Pour gérer vos consentements :

RGPD : la CJUE circonscrit le périmètre des amendes

Est-il nécessaire d’établir le caractère fautif d’une violation du RGPD pour infliger une amende administrative à un responsable du traitement qui est à la fois une personne morale et une entreprise ?

La Cour de justice de l’Union européenne vient de se prononcer en ce sens. Une simple violation objective ne suffit pas à imposer une telle sanction, considère-t-elle.

Son arrêt du 5 décembre 2023 s’inscrit dans un dossier impliquant la société immobilière allemande Deutsche Wohnen. La CNIL berlinoise l’avait épinglée après un contrôle en juin 2017. Motif : la sauvegarde de données personnelles de locataires dans un système d’archivage électronique qui ne permettait pas, d’une part, de vérifier si la sauvegarde était nécessaire. Et d’autre part, de garantir l’effacement des données dont il n’y avait plus besoin.

La régime de responsabilité directe mis en doute

Prié de supprimer lesdites données pour fin 2017, Deutsche Wohnen avait déclaré que ce n’était pas possible, pour raisons techniques et juridiques. La société s’était toutefois engagée à changer de système de sauvegarde.

En mars 2019, nouveau contrôle. On informe l’autorité locale de la mise hors service du système en question. La migration vers le nouveau système est imminente, lui annonce-t-on par ailleurs. En octobre de la même année, elle prononce finalement une amende de 14,385 M€. Entre autres motifs, l’omission délibérée, depuis l’entrée en application du RGPD (25 mai 2018), de prendre les mesures nécessaires pour permettre l’effacement régulier des données personnelles n’étant plus nécessaires ou sauvegardées de manière erronée.

En appel, le tribunal régional de Berlin avait classé la procédure sans suite, en raison d’une décision qu’il estimait entachée de défauts graves. Et de pointer, en particulier, des dispositions de la loi fédérale sur la protection des données empêchant de constater une infraction administrative à l’encontre d’une personne morale. On ne pourrait imputer à cette dernière que les actes des membres de ses organes ou ceux de ses représentants.

La CJUE prône une application homogène du RGPD

Le parquet de Berlin avait formé un recours devant le tribunal régional supérieur de ce même land. Celui-ci avait sursis à statuer, se tournant vers la CJUE avec deux questions. La première portait sur les dispositions sus-évoquées… et leur contradiction apparente avec le régime de responsabilité directe des entreprises prévu à l’article 83 du RGPD. La deuxième en découlait : s’il est effectivement possible d’imposer une amende administrative directement à une personne morale, alors quels critères appliquer afin d’établir sa responsabilité pour violation du RGPD ?

Ayant validé le régime de responsabilité directe, le CJUE a embrayé sur l’article 83.

Celui-ci ne précise pas expressément que les violations visées aux paragraphes 4 à 6 du RGPD (« Définitions », « Principes relatifs au traitement des données à caractère personnel », « Licéité du traitement ») ne peuvent être sanctionnées qu’en cas de commission délibrée ou par négligence.

Son paragraphe 2, en revanche, liste « le fait que la violation a été commise délibérément ou par négligence » comme un des éléments au vu desquels l’autorité de contrôle impose une amende. En parallèle, rien ne fait état d’une possibilité d’engager la responsabilité en l’absence de comportement fautif.

L’économie générale et la finalité du RGPD corroborent cette lecture, précise la CJUE. Et d’ajouter :

Compte tenu du fait que le RGPD vise un niveau de protection à la fois équivalent et homogène et qu’il doit, à cette fin, être appliqué de manière cohérente dans l’ensemble de l’Union, il serait contraire à cette finalité de permettre aux États membres de prévoir un tel régime pour l’imposition d’une amende en application de l’article 83 de ce règlement. Une telle liberté de choix serait, en outre, de nature à fausser la concurrence entre les opérateurs économiques au sein de l’Union, ce qui irait à l’encontre des objectifs exprimés par le législateur de l’Union, notamment, aux considérants 9 et 13 dudit règlement.

À consulter en complément :

Les « sanctions RGPD » que la CNIL a prononcées en 2023
RGPD : du changement dans l’attestation de conformité
Applications mobiles : ce que la CNIL réserve aux développeurs

Illustration © portalgda via Visualhunt / CC BY-NC-SA

Recent Posts

Science & Vie lance son Incubateur

Avis aux ingénieurs, inventeurs, startuppeurs...Lancé en partenariat avec l’INPI, l’accélérateur de startup 50partners, et les…

6 heures ago

À quoi s’attendre avec les PC Copilot+ ?

Les premiers « PC Copilot+ » arrivent sur le marché en juin. Tour d'horizon des…

7 heures ago

Slack défend sa politique d’exploitation de données

Attaqué sur son usage des données des clients pour l'entraînement d'IA, Slack tente de justifier…

14 heures ago

Ce qui change avec la version 2024 du référentiel d’écoconception de services numériques

Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…

1 jour ago

Microsoft x Mistral AI : l’Autorité britannique de la concurrence renonce à enquêter

Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…

1 jour ago

MFA obligatoire sur Azure : ce que prépare Microsoft

À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…

2 jours ago