Précisions de la CJUE sur le régime de responsabilité dans le RGPD

La Cour de Justice de l’Union Européenne a récemment rendu deux arrêts essentiels dans lesquels elle apporte des éclairages sur la notion de responsable conjoint du traitement de données à caractère personnel et fixe le régime de la responsabilité des personnes morales responsables du traitement. La Cour en profite également pour préciser la ligne de conduite que les autorités nationales de contrôle devront adopter afin de déterminer le montant de l’amende administrative en cas de violation du RGPD.

 

🟠 Contexte des décisions

 

Dans la première espèce ((C-683/21), les autorités lituaniennes, afin de mieux gérer la pandémie de COVID-19, ont décidé de faire appel à une société privée afin de développer une application informatique mobile. Cette application devait servir d’outil de suivi épidémiologique, en suivant et enregistrant les données personnelles des personnes exposées au COVID-19. Le ministère de la santé lituanien a confié la création de cette application à une entreprise spécialisée. L’application a été rapidement mise à disposition aux fins de téléchargement par le public en avril 2020, et ce jusqu’au 26 mai 2020, de sorte que des données personnelles des utilisateurs ont été collectées alors même que le projet n’a finalement pas abouti.

 

L’ autorité nationale de contrôle a entamé une enquête portant sur les données qui avaient été collectées et sur le fait que les utilisateurs s’étaient servis de l’application comme outils de suivi de l’isolement obligatoire dû à la pandémie de Covid 19. Ayant constaté que les utilisateurs de l’application avaient répondu à des questions portant sur leur état de santé et le respect par eux des conditions de l’isolement, réponses impliquant un traitement de leurs données personnelles, l’autorité de contrôle a prononcé une amende de 12 000 euros à l’encontre de l’autorité nationale de santé lituanienne, pour violation de l’article 4 du RGPD. Cette disposition du RGPD donne la définition de la notion de traitement de données. L’autorité de santé lituanienne ayant contesté cette décision, la juridiction nationale a saisi la CJUE à titre préjudiciel.

 

Dans la seconde espèce ((C-807/21), la société immobilière allemande Deutsche Wohnen, appartenant à un groupe de sociétés, était propriétaire et gestionnaire, par le biais de ses filiales, de logements ainsi que d’unités commerciales. Dans le cadre de ses activités, la société Deutsche Wohnen, de même que les filiales du groupe, ont été amenées à traiter des données à caractère personnel des locataires. En 2017, l’autorité de contrôle allemande a attiré l’attention de la société mère sur le fait que les sociétés du groupe conservaient les données personnelles des locataires dans un système d’archivage électronique ne permettant pas de vérifier l’utilité de la sauvegarde et l’effacement des données obsolètes.    

 

Ces deux arrêts apportent des précisions sur la notion de responsable conjoint du traitement ainsi que sur la notion de faute et les modalités de calcul de la sanction.

 

🟠 La notion de responsable conjoint de traitement

 

L’autorité nationale de santé lituanienne a contesté le fait d’avoir été considérée avec la société ayant créé l’application comme un responsable conjoint du traitement au sens de l’article 4.7 du RGPD. La Cour de justice a répondu à cela qu’une entité ayant chargé une entreprise de développer une application peut être considérée comme responsable du traitement et qu’à ce titre elle ne peut se retrancher derrière le moyen selon lequel elle n’est pas l’entité qui procède directement au traitement des données afin d’écarter sa responsabilité.

 

La Cour de justice considère en effet que l’existence d’un accord déterminant les finalités et les moyens du traitement de données entre les parties permet de qualifier le ministère de la santé de responsable du traitement des données à caractère personnel effectué par l’entreprise sous-traitante, cette dernière étant qualifiée de responsable conjoint de traitement, et ce même si l’accord n’a pas abouti, le donneur d’ordre initial ne s’étant pas opposé à la mise à disposition de l’application ni au traitement des données personnelles qui en a résulté.  En outre, la Cour considère que l’article 4.2 du RGPD qui définit la notion de traitement de données à caractère personnel doit être interprété en ce sens qu’il s’applique aux données traitées dans le cadre d’essais informatiques d’une application mobile, à moins que de telles données n’aient été rendues anonymes, et que la personne concernée par ces données ne soit plus identifiable.

  

🟠 La notion de faute et les modalités de calcul de la sanction

Dans l’affaire allemande (C-807/21), la société immobilière Deutsche Wohnen a contesté une amende de plus de 14 millions d’euros pour avoir conservé les données personnelles des locataires plus longtemps que nécessaire.

 

En effet, il était reproché à la société Deutsche Wohnen d’avoir délibérément omis de prendre les mesures nécessaires pour assurer la suppression régulière des données non nécessaires, ainsi que d’avoir conservé les données d’au moins 15 locataires identifiés de façon précise, et tout cela au-delà de la date butoir qui avait été fixée par l’autorité de contrôle pour les supprimer.

 

La Cour a à cette occasion précisé trois principes permettant d’encadrer la faute et la sanction dans le cadre du RGPD :

  • Tout d’abord, les entreprises peuvent être tenues responsables des violations du RGPD commises dans le cadre de leurs activités, sans qu’il soit nécessaire d’identifier une personne physique spécifique comme responsable,
  • Ensuite, l’amende administrative ne peut être imposée que si la violation du RGPD a été commise par le responsable du traitement de manière fautive, c’est-à-dire délibérément ou par négligence,
  • Enfin, dans le cas de groupes de sociétés le calcul de l’amende doit se baser sur le chiffre d’affaires du groupe entier.

 

🟠 Conclusion

 

On peut voir dans ces décisions de la CJUE une avancée en ce qu’elles responsabilisent le donneur d’ordre et les groupes de sociétés en élargissant la notion de responsable conjoint et en rappelant que la négligence est une faute sanctionnable. Les grands groupes ne pourront plus se cacher derrière l’opacité de leur structure afin de tenter d’échapper à une sanction et ce d’autant plus que son montant est désormais calculé sur leur chiffre d’affaires global.

Pour en savoir plus / sources: