CJUE – Krankenversicherung Nordrhein – C-667/21

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-667/21

Nom:

Krankenversicherung Nordrhein

Date:

21 décembre 2023

Pays:

Allemagne

Lien:

Cliquer ici

Contexte

Le MDK Nordrhein est un organisme de droit public qui, en tant que service médical de caisses d’assurance maladie, a pour mission légale, entre autres, de réaliser des expertises médicales tendant à dissiper des doutes relatifs à l’incapacité de travail de personnes assurées auprès des caisses de l’assurance maladie obligatoire qui relèvent de son ressort, y compris lorsque ces expertises concernent ses propres employés. Dans un tel cas, seuls les membres d’une unité spéciale, dénommée « cellule cas particuliers », sont autorisés à traiter les données dites « sociales » de cet employé en utilisant un domaine verrouillé du système informatique de cet organisme.

Le requérant au principal a travaillé au sein du service informatique du MDK Nordrhein, avant d’être placé en incapacité de travail pour raison médicale. À l’issue du semestre durant lequel cet organisme, en tant qu’employeur, a continué à le rémunérer, la caisse de l’assurance maladie obligatoire à laquelle il était affilié a commencé à lui verser des indemnités de maladie. Cette caisse a alors demandé au MDK Nordrhein de réaliser une expertise portant sur l’incapacité de travail du requérant au principal. Un médecin exerçant au sein de la « cellule cas particuliers » du MDK Nordrhein a réalisé l’expertise, notamment, en obtenant des renseignements auprès du médecin traitant du requérant au principal.

Estimant que des données concernant sa santé avaient ainsi fait l’objet d’un traitement illicite par son employeur, le requérant au principal a demandé à celui-ci de lui verser une indemnisation d’un montant de 20 000 euros, ce que le MDK Nordrhein a refusé. Par la suite, le requérant au principal a saisi l’Arbeitsgericht Düsseldorf (tribunal du travail de Düsseldorf, Allemagne), qui l'a débouté de sa demande. Le requérant au principal a interjeté appel devant le Landesarbeitsgericht Düsseldorf (tribunal supérieur du travail de Düsseldorf, Allemagne), qui a aussi rejeté son recours. Il a alors introduit un pourvoi en Revision devant le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), qui est la juridiction de renvoi dans la présente affaire.

Apport(s)
Médecine préventive et du travail - Contrôle médicale concernant la santé de l'un de ses employés en qualité de service médicale pour apprécier la capacité de l'employé - Admission Extrait(s) pertinent(s)58. Compte tenu des motifs qui précèdent, et sans préjudice des réponses qui seront apportées aux deuxième et troisième questions, il convient de répondre à la première question que l’article 9, paragraphe 2, sous h), du RGPD doit être interprété en ce sens que l’exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité non pas d’employeur, mais de service médical, afin d’apprécier la capacité de travail de cet employé, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par le paragraphe 3 dudit article 9. Article(s) du RGPD Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel Fait référence à > CJUE – Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) – C-252/21 > CJUE – Commission / Pologne – C-204/21 > CJUE – M.I.C.M. – C-597/19 > CJUE – GC e.a. – C-136/17 Autres informations
Médecine préventive et du travail - Condition de validité relative à l'absence d'accès par des collègues de la personne concernée - Absence mais obligation à laquelle le responsable peut-être soumis Extrait(s) pertinent(s)70. Il y a donc lieu de répondre à la deuxième question que l’article 9, paragraphe 3, du RGPD doit être interprété en ce sens que le responsable d’un traitement de données concernant la santé, fondé sur l’article 9, paragraphe 2, sous h), de ce règlement, n’est pas tenu, en vertu de ces dispositions, de garantir qu’aucun collègue de la personne concernée ne peut accéder aux données se rapportant à l’état de santé de celle-ci. Toutefois, une telle obligation peut s’imposer au responsable d’un tel traitement soit en vertu d’une réglementation adoptée par un État membre sur la base de l’article 9, paragraphe 4, dudit règlement, soit au titre des principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), du même règlement et concrétisés à l’article 32, paragraphe 1, sous a) et b), de celui-ci. Article(s) du RGPD Article 5 – Principes relatifs au traitement Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel Article 32 – Sécurité du traitement Fait référence à > CJUE – Hauptpersonalrat der Lehrerinnen und Lehrer – C-34/21 Autres informations
Licéité d'un traitement de données de santé (ici, dans le cadre médecine préventive et du travail) - Nécessité d'un double fondement (article 6 et article 9) - Obligation Extrait(s) pertinent(s)79. Eu égard à ce qui précède, il convient de répondre à la troisième question que l’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du RGPD doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle-ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1. Article(s) du RGPD Article 6 – Licéité du traitement Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel Fait référence à > CJUE – Bundesrepublik Deutschland (Boîte électronique judiciaire) – C-60/22 > CJUE – Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) – C-252/21 Autres informations
Violation du RGPD - Réparation du préjudice - Fonction compensatoire et non punitive Extrait(s) pertinent(s)87. Par conséquent, il y a lieu de répondre à la quatrième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive. Article(s) du RGPD Article 82 – Droit à réparation et responsabilité Fait référence à > CJUE – Österreichische Post AG – C-300/21 Autres informations
Violation du RGPD - Réparation du préjudice - Conditions de la responsabilité du responsable de traitement - 1) Commission d'une faute (présomption simple) - 2) Absence de degré de gravité minimal Extrait(s) pertinent(s)103. Par conséquent, il y a lieu de répondre à la cinquième question que l’article 82 du RGPD doit être interprété en ce sens que, d’une part, l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui-ci, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages-intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition. Article(s) du RGPD Article 82 – Droit à réparation et responsabilité Fait référence à > CJUE – Natsionalna agentsia za prihodite – C-340/21 Autres informations