Deux arrêts importants interviennent le 5 décembre 2023.
Affaire C‑807/21, pas d’amende sans violation fautive, l’arrêt
Tout d’abord, une extension de la responsabilité des entreprises : une amende peut être prononcée directement à l’encontre d’une entreprise sans la constatation d’une infraction administrative commise par une personne physique identifiée.
Avec un tempérament notable,
75 En conséquence, il y a lieu de constater que l’article 83 du RGPD ne permet pas d’imposer une amende administrative pour une violation visée à ses paragraphes 4 à 6, sans qu’il soit établi que cette violation a été commise délibérément ou par négligence par le responsable du traitement, et que, partant, une violation fautive constitue une condition à l’imposition d’une telle amende.
L’exemple d’une violation fautive est à voir probablement dans les faites à l’origine de l’affaire:
En Allemagne, une société immobilière directement ou par ses filiales détient environ 163 000 unités de logement et 3 000 unités commerciales.
Différentes données personnelles sont traitées comme, par exemple, des preuves d’identité, des données fiscales, sociales et d’assurance maladie de ces locataires, ainsi que des informations sur les contrats de location antérieurs.
Le 23 juin 2017, l’autorité allemande de contrôle demande à cette société de supprimer au plus tard fin 2017 « des documents contenant de données à caractère personnel des locataires dans un système d’archivage électronique qui ne permettait pas de vérifier si la sauvegarde était nécessaire et de garantir que les données qui n’étaient plus nécessaires étaient effacées ».
Le 5 mars 2019, lors d’un contrôle, la société indique « que le système d’archivage électronique litigieux avait déjà été mis hors service et que la migration des données vers le nouveau système de sauvegarde était imminente ».
Le 30 octobre 2019, l’autorité de contrôle fixe pour la violation du RGPD une amende administrative de 14 385 000 euros, et 15 autres aux amendes comprises entre 3 000 et 17 000 euros ; Il y aurait en particulier entre le 25 mai 2018 et le 5 mars 2019, les données à caractère personnel d’au moins 15 locataires identifiés de façon plus précise conservées sans justification.
C‑683/21 Ici c’est la notion de responsable du traitement qui est élargie, l’arrêt
1) L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.
2) L’article 4, point 7, et l’article 26, paragraphe 1, du règlement 2016/679
doivent être interprétés en ce sens que :
la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ni l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement.