Blog Données personnelles
Arrêts de la CJUE sur les sanctions du RGPD : quelques précisions utiles sur les conditions d’application de l’article 83 du RGPD
Dans deux arrêts rendus le 5 décembre 2023, la Cour de Justice de l’Union européenne (« CJUE ») s’est prononcée sur l’interprétation de l’article 83 du Règlement européen sur la protection des données du 27 avril 2016 (« RGPD ») relatif aux amendes pouvant être infligées en cas de manquement au RGPD.
Les personnes morales s’exposent à des amendes administratives
Dans son premier arrêt [1] , la CJUE a été saisie par une juridiction allemande qui s’interrogeait sur la nécessité, afin d’imposer une amende administrative à une personne morale en sa qualité de responsable de traitement pour une violation du RGPD, que cette violation ait été imputée au préalable à une personne physique identifiée.
En effet, les dispositions de la législation allemande disposent qu’une amende administrative ne peut être infligée à une personne morale en sa qualité de responsable du traitement que pour autant que la violation a été imputée préalablement à une personne physique identifiée.
A ce sujet, la CJUE indique que l’article 83 doit être interprété en ce sens qu’il s’oppose à de telles dispositions d’une réglementation nationale.
Selon la CJUE, les personnes morales s’exposent donc à des amendes administratives même en l’absence d’un coupable physique identifié.
Dans le cas d’une société faisant partie d’un groupe, la CJUE précise également que l’amende doit dans ce cas être calculée sur la base du chiffre d’affaires mondial du groupe dans son ensemble.
Seules les violations commises de manière fautive par le responsable du traitement, délibérément ou par négligence, peuvent conduire à l’imposition d’une amende administrative
D’autre part, dans ce même arrêt, la CJUE était interrogée sur la possibilité de sanctionner un responsable de traitement sans qu’il soit établi que la violation du RGPD ait été commise de manière fautive, c’est-à-dire délibérément ou par négligence.
Selon la CJUE, aucune disposition du RGPD ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part.
Ainsi, la CJUE indique qu’au regard de l’article 83 du RGPD, seules les violations des dispositions de ce règlement commises de manière fautive par le responsable du traitement, à savoir celles commises délibérément ou par négligence, peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de cet article.
Une amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données personnelles effectuées par un sous-traitant pour son compte
Dans le deuxième arrêt [2] , la CJUE était saisie par une juridiction lituanienne de plusieurs questions dont une relative à l’interprétation de l’article 83 du RGPD en cas de traitements de données personnelles non autorisés réalisés par le sous-traitant du responsable de traitement.
A ce sujet, la CJUE indique qu’un responsable du traitement est responsable non seulement pour tout traitement de données personnelles qu’il effectue lui-même, mais également pour les traitements réalisés pour son compte.
A ce titre, le responsable de traitement peut donc se voir imposer une amende administrative dans une situation où des données personnelles font l’objet d’un traitement illicite par son sous-traitant.
Cependant, la responsabilité du responsable du traitement pour le comportement d’un sous-traitant ne saurait s’étendre aux situations dans lesquelles :
- le sous-traitant a traité des données personnelles pour des finalités qui lui sont propres ou
- de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou
- d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti.
Au regard de ces éléments, la CJUE considère donc que l’article 83 du RGPD doit être interprété en ce sens qu’en principe, une amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données personnelles effectuées par un sous-traitant pour le compte de celui-ci.
Cependant, une amende ne saurait lui être imposée dans la mesure où le sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou de manière incompatible avec les instructions déterminées par le responsable du traitement. Le responsable de traitement ne saurait non plus se voir infliger une amende administrative dans la mesure où le sous-traitant a traité les données personnelles d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti.
[1] https://curia.europa.eu/juris/document/document.jsf?text=&docid=280325&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=4556377
[2] https://curia.europa.eu/juris/document/document.jsf?text=&docid=280324&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=4553379