Responsable de Traitement (RT) : Sanctionnable pour ses fautes et celles de ses sous-traitants par l’autorité de contrôle

Interrogée par des juridictions lituanienne et allemande, la Cour de Justice de l’Union Européenne (CJUE) a été amenée à interpréter le Règlement Général sur la Protection des Données (RGPD) concernant l’imposition d’amendes administratives en cas de violation du Règlement.

Dans deux arrêts du 5 décembre 2023, la CJUE répond à ces interrogations en précisant les conditions qui permette aux autorités de contrôle nationales d’infliger une amende administrative à un ou plusieurs responsables de traitement.

  1. L’affaire Allemande (arrêt C-807/21) :

La société immobilière Deutsche Wohnen a principalement contesté une amende de plus de 14 millions d’euros imposée par l’autorité de contrôle de Berlin en octobre 2019. Cette amende lui avait été infligée pour omission délibéréede prise de mesures nécessaires permettant l’effacement régulier des données à caractère personnel, relatives aux locataires, non nécessaires ou sauvegardées de manière erronée. La société a, en effet, sauvegardé les données à caractère personnel des locataires au-delà de la durée nécessaire.

  1. L’affaire Lituanienne (arrêt C-683/21)

En l’espèce, le Centre National de santé publique (CNSP) auprès du ministère de la Santé conteste une amende administrative de 12 000€ imposée en février 2021 par l’Inspection Nationale de la Protection des données lituanienne. Cette dernière lui avait été infligé lors de la création d’une application mobile permettant l’enregistrement et le suivi des données des personnes exposées au Covid-19, application créée grâce à l’assistance d’une entreprise privée. Il a été établi que des données personnelles des utilisateurs avaient été collectées par le biais de réponses aux questions posées grâce à l’application, notamment sur l’état de santé de la personne, et, de ce fait, des conditions d’isolement.

Un responsable de traitement peut-il se voir infliger des sanctions administratives par l’autorité de contrôle pour violation du RGPD ? Sous quelles conditions ? De plus, le responsable de traitement peut-il se voir condamner à une amende pour des opérations effectuées par son sous-traitant ?

  1. Les décisions de la CJUE

Afin de répondre à ces questions préjudicielles, la CJUE a dû apporter des précisions quant aux notions clés de responsable de traitement et les conditions pour l’imposition d’amendes aux sociétés dès lors que celles-ci ne sont pas conformes au RGPD (article 83 du RGPD).

Tout d’abord, concernant l’amende administrative infligée au responsable de traitement, la CJUE a jugé que ce dernier pouvait se voir infliger une amende administrative pour violation du RGPD SI cette violation a été commise de manière fautive (délibérément ou par négligence). De plus, elle a indiqué que cette violation ne devait pas nécessairement être commise par son organe de gestion, ou que cet organe en ait eu connaissance. En effet, la personne morale responsable de traitement est responsable tant pour les violations commises par ses représentants que par celles commises par des personnes qui ont agi dans le cadre de son activité commerciale ou pour son compte. En outre, une amende administrative peut être imposée à un responsable de traitement, personne morale, sans pour autant que la violation RGPD ne soit imputable à une personne physique identifiée.

Qu’en est-il lorsqu’il s’agit du sous-traitant auteur des opérations ?

Là encore, la CJUE est revenue sur la question notamment dans l’affaire lituanienne. En effet, les opérations étaient réalisées par l’entreprise privée, créatrice de l’application mobile à la suite des directives du CNSP. Concernant les conditions de mises en œuvre de la responsabilité, la Cour a indiqué qu’une personne morale responsable de traitement, est responsable pour tout traitement de données à caractère personnel qu’elle réalise ainsi que pour les traitements réalisés pour son compte, c’est-à-dire, si les traitements sont réalisés par un sous-traitant auquel il a fait appel.

Par conséquent, dès lors que des données à caractère personnel font l’objet d’un traitement illicite par un sous-traitant, pour le compte du responsable de traitement, ce dernier est responsable et peut se voir infliger une amende administrative. La Cour indique également que « Toutefois, la responsabilité du responsable du traitement pour le comportement d’un sous-traitant ne saurait s’étendre aux situations dans lesquelles le sous-traitant a traité des données à caractère personnel pour des finalités qui lui sont propres ou dans lesquelles ce dernier a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti». En effet, dès lors que le sous-traitant traite des données à caractère personnel pour des finalités qu’il a lui-même déterminé, ou alors que le traitement de données personnelles est incompatible avec les modalités fixées par le responsable, il est considéré comme étant responsable de traitement pour ce traitement, conformément à l’article 28 du RGPD.

Par ces arrêts, la CJUE a précisé les conditions permettant aux autorités de contrôle nationales d’infliger une amende administrative à un ou plusieurs responsables de traitement pour violation du RGPD, tout en rappelant que le responsable de traitement est responsable des traitements qu’il réalise pour son compte ainsi que pour ceux pour lesquels il fait appel à des sous-traitants. Elle rappelle également que lorsqu’une entreprise fait partie d’un groupe, le montant de l’amende doit être calculé sur la base d’un pourcentage du chiffre d’affaires total mondial du groupe.