This document is an excerpt from the EUR-Lex website
Document 62021CC0768
Opinion of Advocate General Pikamäe delivered on 11 April 2024.###
Conclusions de l'avocat général M. P. Pikamäe, présentées le 11 avril 2024.
Conclusions de l'avocat général M. P. Pikamäe, présentées le 11 avril 2024.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2024:291
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. PRIIT PIKAMÄE
présentées le 11 avril 2024 ( 1 )
Affaire C‑768/21
TR
contre
Land Hessen
[demande de décision préjudicielle formée par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 57, paragraphe 1, sous a) et f) – Missions de l’autorité de contrôle – Article 58, paragraphe 2 – Pouvoirs de l’autorité de contrôle – Article 77, paragraphe 1 – Droit d’introduire une réclamation – Violation de données à caractère personnel – Obligation de l’autorité de contrôle d’adopter des mesures »
I. Introduction
1. |
La présente demande de décision préjudicielle déférée par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne) au titre de l’article 267 TFUE a pour objet l’interprétation de l’article 57, paragraphe 1, sous a) et f), de l’article 58, paragraphe 2, ainsi que de l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ( 2 ) (ci-après le « RGPD »). |
2. |
Cette demande a été présentée dans le cadre d’un litige opposant TR au Land Hessen (Land de Hesse, Allemagne), représenté par le Hessischer Beauftragte für Datenschutz und Informationsfreiheit (commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, ci-après le « HBDI »), au sujet du refus de ce dernier d’intervenir contre la Caisse d’épargne en raison d’une violation de données à caractère personnel. La juridiction de renvoi se demande si l’autorité de contrôle, lorsqu’elle constate un traitement de données qui viole les droits de la personne concernée, est, en tout état de cause, tenue d’intervenir dans le cadre des pouvoirs que lui confère l’article 58, paragraphe 2, du RGPD ou si, dans un cas particulier, elle peut – malgré une violation – renoncer à intervenir, |
3. |
La présente affaire soulève plusieurs questions de droit inédites qui invitent à une réflexion profonde. La Cour devra se prononcer, en substance, sur le rôle que jouent les principes de légalité et d’opportunité dans la pratique administrative des autorités de contrôle et, en particulier, dans la poursuite de leur mission consistant à contrôler l’application du RGPD, ainsi qu’à veiller au respect de celui-ci. Les orientations interprétatives qui émergeront de la jurisprudence de la Cour influeront sur cette pratique administrative, contribuant ainsi à une application cohérente de ce règlement au sein de l’Union. |
II. Le cadre juridique
4. |
Les considérants 129, 141, 148 et 150 du RGPD sont ainsi libellés :
[...]
[...]
[...]
|
5. |
L’article 33, paragraphe 1, de ce règlement dispose : « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. [...] » |
6. |
L’article 34, paragraphe 1, dudit règlement prévoit : « Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. » |
7. |
L’article 57, paragraphe 1, de ce même règlement énonce : « Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :
[...]
[...] » |
8. |
Aux termes de l’article 58 du RGPD : « 1. Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants :
[...] 2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :
[...]
[...] » |
9. |
L’article 77 de ce règlement dispose : « 1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. 2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. » |
10. |
L’article 78 dudit règlement prévoit, à ses paragraphes 1 et 2 : « 1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. 2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77. » |
11. |
L’article 83 du RGPD énonce, à ses paragraphes 1 et 2 : « 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. 2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
|
III. Les faits à l’origine du litige, la procédure au principal et la question préjudicielle
12. |
La Caisse d’épargne est un établissement communal de droit public effectuant, notamment, des opérations bancaires et de crédit. Le 15 novembre 2019, elle a notifié au HBDI une violation de données à caractère personnel, conformément à l’article 33 du RGPD, dès lors que l’une de ses employées avait consulté à plusieurs reprises, sans y être habilitée, des données à caractère personnel de TR, l’un de ses clients. Estimant qu’il ne s’agissait pas d’une violation de données à caractère personnel susceptible d’engendrer un risque élevé pour TR, la Caisse d’épargne s’est toutefois abstenue de faire également une notification à TR, au titre de l’article 34 de ce règlement. |
13. |
Après avoir pris connaissance de cet incident, TR s’est adressé au HBDI, par une lettre du 27 juillet 2020, dénonçant une violation de l’article 34 du RGPD et critiquant la courte durée de trois mois de conservation du registre d’accès de la Caisse d’épargne ainsi que les droits de consultation étendus dont jouit tout membre de son personnel. |
14. |
Dans le cadre de la procédure auprès du HBDI, la Caisse d’épargne a indiqué que son délégué à la protection des données avait estimé qu’il n’y avait pas de risque pour TR, étant donné que des mesures disciplinaires avaient été prises à l’encontre de l’employée concernée et que celle-ci avait confirmé par écrit n’avoir ni copié ni conservé les données dont elle avait pris connaissance, ne pas les avoir transmises à des tiers et ne pas le faire non plus à l’avenir. En outre, la durée de conservation des données d’accès devait faire l’objet d’un examen. |
15. |
