Le 21 décembre 2023, la Cour de justice de l’Union européenne (« CJUE ») a rendu son arrêt dans l’affaire Assurance maladie Rhénanie du Nord (C-667/21) dans lequel elle a clarifié, entre autres, les règles de traitement de catégories particulières de données personnelles (ci-après « données personnelles sensibles ») en vertu de l’article 9 du règlement général sur la protection des données (« RGPD ») de l’UE et du nature de l’indemnisation due pour dommages au titre de l’article 82 du RGPD.
Arrière-plan
L’affaire concernait le traitement des données personnelles d’un employé incapable, y compris des données de santé, par le prestataire de services médicaux (« MDK ») d’une caisse d’assurance maladie en Allemagne. Conformément à la loi applicable, le MDK établit des rapports sur la capacité de travail des personnes assurées par la caisse d’assurance maladie. Ceux-ci peuvent inclure des rapports concernant la santé des propres employés de MDK. Après avoir appris qu’un rapport le concernant avait été établi, un employé de MDK a demandé une indemnisation au titre de l’article 82 du RGPD.
L’arrêt de la CJUE
Dans son arrêt, la CJUE a statué que pour traiter des données personnelles sensibles dans le cadre du RGPD, il doit exister à la fois une base juridique au titre de l’article 6 du RGPD et une exception applicable au titre de l’article 9 du RGPD.
La CJUE a également estimé que les règles et limitations relatives au traitement des données personnelles sensibles en vertu de l’article 9.2(h) (qui autorise le traitement de données personnelles sensibles lorsque cela est nécessaire aux fins de la médecine préventive ou du travail, pour l’évaluation de la capacité de travail du salarié, le diagnostic médical, la fourniture de soins ou de traitements de santé ou sociaux ou la gestion de systèmes et services de santé ou de protection sociale) et l’article 9.3 du RGPD (qui prévoit que le traitement basé sur l’article 9.2 (h) du RGPD doit être effectué par ou sous la responsabilité d’un professionnel soumis à l’obligation du secret professionnel) sont également applicables à une situation dans laquelle un prestataire de services médicaux traite des données de santé de ses salariés en sa qualité de prestataire de services médicaux pour évaluer leur capacité de travail. En d’autres termes, le prestataire de services médicaux pourrait s’appuyer sur l’article 9.2 (h) du RGPD pour traiter les données de santé de ses salariés. La CJUE a également précisé que l’article 9.3 du RGPD n’exige pas, en soi, que le responsable du traitement établisse des restrictions spécifiques concernant la capacité des collègues de travail à accéder aux données de santé d’un employé.
Interprétant l’article 82 du RGPD, la CJUE a considéré que le RGPD instaure un système de responsabilité pour faute dans lequel la faute du responsable du traitement est présumée, à moins qu’il ne soit en mesure de prouver qu’il n’est en aucune manière responsable de l’événement donnant à la hauteur des dégâts. Sur la nature de l’indemnisation due à la personne concernée au titre de l’article 82 du RGPD, la CJUE a précisé qu’elle est de nature purement compensatoire, et non punitive.
Lisez le jugement.