EURACTIV logo

RGPD : la Cour de justice de l’UE précise les conditions d’imposition des amendes

Par : Julia Tar | Euractiv.com | translated by Nils Bouckaert

06-12-2023

La CJUE a publié un arrêt qui permettra aux autorités nationales compétentes en matière de protection des données de sanctionner plus facilement les infractions au RGPD, ce qui se traduira probablement par des amendes plus élevées en moyenne. [Shutterstock/Mehaniq]

Langues : English | Deutsch

La Cour de justice de l’Union européenne (CJUE) a rendu mardi (5 décembre) un arrêt qui devrait faciliter l’imposition d’amendes en cas d’infraction au règlement général sur la protection des données (RGPD) de l’UE.

La CJUE a publié un arrêt qui permettra aux autorités nationales compétentes en matière de protection des données de sanctionner plus facilement les infractions au RGPD, ce qui se traduira probablement par des amendes plus élevées en moyenne.

Cette décision fait suite à la demande de deux tribunaux nationaux, en Lituanie et en Allemagne, de préciser les conditions dans lesquelles les autorités de contrôle nationales peuvent infliger une amende aux responsables du traitement des données en vertu du RGPD.

L’une des deux affaires concerne Deutsche Wohnen, une société immobilière allemande, et le parquet de Berlin (Staatsanwaltschaft Berlin). Dans ce cas, le commissaire allemand à la Protection des Données de Berlin a imposé une amende de 14,5 millions d’euros à la société en 2020, que la société a contestée.

« Avec son jugement concernant l’affaire “Deutsche Wohnen”, la CJUE a établi des conditions fondamentales pour l’imposition d’amendes aux entreprises en cas de violation du RGPD », a expliqué l’avocat allemand Stefan Hessel à Euractiv.

Parallèlement, en Lituanie, le Centre national de santé publique auprès du ministère de la Santé contestait une amende de 12 000 euros qui lui avait été infligée en raison d’une « application mobile aux fins de l’enregistrement et du suivi des données des personnes exposées à la Covid-19 », selon un communiqué de presse de la CJUE.

Les Allemands ne sont pas convaincus des bénéfices du marché des données

Il y a deux mois, le gouvernement allemand a annoncé une nouvelle stratégie visant à mieux exploiter les données, mais de récentes enquêtes d’opinion montrent que ni la société civile ni les entreprises ne sont convaincues des bénéfices engendrés par l’utilisation économique des données personnelles.

Comportement fautif

« La décision historique rendue aujourd’hui par la CJUE concernant les amendes administratives prévues par le RGPD dans l’affaire “Deutsche Wohnen” renforce la mise en œuvre du RGPD de l’UE, car elle réduit les exigences relatives à l’imposition d’amendes aux personnes morales », a déclaré Jan Spittka, expert du règlement au sein du cabinet d’avocats international Clyde & Co.

Conformément à la décision de la Cour, une amende administrative peut être imposée aux responsables du traitement des données lorsque la « violation a été commise de manière fautive, c’est-à-dire délibérément ou par négligence ».

M. Hessel précise que « ce seuil est déjà dépassé si l’entreprise, en tant que responsable du traitement des données, était objectivement en mesure de reconnaître l’illégalité de ses actes ».

En outre, un responsable du traitement des données peut se voir infliger une amende « pour des opérations effectuées par un sous-traitant, pour autant que ces opérations peuvent être imputées au responsable du traitement », selon la CJUE.

Déclarer ne pas être au courant de l’infraction n’est pas non plus une excuse valable, car l’entreprise est responsable des infractions commises par des personnes agissant en son nom.

« Une amende ne nécessite aucune action ni même aucune connaissance [des faits] de la part de l’organe de direction de l’entreprise », souligne M. Hessel.

Ainsi, « une personne morale est responsable tant des violations commises par ses représentants, directeurs ou gestionnaires que de celles commises par toute autre personne qui agit dans le cadre de son activité commerciale et pour son compte », peut-on lire dans le communiqué de la Cour.

Le Conseil de l’UE demande une « évaluation globale et exhaustive » du RGPD

Le Conseil de l’UE considère le règlement général sur la protection des données (RGPD) comme un « succès » et préconise une évaluation exhaustive de ce dernier plutôt qu’une réforme.

Des amendes plus élevées

L’arrêt de la CJUE facilitera l’imposition d’amendes par les autorités de contrôle de protection des données des États membres, ce qui pourrait se traduire par des amendes plus élevées à l’avenir, explique M. Spittka.

En effet, lorsque le destinataire de l’amende fait partie d’un groupe de sociétés, l’amende imposée doit être basée sur le chiffre d’affaires mondial du groupe, précise la Cour.

Par ailleurs, les amendes affecteront non seulement les États membres de l’UE, mais aussi les États ayant des filiales dans l’UE, qui sont dès lors sujettes à l’application du RGPD. Le Royaume-Uni et les États-Unis, par exemple, « font tous les deux partie du champ d’application territorial » du règlement, rappelle M. Spittka.

Pour « minimiser les risques » de se voir imposer des amendes à l’avenir, les entreprises devront « s’assurer que les employés reçoivent des instructions plus claires en matière de protection des données et que celles-ci sont étroitement contrôlées », a conclu M. Hessel.

L’harmonisation du RGPD pourrait être la clé pour exploiter le potentiel des données de santé

Alors que les législateurs de l’UE débattent des options visant à obtenir le consentement ou l’opposition explicites des patients à l’utilisation de leurs données de santé, le fait d’harmoniser les règles du règlement général sur la protection des données pourrait être une solution.

[Édité par Anne-Sophie Gayet]

Langues : English | Deutsch

Sujets  

Inscrivez-vous à notre newsletter

S'inscrire