Dans l’affaire en cause, un organisme de droit public a pour mission légale de réaliser des expertises médicales tendant à dissiper des doutes relatifs à l’incapacité de travail de personnes assurées auprès de caisses de l’assurance maladie obligatoire. Il a été mandaté par l’une de ces caisses pour réaliser une expertise à l’égard de l’un de ses propres employés. L’organisme de droit public a donc eu deux casquettes vis-à-vis de la personne assurée : d’une part, il était son employeur et, d’autre part, il était chargé de procéder à une expertise à son égard. Les membres d’une cellule spéciale interne à l’organisme ont alors été mobilisés. Le salarié concerné a estimé que son employeur avait procédé à un traitement illicite en traitant des données relatives à sa santé pour réaliser l’expertise.
Saisie d’un renvoi préjudiciel dans le cadre de ce litige, la CJUE se prononce sur les conditions d’application de l’exception à l’interdiction de traiter des données sensibles afin d’apprécier la capacité de travail d’un travailleur (article 9, § 2, sous h) du RGPD). Elle précise ensuite sa jurisprudence s’agissant de la responsabilité du responsable du traitement en application de l’article 82 du RGPD.
La Cour rappelle que l’article 9, § 2, sous h) du RGPD permet le traitement de données sensibles quand ce dernier « est nécessaire aux fins (…) de l’appréciation de la capacité de travail du travailleur, (…) sur la base du droit de l’Union, du droit d’un Etat membre ou en vertu d’un contrat conclu avec un professionnel de la santé », dès lors que les données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret. Cette disposition insiste ainsi sur l’importance du traitement des données par un professionnel de santé, sans que celui-ci soit davantage identifié. L’applicabilité de cette disposition n’est ainsi pas exclue pour les « situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité de service médical, et non en qualité d’employeur, afin d’apprécier la capacité de travail de cet employé » (point 48).
La CJUE en conclut que le service médical qui réalise l’expertise peut ne pas être distinct de l’employeur de la personne concernée (point 57).
Dans une telle situation, l’employeur doit non seulement respecter les conditions posées à l’article 9, § 2, sous h) du RGPD mais il doit aussi faire reposer son traitement sur l’une des six bases légales énumérées à l’article 6 du RGPD. En revanche, il n’est pas tenu de garantir qu’aucun collègue de la personne concernée ne peut accéder aux données se rapportant à l’état de santé de celle‑ci, sauf dans deux cas :
premièrement, cette obligation peut s’imposer à lui en vertu d’une réglementation adoptée par un Etat membre, qui dispose d’une marge de manœuvre pour les traitements des données génétiques, des données biométriques ou des données concernant la santé (article 9, § 4 du RGPD) ;
deuxièmement, cette obligation peut également s’imposer à lui au titre du respect des principes d’intégrité et de confidentialité issus du RGPD (point 70).
La solution adoptée est conforme à la jurisprudence antérieure de la CJUE. Le droit à réparation prévu à l’article 82, § 1 du RGPD « remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive » (point 87). A cet égard, le degré de gravité de la faute commise n’a pas à être pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral (point 102).
La décision apporte toutefois une précision intéressante à la question de savoir si l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui-ci. La lecture combinée des paragraphes 2 et 3 de l’article 82 du RGPD conduit la Cour à décider que « cet article prévoit un régime de responsabilité pour faute dans lequel la charge de la preuve pèse, non pas sur la personne qui a subi un dommage, mais sur le responsable du traitement » (point 94).
Dès lors, l’engagement de sa responsabilité repose toujours sur l’existence d’une faute qu’il a commise mais celle-ci est présumée. Le responsable du traitement devra alors prouver que le fait qui a provoqué le dommage ne lui est pas imputable s’il ne veut pas être tenu pour responsable.