Arrêts de la Cour de Justice de l’Union Européenne du 5 décembre 2023 : Précisions sur les amendes administratives et l’application de l’article 83 du RGPD
Par deux arrêts de la grande chambre de la Cour de justice de l’Union européenne (« CJUE ») en date du 5 décembre 2023 (C-807/21 (Deutsche Wohnen) et C-683/21 (Nacionalinis visuomenės sveikatos centras)), la CJUE a apporté des précisions utiles sur les conditions d’imposition d’amendes administratives en cas de violation du Règlement général sur la protection des données (« RGPD »).
***
Dans le premier arrêt (C-807/21 – lien ici), la CJUE a rappelé que des amendes administratives peuvent être infligées à des personnes morales en leur qualité de responsables de traitement, sans que la violation du RGPD ne soit imputable à une personne physique identifiée.
La CJUE indique également que, lorsque la société fait partie d’un groupe, le chiffre d’affaires total mondial du groupe doit être pris en compte pour le calcul de l’amende.
Enfin, dans ce même arrêt, concernant les conditions d’imposition de l’amende administrative au titre de l’article 83. 2. b) du RGPD, la CJUE a rappelé la nécessité que la violation ait été commise délibérément ou par négligence. La CJUE précise également, « s’agissant de la question de savoir si une violation a été commise délibérément ou par négligence et est, de ce fait, susceptible d’être sanctionnée par une amende administrative au titre de l’article 83 du RGPD, qu’un responsable du traitement peut être sanctionné pour un comportement entrant dans le champ d’application du RGPD dès lors que ce responsable du traitement ne pouvait ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD » et indique que « lorsque le responsable du traitement est une personne morale, il convient encore de préciser que l’application de l’article 83 du RGPD ne suppose pas une action ou même une connaissance de l’organe de gestion de cette personne morale »
***
Dans le deuxième arrêt (C-683/21 – lien ici), concernant les conditions de mise en œuvre de la responsabilité, la CJUE a indiqué qu’un responsable de traitement, étant responsable des traitements effectués pour son compte, pouvait se voir imposer une amende administrative en cas de traitement illicite par son sous-traitant.
Toutefois, la CJUE précise que « la responsabilité du responsable de traitement pour le comportement d’un sous-traitant ne saurait s’étendre aux situations dans lesquelles le sous-traitant a traité des données à caractère personnel pour des finalités qui lui sont propres ou dans lesquelles ce dernier a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti ».