des termes impératifs (12), le contenu des règles spécifiques que les États membres peuvent prévoir, dans le cadre des relations de travail, sur le fondement du paragraphe 1 de ladite disposition.

28.      La réponse à cette question préjudicielle ne présente donc pas de difficultés majeures : l’article 88 du RGPD doit être interprété de telle manière que, afin de constituer une « règle plus spécifique » au sens du paragraphe 1 de cette disposition, une disposition législative « doit remplir les conditions » – pour reprendre les termes de la juridiction de renvoi – du paragraphe 2 de ladite disposition.

29.      Il est peu vraisemblable que, pour parvenir à cette conclusion, la juridiction de renvoi ait besoin de l’assistance de la Cour. C’est pourquoi le véritable sens de la première question préjudicielle doit sans doute être appréhendé au regard de la seconde question préjudicielle. Dans cette dernière, l’interrogation porte sur le point de savoir si une norme nationale qui « ne répond [...] pas aux exigences de l’article 88, paragraphe 2 » du RGPD (13) peut rester applicable.

30.      Dans cette optique (qui est celle de la décision de renvoi), le débat s’étend à la question de savoir si les dispositions législatives des États membres adoptées en vertu de l’article 88, paragraphe 1, du RGPD, mais qui ne sont pas conformes à l’article 88, paragraphe 2, du RGPD peuvent bénéficier de la protection d’autres règles du RGPD, en particulier d’autres clauses d’ouverture de ce règlement, telles que celle de son article 6, paragraphe 2.

31.      L’imbrication des deux questions de la juridiction de renvoi est telle que le gouvernement autrichien et la Commission sont d’avis qu’il convient de leur donner une réponse commune, approche que je partage et à laquelle je me tiendrai.

2.      L’article 88 du RGPD et la fonction publique enseignante

32.      La juridiction de renvoi part du principe que, s’agissant des dispositions internes relatives à la protection des données, les enseignants représentés au sein du comité du personnel des enseignants sont liés par une relation de travail au ministère de la Culture du Land de Hesse.

33.      Cette prémisse s’inscrit dans la logique du HDSIG qui, en réglementant le traitement des données à caractère personnel des travailleurs, qualifie d’« employés », au sens de cette loi, les fonctionnaires soumis au HBG, dont les enseignants font partie.

34.      La juridiction de renvoi ne doute donc à aucun moment de l’applicabilité de l’article 88 du RGPD aux employés du Land qui appartiennent à la fonction publique enseignante.

35.      Les parties au principal et les autres intéressés, interrogés sur ce point par la Cour, n’ont pas non plus remis en cause ladite prémisse. Tous s’accordent sur le fait que l’emploi dans la fonction publique enseignante n’échappe pas au champ d’application de l’article 88 du RGPD.

36.      À mon sens, cette approche est correcte et peut être suivie aux fins de l’analyse de la portée de l’article 88 du RGPD, lorsque celui-ci se réfère à la « protection [...] en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail ».

37.      Comme l’a souligné le gouvernement allemand, la catégorie des employés au sens large inclut naturellement les enseignants fonctionnaires du Land, dont les intérêts sont représentés par le comité du personnel des enseignants.

38.      La jurisprudence de la Cour sur la relation de travail (14) et la notion de « travailleurs », s’agissant de la libre circulation de ces derniers et de l’inapplicabilité de l’ex-article 39, paragraphe 4, CE (devenu article 45, paragraphe 4, TFUE) aux emplois dans l’administration publique, peuvent inspirer, par analogie, la solution que je propose.

39.      En vertu de cette jurisprudence, qui insiste sur l’aspect fonctionnel de la tâche accomplie :

–        la notion d’« administration publique » doit, à cet effet, recevoir une interprétation et une application uniformes dans l’ensemble de l’Union et ne saurait dès lors être laissée à la totale discrétion des États membres ;

–        l’article 45, paragraphe 4, TFUE concerne les emplois qui comportent une participation, directe ou indirecte, à l’exercice de la puissance publique et aux fonctions qui ont pour objet la sauvegarde des intérêts généraux de l’État ou des autres collectivités publiques (15).

40.      Dès lors que les enseignants fonctionnaires ne participent pas, en tant que tels, à l’exercice de la puissance publique au sens strict, mais fournissent un service de nature éducative (16), semblable à celui qu’ils assurent auprès d’autres organismes ou entreprises privés, ils peuvent être qualifiés d’« employés » au sens général du terme et, par voie de conséquence, aux fins de la protection des données.

41.      Ainsi que l’a souligné le gouvernement autrichien, toute autre solution reviendrait à appliquer un traitement différent à des situations substantiellement équivalentes telles que celles qui caractérisent, du point de vue matériel, la position des enseignants au sein de la fonction publique et du secteur privé. Cela serait d’autant plus grave que, comme l’a fait valoir la Commission, la notion de « service public » n’est pas harmonisée au niveau de l’Union, avec pour conséquence que, en cas de divergence d’interprétation, le champ d’application de l’article 88 du RGPD dépendrait du droit national.

3.      Les clauses ouvertes dans le RGPD

42.      Comme l’a souligné l’avocat général Bobek dans l’affaire Fashion ID (17), le remplacement de la directive 95/46/CE (18) par le RGPD a entraîné, avant tout, un changement fondamental quant à la nature de l’instrument juridique régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

43.      Cet instrument n’est plus une directive (c’est-à-dire un acte qui impose une obligation de résultat, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens), mais un règlement. Ce dernier, obligatoire dans tous ses éléments et directement applicable dans tout État membre, ne permet pas, en principe et sauf autorisation expresse, que les règles nationales transposent (ou reproduisent) son contenu (19).

44.      Bien que le RGPD soit allé au-delà de l’harmonisation poursuivie par la directive 95/46 (20), le fait que la quasi-totalité des domaines de l’activité humaine génèrent des données à caractère personnel dont le traitement doit être protégé (21) a conduit le législateur à autoriser les États membres à :

–        intégrer dans leur droit national des éléments du RGPD lorsque celui-ci dispose que le droit d’un État membre peut apporter des précisions ou des limitations aux règles qu’il prévoit ;

–        maintenir ou introduire des dispositions nationales destinées à préciser l’application de certaines règles du RGPD (22).

45.      Si le RGPD vise à assurer une application cohérente et homogène des règles de protection dans l’ensemble de l’Union et à lever les obstacles aux flux de données à caractère personnel au sein de celle‑ci (23), le législateur de l’Union a dû reconnaître que la réalité s’avérait plus complexe, comme l’avocat général Richard de la Tour l’a souligné : malgré sa nature transversale, le RGPD ne pouvait pas préempter l’ensemble des ramifications que la protection des données à caractère personnel est susceptible d’avoir dans des domaines tels que la consommation, la concurrence ou le travail (24).

46.      C’est la raison pour laquelle le RGPD ouvre la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires. Les États membres disposent d’une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (« clauses d’ouverture ») (25).

47.      La relative prolifération de ce type de clauses a porté atteinte à l’harmonisation complète de la protection des données à caractère personnel (26). Ainsi que l’a reconnu la Commission, le fait que le RGPD exige des États membres qu’ils légifèrent dans certains domaines et leur donne la possibilité de préciser ses règles dans d’autres a entraîné « un certain niveau de fragmentation qui est dû, notamment, à un recours intensif à des clauses de spécification facultatives » (27).

48.      La clause qui nous intéresse tout particulièrement dans la présente affaire est celle de l’article 88, paragraphe 1, du RGPD. Il convient néanmoins d’examiner brièvement sa relation avec la clause de l’article 6, paragraphe 1, sous b) et e), de ce règlement, comme cela a été fait lors de l’audience.

a)      L’article 6, paragraphe 2, du RGPD

49.      Figurant dans le chapitre II du RGPD, qui énonce les « principes » qui gouvernent le traitement des données à caractère personnel et, partant, façonnent le régime général du système, l’article 6 énumère, à son paragraphe 1, les conditions de licéité de ce traitement. En particulier, le paragraphe 1, sous a), de cet article se réfère au consentement de la personne concernée et le paragraphe 1, sous b), dudit article au fait que ledit traitement doit être nécessaire à l’exécution d’un contrat auquel elle est partie.

50.      Ces conditions s’ajoutent à celles qui découlent des principes que l’article 5 du RGPD consacre de manière générale (28) et qui sont précisés aux articles 7 à 11 du RGPD en ce qui concerne le consentement (article 7 et, s’agissant du consentement des enfants, article 8 du RGPD), le traitement portant sur des catégories particulières de données à caractère personnel (article 9 du RGPD), le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions (article 10 du RGPD) et le traitement ne nécessitant pas l’identification (article 11 du RGPD).

51.      Cette série de principes et de règles peut être complétée par les « dispositions plus spécifiques » introduites (ou maintenues) par les États membres dans le but, conformément à l’article 6, paragraphe 2, du RGPD, d’« adapter l’application des règles » de ce dernier pour ce qui est de deux types de traitements spécifiques, lorsqu’ils sont nécessaires :

–        au respect d’une obligation légale [article 6, paragraphe 1, sous c), du RGPD] ;

–        à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique [article 6, paragraphe 1, sous e), du RGPD] (29).

52.      Cette disposition ajoute que l’« adaptation » en question consiste à déterminer « plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal », y compris « d’autres situations particulières de traitement comme le prévoit le chapitre IX ».

53.      Ce dernier passage de la disposition en cause n’est pas aussi clair qu’il devrait l’être, car il ne permet pas de comprendre aisément s’il autorise – s’agissant, j’insiste, des traitements visés à l’article 6, paragraphe 1, sous c) et e), du RGPD – l’adoption de règles régissant des situations spécifiques autres que celles déjà mentionnées au chapitre IX du RGPD, ou si ces dernières situations sont les seules admises par le RGPD aux fins de ces deux types de traitements.

b)      L’article 88, paragraphe 1, du RGPD

54.      En tout état de cause, la clause d’ouverture qui nous intéresse ici, je le répète, est celle qui figure à l’article 88, paragraphe 1, du RGPD, dans la mesure où il s’agit de la clause visée par la juridiction de renvoi. Je rappelle que, aux termes de cette disposition, les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, « des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail ».

55.      Le traitement de ces données à caractère personnel peut être effectué, notamment, aux fins :

–        du recrutement, de l’exécution du contrat de travail (30), de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client ;

–        de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement ; et

–        de la résiliation de la relation de travail.

56.      L’autorisation d’approuver ces dispositions implique un certain effet de « désharmonisation ». Les règles nationales admises par l’article 88, paragraphe 1, du RGPD peuvent entraîner, pour un ou plusieurs États membres, l’introduction de différences dans le régime général du RGPD allant au-delà de la simple « adaptation » permise par l’article 6, paragraphe 2, du RGPD :

–        l’article 6, paragraphe 2, du RGPD habilite les États membres à adapter l’application de certaines dispositions du RGPD lui-même ;

–        l’article 88, paragraphe 1, du RGPD, en revanche, autorise les États membres à prévoir des règles de protection plus spécifiques. Il s’agit donc d’une activité de création normative de plus grande ampleur, qui ne s’exerce pas dans le cadre d’une simple adaptation ou d’un simple ajustement de l’application de certaines dispositions du RGPD dont le contenu et la portée doivent être considérés comme définitifs (31).

4.      L’article 23 du HDSIG au regard du RGPD

57.      Conformément aux dispositions de l’article 88, paragraphe 3, du RGPD, la République fédérale d’Allemagne a notifié à la Commission que, parmi les dispositions légales adoptées par cet État membre au titre de l’article 88, paragraphe 1, du RGPD, figurait l’article 23 du HDSIG.

58.      J’estime, avec la juridiction de renvoi et la Commission, que l’article 23 du HDSIG ne satisfait pas à la condition liée à l’établissement de « règles plus spécifiques » pour la protection des droits inhérents au traitement de données à caractère personnel dans le cadre des relations de travail, comme le prescrit l’article 88, paragraphe 1, du RGPD.

59.      Tant l’article 23, paragraphe 1, première phrase, du HDSIG que l’article 86, paragraphe 4, première phrase, du HBG se bornent à prévoir que les données à caractère personnel des employés et des fonctionnaires peuvent être traitées aux fins de la relation de travail si cela est « nécessaire » pour réaliser l’un des objectifs suivants :

–        la décision relative à l’établissement de cette relation ou, une fois celle-ci établie, son exécution, sa cessation ou sa résolution ; ou

–        la mise en œuvre de mesures d’organisation et de planification internes ou de mesures sociales et en matière de personnel.

60.      À proprement parler, ces deux dispositions subordonnent le traitement des données à caractère personnel des employés à la seule circonstance qu’il soit nécessaire à certaines fins.

61.      Il ne s’agit donc pas d’une exigence très différente de celle visée à l’article 6, paragraphe 1, sous b), du RGPD (« [l]e traitement n’est licite que [s’il] [...] est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ») (32).

62.      L’article 23 du HDSIG réitérerait donc une condition de licéité générale du traitement déjà énoncée à l’article 6, paragraphe 1, sous b), du RGPD. Il n’ajouterait en revanche aucune règle spécifique visant à protéger les droits liés au traitement des données à caractère personnel dans le cadre des relations de travail (33).

63.      Il en irait de même si l’activité d’enseignement en cause devait relever de l’article 6, paragraphe 1, sous e), du RGPD (c’est-à-dire si le traitement litigieux était nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique) (34).

64.      Dans le cas de l’article 6, paragraphe 1, sous c) et e), du RGPD, le paragraphe 2 de cet article autorise les États membres, comme je l’ai déjà souligné, à maintenir ou introduire des « dispositions plus spécifiques [...] en déterminant plus précisément les exigences spécifiques applicables au traitement ».

65.      J’insiste sur le fait que l’article 23 du HDSIG ne constitue pas une « disposition plus spécifique », mais se borne à permettre le traitement des données à caractère personnel des employés lorsqu’il est nécessaire. Il ne va pas jusqu’à préciser les conditions et les termes de cet éventuel traitement.

66.      Le gouvernement allemand, réfutant ce point de vue, soutient qu’il serait « impossible et irréalisable » de refléter de façon détaillée la variété des traitements de données dans le cadre des relations de travail. Selon lui, l’adoption d’une norme législative sur laquelle seraient fondés, le cas échéant, les traitements de données ne nécessitant pas une base juridique plus spécifique devrait suffire (35).

67.      Je me contenterai de répondre à ce qui précède que, quelle que soit la difficulté de la tâche, l’article 88, paragraphe 3, du RGPD est strict lorsqu’il énonce que les États membres notifient à la Commission « les dispositions légales qu’il[s] adopte[nt] en vertu du paragraphe 1 » de cet article, c’est-à-dire non pas les dispositions (de base) sur lesquelles sont fondées les dispositions prévoyant des règles plus spécifiques, mais bien ces dernières. La notification doit être effectuée de manière individualisée et explicite (36).

68.      En somme, l’article 23 du HDSIG réitère l’autorisation qui figure à l’article 88, paragraphe 1, du RGPD ou, en d’autres termes, ouvre la porte à la création ultérieure (ou au maintien) de règles plus spécifiques.

69.      Outre qu’il ne prévoit pas, en soi, de « règles plus spécifiques » au sens de l’article 88, paragraphe 1, du RGPD, l’article 23 du HDSIG ne comporte pas non plus de « mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées ».

70.      En omettant ce type de mesures, l’article 23 du HDSIG ne respecte pas la condition qu’impose l’article 88, paragraphe 2, du RGPD pour que la législation différenciatrice des États membres en matière de relations de travail puisse être admise.

71.      La demande de décision préjudicielle étant limitée à l’examen de dispositions législatives et non de conventions collectives, je ne m’attarderai pas sur ces dernières (37), mais uniquement sur les premières.

72.      S’agissant de ces dispositions, le législateur national ne saurait se contenter de prévoir, comme le fait l’article 23, paragraphe 5, du HDSIG, que le responsable du traitement doit prendre les mesures appropriées pour veiller au « respect [...] des principes régissant le traitement des données à caractère personnel énoncés à l’article 5 » du RGPD. Cette disposition est superflue, dans la mesure où tout traitement de données doit remplir, par principe et à tout le moins, les conditions de l’article 5 du RGPD.

73.      L’article 88, paragraphe 2, du RGPD a pour objet l’adoption de mesures qui reflètent correctement, dans le champ d’application des garanties qu’il prévoit, la singularité des mesures adoptées au titre de l’article 88, paragraphe 1, du RGPD. Il s’agit en définitive de faire en sorte que la spécificité qu’autorise cette dernière disposition trouve une correspondance appropriée, le cas échéant, dans la nécessaire spécificité des garanties auxquelles elle se réfère.

