Pour gérer vos consentements :

RGPD : la CJUE circonscrit le périmètre des amendes

Publié par Clément Bohic le - mis à jour à

La CJUE considère que seule une violation fautive - et non simplement objective - du RGPD peut entraîner une amende administrative.

Est-il nécessaire d'établir le caractère fautif d'une violation du RGPD pour infliger une amende administrative à un responsable du traitement qui est à la fois une personne morale et une entreprise ?

La Cour de justice de l'Union européenne vient de se prononcer en ce sens. Une simple violation objective ne suffit pas à imposer une telle sanction, considère-t-elle.

Son arrêt du 5 décembre 2023 s'inscrit dans un dossier impliquant la société immobilière allemande Deutsche Wohnen. La CNIL berlinoise l'avait épinglée après un contrôle en juin 2017. Motif : la sauvegarde de données personnelles de locataires dans un système d'archivage électronique qui ne permettait pas, d'une part, de vérifier si la sauvegarde était nécessaire. Et d'autre part, de garantir l'effacement des données dont il n'y avait plus besoin.

La régime de responsabilité directe mis en doute

Prié de supprimer lesdites données pour fin 2017, Deutsche Wohnen avait déclaré que ce n'était pas possible, pour raisons techniques et juridiques. La société s'était toutefois engagée à changer de système de sauvegarde.

En mars 2019, nouveau contrôle. On informe l'autorité locale de la mise hors service du système en question. La migration vers le nouveau système est imminente, lui annonce-t-on par ailleurs. En octobre de la même année, elle prononce finalement une amende de 14,385 M€. Entre autres motifs, l'omission délibérée, depuis l'entrée en application du RGPD (25 mai 2018), de prendre les mesures nécessaires pour permettre l'effacement régulier des données personnelles n'étant plus nécessaires ou sauvegardées de manière erronée.

En appel, le tribunal régional de Berlin avait classé la procédure sans suite, en raison d'une décision qu'il estimait entachée de défauts graves. Et de pointer, en particulier, des dispositions de la loi fédérale sur la protection des données empêchant de constater une infraction administrative à l'encontre d'une personne morale. On ne pourrait imputer à cette dernière que les actes des membres de ses organes ou ceux de ses représentants.

La CJUE prône une application homogène du RGPD

Le parquet de Berlin avait formé un recours devant le tribunal régional supérieur de ce même land. Celui-ci avait sursis à statuer, se tournant vers la CJUE avec deux questions. La première portait sur les dispositions sus-évoquées... et leur contradiction apparente avec le régime de responsabilité directe des entreprises prévu à l'article 83 du RGPD. La deuxième en découlait : s'il est effectivement possible d'imposer une amende administrative directement à une personne morale, alors quels critères appliquer afin d'établir sa responsabilité pour violation du RGPD ?

Ayant validé le régime de responsabilité directe, le CJUE a embrayé sur l'article 83.

Celui-ci ne précise pas expressément que les violations visées aux paragraphes 4 à 6 du RGPD (« Définitions », « Principes relatifs au traitement des données à caractère personnel », « Licéité du traitement ») ne peuvent être sanctionnées qu'en cas de commission délibrée ou par négligence.

Son paragraphe 2, en revanche, liste « le fait que la violation a été commise délibérément ou par négligence » comme un des éléments au vu desquels l'autorité de contrôle impose une amende. En parallèle, rien ne fait état d'une possibilité d'engager la responsabilité en l'absence de comportement fautif.

L'économie générale et la finalité du RGPD corroborent cette lecture, précise la CJUE. Et d'ajouter :

À consulter en complément :

Les « sanctions RGPD » que la CNIL a prononcées en 2023
RGPD : du changement dans l'attestation de conformité
Applications mobiles : ce que la CNIL réserve aux développeurs

Illustration © portalgda via Visualhunt / CC BY-NC-SA

La rédaction vous recommande