Un employé du service informatique du service médical de l’assurance maladie de Rhénanie du Nord (MDK) était devenu incapable de travailler. Le site Expertise sur l’incapacité de travail avait été élaboré par le même MDK, avec l’aide des données du médecin traitant. Lorsque le collaborateur a appris cela de son médecin, il a demandé à un collègue du service informatique de prendre des photos de l’expertise pour lui.
Par la suite, l’employé a intenté une action en dommages et intérêts au motif que l’expertise aurait dû être réalisée par un autre service médical afin que ses collègues n’aient pas accès aux données relatives à la santé et que les mesures de sécurité mises en place lors de l’archivage du rapport relatif à son expertise étaient insuffisantes.
Le tribunal du travail de Düsseldorf et la deuxième instance, le tribunal régional du travail de Düsseldorf, avaient rejeté la plainte. La Cour fédérale du travail a ensuite posé quelques questions à la CJCE (Arrêt dans l’affaire C‑667/21).
Exigences selon l’article 9, paragraphe 2, point h) du RGPD (prévention en matière de santé, médecine du travail, etc.
La première question portait sur l’élément d’autorisation de l’article 9, paragraphe 2, point h), du RGPD. Selon cette disposition, le traitement de données relatives à la santé est autorisé s’il sert une finalité visée à la lettre h (prévention en matière de santé, médecine du travail, etc.), s’il repose sur un fondement du droit de l’UE ou du droit national et si les garanties prévues à l’article 9, paragraphe 3, sont respectées (traitement par des professionnels soumis au secret professionnel). En revanche, le RGPD ne prévoit pas, selon la CJUE, que l’article 2, point h), ne s’applique que si le traitement est effectué par un tiers neutre et non par l’employeur :
58 Il résulte de ce qui précède que, sans préjudice des réponses qui seront apportées aux deuxième et troisième questions, il convient de répondre à la première question que Article 9, paragraphe 2, point h) du RGPD doit être interprété en ce sens que, sous réserve que le traitement de données en cause remplisse les conditions et les garanties expressément requises à l’article 9, paragraphe 3, l’exception prévue par cette disposition s’applique à des situations est applicableLes États membres dans lesquels un centre d’expertise médicale Données relatives à la santé d’un de leurs employés traitées non pas en tant qu’employeur, mais en tant que service médicalL’employeur doit faire une évaluation de la capacité de travail de ce travailleur.
TOM pour exclure des collègues de travail
L’art. 9, al. 2, let. h, n’exige pas non plus d’exclure de l’expertise les collègues de la personne à expertiser, à moins qu’un État membre n’ait légiféré en ce sens sur la base de l’art. 9, al. 4. La présente Cour fédérale du travail doit toutefois vérifier si le MDK a pris des mesures appropriées pour assurer la sécurité des patients. Mesures de sécurité qui pourraient éventuellement exiger une telle séparation.
Relation entre l’article 9, paragraphe 2, et l’article 6 du RGPD
Le rapport entre l’article 9, paragraphe 2, et l’article 6 du RGPD est plus intéressant que les questions précédentes. Il faut partir du principe que l’article 6, paragraphe 1, prévoit une liste exhaustive des cas dans lesquels un traitement est licite. Il en résulte qu’un traitement de données relatives à la santé (et d’autres données d’une catégorie particulière) doit respecter non seulement les conditions de l’article 9, paragraphe 2, mais aussi celles de l’article 6 :
79 Eu égard à ce qui précède, il convient de répondre à la troisième question que l’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du RGPD doivent être interprétés en ce sens qu’un recours fondé sur la première de ces dispositions doit être rejeté. Traitement des données relatives à la santé n’est licite que si elle respecte non seulement les exigences découlant de cette disposition, mais aussi remplit également au moins l’une des conditions de légitimité visées à l’article 6, paragraphe 1.
La CJCE ne le précise pas de manière aussi générale, mais ses déclarations ne peuvent être comprises que dans le sens où l’article 6 du RGPD doit également être respecté pour chaque traitement de données particulières.
Autres points
Par ailleurs, la CJCE confirme la Jurisprudence dans l’affaire Deutsche WohnenSelon l’article 83 du RGPD, le droit à réparation n’a pas de fonction pénale, mais uniquement une fonction compensatoire. Il en résulte également que la gravité de la faute ne doit pas être prise en compte lors de la fixation du droit à réparation, y compris pour le préjudice moral :
103 Par conséquent, il convient de répondre à la cinquième question que l’article 82 du RGPD doit être interprété en ce sens que, d’une part, la responsabilité du responsable est subordonnée à l’existence d’une faute qui lui est imputable. Faute dépendent, qui est supposéL’article 82 prévoit, d’une part, que l’auteur d’un dommage ne peut être tenu pour responsable s’il ne prouve pas que le fait qui a causé le dommage ne lui est pas imputable et, d’autre part, que l’auteur d’un dommage ne peut être tenu pour responsable s’il ne prouve pas que le fait qui a causé le dommage ne lui est pas imputable. n’exige pas que le degré de cette faute soit pris en compte lors de l’évaluation du montant des dommages-intérêts accordés à titre d’indemnisation d’un préjudice moral sur le fondement de cette disposition sera.