Document public
Titre : | Arrêt relatif à la protection des données personnelles en matière de santé pour les employés |
Auteurs : | Cour de justice de l'Union européenne (CJUE), Auteur |
Type de document : | Jurisprudences |
Année de publication : | 21/12/2023 |
Numéro de décision ou d'affaire : | C‑667/21 |
Langues: | Français |
Mots-clés : |
[Géographie] Allemagne [Mots-clés] Droit européen [Mots-clés] Technologies du numérique [Mots-clés] Données personnelles [Mots-clés] Santé - soins [Mots-clés] Emploi [Mots-clés] Médecine [Mots-clés] Assurance maladie [Mots-clés] Examen médical |
Résumé : |
L'article 9, § 2, sous h), du règlement UE 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que : l'exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l'un de ses employés en qualité non pas d'employeur, mais de service médical, afin d'apprécier la capacité de travail de cet employé, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par le paragraphe 3 dudit article 9.
L'article 9, § 3, du règlement UE 2016/679 doit être interprété en ce sens que : le responsable d'un traitement de données concernant la santé, fondé sur l'article 9, § 2, sous h), de ce règlement, n'est pas tenu, en vertu de ces dispositions, de garantir qu'aucun collègue de la personne concernée ne peut accéder aux données se rapportant à l'état de santé de celle-ci. Toutefois, une telle obligation peut s'imposer au responsable d'un tel traitement soit en vertu d'une réglementation adoptée par un État membre sur la base de l'article 9, § 4, dudit règlement, soit au titre des principes d'intégrité et de confidentialité énoncés à l'article 5, § 1, sous f), du même règlement et concrétisés à l'article 32, § 1, sous a) et b), de celui-ci. L'article 9, § 2, sous h), et l'article 6, § 1, du règlement UE 2016/679 doivent être interprétés en ce sens que : un traitement de données concernant la santé fondé sur cette première disposition doit, afin d'être licite, non seulement respecter les exigences découlant de celle-ci, mais aussi remplir au moins l'une des conditions de licéité énoncées à cet article 6, § 1. L'article 82, § 1, du règlement UE 2016/679 doit être interprété en ce sens que : le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu'une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive. L'article 82 du règlement UE 2016/679 doit être interprété en ce sens que : d'une part, l'engagement de la responsabilité du responsable du traitement est subordonné à l'existence d'une faute commise par celui-ci, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d'autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages-intérêts alloués en réparation d'un préjudice moral sur le fondement de cette disposition. |
ECLI : | EU:C:2023:1022 |
Thématique Bulletin documentaire PDF : | Santé - Soins |
En ligne : | https://curia.europa.eu/juris/document/document.jsf?text=&docid=280768&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1044691 |