Est-il nécessaire d’établir le caractère fautif d’une violation du RGPD pour infliger une amende administrative à un responsable du traitement qui est à la fois une personne morale et une entreprise ?
La Cour de justice de l’Union européenne vient de se prononcer en ce sens. Une simple violation objective ne suffit pas à imposer une telle sanction, considère-t-elle.
Son arrêt du 5 décembre 2023 s’inscrit dans un dossier impliquant la société immobilière allemande Deutsche Wohnen. La CNIL berlinoise l’avait épinglée après un contrôle en juin 2017. Motif : la sauvegarde de données personnelles de locataires dans un système d’archivage électronique qui ne permettait pas, d’une part, de vérifier si la sauvegarde était nécessaire. Et d’autre part, de garantir l’effacement des données dont il n’y avait plus besoin.
Prié de supprimer lesdites données pour fin 2017, Deutsche Wohnen avait déclaré que ce n’était pas possible, pour raisons techniques et juridiques. La société s’était toutefois engagée à changer de système de sauvegarde.
En mars 2019, nouveau contrôle. On informe l’autorité locale de la mise hors service du système en question. La migration vers le nouveau système est imminente, lui annonce-t-on par ailleurs. En octobre de la même année, elle prononce finalement une amende de 14,385 M€. Entre autres motifs, l’omission délibérée, depuis l’entrée en application du RGPD (25 mai 2018), de prendre les mesures nécessaires pour permettre l’effacement régulier des données personnelles n’étant plus nécessaires ou sauvegardées de manière erronée.
En appel, le tribunal régional de Berlin avait classé la procédure sans suite, en raison d’une décision qu’il estimait entachée de défauts graves. Et de pointer, en particulier, des dispositions de la loi fédérale sur la protection des données empêchant de constater une infraction administrative à l’encontre d’une personne morale. On ne pourrait imputer à cette dernière que les actes des membres de ses organes ou ceux de ses représentants.
Le parquet de Berlin avait formé un recours devant le tribunal régional supérieur de ce même land. Celui-ci avait sursis à statuer, se tournant vers la CJUE avec deux questions. La première portait sur les dispositions sus-évoquées… et leur contradiction apparente avec le régime de responsabilité directe des entreprises prévu à l’article 83 du RGPD. La deuxième en découlait : s’il est effectivement possible d’imposer une amende administrative directement à une personne morale, alors quels critères appliquer afin d’établir sa responsabilité pour violation du RGPD ?
Ayant validé le régime de responsabilité directe, le CJUE a embrayé sur l’article 83.
Celui-ci ne précise pas expressément que les violations visées aux paragraphes 4 à 6 du RGPD (« Définitions », « Principes relatifs au traitement des données à caractère personnel », « Licéité du traitement ») ne peuvent être sanctionnées qu’en cas de commission délibrée ou par négligence.
Son paragraphe 2, en revanche, liste « le fait que la violation a été commise délibérément ou par négligence » comme un des éléments au vu desquels l’autorité de contrôle impose une amende. En parallèle, rien ne fait état d’une possibilité d’engager la responsabilité en l’absence de comportement fautif.
L’économie générale et la finalité du RGPD corroborent cette lecture, précise la CJUE. Et d’ajouter :
Compte tenu du fait que le RGPD vise un niveau de protection à la fois équivalent et homogène et qu’il doit, à cette fin, être appliqué de manière cohérente dans l’ensemble de l’Union, il serait contraire à cette finalité de permettre aux États membres de prévoir un tel régime pour l’imposition d’une amende en application de l’article 83 de ce règlement. Une telle liberté de choix serait, en outre, de nature à fausser la concurrence entre les opérateurs économiques au sein de l’Union, ce qui irait à l’encontre des objectifs exprimés par le législateur de l’Union, notamment, aux considérants 9 et 13 dudit règlement.
À consulter en complément :
Les « sanctions RGPD » que la CNIL a prononcées en 2023
RGPD : du changement dans l’attestation de conformité
Applications mobiles : ce que la CNIL réserve aux développeurs
Illustration © portalgda via Visualhunt / CC BY-NC-SA
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…