CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:270

ARRÊT DE LA COUR (première chambre)

30 mars 2023 (*)

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 88, paragraphes 1 et 2 – Traitement de données dans le cadre des relations de travail – Système scolaire régional – Enseignement par vidéoconférence en raison de la pandémie de COVID-19 – Mise en œuvre sans le consentement exprès des enseignants »

Dans l’affaire C‑34/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), par décision du 20 décembre 2020, parvenue à la Cour le 20 janvier 2021, dans la procédure

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

contre

Minister des Hessischen Kultusministeriums,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, M. K. Lenaerts, président de la Cour, M. L. Bay Larsen, vice-président de la Cour, faisant fonction de juges de la première chambre, M. A. Kumin et M^me I. Ziemele (rapporteure), juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : M^me S. Beer, administratrice,

vu la procédure écrite et à la suite de l’audience du 30 juin 2022,

considérant les observations présentées :

– pour le Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium, par M^e J. Kolter, Rechtsanwalt,

– pour le Minister des Hessischen Kultusministeriums, par M. C. Meinert,

– pour le gouvernement allemand, par MM. J. Möller et D. Klebs, en qualité d’agents,

– pour le gouvernement autrichien, par M. G. Kunnert et M^me J. Schmoll, en qualité d’agents,

– pour le gouvernement roumain, par M^mes E. Gane et A. Wellman, en qualité d’agents,

– pour la Commission européenne, par MM. F. Erlbacher, H. Kranenborg et D. Nardi, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 22 septembre 2022,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 88, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige entre le Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (comité principal du personnel des enseignants auprès du ministère de l’Éducation et de la Culture du Land de Hesse, Allemagne) et le Minister des Hessischen Kultusministeriums (ministre de l’Éducation et de la Culture du Land de Hesse, Allemagne) au sujet de la légalité d’un système de diffusion en direct des cours par vidéoconférence mis en place dans les écoles du Land de Hesse (Allemagne) sans que le consentement préalable des enseignants concernés soit prévu.

Le cadre juridique

Le droit de l’Union

La directive 95/46/CE

3 La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), a été abrogée, avec effet au 25 mai 2018, par le RGPD. L’article 3 de cette directive, intitulé « Champ d’application », était libellé comme suit :

« 1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. La présente directive ne s’applique pas au traitement de données à caractère personnel :

– mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité [UE, dans sa version antérieure au traité de Lisbonne], et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[...] »

Le RGPD

4 Les considérants 8 à 10, 13, 16, 45 et 155 du RGPD énoncent :

« (8) Lorsque le présent règlement dispose que le droit d’un État membre peut apporter des précisions ou des limitations aux règles qu’il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent.

(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive [95/46] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive [95/46].

(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive [95/46], il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci-après dénommées “données sensibles”). À cet égard, le présent règlement n’exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.

[...]

(13) Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques [...], pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l’Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. [...]

[...]

(16) Le présent règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union.

[...]

(45) Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis ou lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement devrait avoir un fondement dans le droit de l’Union ou dans le droit d’un État membre. Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Il devrait également appartenir au droit de l’Union ou au droit d’un État membre de déterminer la finalité du traitement. Par ailleurs, ce droit pourrait préciser les conditions générales du présent règlement régissant la licéité du traitement des données à caractère personnel, établir les spécifications visant à déterminer le responsable du traitement, le type de données à caractère personnel faisant l’objet du traitement, les personnes concernées, les entités auxquelles les données à caractère personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et d’autres mesures visant à garantir un traitement licite et loyal. [...]

[...]

(155) Le droit des États membres ou des conventions collectives, y compris des “accords d’entreprise” peuvent prévoir des règles spécifiques relatives au traitement des données à caractère personnel des employés dans le cadre des relations de travail, notamment les conditions dans lesquelles les données à caractère personnel dans le cadre des relations de travail peuvent être traitées sur la base du consentement de l’employé, aux fins du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, et aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail. »

5 L’article 1^er du RGPD, intitulé « Objet et objectifs », dispose :

« 1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

3. La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »

6 L’article 2 de ce règlement, intitulé « Champ d’application matériel », prévoit, à ses paragraphes 1 et 2 :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité [UE] ;

c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;

d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. »

7 L’article 4 dudit règlement, intitulé « Définitions », énonce :

« Aux fins du présent règlement, on entend par :

1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[...] »

8 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1. Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

9 L’article 6 de ce règlement, intitulé « Licéité du traitement », dispose, à ses paragraphes 1 à 3 :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

[...]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a) le droit de l’Union ; ou

b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. »

10 Figurant dans le chapitre IX du RGPD, intitulé « Dispositions relatives à des situations particulières de traitement », l’article 88 de celui-ci, relatif au « [t]raitement de données dans le cadre des relations de travail », prévoit :

« 1. Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail.

2. Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.

3. Chaque État membre notifie à la Commission [européenne] les dispositions légales qu’il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant. »

Le droit allemand

11 L’article 26, paragraphe 1, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 30 juin 2017 (BGBl. 2017 I, p. 2097), dispose :

« Les données à caractère personnel des employés peuvent faire l’objet d’un traitement pour les besoins de la relation de travail si cela est nécessaire pour décider de l’établissement d’une relation de travail ou, après l’établissement de la relation de travail, pour son exécution ou sa résiliation, ou pour l’exercice des droits ou le respect des obligations respectivement liés à la représentation des intérêts des employés découlant d’une loi ou d’un instrument de réglementation collective de travail, d’un accord d’entreprise ou de service (convention collective). [...] »

12 Aux termes de l’article 23 du Hessisches Datenschutz- und Informationsfreiheitsgesetz (loi sur la protection des données et la liberté de l’information du Land de Hesse), du 3 mai 2018 (ci-après le « HDSIG ») :

« 1. Les données à caractère personnel des employés peuvent faire l’objet d’un traitement pour les besoins de la relation de travail si cela est nécessaire pour décider de l’établissement d’une relation de travail ou, après l’établissement de la relation de travail, pour son exécution, sa résiliation ou sa résolution, ainsi que pour la mise en œuvre de mesures de planification interne, organisationnelles, sociales et en matière de personnel. [...]

2. Lorsque le traitement des données à caractère personnel des employés est effectué sur la base d’un consentement, il y a lieu, pour apprécier si le consentement a été donné librement, de tenir compte, notamment, de la dépendance de l’employé dans la relation de travail ainsi que des circonstances dans lesquelles le consentement a été donné. Le caractère libre du consentement peut être avéré notamment s’il existe, pour l’employé, un avantage juridique ou économique, ou si l’employeur et l’employé ont des intérêts convergents. Le consentement doit être établi par écrit, sauf si une autre forme s’impose en raison de circonstances particulières. L’employeur est tenu d’informer l’employé par écrit de la finalité du traitement des données et de son droit de retirer son consentement, qui est prévu à l’article 7, paragraphe 3, du [RGPD].

3. Par dérogation à l’article 9, paragraphe 1, du [RGPD], le traitement portant sur des catégories particulières de données à caractère personnel au sens de l’article 9, paragraphe 1, du [RGPD] est autorisé aux fins de la relation de travail lorsqu’il est nécessaire à l’exercice de droits ou au respect d’obligations juridiques découlant du droit du travail, du droit de la sécurité sociale et de la protection sociale, et qu’il n’y a pas de raison de penser que l’intérêt légitime de la personne concernée à exclure le traitement prévaut. Le paragraphe 2 est également valable pour le consentement au traitement portant sur des catégories particulières de données à caractère personnel. À cet égard, le consentement doit faire expressément référence à ces données. [...]

4. Le traitement de données à caractère personnel, y compris de catégories particulières de données à caractère personnel des employés, est autorisé aux fins de la relation de travail sur la base de conventions collectives. À cet égard, les partenaires de négociation doivent respecter l’article 88, paragraphe 2, du [RGPD].

5. Le responsable du traitement doit prendre les mesures appropriées pour veiller au respect, en particulier, des principes régissant le traitement des données à caractère personnel énoncés à l’article 5 du [RGPD].

[...]

7. Les paragraphes 1 à 6 s’appliquent également lorsque des données à caractère personnel, y compris de catégories particulières de données à caractère personnel, des employés sont traitées sans qu’elles soient contenues ou destinées à être contenues dans un fichier. Les dispositions du Hessisches Beamtengesetz [(HBG) (loi relative à la fonction publique du Land de Hesse), du 21 juin 2018 (ci-après le “HBG”)] applicables aux dossiers du personnel s’appliquent mutatis mutandis aux travailleurs du secteur public, sauf disposition contraire prévue dans l’instrument de réglementation collective de travail.

8. Sont employés au sens de la présente loi :

1. les travailleurs, y compris les travailleurs intérimaires dans la relation avec l’utilisateur ;

[...]

7. les fonctionnaires soumis au [HBG], les magistrats du Land ainsi que les personnes effectuant un service civil.

[...] »

13 L’article 86, paragraphe 4, du HBG dispose :

« L’employeur ne peut collecter de données à caractère personnel concernant les candidats, les fonctionnaires et les anciens fonctionnaires que dans la mesure où cela est nécessaire à l’établissement, à l’exécution, à la cessation ou à la résolution de la relation de travail, ou à la mise en œuvre de mesures organisationnelles, sociales et en matière de personnel, y compris, notamment, à des fins de programmation et d’utilisation des ressources humaines, ou dans la mesure où cela est autorisé par une disposition légale ou par un accord de service. [...] »

Le litige au principal et les questions préjudicielles

14 Ainsi qu’il ressort du dossier soumis à la Cour, par deux actes adoptés au cours de l’année 2020, le ministre de l’Éducation et de la Culture du Land de Hesse a fixé le cadre juridique et organisationnel de l’enseignement scolaire pendant la période de pandémie de COVID-19. Ce cadre aménageait notamment la possibilité pour les élèves qui ne pouvaient être présents en classe d’assister en direct aux cours par vidéoconférence. Afin de préserver les droits des élèves en matière de protection des données à caractère personnel, il a été établi que la connexion au service de vidéoconférence ne serait autorisée qu’avec le consentement des élèves eux-mêmes ou, en cas de minorité de ceux-ci, de leurs parents. En revanche, le consentement des enseignants concernés à leur participation à ce service n’a pas été prévu.

15 Le comité principal du personnel des enseignants auprès du ministère de l’Éducation et de la Culture du Land de Hesse a introduit un recours devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne) en se plaignant du fait que la diffusion en direct des cours par vidéoconférence n’était pas subordonnée à la condition du consentement des enseignants concernés.

16 Le ministre de l’Éducation et de la Culture du Land de Hesse, pour sa part, a fait valoir que le traitement des données à caractère personnel que constitue la diffusion en direct des cours par vidéoconférence était couvert par l’article 23, paragraphe 1, première phrase, du HDSIG, de telle sorte qu’il pouvait être effectué sans que soit demandé le consentement de l’enseignant concerné.

17 Le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) indique à cet égard que, conformément à la volonté du législateur du Land de Hesse, l’article 23 du HDSIG et l’article 86 du HBG relèvent de la catégorie des « règles plus spécifiques » que les États membres peuvent prévoir, conformément à l’article 88, paragraphe 1, du RGPD, pour assurer la protection des droits et des libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail. Toutefois, cette juridiction nourrit des doutes quant à la compatibilité de l’article 23, paragraphe 1, première phrase, du HDSIG et de l’article 86, paragraphe 4, du HBG avec les exigences posées à l’article 88, paragraphe 2, du RGPD.

18 En effet, en premier lieu, l’article 23, paragraphe 1, première phrase, du HDSIG et l’article 86, paragraphe 4, du HBG se fonderaient sur la « nécessité », en tant que base juridique du traitement des données des employés. Or, d’une part, l’insertion dans la loi du principe de « nécessité » ne constituerait pas une règle spécifiant les exigences contenues à l’article 88, paragraphe 2, du RGPD, dès lors que le traitement de données nécessaire dans le contexte d’une relation de travail serait déjà régi par l’article 6, paragraphe 1, premier alinéa, sous b), du RGPD.

19 D’autre part, l’article 23, paragraphe 1, première phrase, du HDSIG s’appliquerait, au-delà de la relation contractuelle proprement dite, à tout traitement de données des employés. Or, il découlerait de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD que, dans le cas d’un traitement de données à caractère personnel allant au-delà du traitement strictement nécessaire dans le cadre du contrat de travail, il conviendrait de mettre en balance les libertés et les droits fondamentaux de la personne concernée, en l’occurrence les employés et les fonctionnaires, avec l’intérêt légitime poursuivi par le responsable du traitement, en l’occurrence l’employeur. Dans la mesure où l’article 23, paragraphe 1, première phrase, du HDSIG ne prévoirait pas une telle mise en balance, cette disposition ne saurait être considérée comme une norme sectorielle spécifique après l’entrée en vigueur du RGPD.

20 En second lieu, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) considère que la simple référence figurant à l’article 23, paragraphe 5, du HDSIG, selon laquelle le responsable du traitement doit notamment respecter les principes énoncés à l’article 5 du RGPD, ne satisfait pas aux exigences de l’article 88, paragraphe 2, de ce règlement. En effet, cette dernière disposition exigerait que les dispositions normatives appropriées et spécifiques qu’elle vise soient adoptées pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail, et ne serait pas simplement une règle que l’utilisateur d’une norme nationale doit respecter en plus. L’utilisateur de la norme ne serait pas le destinataire de l’article 88, paragraphe 2, du RGPD.

21 Dans ces conditions, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) L’article 88, paragraphe 1, du [RGPD] doit-il être interprété en ce sens que, afin de constituer une règle plus spécifique pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail au sens de l’article 88, paragraphe 1, du [RGPD], une règle de droit doit remplir les conditions posées pour ce type de règles par l’article 88, paragraphe 2, du [RGPD] ?

2) Lorsqu’elle ne répond manifestement pas aux exigences de l’article 88, paragraphe 2, du [RGPD], une norme nationale peut‑elle néanmoins rester applicable ? »

22 Par une communication parvenue au greffe de la Cour le 30 novembre 2021, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a informé la Cour que, en raison de modifications de la législation nationale régissant la compétence territoriale des juridictions administratives du Land de Hesse devant prendre effet le 1^er décembre 2021, le litige au principal avait été transféré au Verwaltungsgericht Frankfurt am Main (tribunal administratif de Francfort-sur-le-Main, Allemagne). Par une communication parvenue au greffe de la Cour le 21 février 2022, cette dernière juridiction a confirmé ce transfert et indiqué à la Cour le nouveau numéro de rôle attribué au litige au principal.

Sur la recevabilité de la demande de décision préjudicielle

23 Dans ses observations écrites, le gouvernement allemand a fait valoir que la demande de décision préjudicielle était irrecevable dans la mesure où les questions préjudicielles n’étaient pas pertinentes pour la solution du litige au principal. En effet, la réponse de la Cour ne serait pas utile à la juridiction de renvoi dans l’éventualité où le traitement des données serait autorisé en raison du consentement de l’enseignant. Or, la juridiction de renvoi n’expliquerait pas les raisons pour lesquelles elle ne tiendrait pas compte d’une telle éventualité.

24 Interrogé sur ce point lors de l’audience devant la Cour, le gouvernement allemand a toutefois reconnu que les questions préjudicielles étaient pertinentes lorsque le consentement de l’enseignant ne pouvait pas être recueilli.

25 À cet égard, il convient de rappeler que, selon une jurisprudence constante, les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une demande de décision préjudicielle formée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 48 et jurisprudence citée).

26 En l’occurrence, il ressort de la décision de renvoi que les parties au principal s’opposent sur le point de savoir si la mise en place de la diffusion en direct d’un cours par des systèmes de vidéoconférence requiert, outre le consentement des parents pour leurs enfants ou celui des élèves majeurs, le consentement des enseignants concernés, ou si, en revanche, le traitement des données à caractère personnel de ces derniers est couvert par l’article 23, paragraphe 1, première phrase, du HDSIG et l’article 86, paragraphe 4, du HBG.

27 Il importe également de relever que le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a indiqué dans sa demande de décision préjudicielle, d’une part, que le législateur national a considéré que l’article 23 du HDSIG et l’article 86 du HBG constituent des règles plus spécifiques au sens de l’article 88 du RGPD et, d’autre part, que l’issue du litige au principal dépend de la question de savoir si l’article 23, paragraphe 1, première phrase, du HDSIG et l’article 86, paragraphe 4, du HBG satisfont aux exigences dudit article 88 du RGPD, de manière à pouvoir constituer des règles plus spécifiques applicables au traitement des données à caractère personnel des enseignants à l’occasion de la diffusion en direct des cours par le système de vidéoconférence en cause au principal.

28 Compte tenu des indications ainsi fournies dans la demande de décision préjudicielle, l’argumentation avancée par le gouvernement allemand n’est pas de nature à renverser la présomption de pertinence dont bénéficient les questions posées.

29 Dans ces conditions, il ne saurait être considéré ni que l’interprétation des dispositions du droit de l’Union sollicitée n’a manifestement aucun rapport avec la réalité ou l’objet du litige au principal ni que le problème est de nature hypothétique, dès lors que la juridiction de renvoi est susceptible de prendre en compte cette interprétation aux fins de résoudre le litige au principal. Enfin, la Cour dispose des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées.

30 Partant, la demande de décision préjudicielle est recevable.

Sur les questions préjudicielles

Observations liminaires

31 Les questions préjudicielles portent sur l’interprétation de l’article 88, paragraphes 1 et 2, du RGPD dans le cadre d’un litige relatif au traitement des données à caractère personnel des enseignants à l’occasion de la diffusion en direct par vidéoconférence des cours d’enseignement public qu’ils sont chargés de délivrer.

32 En premier lieu, il convient de déterminer si un tel traitement relève du champ d’application matériel du RGPD, eu égard au fait que, aux termes de l’article 2, paragraphe 2, sous a), de ce règlement, celui-ci ne s’applique pas au traitement de données à caractère personnel effectué « dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union » et que, conformément à l’article 165, paragraphe 1, TFUE, les États membres sont responsables du contenu de l’enseignement et de l’organisation de leurs systèmes éducatifs.

33 À cet égard, il ressort de la jurisprudence de la Cour que la définition du champ d’application matériel du RGPD, telle qu’elle est énoncée à son article 2, paragraphe 1, est très large et que les exceptions à ce champ d’application, prévues à son article 2, paragraphe 2, doivent recevoir une interprétation stricte [voir, en ce sens, arrêts du 9 juillet 2020, Land Hessen, C‑272/19, EU:C:2020:535, point 68, ainsi que du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, points 61 et 62].

34 En outre, il importe de lire l’article 2, paragraphe 2, sous a), du RGPD en combinaison avec son article 2, paragraphe 2, sous b), et son considérant 16, qui précise que ledit règlement ne s’applique pas aux traitements de données à caractère personnel dans le contexte des « activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale » ainsi que des « activités ayant trait à la politique étrangère et de sécurité commune de l’Union » [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 63].

35 Il en résulte que l’article 2, paragraphe 2, sous a) et b), du RGPD, qui s’inscrit partiellement dans la continuité de l’article 3, paragraphe 2, premier tiret, de la directive 95/46, ne saurait être interprété comme disposant d’une portée plus large que l’exception découlant de l’article 3, paragraphe 2, premier tiret, de la directive 95/46, lequel excluait déjà du champ d’application de cette directive notamment le traitement de données à caractère personnel ayant lieu dans le cadre « d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité [UE, dans sa version antérieure au traité de Lisbonne], et, en tout état de cause, [les] traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État » [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 64].

36 En l’occurrence, il est constant que l’activité relative à l’organisation de l’enseignement dans le Land de Hesse ne saurait être rangée dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l’article 2, paragraphe 2, sous a), du RGPD.

37 Partant, un traitement de données à caractère personnel d’enseignants dans le cadre de la diffusion en direct par vidéoconférence des cours d’enseignement public qu’ils délivrent, tel que celui en cause au principal, relève du champ d’application matériel du RGPD.

38 En second lieu, il ressort de la demande de décision préjudicielle que les enseignants, dont le traitement des données à caractère personnel fait l’objet du litige au principal, relèvent du service public du Land de Hesse, et ce en tant qu’employés ou fonctionnaires.

39 Dès lors, il importe de déterminer si un tel traitement des données à caractère personnel entre dans le champ d’application de l’article 88 du RGPD, qui vise « le traitement des données à caractère personnel des employés dans le cadre des relations de travail ».

