Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

L’autorité de contrôle est-elle obligée de sanctionner une violation du RGPD ?

Publié le par 288 vues

Face au nombre de violations potentielles et vu le rôle actif que des associations activistes prennent dans le dépôt de plaintes afin de faire respecter le règlement, les autorités sont parfois débordées. Doivent-elles agir pour chaque plainte ? En cas de violation avérée, peuvent-elles décider, en opportunité, de ne pas sanctionner dans certains cas ?

En Allemagne, une Caisse d’épargne a constaté que l’une de ses employés avait consulté à plusieurs reprises, sans y être habilitée, des données à caractère personnel d’un client.

La Caisse d’épargne n’en a pas informé ce dernier, car son délégué à la protection des données avait estimé qu’il n’y avait pas de risque élevé pour lui. En effet, l’employée avait confirmé par écrit qu’elle n’avait ni copié ni conservé les données, qu’elle ne les avait pas transmises à des tiers et qu’elle ne le ferait pas à l’avenir. De plus, la Caisse d’épargne avait pris des mesures disciplinaires contre elle.

La Caisse d’épargne a tout de même notifié cette violation au commissaire à la protection des données du Land.

Après avoir pris incidemment connaissance de cet incident, le client a introduit une réclamation auprès de ce commissaire à la protection des données. Ayant entendu la Caisse d’épargne, le commissaire à la protection des données a informé le client qu’il n’estimait pas nécessaire de prendre des mesures correctrices à l’égard de la Caisse d’épargne.

Le client a alors introduit un recours devant une juridiction allemande, en lui demandant d’enjoindre au commissaire à la protection des données d’intervenir contre la Caisse d’épargne et, en particulier, de lui infliger une amende.

La juridiction allemande a demandé à la Cour de justice d’interpréter le règlement général sur la protection des données sur la question du « devoir d’agir ».

L’autorité a le devoir de traiter les plaintes

La Cour de justice commence par rappeler l’objectif : la procédure de réclamation (plainte à l’autorité) est conçue comme un « mécanisme apte à sauvegarder de manière efficace les droits et les intérêts des personnes concernées ».

Pour arriver à cet objectif, les autorités de contrôle ont reçu de nombreux pouvoirs, qui impliquent autant de responsabilités :

En tant de gardienne du RGPD, « chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, d’en examiner l’objet, dans la mesure nécessaire, et d’informer l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable. »

Il est précisé que « L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise », ce qui rejoint très largement les principes de bonne administration que le droit administratif connait déjà (sérieux, minutie, etc.).

Face à une violation, l’autorité est « tenue de réagir de manière appropriée afin de remédier à l’insuffisance constatée, toute mesure devant, comme le précise le considérant 129 dudit règlement, notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect dudit règlement, compte tenu des circonstances de l’espèce. »

On peut donc s’interroger sur la légalité du courrier standard que certaines autorités adressent au plaignant, l’informant qu’eu égard à sa charge de travail et à des moyens limités, l’autorité ne traite pas les plaintes considérées comme mineures. La pratique parait peu conciliable avec ce qui vient d’être jugé.

L’autorité a le droit de ne pas sanctionner

Si l’autorité a le devoir de traiter sérieusement la plainte, elle est cependant libre d’y donner la suite appropriée : « le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée », pour autant que soit « [garanti] un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles ».

Il n’y a donc aucune règle imposant à l’autorité de contrôle « d’adopter, dans tous les cas, lorsqu’elle constate une violation de données à caractère personnel, une mesure correctrice ».

L’avocat général était du même avis, écrivant en conclusions que « l’auteur d’une réclamation dont les droits ont été enfreints ne dispose pas d’un droit subjectif à voir l’autorité de contrôle imposer une amende administrative au responsable du traitement. »

Mais alors, quelle est la marge de manœuvre concrète de l’autorité qui, ayant constaté une violation, estimerait qu’il n’est pas nécessaire d’imposer une mesure correctrice en raison des circonstances ?

La Cour, fidèle à son habitude, se garde bien de s’enfermer dans un raisonnement trop étroit :

  • L’autorité de contrôle « est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices (…) est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement. »
  • Il n’est toutefois pas exclu que, « à titre exceptionnel et compte tenu des circonstances particulières du cas concret, l’autorité de contrôle puisse s’abstenir d’adopter une mesure correctrice bien qu’une violation de données à caractère personnel ait été constatée. »
  • Dans le choix de la mesure correctrice, l’autorité dispose d’une marge d’appréciation significative, l’autorité disposant d’un panel de mesures correctrices : du rappel à l’ordre à l’injonction de respecter les droits, en passant par la mise en conformité, l’imposition d’une amende administrative, etc.

En conclusion, on retiendra qu’en cas de constatation d’une violation de données à caractère personnel :

  • L’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, au titre de cet article 58, paragraphe 2, …
  • … Lorsqu’une telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

L’arrêt rendu et les conclusions de l’avocat général sont disponibles en annexe.

Droit & Technologies

Annexes

Conclusions avocat general

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK