Dans les arrêts du 5 décembre 2023 rendus dans les affaires C-683/21 Nacionalinis visuomenės sveikatos centras et C-807/21 Deutsche Wohnen, la Cour de justice de l’Union européenne a jugé que seule une violation fautive du règlement général sur la protection des données (ci-après : le « RGPD ») peut conduire à l’imposition d’une amende administrative.
Dans l’affaire Nacionalinis visuomenės sveikatos centras, le Centre national de santé publique auprès du ministère de la Santé lithuanien a contesté, devant une juridiction lithuanienne, une amende d’un montant de 12 000 euros qu’il s’est vu infliger dans le contexte de la création d’une application mobile aux fins de l’enregistrement et du suivi des données des personnes exposées au Covid-19. Dans l’affaire Deutsche Wohnen, la société immobilière a contesté, devant une juridiction allemande, une amende d’un montant de plus de 14 millions d’euros qui lui a été infligée pour avoir sauvegardé les données à caractère personnel des locataires plus longtemps que nécessaire. Les juridictions lithuanienne et allemande ont décidé de sursoir à statuer et de demander la Cour de justice, par le biais d’un renvoi préjudiciel sur la base de l’article 267 TFUE, de préciser les conditions dans lesquelles les autorités de contrôle nationales peuvent infliger des amendes administratives pour violation du RGPD.
En premier lieu, la Cour de justice a indiqué qu’il ressortait de l’article 83, paragraphe 1, du RGPD que les amendes administratives imposées par des autorités nationales de contrôle pour violation de ce règlement devaient être « effectives, proportionnées et dissuasives ». En revanche, cette disposition ne précise pas expressément qu’une telle violation ne peut être sanctionnée par une telle amende que si elle a été commise délibérément ou, à tout le moins, par négligence. Contrairement aux arguments avancés par certains gouvernements et le Conseil de l’Union européenne, pour la Cour de justice, rien dans le libellé de l’article 83 du RGPD ne permet de considérer que le législateur de l’Union aurait entendu laisser une marge d’appréciation aux États membres en ce qui concerne les conditions de fond devant être respectées par une autorité de contrôle lorsque celle-ci décide d’imposer une amende administrative pour violation du RGPD, visée à l’article 83 dudit règlement. Ces conditions relèvent dès lors uniquement du droit de l’Union.
Afin de déterminer ces conditions, la Cour de justice a examiné l’économie générale et la finalité du RGPD, ainsi que les éléments dont les autorités de contrôle doivent tenir compte dans l’imposition d’une amende administrative, prévus à l’article 83, paragraphe 2, du RGPD, parmi lesquels figurent « le fait que la violation a été commise délibérément ou par négligence ». Sur la base de ces indices, la Cour de justice a conclu qu’un responsable du traitement des données ne peut se voir infliger une amende administrative pour violation du RGPD que si cette violation a été́ commise de manière fautive, c’est-à-dire délibérément ou par négligence. Pour la Cour de justice, tel est le cas dès lors que le responsable du traitement ne pouvait ignorer le caractère infractionnel de son comportement, c’est qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD.
Il ressort des précisions apportées par la Cour de justice dans les affaires commentées qu’une personne morale est responsable tant des violations commises par ses représentants, directeurs ou gestionnaires que de celles commises par toute autre personne qui agit dans le cadre de son activité́ commerciale et pour son compte. De plus, un responsable du traitement peut se voir infliger une amende également pour des opérations effectuées par un sous-traitant, pour autant que ces opérations peuvent être imputées au responsable du traitement. Les deux décisions de la Cour de justice démontrent ainsi la nécessité pour les responsables du traitement des données de faire tout leur possible pour s'assurer que les politiques de protection des données et les mesures de conformité sont à jour et conformes aux orientations réglementaires, aux décisions des autorités de contrôle et à la jurisprudence de la Cour de justice.
Reproduction autorisée avec la référence suivante : Mateusz Miłek, Imposition d’amendes administratives pour violation du RGPD, actualité n° 43/2023, publiée le 20 décembre 2023, par le Centre d’études juridiques européennes, disponible sur www.ceje.ch