RGPD : l’amende est réservée aux violations fautives du règlement
Publié le 12/12/2023 par Etienne Wery 1508 vues
La CJUE a rendu, en grande chambre, deux arrêts très importants concernant les amendes : l’article 83 du RGPD ne permet pas d’imposer une amende administrative pour une violation visée à ses paragraphes 4 à 6, sans qu’il soit établi que cette violation a été commise délibérément ou par négligence par le responsable du traitement. Dit autrement : une violation fautive constitue une condition à l’imposition d’une telle amende.
Ces arrêts ne devraient pas être très impactants pour les dossiers emblématiques (Facebook, Google, etc.), mais ils ôtent une sérieuse menace qui pesait sur les plus petits responsables de traitement, qui se retrouvent parfois impliqués dans des procédures très complexes et des amendes lourdes pour des comportements qui résultent d’une incompréhension de la matière et dont la gravité intrinsèque est très relative.
Les faits dans l’affaire CNSP
Les faits sont un peu compliqués mais en résumé :
- Lors de la crise COVID-19, le ministre Letton charge son administration (Centre National de la santé publique, CNSP) de développer une application de suivi des contacts ;
- C’est la société privée ITSS qui est chargée du développement ;
- L’application collecte de nombreuses informations, dont : le numéro d’identité, les coordonnées (latitude et longitude), le pays, la ville, la commune, le code postal, le nom de rue, le numéro de l’immeuble, le nom, le prénom, le code personnel, le numéro de téléphone, l’adresse, une deuxième adresse, si le lieu déclaré est en Lituanie, si la personne doit s’isoler, si elle s’est enregistrée, s’il apparaît qu’une photo est nécessaire, l’identifiant universel unique, l’identifiant d’utilisateur, quand le consentement a été donné, quand il a été créé, quand il a été modifié, quand la personne s’est enregistrée, quand une photo a été demandée, jusqu’à quand une photo est nécessaire et quand la personne s’est enregistrée la dernière fois.
- L’application est rendue disponible (Google play et Apple Store) et les termes d’utilisation de l’application renseignent les sociétés ITSS et le CNSP comme responsables conjoints ;
- Le ministre enjoint l’administration d’organiser rapidement l’acquisition de l’application ;
- Suite à des contraintes budgétaires, la transaction ne peut pas avoir lieu. Dans la foulée, l’administration informe la société qu’elle exige qu’il n’y ait pas d’indication du CNSP dans l’application, ou d’autres liens avec le CNSP ;
- L’autorité de protection des données intervient car plusieurs problèmes sont révélés, notamment quant aux destinataires des données et aux réutilisations par les autorités publiques et de santé (questions qui ont secoué d’autres pays à l’époque) :
- Il apparait qu’avant la suspension provisoire du fonctionnement de l’application, 3.802 utilisateurs avaient fourni leurs données à caractère personnel dans l’application ;
L’autorité décide d’infliger une amende qui pose d’emblée deux questions : d’une part, l’amende est-elle justifiée dans un cas comme celui-ci ? D’autre part, dans l’affirmative, à qui faut-il l’attribuer ? au pouvoir adjudicataire ? à la société qui a développé l’app ? aux deux conjointement ?
Les faits dans l’affaire Deutsche Wohnen
Une société immobilière appelée DW, basée à Berlin, en Allemagne, détient un grand nombre d’unités de logement et commerciales via ses filiales. Ces unités sont gérées par des sociétés propriétaires, tandis que DW se concentre sur la direction générale du groupe. Les activités de DW impliquent la collecte et le traitement de données personnelles des locataires, notamment des informations telles que des preuves d’identité, des données fiscales, sociales et d’assurance maladie.
En juin 2017, l’autorité de contrôle de Berlin a constaté que DW conservait des données personnelles de locataires de manière inappropriée dans un système électronique d’archivage. L’autorité de contrôle a ordonné à DW de supprimer ces données, mais DW a affirmé que cela n’était pas techniquement possible.
En mars 2019, lors d’un contrôle ultérieur, DW a déclaré avoir mis hors service le système d’archivage problématique et prévoyait de migrer les données vers un nouveau système. Cependant, en octobre 2019, l’autorité de contrôle a infligé une amende de 14.385.000 euros à DW pour violation délibérée du Règlement général sur la protection des données (RGPD) et 15 autres amendes de montants moindres pour d’autres violations du RGPD.
L’affaire se retrouve devant le tribunal régional supérieur de Berlin, qui se demande si une amende peut être imposée à une personne morale sans attribuer la violation à une personne physique identifiée, et si une faute doit être établie pour imposer une amende à l’entreprise.
Enseignement n° 1 : une amende seulement si la violation est fautive
La Cour tranche : une amende administrative en vertu de l’article 83 du RGPD ne peut être imposée que si le responsable du traitement ou le sous-traitant a commis une violation de manière délibérée ou par négligence.
Pour arriver à ce résultat, la Cour aborde successivement les éléments suivants :
L’article 83, paragraphe 1, du RGPD assigne un objectif aux amendes : être effectives, proportionnées et dissuasives. En revanche, il ne précise pas expressément que les violations sanctionnées par une telle amende doivent avoir été commises délibérément ou, à tout le moins, par négligence.
Il y a certes une marge de manœuvre laissée aux Etats pour la mise en œuvre, mais pas quant aux conditions de fond de l’amende (voir, également, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C–683/21, EU:C:2023:XXX, points 64 à 70). Une telle liberté de choix serait, en outre, de nature à fausser la concurrence entre les opérateurs économiques au sein de l’Union, ce qui irait à l’encontre des objectifs exprimés par le législateur de l’Union, notamment, aux considérants 9 et 13 dudit règlement.
L’article 83, paragraphe 2, du RGPD énumère parmi les éléments au vu desquels l’autorité de contrôle impose une amende administrative, « le fait que la violation a été commise délibérément ou par négligence ».
Il ne ressort pas de cette disposition qu’il est possible d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part.
L’article 83, paragraphe 2 doit être lu en combinaison avec le paragraphe 3, qui précise le montant de l’amende en cas de cumul de violations du règlement : « si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave ».
L’économie générale du règlement indique que le législateur a voulu offrir à l’autorité un panel de sanctions à appliquer en fonction de chaque cas d’espèce, dont l’imposition d’amendes administratives en application de l’article 83 de ce règlement, « en complément ou à la place » des autres mesures correctrices énumérées à cet article 58, paragraphe 2 (avertissements, rappels à l’ordre, injonctions).
Le considérant 148 énonce notamment qu’il est permis aux autorités de contrôle, lorsqu’il s’agit d’une violation mineure ou si l’amende administrative susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, de s’abstenir d’imposer une amende administrative et, à sa place, de prononcer un rappel à l’ordre.
Si le législateur a voulu permettre aux autorités de contrôle d’imposer les sanctions les plus appropriées selon les circonstances de chaque cas, il faut alors admettre que l’amende n’est qu’une possibilité parmi d’autres et que l’harmonisation européenne voulue par le règlement en la matière implique de fixer une règle unique qui ne peut, vu ce qui précède, qu’être la preuve d’une violation délibérée ou par négligence.
En conséquence, « il y a lieu de constater que l’article 83 du RGPD ne permet pas d’imposer une amende administrative pour une violation visée à ses paragraphes 4 à 6, sans qu’il soit établi que cette violation a été commise délibérément ou par négligence par le responsable du traitement, et que, partant, une violation fautive constitue une condition à l’imposition d’une telle amende ».
Enfin, la Cour précise la portée de la violation délibérée ou par négligence : un responsable du traitement peut être sanctionné pour pareil comportement « dès lors que ce responsable du traitement ne pouvait ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD » (voir, par analogie, arrêts du 18 juin 2013, Schenker & Co. e.a., C‑681/11, EU:C:2013:404, point 37 ainsi que jurisprudence citée ; du 25 mars 2021, Lundbeck/Commission, C‑591/16 P, EU:C:2021:243, point 156, et du 25 mars 2021, Arrow Group et Arrow Generics/Commission, C‑601/16 P, EU:C:2021:244, point 97).
Enseignement n° 2 : la faute ou la négligence d’une personne morale
La Cour juge que lorsque le responsable du traitement est une personne morale, il convient encore de préciser que l’application de l’article 83 du RGPD ne suppose pas une action ou même une connaissance de l’organe de gestion de cette personne morale (voir, par analogie, arrêts du 7 juin 1983, Musique Diffusion française e.a./Commission, 100/80 à 103/80, EU:C:1983:158, point 97, ainsi que du 16 février 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commission, C‑94/15 P, EU:C:2017:124, point 28 et jurisprudence citée).
Enseignement n° 3 : le responsable du traitement peut être tenu responsable des manquements de son sous-traitant
La Cour rappelle que le responsable du traitement est responsable non seulement des opérations de traitement qu’il effectue lui-même, mais aussi de celles effectuées pour son compte par des sous-traitants.
Cependant, cette responsabilité ne s’étend pas aux situations où le sous-traitant agit pour ses propres finalités ou traite les données de manière incompatible avec les directives du responsable du traitement. Dans de tels cas, le sous-traitant est considéré comme responsable du traitement.
La Cour précise donc que la responsabilité du responsable du traitement pour les actions de ses sous-traitants est limitée aux cas où le sous-traitant agit conformément aux instructions du responsable du traitement et aux finalités du traitement déterminées par celui-ci.
Plus d’infos ?
En lisant les arrêts rendus, disponibles en annexe.