CJUE : résumé des décisions rendues en octobre 2024
La CJUE a rendu plusieurs jugements en matière de protection des données ces dernières semaines, je vous en propose les résumés et extraits ci-dessous.
C-446/21, 4 octobre 2024 - Schrems (Communication de données au grand public)
Résumé des faits
- L’affaire concerne un litige entre Maximilian Schrems et Meta Platforms Ireland (anciennement Facebook Ireland) au sujet du traitement des données personnelles de Schrems par Meta.
- Meta Platforms Ireland gère le réseau social Facebook dans l’UE et traite les données des utilisateurs à des fins de publicité ciblée.
- Schrems est un utilisateur de Facebook. Il n’a pas autorisé Meta à traiter ses données d’activités hors Facebook à des fins publicitaires, mais certaines de ces données ont quand même été collectées via des cookies et plugins sociaux.
- Meta collecte et analyse des données sur les activités des utilisateurs sur et en dehors de Facebook, y compris la navigation sur des sites tiers.
- Des données sensibles de Schrems, comme son orientation sexuelle, ont été déduites par Meta de son activité en ligne, bien qu’il ne les ait pas explicitement indiquées sur son profil Facebook.
- Schrems a reçu des publicités ciblées basées sur ces données sensibles déduites.
- Lors d’une table ronde publique en 2019, Schrems a mentionné son orientation sexuelle dans le cadre d’une critique du traitement des données par Facebook.
- Schrems a intenté une action en justice, affirmant que le traitement de ses données par Meta violait le RGPD.
Extraits des considérants
Principe de proportionnalité temporelle (minimisation des données)
(55) Il ressort ainsi sans ambiguïté du libellé de cet article que le principe de la « limitation de la conservation » qu’il consacre requiert que le responsable du traitement soit en mesure de démontrer, conformément au principe de responsabilité rappelé au point 51 du présent arrêt, que les données à caractère personnel sont uniquement conservées pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles ont été ultérieurement traitées […].
(57) […] il appartient à la juridiction nationale d’apprécier, compte tenu de l’ensemble des éléments pertinents et en faisant application du principe de proportionnalité, rappelé à l’article 5, paragraphe 1, sous c), du RGPD, si la durée de conservation des données à caractère personnel par le responsable du traitement est raisonnablement justifiée au regard de l’objectif consistant à permettre la diffusion de publicités personnalisées.
(58) En toute hypothèse, une conservation, pour une période illimitée, des données à caractère personnel des utilisateurs d’une plateforme de réseau social à des fins de publicité ciblée doit être considérée comme une ingérence disproportionnée dans les droits garantis à ces utilisateurs par le RGPD.
(59) En troisième lieu, s’agissant de la circonstance que les données à caractère personnel en cause au principal seraient collectées, agrégées, analysées et traitées à des fins de publicité ciblée, sans distinction en fonction de la nature de ces données, il importe de rappeler que la Cour a déjà jugé que, eu égard au principe de minimisation des données, prévu par l’article 5, paragraphe 1), sous c), du RGPD, le responsable du traitement ne peut procéder, de manière généralisée et indifférenciée, à la collecte de données à caractère personnel et qu’il doit s’abstenir de collecter des données qui ne sont pas strictement nécessaires au regard des finalités du traitement […].
(60) Il convient également de relever que l’article 25, paragraphe 2, de ce règlement exige du responsable du traitement qu’il mette en œuvre les mesures appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Aux termes de cette disposition, une telle exigence s’applique notamment à la quantité de données à caractère personnel collectées et à l’étendue de leur traitement, tout comme à leur durée de conservation.
(65) […] l’article 5, paragraphe 1, sous c), du RGPD, doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.
Données sensibles publiquement accessibles
(72) Aux fins de l’application de l’article 9, paragraphe 1, du RGPD, il importe de vérifier, dans le cas d’un traitement de données à caractère personnel effectué par l’opérateur d’un réseau social en ligne, si ces données permettent de révéler des informations relevant d’une des catégories visées à cette disposition, que ces informations concernent un utilisateur de ce réseau ou toute autre personne physique. Dans l’affirmative, un tel traitement de données à caractère personnel est alors interdit, sous réserve des dérogations prévues à l’article 9, paragraphe 2, du RGPD.
(75) S’agissant, en particulier, de la dérogation prévue à l’article 9, paragraphe 2, sous e), du RGPD, il y a lieu de rappeler que, en vertu de cette disposition, l’interdiction de principe de tout traitement portant sur des catégories particulières de données à caractère personnel, posée par cet article 9, paragraphe 1, ne s’applique pas dans l’hypothèse où le traitement porte sur des données à caractère personnel qui sont « manifestement rendues publiques par la personne concernée ».
(76) Dans la mesure où il prévoit une exception au principe de l’interdiction du traitement des catégories particulières de données à caractère personnel, l’article 9, paragraphe 2, sous e), du RGPD doit être interprété de manière restrictive […].
(77) Il s’ensuit que, aux fins de l’application de l’exception prévue à l’article 9, paragraphe 2, sous e), du RGPD, il importe de vérifier si la personne concernée a entendu, de manière explicite et par un acte positif clair, rendre accessibles au grand public les données à caractère personnel en question […].
(80) […] si la circonstance que la personne concernée a rendue manifestement publique une donnée concernant son orientation sexuelle a pour conséquence que cette donnée peut faire l’objet d’un traitement, par dérogation à l’interdiction prévue à l’article 9, paragraphe 1), du RGPD et conformément aux exigences découlant des autres dispositions de ce règlement […], cette circonstance n’autorise pas, à elle seule, contrairement à ce que fait valoir Meta Platforms Ireland, le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne.
(81) Ainsi, d’une part, il serait contraire l’interprétation restrictive qu’il convient de donner à l’article 9, paragraphe 2, sous e), du RGPD de considérer que l’ensemble des données relatives à l’orientation sexuelle d’une personne échappent à la protection découlant du paragraphe 1 de cet article au seul motif que la personne concernée a manifestement rendu publique une donnée à caractère personnel se rapportant à son orientation sexuelle.
(82) D’autre part, le fait qu’une personne ait manifestement rendue publique une donnée concernant son orientation sexuelle ne permet pas de considérer que cette personne a fourni son consentement, au sens de l’article 9, paragraphe 2, sous a), du RGPD, au traitement par l’exploitant d’une plateforme de réseau social en ligne d’autres données relatives à son orientation sexuelle.
C-21/23, 4 octobre 2024 - Lindenapotheke (Commercialisation de médicaments par un pharmacien par le biais d’une plate-forme en ligne)
Résumé des faits
- ND exploite une pharmacie et commercialise depuis 2017 des médicaments dont la vente est réservée aux pharmacies sur la plateforme Amazon. Lors de la commande en ligne, les clients doivent saisir des informations comme leur nom, adresse de livraison et éléments d’individualisation des médicaments.
- DR, qui exploite également une pharmacie, a intenté une action en justice contre ND, demandant qu’il lui soit interdit de vendre ces médicaments sur Amazon tant qu’il n’est pas garanti que le client puisse donner son consentement préalable au traitement de données concernant sa santé.
- DR a fait valoir que cette commercialisation était déloyale en raison du non-respect des exigences légales relatives au consentement du client pour le traitement de données de santé.
- Les tribunaux allemands de première instance et d’appel ont donné raison à DR.
- ND s’est pourvu devant la Cour fédérale de justice allemande, qui a saisi la CJUE de questions préjudicielles portant sur :
- La possibilité pour un concurrent d’agir en justice sur la base du droit de la concurrence déloyale pour des violations du RGPD,
- La qualification des données saisies lors de la commande comme “données de santé” au sens du RGPD, même pour des médicaments sans ordonnance.
Extraits des considérants
(79) […] les clients de ND saisissent, lors de la commande en ligne sur Amazon de médicaments dont la vente est réservée aux pharmacies, des informations telles que leur nom, l’adresse de livraison et les éléments d’individualisation des médicaments. De telles informations constituent assurément des « données à caractère personnel », en ce qu’elles se rapportent à des personnes physiques identifiées ou identifiables.
