Arrêt de la Cour de justice de l’Union euro­péenne du 5 décembre 2023, Affaire C‑683/​21

Arrêt de la Cour de justice de l’Union euro­péenne du 5 décembre 2023, Affaire C‑807/​21

Le 5 décembre 2023, la Cour euro­péenne de Justice (CJUE) se penche sur deux cas, le premier litua­nien et l’autre alle­mand. Bien que les litiges au prin­ci­pal et les ques­tions préju­di­cielles diffèrent, une problé­ma­tique est parta­gée dans ces deux cas : une faute est-elle néces­saire pour impo­ser une amende administrative ?

Faits

Dans l’affaire litua­nienne, le Centre natio­nal de santé publique auprès du minis­tère de la Santé (Nacionalinis visuo­menes svei­ka­tos centras prie Sveikatos apsau­fos minis­te­ri­jos) conteste une sanc­tion d’une valeur de 12 000 euros qui lui a été impo­sée en rela­tion avec la concep­tion, en colla­bo­ra­tion avec une entité privée, d’une appli­ca­tion mobile desti­née à l’enregistrement et à la surveillance de données d’individus expo­sés au Covid-19. Les conclu­sions de l’avocat géné­ral on fait l’objet d’une contri­bu­tion sépa­rée (cf. https://​swiss​pri​vacy​.law/​2​40/).

L’affaire alle­mande porte quant à elle sur la société immo­bi­lière Deutsche Wohnen, qui conteste, entre autres infrac­tions, une sanc­tion finan­cière excé­dant les 14 millions d’euros qui lui a été infli­gée pour la conser­va­tion exces­sive des données person­nelles des loca­taires au-delà de la durée nécessaire.

Dans les deux arrêts, la Cour expose son argu­men­taire rela­tif à la ques­tion des sanc­tions admi­nis­tra­tives. Ceux-ci seront abor­dés de manière conjointe dans cette contri­bu­tion, les diver­gences seront mises en évidence lorsque cela est pertinent.

Droit

La Cour rappelle tout d’abord que, selon l’énoncé de l’art. 83 par. 1 RGPD, les amendes admi­nis­tra­tives doivent être « effec­tives, propor­tion­nées et dissua­sives ». Il n’est cepen­dant pas expres­sé­ment fait mention de la néces­sité d’une faute.

La Cour réfute ensuite l’interprétation des gouver­ne­ments alle­mand et litua­nien selon lesquels une marge d’appréciation est lais­sées aux États membres dans la mise en œuvre de l’art. 83 RGPD. En effet, dans le cas alle­mand, le droit natio­nal ne prévoit pas la possi­bi­lité d’imposer une sanc­tion admi­nis­tra­tive à une personne morale, sans qu’il ne soit établi qu’une faute soit impu­table à une personne physique. Dans le cas litua­nien, le litige porte la respon­sa­bi­lité du respon­sable du trai­te­ment pour le fait d’un sous-trai­tant, pour lequel l’interprétation de la néces­sité d’une faute influen­ce­rait ladite responsabilité.

Le règle­ment ayant une appli­ca­tion directe dans l’ordre natio­nal, en appli­ca­tion de l’art. 288 TFUE, il n’est pas néces­saire pour les États membres de prévoir des mesures d’application. Le règle­ment peut cepen­dant prévoir une marge de manœuvre pour les États membres, ce qui est le cas pour certaines dispo­si­tions du RGPD. Par exemple, le RGPD permet de prévoir des mesures plus strictes pour certaines dispo­si­tions, comme c’est notam­ment le cas pour l’âge du consen­te­ment des mineurs au trai­te­ment de leurs données person­nelles, qui peut être relevé par le droit natio­nal (art. 8 par. 1 RGPD).

Or, la Cour souligne que l’art. 83 par. 1 à 6 RGPD ne laisse pas de marge d’appréciation concer­nant les condi­tions de fond permet­tant l’imposition d’amendes admi­nis­tra­tives. Il découle dès lors que, en lisant la let. b) de l’art. 83 par. 2 RGPD, seule une viola­tion « commise déli­bé­ré­ment ou par négli­gence » peut fonder l’imposition d’une amende administrative.

Cette inter­pré­ta­tion suit la ratio legis du RGPD, qui ressort notam­ment du consi­dé­rant 10 de celui-ci, indi­quant que le texte a pour « objec­tifs d’assurer un niveau cohé­rent et élevé de protec­tion des personnes physiques ». Pour atteindre cette fina­lité, le légis­la­teur de l’Union n’a pas jugé néces­saire, de prévoir l’imposition d’amendes admi­nis­tra­tives en l’absence de faute.

Cela ayant été établi, la Cour se penche sur la manière d’identifier si une faute a été commise. Pour cela, il est néces­saire d’établir si le respon­sable du trai­te­ment pouvait ou non igno­rer le carac­tère infrac­tion­nel de son compor­te­ment. Il est spéci­fié que pour les personnes morales, il n’est pas néces­saire que la viola­tion soit commise ou même connue de l’organe de gestion. Ceci est signi­fi­ca­tif pour le cas alle­mand, puisqu’il n’est dès lors pas néces­saire d’établir une faute d’une personne physique au sein de l’organe de gestion pour enga­ger la respon­sa­bi­lité de la personne morale. En effet, une personne morale est respon­sable des viola­tions commises par toute personne ayant agi pour son compte.

Le cas litua­nien portant égale­ment sur un litige rela­tif aux rôles de respon­sables du trai­te­ment et de sous-trai­tant, la CJUE argu­mente que, dans le cas d’une sous-trai­tance, la respon­sa­bi­lité du respon­sable du trai­te­ment est enga­gée, comme le soutient le consi­dé­rant 74 du RGPD. En effet, le respon­sable du trai­te­ment répond de tous les trai­te­ments effec­tués pour son compte, à moins qu’il ne puisse être établi que le sous-trai­tant ait agi pour son propre compte ou qu’il ne saurait être raison­na­ble­ment consi­déré que le respon­sable du trai­te­ment y aurait consenti.

Ces arrêts offrent un éclai­rage sur les condi­tions d’imposition d’amendes admi­nis­tra­tives, clari­fiant le rôle de la faute et la portée de la respon­sa­bi­lité dans l’application du RGPD. En droit suisse, le régime diffère tant sur la nature de la sanc­tion – pénale plutôt qu’administrative – que sur la néces­sité du carac­tère inten­tion­nel de la viola­tion. Une viola­tion par négli­gence ne peut donc pas abou­tir sur une infrac­tion des art. 60 ss LPD, limi­tant la portée effec­tive de la loi suisse.