Les amendes du RGPD : la faute est-elle nécessaire pour imposer une sanction ?
Arrêt de la Cour de justice de l’Union européenne du 5 décembre 2023, Affaire C‑683/21
Arrêt de la Cour de justice de l’Union européenne du 5 décembre 2023, Affaire C‑807/21
Le 5 décembre 2023, la Cour européenne de Justice (CJUE) se penche sur deux cas, le premier lituanien et l’autre allemand. Bien que les litiges au principal et les questions préjudicielles diffèrent, une problématique est partagée dans ces deux cas : une faute est-elle nécessaire pour imposer une amende administrative ?
Faits
Dans l’affaire lituanienne, le Centre national de santé publique auprès du ministère de la Santé (Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaufos ministerijos) conteste une sanction d’une valeur de 12 000 euros qui lui a été imposée en relation avec la conception, en collaboration avec une entité privée, d’une application mobile destinée à l’enregistrement et à la surveillance de données d’individus exposés au Covid-19. Les conclusions de l’avocat général on fait l’objet d’une contribution séparée (cf. https://swissprivacy.law/240/).
L’affaire allemande porte quant à elle sur la société immobilière Deutsche Wohnen, qui conteste, entre autres infractions, une sanction financière excédant les 14 millions d’euros qui lui a été infligée pour la conservation excessive des données personnelles des locataires au-delà de la durée nécessaire.
Dans les deux arrêts, la Cour expose son argumentaire relatif à la question des sanctions administratives. Ceux-ci seront abordés de manière conjointe dans cette contribution, les divergences seront mises en évidence lorsque cela est pertinent.
Droit
La Cour rappelle tout d’abord que, selon l’énoncé de l’art. 83 par. 1 RGPD, les amendes administratives doivent être « effectives, proportionnées et dissuasives ». Il n’est cependant pas expressément fait mention de la nécessité d’une faute.
La Cour réfute ensuite l’interprétation des gouvernements allemand et lituanien selon lesquels une marge d’appréciation est laissées aux États membres dans la mise en œuvre de l’art. 83 RGPD. En effet, dans le cas allemand, le droit national ne prévoit pas la possibilité d’imposer une sanction administrative à une personne morale, sans qu’il ne soit établi qu’une faute soit imputable à une personne physique. Dans le cas lituanien, le litige porte la responsabilité du responsable du traitement pour le fait d’un sous-traitant, pour lequel l’interprétation de la nécessité d’une faute influencerait ladite responsabilité.
Le règlement ayant une application directe dans l’ordre national, en application de l’art. 288 TFUE, il n’est pas nécessaire pour les États membres de prévoir des mesures d’application. Le règlement peut cependant prévoir une marge de manœuvre pour les États membres, ce qui est le cas pour certaines dispositions du RGPD. Par exemple, le RGPD permet de prévoir des mesures plus strictes pour certaines dispositions, comme c’est notamment le cas pour l’âge du consentement des mineurs au traitement de leurs données personnelles, qui peut être relevé par le droit national (art. 8 par. 1 RGPD).
Or, la Cour souligne que l’art. 83 par. 1 à 6 RGPD ne laisse pas de marge d’appréciation concernant les conditions de fond permettant l’imposition d’amendes administratives. Il découle dès lors que, en lisant la let. b) de l’art. 83 par. 2 RGPD, seule une violation « commise délibérément ou par négligence » peut fonder l’imposition d’une amende administrative.
Cette interprétation suit la ratio legis du RGPD, qui ressort notamment du considérant 10 de celui-ci, indiquant que le texte a pour « objectifs d’assurer un niveau cohérent et élevé de protection des personnes physiques ». Pour atteindre cette finalité, le législateur de l’Union n’a pas jugé nécessaire, de prévoir l’imposition d’amendes administratives en l’absence de faute.
Cela ayant été établi, la Cour se penche sur la manière d’identifier si une faute a été commise. Pour cela, il est nécessaire d’établir si le responsable du traitement pouvait ou non ignorer le caractère infractionnel de son comportement. Il est spécifié que pour les personnes morales, il n’est pas nécessaire que la violation soit commise ou même connue de l’organe de gestion. Ceci est significatif pour le cas allemand, puisqu’il n’est dès lors pas nécessaire d’établir une faute d’une personne physique au sein de l’organe de gestion pour engager la responsabilité de la personne morale. En effet, une personne morale est responsable des violations commises par toute personne ayant agi pour son compte.
Le cas lituanien portant également sur un litige relatif aux rôles de responsables du traitement et de sous-traitant, la CJUE argumente que, dans le cas d’une sous-traitance, la responsabilité du responsable du traitement est engagée, comme le soutient le considérant 74 du RGPD. En effet, le responsable du traitement répond de tous les traitements effectués pour son compte, à moins qu’il ne puisse être établi que le sous-traitant ait agi pour son propre compte ou qu’il ne saurait être raisonnablement considéré que le responsable du traitement y aurait consenti.
Ces arrêts offrent un éclairage sur les conditions d’imposition d’amendes administratives, clarifiant le rôle de la faute et la portée de la responsabilité dans l’application du RGPD. En droit suisse, le régime diffère tant sur la nature de la sanction – pénale plutôt qu’administrative – que sur la nécessité du caractère intentionnel de la violation. Une violation par négligence ne peut donc pas aboutir sur une infraction des art. 60 ss LPD, limitant la portée effective de la loi suisse.
Proposition de citation : Charlotte Beck, Les amendes du RGPD : la faute est-elle nécessaire pour imposer une sanction ?, 15 mars 2024 in www.swissprivacy.law/287
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.