74.      À supposer même que l’article 23 du HDSIG inclue une réglementation spécifique aux fins de l’article 88, paragraphe 1, du RGPD, il réitère, s’agissant des garanties exigées au paragraphe 2 de cet article, les garanties générales prévues à l’article 5 du RGPD. En définitive, l’équilibre nécessaire entre la spécificité des règles autorisées par l’article 88, paragraphe 1, du RGPD et la spécificité des mesures de « protection » requises par l’article 88, paragraphe 2, du RGPD serait rompu.

75.      En conclusion, je considère que l’article 23 du HDSIG ne saurait trouver de fondement dans l’article 88 du RGPD. En effet, d’une part, il n’établit pas de règles plus spécifiques et, d’autre part, il se borne à réitérer les garanties générales de l’article 5 du RGPD.

5.      L’article 23 du HDSIG est-il applicable pour autant ?

76.      Il reste à déterminer si, en dépit des considérations qui précèdent, l’article 23 du HDSIG pourrait trouver à s’appliquer dans l’ordre juridique national. Comme je l’ai indiqué aux points précédents des présentes conclusions, telle semble être la question qui intéresse en fin de compte la juridiction de renvoi.

77.      Le problème se résumerait à déterminer si les règles qui ont été adoptées par les États membres au titre de la clause d’ouverture de l’article 88, paragraphe 1, du RGPD et qui ne satisfont pas aux exigences de l’article 88, paragraphe 2, du RGPD peuvent être appliquées en vertu d’autres dispositions du RGPD.

78.      La réponse, dont le point de départ est que l’article 23 du HDSIG ne contient aucune « règle plus spécifique » au sens de l’article 88 du RGPD (38), est double :

–        l’article 23 du HDSIG perd toute pertinence ou devient superflu, dans la mesure où il ne prévoit pas, à proprement parler, de dispositions spécifiques garantissant le droit des employés à la protection de leurs données à caractère personnel dans le cadre des relations de travail ;

–        dans ce domaine (les relations de travail), les dispositions du régime commun du RGPD doivent s’appliquer directement et à titre principal.

79.      Le fait que rien ne s’oppose à ce qu’un État membre applique soit d’autres dispositions du RGPD, soit, sur le fondement de l’article 6, paragraphe 2, de ce règlement, des règles nationales qui régissent le traitement de données des employés d’une manière qui contribue à « adapter l’application » du RGPD est une tout autre question, comme l’ont fait valoir les gouvernements autrichien et roumain ainsi que la Commission et comme tous l’ont reconnu lors de l’audience.

V.      Conclusion

80.      Eu égard aux considérations qui précèdent, je propose à la Cour de répondre au Verwaltungsgericht Frankfurt am Main (tribunal administratif de Francfort-sur-le-Main, Allemagne) de la manière suivante :

L’article 88, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

une disposition législative adoptée par un État membre ne constitue une règle plus spécifique pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail que si elle remplit les conditions posées par l’article 88, paragraphe 2, du règlement 2016/679. Si cette disposition législative ne remplit pas les conditions posées par l’article 88, paragraphe 2, du règlement 2016/679, elle n’est applicable, le cas échéant, que dans la mesure où elle peut relever d’autres dispositions de ce règlement ou des règles nationales d’adaptation visées à l’article 6, paragraphe 2, dudit règlement.


1      Langue originale : l’espagnol.


2      Il est constant que cette modalité de diffusion comprend des données à caractère personnel faisant l’objet d’un traitement.


3      Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).


4      Loi sur la protection des données et la liberté d’information du Land de Hesse, du 3 mai 2018 (GVBl. I, p. 82, ci-après le « HDSIG »).


5      Loi relative à la fonction publique du Land de Hesse, du 27 mai 2013 (GVBl., p. 218, ci-après le « HBG »).


6      En réponse aux questions de la Cour, le Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (comité principal du personnel des enseignants auprès du ministère de la Culture du Land de Hesse, ci-après le « comité du personnel des enseignants ») a expliqué que son recours, introduit le 2 décembre 2020, visait deux actes adoptés par ce ministère qui contenaient respectivement les indications relatives « aux conditions organisationnelles et juridiques pour le début de l’année scolaire 2020‑2021 » (du 23 juillet 2020) et « au recours à des outils numériques dans le cadre de la vie scolaire » (du 20 août 2020). Il a ajouté que, dans cette dernière mesure, ledit ministère avait jugé que le consentement des enseignants à la retransmission de leurs cours par visioconférence en temps réel aux élèves qui ne pouvaient pas être présents en classe n’était pas nécessaire, au motif que l’organisation des cours relevait des compétences attribuées à la direction de l’établissement scolaire. Selon ce même ministère, le traitement de données nécessaire à cette fin pouvait être fondé sur l’article 23 du HDSIG.


7      L’article 26, paragraphe 1, première phrase, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données) correspond à l’article 23, paragraphe 1, première phrase, du HDSIG.


8      Le 29 novembre 2021, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a informé la Cour que, en raison des modifications de la législation interne régissant la compétence territoriale, il se dessaisissait en faveur du Verwaltungsgericht Frankfurt am Main (tribunal administratif de Francfort-sur-le-Main). Ce dernier, par une communication enregistrée le 21 février 2022, a indiqué à la Cour le nouveau numéro de rôle du litige au principal, laissant entendre qu’il faisait sienne la demande de décision préjudicielle.


9      Arrêt du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, point 50).


10      Arrêt du 29 juin 2017, Popławski (C‑579/15, EU:C:2017:503, point 16 et jurisprudence citée).


11      Selon la juridiction de renvoi, si l’article 23, paragraphe 1, première phrase, du HDSIG et l’article 86, paragraphe 4, du HBG ne constituaient pas une base légale pour traiter les données dans les systèmes de visioconférence, il conviendrait d’en créer une par la conclusion d’un « Dienstvereinbarung » (accord de service) entre les parties à la procédure (point 25 de la décision de renvoi).


12      « Ces règles comprennent [...] »


13      À savoir une norme nationale censée être adoptée sur le fondement de l’article 88, paragraphe 1, du RGPD, dans la mesure où les conditions du paragraphe 2 de cet article ne s’adressent qu’à ce type de normes.


14      Pour la Cour, « la caractéristique essentielle de la relation de travail est la circonstance qu’une personne accomplit, pendant un certain temps, en faveur d’une autre et sous la direction de celle-ci, des prestations en contrepartie desquelles elle reçoit une rémunération » (arrêt du 15 juillet 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, point 49 et jurisprudence citée).


15      Voir arrêt du 30 septembre 2003, Colegio de Oficiales de la Marina Mercante Española (C‑405/01, EU:C:2003:515, points 38 et 39), en ce qui concerne la disposition correspondante du traité CE.


16      Voir, s’agissant de la relation entre les activités d’enseignement et l’exercice de la puissance publique, arrêt du 15 mars 1988, Commission/Grèce (147/86, EU:C:1988:150).


17      Conclusions présentées le 19 décembre 2018 (C‑40/17, EU:C:2018:1039, point 47).


18      Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).


19      La Cour a très tôt souligné qu’admettre une telle possibilité créerait « une équivoque en ce qui concerne tant la nature juridique des dispositions applicables que le moment de leur entrée en vigueur » (arrêt du 7 février 1973, Commission/Italie, 39/72, EU:C:1973:13, point 17) et pourrait entraver l’effet direct propre au RGPD et dissimuler aux justiciables la nature communautaire d’une règle juridique (arrêt du 10 octobre 1973, Variola, 34/73, EU:C:1973:101, points 10 et 11).


20      Voir, à cet égard, arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 96).


21      Je rappelle qu’il s’agit d’un droit fondamental consacré à l’article 8 de la charte des droits fondamentaux de l’Union européenne.


22      Comme le déclare expressément le considérant 10 du RGPD.


23      Voir, à titre d’exemple, arrêt du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, point 52).


24      Conclusions de l’avocat général Richard de la Tour dans l’affaire Meta Platforms Ireland (C‑319/20, EU:C:2021:979, point 51).


25      Arrêt du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, point 57) : « [D]es dispositions [du RGPD] ouvrent la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, qui laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (“clauses d’ouverture”) ».


26      Voir, de manière générale, Zöll, O., dans Taeger, J., Gabel, D. (éd.), Kommentar DSGVO-BDSG, 3e éd., Fachmedien Recht und Wirtschaft, dfv Mediengruppe, Francfort-sur-le-Main, 2019, article 88, paragraphe 2.


27      « La protection des données : un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique – deux années d’application du règlement général sur la protection des données », communication de la Commission au Parlement européen et au Conseil, COM(2020) 264 final, p. 8. Les clauses de spécification facultatives à la disposition des États membres sont au nombre de quinze, selon l’annexe du document de travail des services de la Commission qui accompagne cette communication [SWD(2020) 115 final].


28      Licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; responsabilité.


29      À mon sens, la « nécessité » visée par la disposition en cause se rapporte aux conditions inhérentes au respect, dans des circonstances ordinaires, des obligations juridiques qu’elle mentionne. La « nécessité », qui, dans des circonstances extraordinaires, peut justifier le recours à une législation d’urgence ou d’exception, est étrangère à ce problème.


30      En ce compris « le respect des obligations fixées par la loi ou par des conventions collectives ».


31      Comme l’indique le gouvernement allemand dans sa réponse écrite aux questions de la Cour, il ressort de la genèse de l’article 6, paragraphes 2 et 3, et de l’article 88 du RGPD que l’« autonomie » de cette dernière disposition par rapport à la première correspond à la volonté explicite de régir la protection des données des employés en tant que « cas particulier ».


32      Selon la juridiction de renvoi, cette disposition est celle qui trouve à s’appliquer dans le contexte d’une relation de travail telle que celle en cause dans le litige au principal.


33      La nécessité d’instaurer un régime d’enseignement à distance du fait de la pandémie a conduit le législateur du Land de Hesse à adopter l’article 83, sous a) et b), du Hessisches Schulgesetz (loi scolaire du Land de Hesse), qui prévoit que le consentement des enseignants doit être recueilli en cas de recours à des applications numériques et des visioconférences. C’est ce que le ministère de la Culture du Land de Hesse a clairement exprimé lors de l’audience, semblant ainsi admettre implicitement que les règles jusqu’alors en vigueur ne couvraient pas spécifiquement ce régime d’enseignement. Cette modification législative n’était pas en vigueur au moment de l’introduction de la présente demande de décision préjudicielle, de sorte que la juridiction de renvoi n’a pas interrogé la Cour à son sujet et qu’il n’appartient pas à cette dernière de se prononcer maintenant sur la compatibilité de cette modification avec le RGPD.


34      Pour le gouvernement allemand, les enseignants exécutent une mission d’intérêt public au sens de l’article 6, paragraphe 1, sous e), du RGPD, bien que l’enseignement en ligne implique d’autres données à caractère personnel, telles que celles des élèves, qui ne relèvent pas du champ d’application de cette disposition.


35      Point 28 des observations écrites du gouvernement allemand. À l’audience, ce gouvernement n’a pas hésité à qualifier de « générale » la disposition légale en cause en l’espèce.


36      Si les dispositions nationales spécifiques visées à l’article 6, paragraphe 2, du RGPD ne sont pas soumises à l’obligation de notification, celles de l’article 88, paragraphe 1, du RGPD doivent être portées à la connaissance de l’Union et de tous les États membres par l’intermédiaire de la Commission. Cette dualité de régimes s’explique par l’effet de « désharmonisation » auquel j’ai fait référence précédemment, qui est inhérent aux règles nationales visées à l’article 88, paragraphe 1, du RGPD. Leur incidence est d’autant plus importante qu’elles vont au-delà de la simple « adaptation » aux fins de l’« application des règles » du RGPD au titre de l’article 6, paragraphe 2, de ce règlement.


37      L’article 23, paragraphe 4, du HDSIG autorise le traitement de données à caractère personnel des employés conformément aux dispositions d’une convention collective, le respect de l’article 88, paragraphe 2, du RGPD s’imposant dans ce cadre aux parties contractantes. Le législateur allemand a donc repris la possibilité que lui offrait l’article 88, paragraphe 1, du RGPD s’agissant des conventions collectives. Ces dernières doivent également se conformer, comme ce législateur l’a reconnu dans le HDSIG, à l’obligation qu’impose l’article 88, paragraphe 2, du RGPD de prévoir des mesures de protection appropriées et spécifiques.


38      Il en va de même pour l’article 79a du Betriebsverfassungsgesetz (loi sur l’organisation des entreprises) (BGBl. I, p. 2518), entré en vigueur après le renvoi préjudiciel, que le gouvernement allemand invoque dans sa réponse aux questions de la Cour ; cette disposition se borne à exiger des comités d’entreprise le respect des dispositions relatives à la protection des données, y compris le RGPD lui-même.