La procédure concerne l’interprétation de plusieurs dispositions du RGPD relatives aux pouvoirs et obligations des autorités de contrôle en cas de violation de données à caractère personnel, ainsi qu’à la portée du droit pour la personne concernée d’exiger des mesures correctrices, dont l’imposition d’amendes administratives.
Un requérant (TR) a déposé une réclamation auprès de l’autorité de contrôle (le HBDI) après la consultation illicite de ses données bancaires par une employée de la Caisse d’épargne; la réclamation du requérant s’inscrit dans des tensions de voisinage avec une employée de la Caisse d’épargne, un établissement communal de droit public. Cette employée aurait accédé de manière répétée, et sans autorisation, aux données personnelles, économiques et liées au chiffre d’affaires du requérant. Le HBDI a estimé qu’il n’y avait pas de risque élevé justifiant une notification à la personne concernée et qu’il n’était pas nécessaire de sanctionner davantage la Caisse d’épargne. TR a contesté la décision, affirmant que l’autorité de contrôle devait impérativement intervenir et éventuellement infliger une amende à la banque.
La Caisse d’épargne avait déjà informé le défendeur d’une violation de données conformément à l’article 33 du RGPD.
Toutefois, elle n’avait pas effectué une notification à la personne concernée (article 34 du RGPD), estimant que cette violation n’engendrait pas un risque élevé pour le requérant.
L’employée fautive a affirmé par écrit ne pas avoir conservé ou divulgué les données consultées.
Le requérant reproche au Commissaire (autorité de contrôle) de ne pas avoir correctement instruit sa réclamation et de ne pas avoir pris de mesures suffisantes contre la Caisse d’épargne, et lui demande notamment :
– Une intervention effective de l’autorité de contrôle, conformément aux articles 57 et 58 du RGPD.
– L’injonction de prendre des mesures contre la Caisse d’épargne, y compris l’imposition d’amendes administratives (jusqu’à 120 millions d’euros en application de l’article 83 du RGPD, compte tenu du bilan financier de l’entité).
– La prise en compte des violations alléguées suivantes :
° Non-respect des articles 33 et 34 du RGPD (gestion des violations de données).
° Non-respect des articles 12, 15 et 5 du RGPD (accès aux données, délais de réponse, conservation des registres d’accès, mesures de sécurité).
L’autorité de contrôle (défendeur) avait rejeté ces demandes en ces termes:
Sur la notification en vertu de l’article 34 du RGPD :L’autorité estime que la décision de la Caisse d’épargne, prévoyant qu’une notification à l’individu n’était pas nécessaire, repose sur une évaluation correcte des risques (non qualifiés de “risques élevés”).
Elle juge qu’une telle décision “prévisionnelle” ne peut être considérée comme manifestement erronée.
Sur la durée de conservation des registres d’accès :
L’autorité a recommandé à la Caisse d’épargne de prolonger la durée de conservation des registres de 3 mois à 6-12 mois.
Sur d’autres mesures de contrôle :
L’autorité a indiqué que des droits d’accès étendus au sein de l’organisation peuvent être accordés sous certaines garanties (par exemple, traçabilité des accès). Elle considère qu’un contrôle systématique de chaque consultation des données n’est pas nécessaire.
Sur l’absence de sanctions :
L’autorité a choisi de ne pas imposer d’amendes à la Caisse d’épargne.
Le requérant estime que l’autorité de contrôle doit obligatoirement intervenir en cas de violation des droits des personnes concernées, à la différence absolue du défendeur qui considère qu’il dispose d’un pouvoir discrétionnaire pour déterminer si une intervention est nécessaire et proportionnée.
QUESTION(S) PREJUDICIELLE(S) │ SYNTHESE
Les dispositions combinées de l’article 57, paragraphe 1, points a) et f), et de l’article 58, paragraphe 2, points a) à j), et de l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données – RGPD ; JO 2016, L 119, p. 1) doivent-elles être interprétées en ce sens que l’autorité de contrôle est toujours tenue d’intervenir au titre de l’article58, paragraphe 2, du RGPD lorsqu’elle constate un traitement de données qui empiète sur les droits de la personne concernée ?
En d’autres termes, la juridiction administrative allemande demande à la Cour de Justice de l’Union Européenne (CJUE) d’interpréter les articles 57 ( missions générales des APD), 58 (pouvoirs correcteurs des APD) et 77 (droit au recours des particuliers) du RGPD pour déterminer si :
1. Les autorités de contrôle disposent d’un pouvoir discrétionnaire quant à la prise de mesures correctrices ou si elles sont tenues d’intervenir systématiquement en cas de violation avérée.
