La Cour de justice de l’Union européenne, par un arrêt du 30 mars 2023, précise l’articulation entre le droit européen et les législations nationales protectrices. Cette décision intervient lors de la mise en œuvre de dispositifs de vidéoconférence pour l’enseignement scolaire pendant la crise sanitaire. Un ministère régional avait instauré la diffusion en direct des cours sans solliciter le consentement préalable des enseignants concernés. Un organe de représentation du personnel a contesté cette mesure devant le tribunal administratif de Wiesbaden. Le litige opposait la thèse de la nécessité du traitement à celle d’une protection renforcée découlant du droit de l’Union. Le juge de renvoi s’interrogeait sur la validité d’une norme interne ne reprenant que les principes généraux du règlement européen sans spécificités protectrices. La question posée porte sur l’interprétation de l’article 88 du règlement général sur la protection des données quant aux conditions de validité des règles dérogatoires. La Cour affirme qu’une réglementation étatique ne constitue une règle plus spécifique que si elle respecte les exigences de protection prévues par l’Union. L’analyse portera d’abord sur l’encadrement strict des dérogations nationales avant d’étudier les conséquences de l’invalidité de ces normes sur le fondement de la primauté.
I. L’encadrement strict des dérogations nationales relatives aux données des employés
A. L’exigence d’un contenu normatif propre et distinct
Le règlement général sur la protection des données autorise les États membres à prévoir des règles plus précises pour les relations de travail. La Cour souligne que ces dispositions doivent avoir un « contenu normatif propre au domaine réglementé et distinct des règles générales de ce règlement ». Une simple réitération des conditions de licéité déjà présentes dans le texte européen ne saurait suffire à fonder une dérogation valable. Les autorités nationales doivent exercer leur marge d’appréciation dans les limites prescrites afin de ne pas porter atteinte aux objectifs de l’Union. La volonté d’harmonisation complète de la protection des données limite ainsi la liberté des législateurs étatiques dans la rédaction de normes sectorielles.
B. L’obligation d’intégrer des garanties protectrices spécifiques
L’article 88, paragraphe 2, du règlement impose l’adoption de mesures concrètes pour protéger la dignité humaine et les droits fondamentaux des personnes concernées. Ces règles doivent accorder une « attention particulière à la transparence du traitement » ainsi qu’aux systèmes de contrôle mis en place sur le lieu de travail. La juridiction européenne estime que ces exigences encadrent impérativement la marge d’appréciation laissée aux États membres par la clause d’ouverture. L’absence de telles garanties dans une loi nationale prive cette dernière de sa qualification de règle plus spécifique au sens du droit européen. Cette rigueur assure que le défaut d’harmonisation s’accompagne toujours d’un niveau de protection substantiel pour les travailleurs.
II. La primauté du règlement européen en l’absence de règles spécifiques valides
A. L’inapplication nécessaire des dispositions nationales non conformes
Le principe de primauté impose aux juges nationaux de laisser inappliquée toute norme interne contraire aux dispositions directement applicables d’un règlement de l’Union. Lorsqu’une législation étatique méconnaît les limites fixées par l’article 88, elle ne peut plus servir de base juridique autonome au traitement des données. La Cour précise que l’application de telles dispositions doit être écartée pour garantir l’effet utile du droit européen au sein des ordres juridiques. Cette sanction juridique rétablit l’unité du marché intérieur de la donnée tout en empêchant des pratiques administratives insuffisamment encadrées par la loi. Le juge national devient le garant de la pleine application du cadre protecteur européen face aux carences du législateur interne.
B. Le recours subsidiaire aux bases légales générales du règlement
L’éviction de la loi nationale défectueuse ne prive pas le responsable du traitement de tout fondement juridique pour agir. Le traitement des données reste régi directement par les dispositions générales du règlement et l’article 6 relatif à la licéité. La Cour rappelle que la mesure peut être licite si elle est « nécessaire à l’exécution d’une mission d’intérêt public » ou de l’autorité publique. Il appartient néanmoins à la juridiction nationale de vérifier si la loi interne peut constituer une base juridique valide au sens de cet article. Cette vérification exige que la norme nationale respecte les conditions de clarté et de précision requises par le droit de l’Union européenne. La protection des agents publics est assurée par un retour aux principes fondamentaux de nécessité et de proportionnalité du traitement.
