Logo Lefebvre Dalloz Desktop
Votre métier
icone de recherche
icone de recherche
logo
Accueil/ Actualités - La Quotidienne/ Affaires/ Informatique et libertés

Violation du RGPD : pas d'amende administrative sans faute !

Le responsable de traitement ayant violé le règlement européen sur la protection des données personnelles ne peut être condamné à payer une amende administrative que s'il a commis cette violation délibérément ou par négligence. On peut penser que la négligence sera souvent retenue...

CJUE 5-12-2023 aff. 683/21, Nacionalinis visuomenés sveikatos centras prie Sveikatos apsaugos ministerijos c/ Valstybiné duomenu apsaugos inspekcija  ; CJUE 5-12-2023 aff. 807/21, Deutsche Wohnen SE c/ Staatsanwaltschaft Berlin


Par Maya VANDEVELDE
quoti-20240119-rgpd.jpg

©Gettyimages

En cas de violation des dispositions du règlement européen sur la protection des données personnelles (RGPD) susceptible de donner lieu au prononcé d'une amende administrative (Règl. UE 2016/679 du 27-4-2016 art. 83), le prononcé d'une telle sanction est-il nécessairement subordonné à la preuve d'une faute du responsable du traitement ou de son sous‑traitant ?

Oui, répond la CJUE à l'occasion de deux affaires relatives, pour l'une (aff. 683/21), à la collecte de données personnelles par le centre national de santé lituanien, au moyen d'une application mobile développée pour assurer le suivi des cas de Covid-19, pour l'autre (aff. 807/21), au traitement de telles données concernant des locataires par des sociétés allemandes propriétaires ou gestionnaires de biens immobiliers. 

La Cour européenne juge en effet qu'une amende administrative ne peut être imposée que s’il est établi que le responsable du traitement ou le sous-traitant a commis cette violation délibérément ou par négligence. 

Elle justifie sa solution par le raisonnement suivant.

Si l’article 83 du RGPD ne subordonne pas expressément le prononcé d'une amende à une telle condition, cela ne signifie pas que les Etats membres disposent d'une marge d’appréciation quant à la question de savoir si une faute est requise ou non.

Or, il résulte du libellé du texte que seules les violations fautives des dispositions de règlement peuvent conduire à l'imposition d'une amende administrative, dès lors que parmi les éléments justifiant le prononcé d'une amende figure « le fait que la violation a été commise délibérément ou par négligence » (art. 83, 2°-b) ; aucun des éléments énumérés à ladite disposition ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part ; le paragraphe 3 de l'article 83 prévoit que, « si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave ».

L’économie générale et la finalité du RGPD corroborent cette lecture, le texte permettant aux autorités de contrôle d’imposer les sanctions les plus appropriées selon les circonstances et, notamment, d'imposer des amendes administratives « en complément ou à la place » des autres mesures correctrices prévues par le règlement (avertissement, rappel à l’ordre ou injonction, notamment). Par leur effet dissuasif, les amendes administratives contribuent ainsi au renforcement de la protection des personnes physiques à l’égard du traitement des données à caractère personnel et constituent un élément clé pour garantir le respect des droits de ces personnes, conformément à la finalité du RGPD, le législateur de l’Union n’ayant pas jugé nécessaire de prévoir l’imposition d’amendes administratives en l’absence de faute pour assurer un niveau élevé de protection. 

S’agissant de la question de savoir si une violation a été commise délibérément ou par négligence, la Cour précise qu’un responsable de traitement peut être sanctionné pour un comportement entrant dans le champ d’application du RGPD dès lors qu'il ne pouvait pas ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD. 

A noter :

Une amende administrative peut être prononcée contre le responsable de traitement ayant violé certaines dispositions du RGPD (art. 83, 2°, 4 °, 5° et 6°, visant la violation de la plupart des dispositions du règlement et, notamment, des obligations générales mises à la charge du responsable de traitement). L'article 83 du RGPD prévoit les conditions dans lesquelles ces amendes peuvent être prononcées. 

La Cour de justice précise ici que la faute est l'une de ces conditions, ce que le texte n'affirme pas expressément.

Ainsi posée, la solution, applicable en droit interne, peut paraître favorable aux petites entreprises susceptibles d'ignorer le caractère illicite de leur comportement. L'interprétation par la CJUE de la notion de violation délibérée ou par négligence oblige cependant à nuancer cette affirmation. La Cour européenne précise en effet qu'une amende peut être prononcée dès lors que le responsable de traitement ne pouvait pas ignorer le caractère infractionnel de son comportement, qu'il ait eu ou non conscience d'enfreindre le RGPD. Ce faisant, elle se réfère à la solution retenue en droit de la concurrence où il a été jugé qu'une entreprise pouvait être sanctionnée dès lors qu'elle ne pouvait pas ignorer le caractère anticoncurrentiel de son comportement, qu’elle ait eu ou non conscience d’enfreindre les règles de concurrence du traité sur le fonctionnement de l'UE : autrement dit, le fait que cette entreprise qualifie de manière juridiquement erronée son comportement sur lequel la constatation de l’infraction se fonde ne peut pas avoir pour effet de l’exonérer d’une amende pour autant que celle-ci ne pouvait ignorer le caractère anticoncurrentiel dudit comportement (CJUE 18-6-2013 aff. 681/11, point 37 : RJDA 10/13 n° 841 ; CJUE 25-3-2021 aff. 591/16, point 156).

Ainsi, comme le relève l'avocat général à l'occasion de l'affaire 683/21, « le seuil d’une violation du RGPD par négligence est tellement bas qu’il est difficile d’envisager des situations dans lesquelles il sera impossible d’imposer une amende simplement parce que cet élément n’est pas satisfait », le « simple fait de ne prendre aucune mesure dans une situation dans laquelle le responsable du traitement ou le sous‑traitant a de simples doutes quant à la légalité du traitement effectué » pouvant même déjà constituer « une acceptation délibérée d’une violation potentielle du RGPD et, partant, une négligence grave » (Conclusions point 80).

Compte tenu des actions de sensibilisation visant à assurer le respect du RGPD, on peut penser qu'il sera rare qu'une violation de ce dernier intervienne sans qu’au moins une négligence soit retenue.

Documents et liens associés : 

CJUE 5-12-2023 aff. 683/21

CJUE 5-12-2023 aff. 807/21

Retrouvez toute l'actualité en matière de droit des sociétés, droit commercial et de la concurrence dans Navis Droit des Affaires !

Vous êtes abonné ? Accédez à votre Navis Droit des affaires à distance 

Pas encore abonné ? Nous vous offrons un accès au fonds documentaire Navis Droit des Affaires pendant 10 jours.

© Editions Francis Lefebvre - La Quotidienne

Aller plus loin


Mémento Sociétés civiles 2024
affaires -

Mémento Sociétés civiles 2024

Le mode d’emploi des SCI, SCPI, SCP, SCM, GAEC…
175,00 € TTC
Mémento Sociétés commerciales 2024
affaires -

Mémento Sociétés commerciales 2024

Maîtrisez chaque étape de la vie d'une société !
199,00 € TTC