2. En cas de pouvoir discrétionnaire, quels sont les critères permettant de juger qu’une intervention est nécessaire ou superflue ?
3. La protection juridictionnelle effective inclut-elle un droit pour les personnes concernées à exiger la prise de mesures spécifiques par les autorités de contrôle ?
Portée combinée, complémentaire ou contradictoire des obligations des autorités de contrôle en vertu des articles 57 et 58 du RGPD, et du droit des personnes concernées à un recours effectif (article 77 RGPD)?
Deux thèses s’affrontent: la thèse restrictive de l’autorité de protection des données qui considère que seules les violations graves justifient une intervention (logique de proportionnalité) et la thèse extensive du particulier requérant qui estime que toute violation, même mineure, déclenche une obligation d’agir (garantie des droits subjectifs).
1. Pour le requérant : obligation absolue d’intervention des APD
Sur l’obligation d’intervenir en cas de violation constatée :
Selon lui, l’article 57, paragraphe 1, point f), et l’article 58, paragraphe 2, du RGPD imposent à l’autorité de contrôle une obligation d’agir activement dès lors qu’une violation des droits des personnes concernées est constatée. Cela inclut l’obligation d’infliger des sanctions ou de prendre des mesures correctrices.
Sur l’exercice inadéquat des pouvoirs d’enquête et de sanction :
Le requérant critique le fait que l’autorité de contrôle n’a pas correctement enquêté sur les faits dénoncés, n’a pas pris en compte tous les éléments présentés, et n’a pas imposé de sanctions proportionnées à l’encontre de la Caisse d’Épargne.
Sur la violation de son droit à un recours effectif :
En s’abstenant de prendre des mesures suffisamment dissuasives et correctrices, l’autorité de contrôle aurait compromis le droit du requérant à une protection juridictionnelle effective, garanti par l’article 47 de la Charte des droits fondamentaux de l’Union européenne.
Sur les sanctions proportionnelles et dissuasives à imposer :
Le requérant demande que l’autorité de contrôle inflige une amende à la Caisse d’Épargne, fondée sur l’article 83 du RGPD, qu’il estime devoir se situer dans une fourchette de 60 à 120 millions d’euros.
2- Pour l’Autorité de Contrôle: tout est affaire de cas par cas
Sur le pouvoir discrétionnaire des autorités de contrôle :
Elle soutient que le RGPD n’impose pas une obligation juridique stricte d’intervenir dans tous les cas de violations constatées. L’article 57 n’exige qu’un examen raisonnable des réclamations, tandis que l’article 58 lui confère une marge d’appréciation quant aux mesures à adopter. Ainsi, l’ADP propose une interprétation sémantique des dispositions du RGPD qui mentionne l’expression “dispose du pouvoir” (shall have powers) et non pas celle de “est tenue de” (shall be obliged to)
Sur la proportionnalité des interventions :
Toute intervention doit être nécessaire, adaptée et proportionnée à la gravité des faits. En l’espèce, la Caisse d’Épargne aurait pris des mesures internes (disciplinaires) suffisantes pour prévenir de nouveaux risques, rendant une sanction inutile. L’ADP, en effet, rappelle les “Considérants” 129 et 141 du RGPD qui invitent à une approche proportionnée, nécessaire et adaptée aux circonstances.
Sur l’absence de risque élevé pour la personne concernée :
L’autorité de contrôle a estimé que la violation de données signalée n’avait pas entraîné de risque élevé pour les droits du requérant, ce qui justifiait l’absence de notification à la personne concernée en vertu de l’article 34 RGPD
Sur le contrôle juridictionnel limité :
L’autorité de contrôle affirme que son pouvoir d’appréciation est encadré par le RGPD mais ne doit pas être entièrement subordonné aux tribunaux. Les juges ne devraient pas imposer directement des sanctions ou mesures correctrices à sa place; se pose alors la question de savoir si le juge judiciaire ou administratif saisi est en droit d’imposer une mesure spécifique à l’ADP lorsque l’inaction de cette dernière est jugée illégale…
MOTIVATION DE LA COUR
La question principale renvoyée à la Cour de justice de l’Union européenne (CJUE) était de savoir si, dès qu’elle constate une violation avérée des droits de la personne concernée, l’autorité de contrôle est toujours tenue de prendre des mesures correctrices au titre de l’article 58, paragraphe 2, du RGPD, ou si elle peut, au contraire, s’en abstenir en fonction des circonstances de l’affaire.
L’avocat général a souligné que l’autorité de contrôle est certes obligée d’agir lorsqu’une violation du RGPD est constatée, mais qu’elle dispose d’un pouvoir d’appréciation pour choisir les mesures permettant de rétablir une situation conforme.
– Sur l’obligation d’intervenir : L’autorité de contrôle ne peut simplement ignorer l’infraction ; elle doit réagir de façon appropriée et proportionnée.
– Sur les mesures correctrices : L’article 58, paragraphe 2, RGPD confère à l’autorité un ensemble d’outils (avertissement, rappel à l’ordre, injonction de se conformer, limitation du traitement, amendes administratives…), parmi lesquels elle peut opter en tenant compte du contexte.
– Sur les amendes administratives : L’avocat général a indiqué qu’il n’existe pas d’obligation automatique d’infliger une amende en cas de violation ; l’autorité doit apprécier si les critères requis (gravité, caractère délibéré…) justifient une sanction financière, ou s’il suffit d’autres mesures (enjeu de proportionnalité).
– Sur le pouvoir discrétionnaire : Le terme « dispose du pouvoir » (article 58, paragraphe 2, RGPD) suggère que l’autorité a une marge de manœuvre. Toutefois, celle-ci peut être réduite à néant si la protection du droit de la personne concernée l’exige impérativement (par exemple, si seule l’effacement est susceptible d’éliminer la violation persistante)[3].
Il conclut que l’autorité de contrôle peut, dans certains cas limités, choisir de ne pas arrêter de mesures correctrices, à condition que cela se révèle approprié (par exemple si l’entité responsable a déjà pris elle-même les mesures nécessaires et fait cesser la violation).
La CJUE a confirmé la plupart de ses orientations en relevant :
1. Obligation d’examiner la réclamation : L’autorité de contrôle, saisie d’une réclamation, doit la traiter avec diligence et établir s’il y a eu infraction au RGPD.
2. Pouvoir d’appréciation pour les mesures correctrices : L’autorité de contrôle est tenue de remédier aux insuffisances constatées en adoptant des mesures appropriées, nécessaires et proportionnées (article 58, paragraphe 2, RGPD). Elle ne doit pas nécessairement infliger une sanction dans tous les cas.
3. Importance du contexte : Chaque situation doit s’apprécier au regard de la gravité de la violation, de la répétition éventuelle ou de l’intensité du risque pour les droits et libertés des personnes. Si la violation est jugée mineure ou déjà corrigée, l’autorité peut limiter son intervention.
4. Recours juridictionnel : L’article 78 RGPD garantit à la personne concernée le droit de contester le choix final de l’autorité (notamment en cas d’absence de sanction jugée trop clémente), mais sans lui reconnaître le droit d’exiger une mesure déterminée, comme une amende à tout prix.
La Cour fixe de façon plus détaillée le cadre d’évaluation de la proportionnalité des mesures correctrices et inscrit ainsi sa décision dans la continuité de sa jurisprudence antérieure, tout en apportant des précisions sur l’ampleur du pouvoir discrétionnaire dans le choix des mesures et la marge de manœuvre concernant l’imposition ou non d’une amende; elle confirme que l’autorité de contrôle doit réagir à une violation avérée, mais qu’elle n’est pas contrainte de prendre systématiquement la sanction la plus sévère, dès lors que l’objectif de protection peut être atteint par d’autres voies.
PRECEDENTS JURISPRUDENTIELS D’INTERET
– Affaires C-26/22 et C-64/22 (SCHUFA Holding) : La CJUE insiste sur l’obligation pour l’autorité de contrôle de mener un examen effectif et complet lors du traitement d’une réclamation, et sur le contrôle juridictionnel entier des décisions prises.
– Affaire C-311/18 (Facebook Ireland et Schrems) : Concernant la portée du pouvoir d’adopter l’une des mesures de l’article 58, paragraphe 2, RGPD (ici la suspension d’un transfert de données), la CJUE rappelle également que l’autorité est tenue d’intervenir de façon adaptée et peut se trouver dans l’obligation de prendre une mesure spécifique quand la protection des droits fondamentaux l’exige.
– Affaire C-683/21 (Nacionalinis visuomenes sveikatos centras) : Met l’accent sur la fonction dissuasive et proportionnée des amendes administratives, sans en faire un instrument obligatoire dès la moindre violation.
– Affaire C-552/21 : Fait partie de la même série de questions préjudicielles portant sur la nature de la décision d’une autorité de contrôle saisie d’une réclamation, et souligne déjà la latitude dont dispose cette autorité dans la réponse donnée, sous le contrôle effectif du juge.