La Cour de justice de l’Union européenne, par un arrêt du 21 décembre 2023, précise les conditions de traitement des données de santé par un employeur. Un informaticien travaillant pour un organisme de contrôle médical est placé en incapacité de travail puis perçoit des indemnités d’une caisse d’assurance maladie. Cette caisse demande à l’employeur, agissant comme service médical, de réaliser une expertise afin de lever les doutes sur l’incapacité du salarié. Le rapport d’expertise est consulté par une collègue du service informatique, ce qui pousse l’intéressé à solliciter une indemnisation pour traitement illicite de données. Le Tribunal du travail de Düsseldorf rejette la demande le 25 mai 2020, décision confirmée par le Tribunal supérieur du travail de Düsseldorf par la suite. Saisie d’un recours en révision, la Cour fédérale du travail interroge la juridiction européenne sur la licéité de ce traitement et le régime de responsabilité. Le juge européen doit déterminer si l’exception prévue pour l’appréciation de la capacité de travail s’applique lorsque le responsable du traitement est aussi l’employeur. La Cour de justice répond par l’affirmative, tout en conditionnant la licéité au respect des principes de sécurité et à une responsabilité pour faute présumée. Cette analyse portera d’abord sur la validation du traitement de données sensibles par l’employeur-médecin avant d’étudier le régime d’indemnisation fondé sur une fonction compensatoire.
I. L’admission d’un traitement de données sensibles par l’employeur-médecin
A. La validité de la dérogation relative à l’appréciation de la capacité de travail
Le principe d’interdiction de traitement des données concernant la santé connaît une exception notable pour l’évaluation médicale de l’aptitude des travailleurs au sein du règlement. La Cour affirme que « l’exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé ». Cette possibilité demeure toutefois subordonnée au respect strict de l’obligation de secret professionnel pesant sur les personnes habilitées à manipuler ces informations particulièrement protégées. Le juge européen refuse d’ajouter une condition de neutralité tierce qui ne figure pas explicitement dans le texte, préservant ainsi l’effet utile des missions médicales. Le traitement doit néanmoins s’appuyer simultanément sur l’une des conditions de licéité prévues pour tout traitement de données à caractère personnel par les textes européens.
B. L’encadrement par les principes d’intégrité et de confidentialité
Le responsable du traitement est tenu de mettre en œuvre des mesures techniques appropriées pour garantir un niveau de sécurité adapté aux risques encourus par l’intéressé. Le règlement n’impose pas systématiquement d’interdire l’accès aux données par les collègues, sauf si une réglementation nationale spécifique ou les principes de sécurité l’exigent. La Cour souligne que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité ». Il incombe donc aux juridictions nationales de vérifier si l’organisation informatique permettait effectivement de prévenir des consultations non autorisées ou abusives dans le cadre professionnel. Cette exigence de sécurité concrétise les principes de transparence et de loyauté, assurant ainsi un équilibre entre les prérogatives de l’employeur et les droits fondamentaux.
II. La mise en œuvre d’une responsabilité pour faute à visée réparatrice
A. La consécration d’un régime de responsabilité pour faute présumée
L’engagement de la responsabilité du responsable du traitement exige la réunion d’une violation, d’un dommage et d’un lien de causalité certain entre ces deux éléments. Le juge précise que l’article 82 instaure « un régime de responsabilité pour faute dans lequel la charge de la preuve pèse sur le responsable du traitement ». Cette présomption de faute permet de protéger efficacement la personne concernée, qui n’a pas à démontrer la négligence ou l’intention malveillante de son employeur. Le responsable ne peut s’exonérer qu’en prouvant que le fait générateur du dommage ne lui est nullement imputable, ce qui renforce l’effectivité du droit. Ce choix jurisprudentiel assure une protection élevée des données tout en évitant une responsabilité automatique qui pèserait trop lourdement sur le développement de l’économie numérique.
B. L’exclusion de la fonction punitive au profit de la compensation intégrale
Le droit à réparation prévu par le règlement européen vise exclusivement à compenser le préjudice matériel ou moral réellement subi par la victime de la violation. La Cour énonce que cette réparation doit être « complète et effective » sans qu’il soit nécessaire d’imposer le versement de dommages-intérêts punitifs ou dissuasifs. La gravité de la faute commise par l’organisme ne doit pas influencer le montant de l’indemnité, car seule l’ampleur du dommage concrètement démontré importe. Une telle approche unifie les modalités d’indemnisation au sein de l’Union tout en respectant le principe d’autonomie procédurale des États membres pour l’évaluation pécuniaire. Cette solution confirme que la fonction de la responsabilité civile en matière de données reste strictement indemnitaire, distinguant ainsi la réparation civile des sanctions administratives.
