La diffusion en direct par vidéoconférence des cours d’enseignement scolaire public tombe sous le coup du RGPD, vient de poser la CJUE.
NB : ce qui suit reprend, en le modifiant, le communiqué détaillé de la CJUE.
Par deux actes adoptés au cours de l’année 2020, le ministre de l’Éducation et de la Culture du Land de Hesse (Allemagne) a fixé le cadre juridique et organisationnel de l’enseignement scolaire pendant la période de pandémie de Covid-19, aménageant notamment la possibilité pour les élèves qui ne pouvaient être présents en classe d’assister en direct aux cours par vidéoconférence. Afin de préserver les droits des élèves en matière de protection des données à caractère personnel, il a été établi que la connexion au service de vidéoconférence ne serait autorisée qu’avec le consentement des élèves eux-mêmes ou, en cas de minorité de ceux-ci, avec celui de leurs parents. En revanche, le consentement des enseignants concernés à leur participation à ce service n’a pas été prévu.
Se plaignant du fait que la diffusion en direct des cours par vidéoconférence, telle qu’aménagée par la réglementation nationale, n’était pas subordonnée à la condition du consentement des enseignants concernés, le comité principal du personnel des enseignants auprès du ministère de l’Éducation et de la Culture du Land de Hesse a introduit un recours contre le ministre en charge de ces questions. Ce dernier a fait valoir que le traitement des données à caractère personnel que constitue la diffusion en direct des cours par vidéoconférence était couvert par la réglementation nationale, de telle sorte qu’il pouvait être effectué sans que soit demandé le consentement des enseignants concernés.
La juridiction administrative saisie a indiqué que, conformément à la volonté du législateur du Land de Hesse, la réglementation nationale, sur le fondement de laquelle le traitement des données à caractère personnel des enseignants est effectué, relève de la catégorie des « règles plus spécifiques » que les États membres peuvent prévoir, conformément à l’article 88, paragraphe 1, du règlement général sur la protection des données (Règlement [UE] 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, ci-après le « RGPD »), pour assurer la protection des droits et des libertés des employés en ce qui concerne le traitement de leurs données à caractère personnel dans le cadre de relations de travail.
Cependant, cette juridiction a nourri des doutes sur la compatibilité de cette réglementation avec les conditions posées par l’article 88, paragraphe 2, du RGPD. Elle a donc saisi la CJUE à titre préjudiciel.
Par son arrêt, rendu ce jour, ladite CJUE juge qu’une réglementation nationale ne peut constituer une « règle plus spécifique », au sens de l’article 88, paragraphe 1, du RGPD, dans le cas où elle ne remplit pas les conditions posées au paragraphe 2 de cet article.
En outre, la Cour précise que l’application de dispositions nationales prises pour assurer la protection des droits et des libertés des employés en ce qui concerne le traitement de leurs données à caractère personnel dans le cadre des relations de travail doit être écartée lorsque ces dispositions ne respectent pas les conditions et les limites prescrites par cet article 88, paragraphes 1 et 2, du RGPD, à moins que les dispositions en cause constituent une base juridique pour le traitement, visée à un autre article du RGPD qui respecte les exigences prévues par celui-ci.
Au préalable, la Cour considère que le traitement des données à caractère personnel d’enseignants, à l’occasion de la diffusion en direct par vidéoconférence des cours d’enseignement public qu’ils délivrent, relève du champ d’application matériel du RGPD. Elle précise, ensuite, que ce traitement des données à caractère personnel d’enseignants qui, en tant qu’employés ou fonctionnaires, relèvent du service public du Land de Hesse, entre dans le champ d’application personnel de l’article 88 du RGPD qui vise le traitement des données à caractère personnel des employés dans le cadre des relations de travail.
Dans un premier temps, la Cour se penche sur la question de savoir si une « règle plus spécifique » au sens de l’article 88, paragraphe 1, du RGPD doit remplir les conditions posées par le paragraphe 2 de cet article. Selon la Cour, il ressort de l’emploi des termes « plus spécifiques » dans le libellé de l’article 88, paragraphe 1, du RGPD, que les règles visées par cette disposition doivent avoir un contenu normatif propre au domaine réglementé et distinct des règles générales de ce règlement. Il ressort également du libellé de l’article 88 du RGPD que le paragraphe 2 de cet article encadre la marge d’appréciation des États membres qui souhaitent adopter des « règles plus spécifiques » en vertu du paragraphe 1 de cet article. Ainsi, la Cour considère, d’une part, que ces règles ne sauraient se limiter à réitérer les dispositions de ce règlement prévoyant les conditions de licéité du traitement des données à caractère personnel ainsi que les principes de ce traitement ou à renvoyer à ces conditions et principes. Ces règles doivent viser la protection des droits et des libertés des employés en ce qui concerne le traitement de leurs données et comporter des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées. D’autre part, une attention particulière doit être accordée à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises ou d’un groupe d’entreprises engagées dans une activité économique conjointe, ainsi qu’aux systèmes de contrôle sur le lieu de travail. Par conséquent, afin de pouvoir être qualifiée de « règle plus spécifique », au sens de l’article 88, paragraphe 1, du RGPD, une règle de droit doit remplir les conditions posées par le paragraphe 2 de cet article.
Dans un second temps, la Cour précise les conséquences qu’il convient de tirer d’un constat d’incompatibilité des dispositions nationales en cause avec les conditions et les limites prévues à l’article 88, paragraphes 1 et 2, du RGPD.
Ainsi, la Cour rappelle qu’il appartient à la juridiction de renvoi, seule compétente pour interpréter le droit national, d’apprécier si les dispositions nationales en cause respectent les conditions et les limites prescrites par l’article 88 du RGPD. Toutefois, la Cour relève que ces dispositions nationales, qui subordonnent le traitement des données à caractère personnel des employés à la condition que ce traitement soit nécessaire à certaines fins liées à l’exécution d’une relation de travail, semblent réitérer la condition de licéité générale déjà énoncée par le RGPD, sans ajouter une règle plus spécifique au sens de l’article 88, paragraphe 1, de ce règlement. Dans le cas où la juridiction de renvoi parviendrait au constat que ces dispositions nationales ne respectent pas les conditions et les limitesprescrites par l’article 88 du RGPD, il lui appartiendrait, en principe, de les laisser inappliquées. En effet, en vertu du principe de primauté du droit de l’Union, en l’absence de règles plus spécifiques qui respectent les conditions et les limites prescrites par l’article 88 du RGPD, le traitement de données à caractère personnel dans le cadre des relations de travail, tant dans le secteur privé que public, est directement régi par les dispositions de ce règlement.
À cet égard, la Cour relève que sont susceptibles de s’appliquer à un traitement de données à caractère personnel, tel que celui en l’espèce, d’autres dispositions du RGPD, en vertu desquelles le traitement de données à caractère personnel est licite lorsque celui-ci est nécessaire, respectivement, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou au respect d’une obligation légale à laquelle le responsable du traitement est soumis. À l’égard de ces deux hypothèses de licéité, le RGPD, d’une part, prévoit que le traitement doit être fondé sur le droit de l’Union ou sur le droit de l’État membre auquel le responsable du traitement est soumis et, d’autre part, ajoute que les finalités du traitement sont définies dans cette base juridique ou sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Par conséquent, lorsque la juridiction de renvoi parvient au constat que les dispositions nationales relatives au traitement des données à caractère personnel dans le cadre des relations de travail ne respectent pas les conditions et les limites prescrites par l’article 88, paragraphes 1 et 2, du RGPD, elle doit encore vérifier si ces dispositions constituent une base juridique pour le traitement, visée par un autre article du RGPD, qui respecte les exigences prévues par ce règlement. Si tel est le cas, l’application de ces dispositions nationales ne doit pas être écartée.
Source :
Vous devez être connecté pour poster un commentaire.