Le 5 décembre 2023, la Cour de justice de l’Union européenne a rendu deux arrêts importants1 précisant les conditions pour imposer une amende administrative à un responsable de traitement en raison d’une violation du Règlement général sur la protection des données (règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, JOUE, 4 mai 2016, n°L 119, ci-après le RGPD).
L’article 83 du RGPD et les amendes administratives
L’article 83 du RGPD consacre la possibilité pour les autorités nationales compétentes en matière de protection des données à caractère personnel de condamner un responsable du traitement à une amende administrative en cas de violation de certaines dispositions du RGPD, celles-ci étant énumérées dans la disposition. Ces amendes peuvent s’élever jusqu’à 10.000.000 EUR ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaire mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Violation commise de manière fautive
Dans ses arrêts du 5 décembre 2023, la Cour de justice a jugé qu’une telle amende administrative ne peut être imposée que lorsque la violation du RGPD a été commise par le responsable du traitement de manière fautive, c’est-à-dire de manière délibérée ou par négligence. Une violation délibérée ou par négligence constitue donc une condition à l’imposition d’une telle amende.
S’agissant de la question de savoir si une violation a été commise délibérément ou par négligence et est, de ce fait, susceptible d’être sanctionnée par une amende administrative, la Cour précise qu’un responsable du traitement peut être sanctionné pour un comportement entrant dans le champ d’application du RGPD « dès lors que ce responsable du traitement ne pouvait ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD ». Nous comprenons que s’il n’est pas requis que le responsable du traitement ait eu conscience de ce que son comportement est interdit, l’amende administrative est possible s’il ne pouvait pas ignorer ne pas protéger, ou protéger insuffisamment, les données à caractère personnel.
Responsabilité des personnes morales
Dans un premier temps, la Cour a rappelé qu’une personne morale responsable du traitement est responsable non seulement des violations commises par ses représentants, gestionnaires ou directeurs, mais également par toute autre personne qui agit dans le cadre de l’activité commerciale de cette personne morale et pour son compte. Une personne morale est donc responsable, en sa qualité de responsable du traitement, non seulement des opérations de traitement des données personnelles qu’elle effectue elle-même, mais également de celles effectuées pour son compte par des sous-traitants.
La Cour de justice a cependant précisé que cette responsabilité ne s’étend pas aux situations dans lesquelles le sous-traitant agit pour des finalités qui lui sont propres ou lorsqu’il effectue le traitement d’une manière incompatible avec les directives données par le responsable du traitement. Dans de tels cas, le sous-traitant est lui-même responsable des violations commises en sa qualité de responsable du traitement. La responsabilité du responsable du traitement pour les actions de ses sous-traitants est donc limitée aux cas où ce sous-traitant agit conformément aux instructions données par le responsable du traitement et conformément aux finalités du traitement déterminées par ce responsable.
En outre, dans ses arrêts du 5 décembre 2023, la Cour a également précisé qu’une amende administrative peut être imposée à une personne morale en sa qualité de responsable du traitement même en l’absence d’une quelconque action ou connaissance des faits de la part de l’organe de direction de la personne morale. Ainsi, le fait pour cette personne morale de déclarer ne pas être au courant de l’infraction n’est pas une excuse valable pour être exonérée de sa responsabilité, celle-ci étant responsable des violation aux RGPD commises par les personnes agissant pour son compte, pour autant, comme cela a été précisé ci-dessus, que ces opérations puissent être imputées au responsable du traitement.
Enfin, la Cour de justice a affirmé, en ce qui concerne la responsabilité des personnes morales en leur qualité de responsable du traitement, que celles-ci peuvent se voir imposer une amende administrative sur base de l’article 83 du RGPD sans même qu’il soit nécessaire d’identifier de manière précise la personne physique ayant commis le traitement illicite, pour autant à nouveau que celui-ci soit imputable à la personne morale. Le responsable du traitement ne peut donc pas être exonéré de sa responsabilité simplement en invoquant que la personne physique à laquelle cette violation doit être imputée n’a pas été précisément identifiée.
Conclusion
Ces arrêts rendus par la Cour de justice augmentent le risque d’imposition d’amendes administratives en raison d’une violation RGPD, en réduisant les exigences relatives à l’imposition d’amendes administratives aux personnes morales en leur qualité de responsable de traitement de données à caractère personnel.
1 C.J.U.E., 5 décembre 2023, C-683/21 ; C.J.U.E., 5 décembre 2023, C-807/21.
Pour toute question ou assistance, veuillez contacter :
Équipe – Propriété Intellectuelle | IP@simontbraun.eu – +32 (0)2 543 70 80
Vous pouvez télécharger une version PDF de cette publication ici.
***
Cet article ne constitue pas un avis ou un conseil juridique. Veuillez-vous adresser au conseil juridique de votre choix avant d’agir sur la base des informations contenues dans cet article.