Décision à titre préju­di­ciel de la Cour de Justice de l’Union euro­péenne du 5 décembre 2023, affaire C‑683/​21

En fait

Le ministre de la santé litua­nien a chargé le Centre natio­nal de santé publique auprès du minis­tère de la santé (« CNSP ») d’ac­qué­rir une appli­ca­tion mobile pour suivre les données des personnes expo­sées au COVID-19. La société ITSS est ainsi sélec­tion­née pour la créa­tion de cette appli­ca­tion mobile. Lors de son élabo­ra­tion, l’ITSS et le CNSP sont dési­gnés comme respon­sables de trai­te­ment. Finalement, le CNSP n’a pas acheté cette appli­ca­tion en raison d’un défaut de financement.

L’Inspection natio­nale de la protec­tion des données de Lituanie (« INPD ») mène une enquête et constate par la suite que des données person­nelles ont été collec­tées via l’ap­pli­ca­tion. Par consé­quent, elle sanc­tionne le CNSP d’une amende admi­nis­tra­tive de 12 000 euros au CNSP (art. 83 RGPD), eu égard à la viola­tion par celui-ci des articles 5, 13, 24, 32 et 35 RGPD. Par cette déci­sion, une amende admi­nis­tra­tive de 3 000 euros est égale­ment impo­sée à la société ITSS au titre de « respon­sable conjoint du traitement ».

Le CNSP conteste cette déci­sion devant la juri­dic­tion de renvoi car elle fait valoir que c’est la société ITSS qui doit être consi­dé­rée comme étant seul respon­sable du trai­te­ment (art. 4 point 7 RGPD). Pour sa part, la société ITSS soutient qu’elle a agi en qualité de sous-trai­tant (art. 4 point 8 RGPD), d’après les instruc­tions du CNSP et seul respon­sable de traitement.

Le tribu­nal admi­nis­tra­tif régio­nal de Vilnius sursoit à statuer et s’adresse à la Cour de Justice de l’Union euro­péenne pour lui poser six ques­tions préjudicielles.

En droit

La CJUE est amenée à inter­pré­ter et circons­crire les notions de responsable(s) (conjoints) de trai­te­ment et  de sous-traitant.

Premièrement, trois ques­tions concernent l’interprétation du terme de « respon­sable de trai­te­ment ». Il s’agit de l’entité qui déter­mine les fina­li­tés et les moyens du trai­te­ment (art. 4 point 7 RGPD).  Le CNSP, durant la phase d’élaboration, a parti­cipé à la déter­mi­na­tion des fina­li­tés ainsi que des moyens du trai­te­ment des données à carac­tère person­nel. Selon la CJUE, il peut dès lors être consi­déré comme un respon­sable de traitement.

Cette dernière précise que cela est valable même si cette entité n’a pas elle-même effec­tué des opéra­tions de trai­te­ment, si elle n’a pas expli­ci­te­ment donné son accord pour ces opéra­tions spéci­fiques, ni pour la mise à dispo­si­tion publique de ladite appli­ca­tion mobile et même si elle n’a pas acheté l’application en ques­tion. Ceci sous réserve d’une oppo­si­tion expres­sé­ment formu­lée de sa part et anté­rieure à la mise à dispo­si­tion publique, ce qui n’est pas le cas présent.

Deuxièmement, une autre ques­tion traite de la quali­fi­ca­tion de deux enti­tés en tant que respon­sables conjoints du trai­te­ment, elle n’est pas subor­don­née à un accord entre ces enti­tés sur la déter­mi­na­tion des fina­li­tés et des moyens du trai­te­ment des données à carac­tère person­nel en ques­tion (art. 4 point 7 et art. 26 par. 1 RGPD). Qui plus est, la respon­sa­bi­lité conjointe du trai­te­ment ne dépend pas d’un accord fixant les condi­tions liées à cette responsabilité.

Partant, la CJUE quali­fie le CNSP et l’ITSS de respon­sables conjoints de traitement.

Troisièmement, le terme « trai­te­ment » englobe l’uti­li­sa­tion de données à carac­tère person­nel à des fins d’es­sais infor­ma­tiques d’une appli­ca­tion mobile. A l’inverse, comme l’indique la CJUE, il ne s’agit plus d’un trai­te­ment de données person­nelles si la personne n’est plus iden­ti­fiable à la suite d’un procédé d’anonymisation ou s’il s’agit de données fictives sans lien avec une personne physique exis­tante (art. 4 point 2 RGDP).

Finalement, l’‹imposition d’une amende admi­nis­tra­tive en vertu de cette dispo­si­tion est possible unique­ment en cas de viola­tion déli­bé­rée ou de négli­gence du respon­sable du trai­te­ment (art. 83 par. 4 à 6 RGPD). Ainsi une telle amende peut être impo­sée au respon­sable du trai­te­ment pour les opéra­tions de trai­te­ment de données à carac­tère person­nel effec­tuées par un sous-trai­tant, pour autant que ce dernier ait réalisé des trai­te­ments de manière conforme aux fina­li­tés du respon­sable de trai­te­ment et au cadre déter­miné. En revanche, si ce n’est pas le cas, le consen­te­ment raison­nable du respon­sable de trai­te­ment doit être établi pour que le sous-trai­tant ne devienne pas lui-même respon­sable de traitement.

Comparaison avec le droit suisse

La défi­ni­tion du « respon­sable de trai­te­ment » (art. 5 let. j LPD) diverge quelque peu du RGPD, en cela que le respon­sable de trai­te­ment déter­mine certes les fina­li­tés, toute­fois unique­ment les moyens essen­tiels du traitement.

A contra­rio, le sous-trai­tant (défi­ni­tion art. 5 let. k LPD) peut, – en plus d’exécuter le trai­te­ment pour le compte et selon les instruc­tions du respon­sable de trai­te­ment -, déter­mi­ner les moyens non-essen­tiels du trai­te­ment (art. 5 let. j a. c LPD) Cette notion intro­duite dans la LPD élar­git le cercle des sous-trai­tants poten­tiels au détri­ment des respon­sables de traitement.

Concernant la notion de « respon­sables conjoints de trai­te­ment », contrai­re­ment au RGPD, la LPD ne prévoit pas de défi­ni­tion. Ainsi, dans la conti­nuité de la notion de « respon­sable de trai­te­ment » prévue par la LPD, à nouveau les « respon­sables de trai­te­ment conjoints » sont les enti­tés qui défi­nissent conjoin­te­ment les fina­li­tés et les moyens essen­tiels du traitement.