Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium v Minister des Hessischen Kultusministeriums als Dienststellenleiter.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• ECLI: ECLI:EU:C:2023:270
• Docket Number: C-34/21
• Celex Number: 62021CJ0034
• Date: 30 March 2023

ARRÊT DE LA COUR (première chambre)

30 mars 2023 ( *1 )

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 88, paragraphes 1 et 2 – Traitement de données dans le cadre des relations de travail – Système scolaire régional – Enseignement par vidéoconférence en raison de la pandémie de COVID-19 – Mise en œuvre sans le consentement exprès des enseignants »

Dans l’affaire C‑34/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), par décision du 20 décembre 2020, parvenue à la Cour le 20 janvier 2021, dans la procédure

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

contre

Minister des Hessischen Kultusministeriums,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, M. K. Lenaerts, président de la Cour, M. L. Bay Larsen, vice-président de la Cour, faisant fonction de juges de la première chambre, M. A. Kumin et Mme I. Ziemele (rapporteure), juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : Mme S. Beer, administratrice,

vu la procédure écrite et à la suite de l’audience du 30 juin 2022,

considérant les observations présentées :

– pour le Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium, par Me J. Kolter, Rechtsanwalt,

– pour le Minister des Hessischen Kultusministeriums, par M. C. Meinert,

– pour le gouvernement allemand, par MM. J. Möller et D. Klebs, en qualité d’agents,

– pour le gouvernement autrichien, par M. G. Kunnert et Mme J. Schmoll, en qualité d’agents,

– pour le gouvernement roumain, par Mmes E. Gane et A. Wellman, en qualité d’agents,

– pour la Commission européenne, par MM. F. Erlbacher, H. Kranenborg et D. Nardi, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 22 septembre 2022,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 88, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige entre le Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (comité principal du personnel des enseignants auprès du ministère de l’Éducation et de la Culture du Land de Hesse, Allemagne) et le Minister des Hessischen Kultusministeriums (ministre de l’Éducation et de la Culture du Land de Hesse, Allemagne) au sujet de la légalité d’un système de diffusion en direct des cours par vidéoconférence mis en place dans les écoles du Land de Hesse (Allemagne) sans que le consentement préalable des enseignants concernés soit prévu.

Le cadre juridique

Le droit de l’Union

La directive 95/46/CE

3 La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), a été abrogée, avec effet au 25 mai 2018, par le RGPD. L’article 3 de cette directive, intitulé « Champ d’application », était libellé comme suit : « 1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. La présente directive ne s’applique pas au traitement de données à caractère personnel : – mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité [UE, dans sa version antérieure au traité de Lisbonne], et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal, [...] »

Le RGPD

4 Les considérants 8 à 10, 13, 16, 45 et 155 du RGPD énoncent : « (8) Lorsque le présent règlement dispose que le droit d’un État membre peut apporter des précisions ou des limitations aux règles qu’il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent. (9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive [95/46] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive [95/46]. (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive [95/46], il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci-après dénommées “données sensibles”). À cet égard, le présent règlement n’exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite. [...] (13) Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques [...], pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l’Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. [...] [...] (16) Le présent règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union. [...] (45) Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement...