Par deux arrêts du 5 décembre 2023, la CJUE a précisé les conditions dans lesquelles les entités traitant de données peuvent être condamnées au paiement d’une amende administrative en cas de violation du RGPD.
La CJUE était saisie de deux affaires relatives à la condamnation de responsables de traitement au paiement d’amendes administratives en raison de manquements à plusieurs obligations du RGPD.
La CJUE a ainsi eu l’occasion de se prononcer sur les conditions dans lesquelles une personne à l’origine de la commande d’une application mobile, réalisée par une tierce personne et impliquant le traitement de données personnelles, pouvait être considérée comme responsable de traitement.
Elle a également précisé les conditions dans lesquelles un responsable de traitement peut être condamné au paiement d’une amende administrative.
La CJUE a enfin apporté des précisions sur les traitements de données réalisés dans le cadre de tests informatiques. Elle a ainsi considéré que le traitement de données à caractère personnel pendant cette phase devait être considéré comme un traitement de données au sens du RGPD[1].
L’entité qui ne réalise pas elle-même les traitements de données personnelles peut être considérée comme le responsable de traitement
L’une des affaires concernait un centre de santé publique qui avait commandé à un prestataire le développement d’une application mobile. Le centre avait été sanctionné au titre de plusieurs manquements au RGPD et contestait sa qualité de responsable de traitement.
Il expliquait notamment qu’il n’avait pas procédé lui-même aux opérations de traitement et qu’il n’avait pas donné explicitement son accord pour la réalisation de ces opérations et la mise à disposition au public de l’application qu’il n’avait finalement pas acquise.
La Cour a considéré que le centre pouvait être considéré comme un responsable de traitement dès lors qu’il « a influé, à des fins qui lui sont propres, sur la détermination des finalités et des moyens » d’un traitement.
Tel est le cas lorsque l’entité a prévu le traitement de données pour le fonctionnement de l’application, ou lorsque les paramètres de l’application ont été adaptés aux besoins de l’entité qui l’a commandée.
Le prononcé d’une amende administrative suppose un comportement fautif du responsable de traitement
La CJUE était également interrogée sur la possibilité de sanctionner un responsable de traitement lorsqu’il ne peut pas être démontré que ce dernier a, délibérément ou par négligence, violé le RGPD.
La CJUE a, à ce titre, jugé que le prononcé d’une sanction administrative envers un responsable de traitement présuppose un comportement fautif. Ce dernier se matérialise par une violation commise délibérément ou par négligence[2]. Tel est le cas lorsque le responsable de traitement ne pouvait ignorer le caractère infractionnel de son comportement, peu important qu’il ait conscience d’enfreindre les dispositions du RGPD.
La Cour a également précisé que la preuve d’une action ou d’une connaissance de l’organe de direction du responsable de traitement n’est pas un préalable à sa condamnation. Il en va de même pour l’identification de l’éventuelle personne physique à l’origine de la violation.
Elle a également rappelé que les responsables de traitement peuvent se voir sanctionnés pour des manquements commis par leurs sous-traitants.
Sur le calcul du montant de l’amende, la Cour a précisé que lorsque l’entité traitant des données fait partie d’un groupe[3], l’autorité de contrôle doit prendre en compte le chiffre d’affaires du groupe, et non celui du seul responsable de traitement.
Lire les arrêts de la CJUE du 5 décembre 2023, affaires C-807/21 et C-683/21
[1] Cette position est partagée par la CNIL, qui a récemment publié des fiches pratiques relatives à la constitution de bases de données d’apprentissages de systèmes d’intelligence artificielle.
[2] Article 83.2 b) du RGPD
[3] La CJUE se réfère ici à la notion d’ « entreprise » mentionnée aux articles 101 et 102 du TFUE (points 56 et 57 de l’arrêt dans l’affaire C-807/21)