40 À cet égard, il convient de relever que le RGPD ne définit pas les termes « employés » et « relations de travail » ni ne renvoie au droit des États membres pour définir ceux-ci. En l’absence d’un tel renvoi, il convient de rappeler que, ainsi qu’il découle des exigences tant de l’application uniforme du droit de l’Union que du principe d’égalité, les termes d’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l’Union, une interprétation autonome et uniforme (arrêt du 2 juin 2022, HK/Danmark et HK/Privat, C‑587/20, EU:C:2022:419, point 25 ainsi que jurisprudence citée).

41 En outre, dès lors que le RGPD ne définit pas les termes « employés » et « relations de travail », ceux-ci doivent être interprétés conformément à leur sens habituel dans le langage courant, tout en tenant compte du contexte dans lequel ils sont utilisés et des objectifs poursuivis par la réglementation dont ils font partie (arrêt du 2 juin 2022, HK/Danmark et HK/Privat, C‑587/20, EU:C:2022:419, point 26 ainsi que jurisprudence citée).

42 Or, le terme « employé » dans son sens habituel désigne une personne qui accomplit son travail dans le cadre d’un lien de subordination avec son employeur et donc sous son contrôle (arrêt du 18 mars 2021, Kuoni Travel, C‑578/19, EU:C:2021:213, point 42).

43 De même, la caractéristique essentielle d’une « relation de travail » est la circonstance qu’une personne accomplit, pendant un certain temps, en faveur d’une autre et sous la direction de celle-ci, des prestations en contrepartie desquelles elle reçoit une rémunération (arrêt du 15 juillet 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, point 49).

44 Dès lors qu’une telle caractéristique est propre aux employés et aux relations de travail tant du secteur public que du secteur privé, il convient d’en déduire que les termes « employé » et « relations de travail », compris dans leur sens habituel, n’excluent pas les personnes qui exercent leur activité professionnelle dans le secteur public.

45 En effet, la portée de l’article 88, paragraphe 1, du RGPD ne saurait être déterminée en fonction de la nature du lien juridique qui lie l’employé à l’employeur. Ainsi, est sans pertinence le point de savoir si la personne concernée se trouve employée en qualité d’employé ou de fonctionnaire, ou encore si son lien d’emploi relève du droit public ou du droit privé, ces qualifications juridiques étant en effet variables au gré des législations nationales et ne pouvant dès lors fournir un critère approprié pour une interprétation uniforme et autonome de cette disposition (voir, par analogie, arrêts du 12 février 1974, Sotgiu, 152/73, EU:C:1974:13, point 5, et du 3 juin 1986, Commission/France, 307/84, EU:C:1986:222, point 11).

46 S’agissant spécifiquement des personnes dont le lien d’emploi n’est pas un contrat de travail, telles que les fonctionnaires, il est vrai que l’article 88 du RGPD fait référence, à son paragraphe 1, à l’« exécution du contrat de travail ». Toutefois, il convient de relever, d’une part, que cette référence figure parmi d’autres fins du traitement des données à caractère personnel dans le cadre des relations de travail pouvant faire l’objet des règles plus spécifiques adoptées par les États membres, énumérées à l’article 88, paragraphe 1, du RGPD, et que, en tout état de cause, cette énumération ne présente pas un caractère exhaustif, ainsi qu’en témoigne l’adverbe « notamment » employé dans cette disposition.

47 D’autre part, l’absence de pertinence de la qualification du lien juridique entre l’employé et l’administration qui l’emploie est corroborée par le fait que la gestion, la planification et l’organisation du travail, l’égalité et la diversité sur le lieu de travail, la santé et la sécurité au travail, la protection des biens appartenant à l’employeur ou au client, l’exercice et la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi que la résiliation de la relation de travail, qui sont également énumérés à cet article 88, paragraphe 1, du RGPD, se rapportent à l’emploi tant dans le secteur privé que dans le secteur public.

48 Par conséquent, il ne saurait être déduit de la référence à l’« exécution du contrat de travail », figurant à l’article 88, paragraphe 1, du RGPD, que l’emploi dans le secteur public qui n’est pas fondé sur un contrat de travail est exclu du champ d’application de ladite disposition.

49 La même conclusion s’impose en ce qui concerne la circonstance que l’article 88, paragraphe 2, du RGPD mentionne, parmi les trois éléments auxquels les États membres doivent accorder une « attention particulière » lorsqu’ils adoptent de telles « règles plus spécifiques », le transfert de données à caractère personnel « au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe ». En effet, les deux autres éléments, à savoir la transparence du traitement et les systèmes de contrôle sur le lieu de travail, sont pertinents tant pour l’emploi dans le secteur privé que pour celui dans le secteur public, quelle que soit la nature du lien juridique qui lie l’employé à l’employeur.

50 L’interprétation découlant du libellé de l’article 88 du RGPD est confirmée par le contexte dans lequel cet article s’insère ainsi que par l’objectif poursuivi par la réglementation dont il fait partie.

51 Ainsi qu’il ressort de l’article 1^er, paragraphe 1, du RGPD, lu à la lumière, notamment, de ses considérants 9, 10 et 13, ce règlement vise à assurer une harmonisation des législations nationales relatives à la protection des données à caractère personnel qui est, en principe, complète. Cependant, des dispositions dudit règlement ouvrent la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, et laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (« clauses d’ouverture ») (voir, en ce sens, arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 57).

52 L’article 88 du RGPD, qui fait partie du chapitre IX de ce règlement, intitulé « Dispositions relatives à des situations particulières de traitement », constitue une telle clause d’ouverture, puisqu’il confère aux États membres la faculté d’adopter des « règles plus spécifiques » pour assurer la protection des droits et des libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail.

53 Les particularités du traitement des données à caractère personnel dans le cadre des relations de travail et, par conséquent, la faculté conférée aux États membres par l’article 88, paragraphe 1, du RGPD s’expliquent notamment par l’existence d’un lien de subordination entre l’employé et l’employeur et non pas par la nature du lien juridique qui lie ce premier à ce dernier.

54 En outre, selon l’article 1^er, paragraphe 2, du RGPD, lu en combinaison avec le considérant 10 de celui-ci, ce règlement a notamment pour objet de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel, ce droit étant également reconnu à l’article 8 de la charte des droits fondamentaux de l’Union européenne et étroitement lié au droit au respect de la vie privée, consacré à l’article 7 de celle-ci (voir, en ce sens, arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 61).

55 Or, est conforme à cet objet une interprétation large de l’article 88, paragraphe 1, du RGPD, selon laquelle les « règles plus spécifiques » que les États membres peuvent prévoir pour assurer la protection des droits et des libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail sont susceptibles de concerner tous les employés, indépendamment de la nature du lien juridique qui les lie à leur employeur.

56 Dans ces conditions, un traitement de données à caractère personnel d’enseignants à l’occasion de la diffusion en direct par vidéoconférence des cours d’enseignement public qu’ils délivrent, tel que celui en cause au principal, relève du champ d’application matériel et personnel de l’article 88 du RGPD.

Sur la première question

57 Par sa première question, la juridiction de renvoi demande, en substance si l’article 88 du RGPD doit être interprété en ce sens que, afin de pouvoir être qualifiée de règle plus spécifique au sens du paragraphe 1 de cet article, une règle de droit doit remplir les conditions posées par le paragraphe 2 dudit article.

58 Ainsi qu’il a été relevé au point 52 du présent arrêt, les États membres ont la faculté et non l’obligation d’adopter de telles règles, celles-ci pouvant être prévues par la loi ou au moyen de conventions collectives.

59 En outre, lorsque les États membres exercent la faculté qui leur est accordée par une clause d’ouverture du RGPD, ils doivent utiliser leur marge d’appréciation dans les conditions et les limites prescrites par les dispositions de ce règlement et doivent ainsi légiférer de manière à ne pas porter atteinte au contenu et aux objectifs dudit règlement (voir, en ce sens, arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 60).

60 Afin de déterminer les conditions et les limites auxquelles sont soumises les règles visées à l’article 88, paragraphes 1 et 2, du RGPD et, par conséquent, d’apprécier la marge d’appréciation laissée aux États membres par ces dispositions, il convient de rappeler que, conformément à une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel cette disposition s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63).

61 S’agissant du libellé de l’article 88, paragraphe 1, du RGPD, il ressort, tout d’abord, de l’emploi des termes « plus spécifiques » que les règles visées par cette disposition doivent avoir un contenu normatif propre au domaine réglementé et distinct des règles générales de ce règlement.

62 Ensuite, ainsi qu’il a été relevé au point 52 du présent arrêt, l’objectif des règles prises sur le fondement de cette disposition consiste à protéger les droits et les libertés des employés en ce qui concerne le traitement de leurs données à caractère personnel dans le cadre des relations de travail.

63 Enfin, il découle des différentes fins pour lesquelles le traitement des données à caractère personnel peut être effectué, telles qu’énoncées à l’article 88, paragraphe 1, du RGPD, que les « règles plus spécifiques » qu’il vise sont susceptibles de se rapporter à un très grand nombre de traitements en lien avec une relation de travail, de manière à couvrir l’ensemble des fins pour lesquelles le traitement de données à caractère personnel peut être effectué dans le cadre d’une relation de travail. En outre, l’énoncé de ces fins n’étant pas exhaustif, ainsi qu’il a été relevé au point 46 du présent arrêt, les États membres disposent d’une marge d’appréciation quant aux traitements ainsi soumis à ces règles plus spécifiques.

64 L’article 88 du RGPD prévoit, à son paragraphe 2, que les règles prises sur le fondement de son paragraphe 1 comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.

65 Il ressort ainsi du libellé de l’article 88 du RGPD que le paragraphe 2 de cet article encadre la marge d’appréciation des États membres qui entendent adopter des « règles plus spécifiques » en vertu du paragraphe 1 dudit article. Ainsi, d’une part, ces règles ne sauraient se limiter à réitérer les dispositions de ce règlement et doivent viser la protection des droits et des libertés des employés en ce qui concerne le traitement de leurs données à caractère personnel dans le cadre des relations de travail et comporter des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées.

66 D’autre part, une attention particulière doit être accordée à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe, et aux systèmes de contrôle sur le lieu de travail.

67 S’agissant du contexte, dans lequel s’insère l’article 88 du RGPD, il y a lieu de relever, en premier lieu, que cette disposition doit être interprétée à la lumière du considérant 8 de ce règlement selon lequel, lorsque ce règlement dispose que le droit d’un État membre peut apporter des précisions ou des limitations aux règles qu’il prévoit, les États membres peuvent intégrer des éléments dudit règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent.

