Sorry, this entry is only available in French.
La Cour de Justice de l’Union Européenne a rendu, le 5 décembre 2023, en grande chambre, deux arrêts importants précisant les qualifications de responsable et de co-responsables de traitement de données personnelles, et les conditions auxquelles ceux-ci peuvent se voir condamnés à une amende administrative à raison d’une violation du RGPD (CJUE, 5 décembre 2023, Affaires C 683/21 et C 807/21).
Ces deux arrêts de la CJUE, rendus en Grande Chambre, signe de leur importance, précisent les qualifications de responsable et de co-responsable d’un traitement de données personnelles au sens du RGPD ; surtout, ils décident que seule une violation fautive d’une disposition du RGPD justifie le prononcé, par les autorités de contrôle nationales, d’une amende administrative en vertu de l’article 83 du RGPD.
En premier lieu, la CJUE énonce que la qualification de responsable de traitement dépend exclusivement des deux critères cumulatifs énoncés par l’article 4, paragraphe 7 du RGPD, à savoir la contribution de l’entité en cause à la détermination des finalités et des moyens du traitement ; il est, notamment, indifférent que cette entité traite les données personnelles elle-même ou que, au contraire, le traitement soit matériellement mis en œuvre par un tiers. C’est dire qu’une entité qui choisit de déléguer toutes ses opérations de traitement de données à une entité tierce, ne saurait échapper à la qualification de responsable de traitement et au régime afférent, dès lors qu’elle est effectivement intervenue, à des fins qui lui sont propres, dans la détermination des finalités et des moyens de ce traitement.
Dans la même logique, la CJUE confirme ensuite que sont co-responsables de traitement au sens de l’article 26 paragraphe 1 du RGPD, deux entités qui participent ensemble à la détermination des finalités et moyens d’un traitement de données personnelles, même si chacune intervient à des niveaux et degrés différents. Tout autre critère est indifférent ; en particulier, il n’est pas nécessaire qu’il existe, au stade de la qualification, un accord écrit entre les deux entités, un tel accord s’imposant, en vertu du même texte, non pas comme critère de la qualification de responsable conjoint, mais comme une conséquence de celle-ci.
Une fois l’entité qualifiée de responsable de traitement, qu’il s’agisse d’une responsabilité conjointe ou non, celle-ci encourt le risque d’une amende administrative lorsque les conditions de l’article 83 du RGPD sont remplies. Toutefois, et tel est l’apport principal des arrêts rapportés, la CJUE juge expressément qu’une telle amende administrative ne peut pas être prononcée en absence de comportement fautif du responsable de traitement, c’est-à-dire en l’absence d’une violation (visée aux paragraphes 4 à 6 de l’article 83 du RGPD) commise « délibérément ou par négligence » par ce responsable de traitement.
La Cour précise qu’une telle violation s’entend, par analogie avec ses décisions Schenker&Co et Lundbeck/Commission du 25 Mars 2021, de l’hypothèse où le responsable de traitement ne pouvait ignorer le « caractère infractionnel » de son comportement, « qu’il ait eu ou non conscience » d’enfreindre les dispositions du Règlement ; elle ajoute encore que, dans le cas où l’entité est une personne morale, une action ou même une « connaissance » de son organe de gestion n’est pas nécessaire.
Si l’exigence d’une faute, délibérée ou de négligence, est conforme à la lettre de l’article 83 paragraphe 2 du RGPD, la définition de cette faute que retient la CJUE laisse perplexe, tant on a du mal à comprendre qu’un responsable de traitement ne puisse ignorer le « caractère infractionnel » de son comportement tout en n’ayant pas conscience qu’il enfreint le RGPD…
Autrement dit, le simple constat d’une violation matérielle d’une règle du RGPD ne suffit à l’imposition d’une amende administrative sur le fondement de l’article 83 du RGPD, mais la faute nécessaire à cette sanction pourrait résulter d’une violation commise à « l’insu du plein gré » du responsable de traitement…
Enfin, et la solution est plus orthodoxe, la Cour confirme que le responsable de traitement encourt une telle sanction au titre des actes commis pour son compte par le sous-traitant, sauf si ce dernier a effectué le traitement en cause pour des finalités qui lui sont propres, ou si ledit traitement est opéré par lui selon des modalités incompatibles avec les instructions données par le responsable de traitement, ou encore s’il ne peut être raisonnablement considéré que le responsable de traitement aurait consenti à un tel traitement illicite.
Settings