(82) [L’art. 8 par. 1 de la Directive 95/46 et l’art. 9 par. 1 du RGPD] ne sauraient être interprétées en ce sens que le traitement de données à caractère personnel susceptibles de révéler, de manière indirecte, des informations sensibles concernant une personne physique est soustrait au régime de protection renforcé prévu par lesdites dispositions, sauf à porter atteinte à l’effet utile de ce régime et à la protection des libertés et des droits fondamentaux des personnes physiques qu’il vise à assurer […].
(83) Partant, pour que des données à caractère personnel puissent être qualifiées de données concernant la santé, au sens de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, il suffit qu’elles soient de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée […].
(84) Or, les données qu’un client saisit sur une plate-forme en ligne lors de la commande de médicaments dont la vente est réservée aux pharmacies sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée, au sens de l’article 4, point 1, du RGPD, dans la mesure où cette commande implique l’établissement d’un lien entre un médicament, ses indications thérapeutiques ou ses utilisations, et une personne physique identifiée ou identifiable par des éléments tels que le nom de cette personne ou l’adresse de livraison.
(88) […] dans le cas où un utilisateur d’une plate-forme en ligne communique des données à caractère personnel lors de la commande de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale, le traitement de ces données par l’exploitant d’une pharmacie qui vend ces médicaments par le biais de cette plate-forme en ligne doit être considéré comme étant un traitement portant sur des données concernant la santé, au sens de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, étant donné que ce traitement de données est de nature à révéler des informations sur l’état de santé d’une personne physique, que ces informations concernent cet utilisateur ou toute autre personne pour laquelle celui-ci effectue la commande […].
(89) En effet, une interprétation de ces dispositions qui conduirait à opérer une distinction en fonction du type des médicaments concernés et du fait que leur vente est ou non soumise à prescription médicale ne serait pas en cohérence avec l’objectif d’un niveau élevé de protection, rappelé au point 81 du présent arrêt. Une telle interprétation irait, qui plus est, à l’encontre de la finalité de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, consistant à assurer une protection accrue à l’encontre de traitements qui, en raison de la sensibilité particulière des données qui en sont l’objet, sont susceptibles de constituer, ainsi qu’il ressort notamment du considérant 51 du RGPD, une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel […].
(90) Partant, les informations que les clients d’un exploitant d’une pharmacie saisissent lors de la commande en ligne de médicaments dont la vente est réservée aux pharmacies sans être soumise à prescription médicale constituent des données concernant la santé, au sens de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, même si c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments sont destinés à ces clients.
C-621/22, 4 octobre 2024 - Koninklijke Nederlandse Lawn Tennisbond (Intérêt commercial en tant qu’intérêt légitime)
Résumé des faits
- L’affaire concerne le Koninklijke Nederlandse Lawn Tennisbond (KNLTB), la fédération royale de tennis des Pays-Bas.
- En 2018, le KNLTB a communiqué à titre onéreux des données personnelles de ses membres à deux sponsors :
- SportshopsDirect BV (TennisDirect), une société vendant des produits sportifs
- Nederlandse Loterij Organisatie BV (NLO), le plus grand fournisseur de jeux de hasard et de casino aux Pays-Bas
- Les données transmises incluaient : noms, adresses, dates de naissance, numéros de téléphone, adresses e-mail et noms des clubs de tennis d’affiliation des membres.
- Cette communication avait pour but de permettre des actions promotionnelles et de marketing (envoi de dépliants, campagnes d’appels téléphoniques).
- Le KNLTB n’avait pas obtenu le consentement de ses membres pour cette transmission de données.
- Suite à des plaintes de certains membres, l’autorité néerlandaise de protection des données (AP) a considéré que le KNLTB avait violé le RGPD et lui a imposé une amende de 525 000 euros.
- Le KNLTB a fait appel de cette décision devant le tribunal d’Amsterdam, arguant que la communication des données était fondée sur son intérêt légitime au sens du RGPD.
- Le tribunal d’Amsterdam a saisi la CJUE d’une demande de décision préjudicielle pour clarifier l’interprétation de la notion d’“intérêt légitime” dans ce contexte.