68 En second lieu, il importe de rappeler que les chapitres II et III du RGPD énoncent, respectivement, les principes régissant les traitements des données à caractère personnel ainsi que les droits de la personne concernée que doit respecter tout traitement de données à caractère personnel [arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 50].

69 En particulier, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement des données énoncés à l’article 5 du RGPD et, d’autre part, répondre à l’un des principes relatifs à la licéité du traitement énumérés à l’article 6 dudit règlement [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96 et jurisprudence citée].

70 En ce qui concerne les principes relatifs à la licéité du traitement, l’article 6 du RGPD prévoit une liste exhaustive et limitative des cas dans lesquels un traitement des données à caractère personnel peut être considéré comme licite. Ainsi, pour qu’il puisse être considéré comme étant légitime, un traitement doit relever de l’un des cas prévus audit article 6 [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 99 et jurisprudence citée].

71 Dès lors, si, lors de l’exercice de la faculté qui leur est accordée par une clause d’ouverture du RGPD, les États membres peuvent intégrer des éléments de ce règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent, les « règles plus spécifiques » prises sur le fondement de l’article 88, paragraphe 1, dudit règlement ne sauraient se limiter à constituer la réitération des conditions de licéité du traitement des données à caractère personnel ainsi que des principes de ce traitement, énoncées, respectivement, à l’article 6 et à l’article 5 du même règlement, ou à renvoyer à ces conditions et principes.

72 L’interprétation selon laquelle la marge d’appréciation des États membres lors de l’adoption des règles sur le fondement du paragraphe 1 de l’article 88 du RGPD est limitée par le paragraphe 2 de cet article est conforme à l’objectif de ce règlement, rappelé au point 51 du présent arrêt, qui est d’assurer une harmonisation des législations nationales relatives à la protection des données à caractère personnel qui est, en principe, complète.

73 En effet, comme l’a relevé en substance M. l’avocat général aux points 56, 70 et 73 de ses conclusions, la possibilité pour les États membres de prendre des « règles plus spécifiques » sur le fondement de l’article 88, paragraphe 1, du RGPD peut conduire à un défaut d’harmonisation dans le champ d’application desdites règles. Or, les conditions imposées par l’article 88, paragraphe 2, de ce règlement reflètent les limites de la différenciation acceptée par ledit règlement, en ce sens que ce défaut d’harmonisation ne peut être admis que lorsque les différences qui subsistent sont accompagnées de garanties spécifiques et appropriées qui visent à protéger les droits et les libertés des employés en ce qui concerne le traitement de leurs données à caractère personnel dans le cadre des relations de travail.

74 Par conséquent, afin de pouvoir être qualifiée de « règle plus spécifique », au sens du paragraphe 1 de l’article 88 du RGPD, une règle de droit doit remplir les conditions posées par le paragraphe 2 dudit article. Au-delà d’avoir un contenu normatif propre au domaine réglementé et distinct des règles générales de ce règlement, ces règles plus spécifiques doivent viser la protection des droits et des libertés des employés en ce qui concerne le traitement de leurs données à caractère personnel dans le cadre des relations de travail et comporter des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées. Une attention particulière doit être accordée à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.

75 Compte tenu de tout ce qui précède, il convient de répondre à la première question que l’article 88 du RGPD doit être interprété en ce sens qu’une réglementation nationale ne peut constituer une « règle plus spécifique », au sens du paragraphe 1 de cet article, dans le cas où elle ne remplit pas les conditions posées au paragraphe 2 dudit article.

Sur la seconde question

76 Par sa seconde question, la juridiction de renvoi s’interroge, en substance, sur les conséquences qu’il convient de tirer d’un constat d’incompatibilité avec les conditions et les limites prévues à l’article 88, paragraphes 1 et 2, du RGPD de dispositions nationales prises pour assurer la protection des droits et des libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail.

77 À cet égard, il importe de rappeler que, en vertu de l’article 288, deuxième alinéa, TFUE, un règlement est obligatoire dans tous ses éléments et qu’il est directement applicable dans tout État membre, de telle sorte que ses dispositions ne nécessitent, en principe, aucune mesure d’application des États membres (arrêt du 15 juin 2021, Facebook Ireland e.a., C‑645/19, EU:C:2021:483, point 109).

78 Toutefois, ainsi qu’il a été rappelé au point 51 du présent arrêt, des clauses d’ouverture prévues par le RGPD ouvrent la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, et laissent à ceux-ci une marge d’appréciation sur la manière dont les dispositions concernées peuvent être mises en œuvre.

79 Comme il a été relevé au point 59 du présent arrêt, lorsque les États membres exercent la faculté qui leur est accordée par une clause d’ouverture du RGPD, ils doivent utiliser leur marge d’appréciation dans les conditions et les limites prescrites par les dispositions de ce règlement et doivent ainsi légiférer de manière à ne pas porter atteinte au contenu et aux objectifs dudit règlement.

80 Il appartient à la juridiction de renvoi, seule compétente pour interpréter le droit national, d’apprécier si les dispositions en cause au principal respectent les conditions et les limites prescrites par l’article 88 du RGPD, telles que résumées au point 74 du présent arrêt.