Extraits des considérants
(47) En l’occurrence, s’agissant, premièrement, de la condition relative à la poursuite d’un intérêt légitime par le responsable du traitement ou par un tiers, au sens de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, la juridiction de renvoi fait référence à l’intérêt commercial du responsable du traitement, à savoir une fédération sportive telle que le KNLTB, consistant en la communication à titre onéreux des données à caractère personnel de ses membres à des tiers, soit, en l’occurrence, une société qui vend des produits sportifs ainsi qu’un fournisseur de jeux de hasard et de jeux de casino aux Pays-Bas, à des fins de publicité ou de marketing, en particulier, en vue de l’envoi de messages publicitaires et de promotions par ces derniers à ces membres.
(48) À cet égard, la Cour n’a pas exclu qu’un intérêt commercial du responsable du traitement, consistant en la promotion et en la vente d’espaces publicitaires à des fins de marketing, puisse être considéré comme un intérêt légitime au sens de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD […].
(49) Dans ces conditions, un intérêt commercial du responsable du traitement, tel que celui évoqué au point 47 du présent arrêt, pourrait constituer un intérêt légitime, au sens de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, pour autant qu’il ne soit pas contraire à la loi. Il appartient toutefois à la juridiction de renvoi d’apprécier, au cas par cas, l’existence d’un tel intérêt en tenant compte du cadre juridique applicable et de l’ensemble des circonstances de l’affaire.
(50) Dans l’hypothèse où un tel intérêt serait considéré comme étant légitime, il y a encore lieu, pour que la poursuite de cet intérêt puisse permettre un traitement de données à caractère personnel, au titre de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, que le responsable de traitement respecte l’ensemble des autres obligations qui lui incombent en vertu de ce règlement.
(51) […] s’agissant de la condition relative à la nécessité de ce traitement à la réalisation dudit intérêt et, notamment, de l’existence de moyens moins attentatoires aux libertés et aux droits fondamentaux des personnes concernées et tout aussi appropriés, il importe de constater qu’il serait notamment possible, pour une fédération sportive telle que le KNLTB, voulant communiquer à titre onéreux les données à caractère personnel de ses membres à des tiers, d’informer au préalable ses membres et de demander à ceux-ci s’ils souhaitent que leurs données soient transmises à ces tiers à des fins de publicité ou de marketing.
(52) Cette solution permettrait aux membres concernés, conformément au principe de la minimisation des données, évoqué au point 43 du présent arrêt, de conserver le contrôle sur la divulgation de leurs données à caractère personnel et de limiter ainsi la divulgation de celles-ci à ce qui est effectivement nécessaire et pertinent au regard des finalités pour lesquelles lesdites données sont transmises et traitées […].
(53) Une procédure telle que celle décrite au point précédent du présent arrêt pourrait comporter une ingérence moindre dans le droit à la protection de la confidentialité des données à caractère personnel de la personne concernée, tout en permettant au responsable du traitement de poursuivre, de manière aussi efficace, l’intérêt légitime qu’il invoque, ce qu’il appartient toutefois à la juridiction de renvoi de vérifier […].
(55) Dans le cadre d’une telle pondération [des intérêts de la personne concernée et du responsable du traitement], il appartient à la juridiction de renvoi de vérifier si le droit des membres d’associations de tennis à la vie privée à l’égard du traitement des données à caractère personnel les concernant, consacré à l’article 8, paragraphe 1, de la Charte et à l’article 16, paragraphe 1, TFUE, peut prévaloir sur l’intérêt commercial d’une fédération nationale de tennis. Dans cette perspective, ainsi qu’il ressort du considérant 47 du RGPD, il convient d’accorder une importance particulière à la question de savoir si ces membres pouvaient raisonnablement s’attendre, au moment de la collecte de leurs données à caractère personnel afin de devenir membres d’une association de tennis, à ce que celles-ci soient divulguées à titre onéreux à des tiers, en l’occurrence à des sponsors du KNLTB, à des fins de publicité et de marketing.
(56) En outre, la juridiction de renvoi devra tenir compte de la circonstance que les données en question sont notamment transmises à un fournisseur de jeux de hasard et de jeux de casino, tel que la NLO, dont les activités de promotion et de marketing, bien que légitimes, sont exercées dans un contexte qui, contrairement à ce qui découle du considérant 47 du RGPD, ne semble pas être caractérisé par une relation pertinente et appropriée entre les personnes concernées et le responsable du traitement. De plus, dans certaines circonstances, le traitement de telles données pourrait avoir des effets néfastes sur les membres des associations de tennis concernés dans la mesure où ces activités sont susceptibles d’exposer ces membres aux risques liés au développement de la ludopathie.
(57) Compte tenu de ce qui précède, il convient de répondre aux questions préjudicielles que l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD doit être interprété en ce sens qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.
C-507/23, 4 octobre 2024 - Patērētāju tiesību aizsardzības centrs (Dommage et réparation)
Résumé des faits
- Un journaliste letton spécialisé dans l’automobile (le requérant) a contesté l’utilisation sans son consentement de son image dans une vidéo de sensibilisation aux risques liés à l’achat de véhicules d’occasion.
- Cette vidéo a été diffusée sur plusieurs sites Internet par le Centre de protection des droits des consommateurs letton (PTAC).
- Malgré l’opposition du requérant, le PTAC a continué à diffuser la vidéo et a rejeté ses demandes d’arrêt de la diffusion et de réparation.
- Le requérant a saisi la justice pour faire constater l’illégalité du traitement de ses données personnelles et obtenir réparation du préjudice moral sous forme d’excuses publiques et d’une indemnité de 2000 euros.
- Le tribunal administratif de district a déclaré le traitement illégal, ordonné sa cessation, des excuses publiques et une indemnité de 100 euros.
- En appel, la Cour administrative régionale a confirmé l’illégalité et ordonné des excuses, mais a rejeté l’indemnisation financière, estimant que la violation n’était pas grave.
- Le requérant s’est pourvu en cassation devant la Cour suprême lettone, contestant le refus d’indemnisation pécuniaire.
- La Cour suprême lettone a alors saisi la CJUE de questions préjudicielles sur l’interprétation de l’article 82 du RGPD concernant le droit à réparation en cas de violation du règlement.
Extraits des considérants
(24) La Cour a itérativement interprété cet article 82, paragraphe 1, en ce sens que la simple violation de ce règlement ne suffit pas pour conférer un droit à réparation sur ce fondement, dès lors que l’existence d’un « dommage », matériel ou moral, ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu à cette disposition, tout comme l’existence d’une violation de dispositions dudit règlement et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives. Ainsi, la personne demandant réparation d’un dommage moral sur le fondement de ladite disposition est tenue d’établir non seulement la violation du même règlement, mais également que cette violation lui a effectivement causé un tel dommage […].
(32) […] dès lors que le RGPD ne contient pas de disposition ayant pour objet de définir les règles relatives à l’évaluation des dommages‑intérêts dus au titre du droit à réparation consacré à l’article 82 de ce règlement, les juges nationaux doivent, à cette fin, appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union […].
(34) S’agissant du respect de ce principe d’effectivité, la fonction exclusivement compensatoire du droit à réparation prévu à l’article 82 du RGPD implique que les critères d’évaluation de la réparation due au titre de cet article doivent être fixés au sein de l’ordre juridique de chaque État membre, pour autant qu’une telle réparation soit complète et effective, sans qu’il soit nécessaire, aux fins d’une telle compensation intégrale, d’imposer le versement de dommages‑intérêts punitifs […].
(35) Par ailleurs, la Cour a admis que, en l’absence de gravité du préjudice subi par la personne concernée, une juridiction nationale puisse compenser celui‑ci en accordant à cette personne une indemnité minime, pour autant que le montant peu élevé de dommages‑intérêts ainsi alloué soit de nature à compenser intégralement ce préjudice, ce qu’il appartient à cette juridiction de vérifier […].
(36) De même, l’article 82, paragraphe 1, du RGPD ne s’oppose pas à ce que la présentation d’excuses puisse constituer une réparation autonome ou complémentaire d’un dommage moral, ainsi que le prévoit en l’occurrence l’article 14 de la loi de 2005, pour autant qu’une telle forme de réparation respecte lesdits principes d’équivalence et d’effectivité, en particulier en ce que celle‑ci doit permettre de compenser intégralement le dommage moral qui a été concrètement subi du fait de la violation de ce règlement, ce qu’il appartient à la juridiction nationale saisie de vérifier, au regard des circonstances de chaque cas d’espèce.
(44) […] la fonction exclusivement compensatoire dudit article 82, paragraphe 1, ne serait pas respectée si l’attitude et la motivation du responsable du traitement étaient prises en compte pour déterminer la forme de la réparation accordée sur le fondement de cette disposition ou pour octroyer une réparation d’un « niveau inférieur » à la compensation complète du préjudice subi par la personne concernée, ainsi que la juridiction de renvoi l’envisage dans la présente affaire.
C-768/21, 26 septembre 2024 - Land Hessen (Obligation d’agir de l’autorité de protection des données)
Résumé des faits
- Une employée de la Caisse d’épargne a consulté à plusieurs reprises, sans y être habilitée, des données personnelles de TR, un client de la banque.
- Le 15 novembre 2019, la Caisse d’épargne a notifié cette violation de données au HBDI (l’autorité de contrôle allemande pour la protection des données), conformément à l’article 33 du RGPD.
- La Caisse d’épargne n’a pas informé TR de cette violation.
- TR a appris incidemment que ses données avaient été consultées indûment et a déposé une réclamation auprès du HBDI le 27 juillet 2020.
- Dans sa réclamation, TR critiquait le fait de ne pas avoir été informé, la durée de conservation trop courte (3 mois) du registre d’accès de la banque, et les droits de consultation étendus du personnel.
- Le HBDI a examiné la réclamation et a conclu que :
- La Caisse d’épargne n’avait pas enfreint l’article 34 du RGPD en n’informant pas TR, car il n’y avait pas de risque élevé pour ses droits et libertés.
- La durée de conservation du registre d’accès devait être allongée.
- Les droits d’accès étendus du personnel étaient justifiés.
- Le HBDI n’a pas pris de mesures correctrices contre la Caisse d’épargne.
- TR a introduit un recours contre cette décision devant le tribunal administratif de Wiesbaden, demandant que le HBDI soit contraint d’intervenir contre la Caisse d’épargne.
- Le tribunal administratif de Wiesbaden a saisi la CJUE d’une question préjudicielle pour déterminer si l’autorité de contrôle est toujours tenue d’intervenir lorsqu’elle constate une violation du RGPD.
Extraits des considérants
(32) […] en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, d’en examiner l’objet, dans la mesure nécessaire, et d’informer l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable. L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise […].
(37) […] le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée puisque l’article 58, paragraphe 2, de celui-ci confère à cette autorité le pouvoir d’adopter diverses mesures correctrices. Ainsi, la Cour a déjà jugé que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle, qui doit opérer ce choix en prenant en considération toutes les circonstances du cas concret et en s’acquittant avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD […].
(38) Cette marge d’appréciation est cependant limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles, ainsi qu’il ressort des considérants 7 et 10 du RGPD.
(40) Ainsi, le système de sanctions prévu par le législateur de l’Union permet aux autorités de contrôle d’imposer les sanctions les plus appropriées et justifiées selon les circonstances de chaque cas […].
(41) Dès lors, il ne saurait être déduit ni de l’article 58, paragraphe 2, du RGPD ni de l’article 83 de celui-ci l’existence d’une obligation à la charge de l’autorité de contrôle d’adopter, dans tous les cas, lorsqu’elle constate une violation de données à caractère personnel, une mesure correctrice, en particulier une amende administrative, son obligation étant, en pareilles circonstances, de réagir de manière appropriée afin de remédier à l’insuffisance constatée. Dans ces conditions […] l’auteur d’une réclamation dont les droits ont été enfreints ne dispose pas d’un droit subjectif à voir l’autorité de contrôle imposer une amende administrative au responsable du traitement.
(42) En revanche, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.
(43) À cet égard, il n’est pas exclu que, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, l’autorité de contrôle puisse s’abstenir d’adopter une mesure correctrice bien qu’une violation de données à caractère personnel ait été constatée. Tel pourrait être le cas, notamment, lorsque la violation constatée n’a pas persisté, par exemple lorsque le responsable du traitement, qui avait, en principe, mis en œuvre des mesures techniques et organisationnelles appropriées au sens de l’article 24 du RGPD, a, dès qu’il a eu connaissance de cette violation, pris les mesures appropriées et nécessaires pour que ladite violation prenne fin et ne se reproduise pas, compte tenu des obligations lui incombant, notamment, au titre de l’article 5, paragraphe 2, et de l’article 24 de ce règlement.