81 Toutefois, ainsi que l’a relevé M. l’avocat général aux points 60 à 62 de ses conclusions, des dispositions telles que l’article 23, paragraphe 1, du HDSIG et l’article 86, paragraphe 4, du HBG, qui subordonnent le traitement des données à caractère personnel des employés à la condition que ce traitement soit nécessaire à certaines fins liées à l’exécution d’une relation de travail, semblent réitérer la condition de licéité générale de traitement déjà énoncée à l’article 6, paragraphe 1, premier alinéa, sous b), du RGPD, sans ajouter une règle plus spécifique au sens de l’article 88, paragraphe 1, de ce règlement. En effet, de telles dispositions ne semblent pas avoir un contenu normatif propre au domaine réglementé et distinct des règles générales dudit règlement.

82 Dans le cas où la juridiction de renvoi parviendrait au constat que les dispositions en cause au principal ne respectent pas les conditions et les limites prescrites par l’article 88 du RGPD, il lui appartiendrait, en principe, de laisser inappliquées lesdites dispositions.

83 En effet, en vertu du principe de primauté du droit de l’Union, les dispositions des traités et les actes des institutions directement applicables ont pour effet, dans leurs rapports avec le droit interne des États membres, de rendre inapplicable de plein droit, du fait même de leur entrée en vigueur, toute disposition contraire de la législation nationale (arrêts du 9 mars 1978, Simmenthal, 106/77, EU:C:1978:49, point 17 ; du 19 juin 1990, Factortame e.a., C‑213/89, EU:C:1990:257, point 18, ainsi que du 4 février 2016, Ince, C‑336/14, EU:C:2016:72, point 52).

84 Dès lors, en l’absence de règles plus spécifiques qui respectent les conditions et les limites prescrites par l’article 88 du RGPD, le traitement de données à caractère personnel dans le cadre des relations de travail, tant dans le secteur privé que public, est directement régi par les dispositions de ce règlement.

85 À cet égard, il convient de relever que sont susceptibles de s’appliquer à un traitement de données à caractère personnel tel que celui en cause au principal les points c) et e) de l’article 6, paragraphe 1, premier alinéa, du RGPD, en vertu desquels le traitement de données à caractère personnel est licite lorsque celui-ci est nécessaire, respectivement, au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

86 L’article 6, paragraphe 3, du RGPD énonce, d’une part, à l’égard des deux hypothèses de licéité visées respectivement aux points c) et e) de l’article 6, paragraphe 1, premier alinéa, de ce règlement, que le traitement doit être fondé sur le droit de l’Union ou sur le droit de l’État membre auquel le responsable du traitement est soumis et ajoute, d’autre part, que les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé audit paragraphe 1, premier alinéa, sous e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement [voir, en ce sens, arrêt du 8 décembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale), C‑180/21, EU:C:2022:967, point 95].

87 Il convient de rappeler que la Cour a déjà jugé que le traitement licite de données à caractère personnel par les responsables du traitement sur le fondement de l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD présuppose non seulement que ceux-ci puissent être considérés comme exécutant une mission d’intérêt public, mais aussi que les traitements de données à caractère personnel aux fins de l’exécution d’une telle mission reposent sur une base juridique visée à l’article 6, paragraphe 3, de ce règlement (voir, en ce sens, arrêt du 20 octobre 2022, Koalitsia « Demokratichna Bulgaria – Obedinenie », C‑306/21, EU:C:2022:813, point 52).

88 Par conséquent, lorsque la juridiction de renvoi parvient au constat que les dispositions nationales relatives au traitement des données à caractère personnel dans le cadre des relations de travail ne respectent pas les conditions et les limites prescrites par l’article 88, paragraphes 1 et 2, du RGPD, elle doit encore vérifier si lesdites dispositions constituent une base juridique visée à l’article 6, paragraphe 3, de ce règlement, lu en combinaison avec son considérant 45, qui respecte les exigences prévues par ledit règlement. Si tel est le cas, l’application des dispositions nationales ne doit pas être écartée.

89 Compte tenu de ce qui précède, il convient de répondre à la seconde question préjudicielle que l’article 88, paragraphes 1 et 2, du RGPD doit être interprété en ce sens que l’application de dispositions nationales prises pour assurer la protection des droits et des libertés des employés en ce qui concerne le traitement de leurs données à caractère personnel dans le cadre de relations de travail doit être écartée lorsque ces dispositions ne respectent pas les conditions et les limites prescrites par cet article 88, paragraphes 1 et 2, à moins que lesdites dispositions constituent une base juridique visée à l’article 6, paragraphe 3, de ce règlement qui respecte les exigences prévues par celui-ci.

Sur les dépens

90 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

1) L’article 88 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

une réglementation nationale ne peut constituer une « règle plus spécifique », au sens du paragraphe 1 de cet article, dans le cas où elle ne remplit pas les conditions posées au paragraphe 2 dudit article.

2) L’article 88, paragraphes 1 et 2, du règlement 2016/679

doit être interprété en ce sens que :

l’application de dispositions nationales prises pour assurer la protection des droits et des libertés des employés en ce qui concerne le traitement de leurs données à caractère personnel dans le cadre de relations de travail doit être écartée lorsque ces dispositions ne respectent pas les conditions et les limites prescrites par cet article 88, paragraphes 1 et 2, à moins que lesdites dispositions constituent une base juridique visée à l’article 6, paragraphe 3, de ce règlement qui respecte les exigences prévues par celui-ci.

Signatures

* Langue de procédure : l’allemand.