Par une décision du 3 septembre 2020, le HBDI a informé TR que, en l’occurrence, la Caisse d’épargne n’avait pas enfreint l’article 34 du RGPD. Selon cette autorité, la décision qui devait être prise au titre de cette disposition serait prévisionnelle. Au regard du régime de contrôle de la protection des données, il convenait d’examiner si cette décision était manifestement erronée. Or, la Caisse d’épargne avait exposé que, même si les données avaient été consultées, rien n’indiquait que l’employée qui les avait consultées les aurait transmises à des tiers ou les aurait utilisées au détriment de TR. Ainsi, il n’y avait probablement pas eu de risque élevé. En outre, la Caisse d’épargne avait été invitée à conserver désormais son registre d’accès plus longtemps. Un contrôle de principe de chaque accès n’était – selon le HBDI – pas nécessaire, des droits d’accès étendus pouvant en principe être accordés si l’on avait la certitude que chaque utilisateur était informé des conditions dans lesquelles il peut accéder aux données précisées. |
16. |
TR a introduit un recours contre la décision du 3 septembre 2020 devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden), la juridiction de renvoi, lui demandant d’enjoindre au HBDI d’intervenir à l’encontre de la Caisse d’épargne. |
17. |
À l’appui de son recours, TR fait valoir que le HBDI n’a pas traité sa réclamation comme l’exige le RGPD. Il affirme avoir droit à ce que cette réclamation soit traitée et à être informé des suites données. Le HBDI aurait été tenu d’instruire les circonstances de fait dans lesquelles s’inscrit l’évaluation du risque par la Caisse d’épargne sans se limiter aux mesures expressément demandées et aurait dû infliger des amendes à la Caisse d’épargne. Selon TR, en cas de violation avérée, le principe d’opportunité ne jouerait pas, de sorte qu’il aurait été loisible au HBDI non pas de décider d’agir ou non, mais, tout au plus, de choisir les mesures qu’il envisageait de prendre. |
18. |
La juridiction de renvoi précise que, en l’occurrence, le HBDI, en tant qu’autorité de contrôle, a conclu que, bien qu’il y ait eu violation des dispositions relatives à la protection des données, il n’y avait pas lieu d’intervenir au titre de l’article 58, paragraphe 2, du RGPD. Or, cette approche ne serait conforme que si une autorité de contrôle n’était pas tenue d’intervenir même lorsqu’une violation de la protection des données est avérée. Si l’on suivait le point de vue de TR selon lequel l’autorité de contrôle n’a aucun pouvoir d’appréciation, cela aurait pour conséquence qu’il existerait un droit à une intervention et à des mesures correctrices en cas de violation avérée et que l’autorité de contrôle devrait dans tous les cas prendre une mesure. En cas de refus, le tribunal devrait alors imposer à l’autorité de contrôle une mesure ou un éventail de mesures. |
19. |
La juridiction de renvoi expose que cette argumentation, qui est également défendue dans une partie de la doctrine, s’appuie sur le fait que les pouvoirs de prendre des mesures correctrices au titre de l’article 58, paragraphe 2, du RGPD visent à rétablir des situations conformes lorsque des citoyens voient un traitement de données empiéter sur leurs droits. Cette disposition devrait ainsi se comprendre comme une source d’obligation qui fonde un droit du citoyen à une action des autorités lorsqu’une entreprise ou une autorité a traité illégalement des données à caractère personnel du citoyen ou a violé des droits d’une autre manière. En cas de violation avérée de la protection des données, l’autorité de contrôle serait tenue de prendre des mesures correctrices, le seul pouvoir discrétionnaire qui lui resterait étant celui de choisir laquelle des mesures prévues elle prend. |
20. |
La juridiction de renvoi doute cependant de cette interprétation et la trouve trop extensive. Elle tend plutôt à reconnaître à l’autorité de contrôle une marge de manœuvre lui permettant également de s’abstenir de toute sanction en cas de violations avérées. En effet, l’article 57, paragraphe 1, sous f), du RGPD disposerait uniquement que l’autorité de contrôle saisie de réclamations examine l’objet de la réclamation, dans la mesure nécessaire, et en informe l’auteur de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable. Dès lors, l’autorité de contrôle aurait, à ce titre, une obligation de faire un examen au fond attentif et d’examiner chaque cas particulier, mais il ne s’ensuivrait pas qu’elle doive toujours et absolument intervenir en cas de violation avérée. |
21. |
Dans ces conditions, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante : « Les dispositions combinées de l’article 57, paragraphe 1, sous a) et f), de l’article 58, paragraphe 2, sous a) à j), et de l’article 77, paragraphe 1, du [RGPD] doivent-elles être interprétées en ce sens que l’autorité de contrôle est toujours tenue d’intervenir au titre de l’article 58, paragraphe 2, [de ce règlement] lorsqu’elle constate un traitement de données qui empiète sur les droits de la personne concernée ? » |
IV. La procédure devant la Cour
22. |
La décision de renvoi datée du 10 décembre 2021 est parvenue au greffe de la Cour le 14 décembre 2021. |
23. |
Les parties au principal, les gouvernements autrichien, portugais, roumain et norvégien ainsi que la Commission européenne ont déposé des observations écrites dans le délai imparti par l’article 23 du statut de la Cour de justice de l’Union européenne. |
24. |
Lors de la réunion générale du 16 janvier 2024, la Cour a décidé de ne pas tenir d’audience de plaidoiries. |
V. Analyse juridique
A. Remarques liminaires
25. |
Depuis l’entrée en vigueur du RGPD, de nombreux organismes ont dû mettre en place une série de mesures afin d’être en conformité avec la nouvelle réglementation relative au traitement des données personnelles. Lorsque les organismes ne respectent pas ces mesures, ils s’exposent à des sanctions plus ou moins lourdes en fonction de la gravité de la violation. Les amendes administratives sont au cœur du régime d’application introduit par le RGPD. Elles constituent un élément efficace de la panoplie dont les autorités de contrôle disposent pour faire respecter la réglementation, parallèlement aux autres mesures correctrices prévues par l’article 58, paragraphe 2, du RGPD. Étant donné que ce règlement autorise les autorités de contrôle à infliger des amendes parfois très élevées, il apparaît opportun de préciser, dans l’intérêt de la sécurité juridique, quelles circonstances justifient le recours à cette mesure correctrice. Les présentes conclusions doivent donc être comprises comme une contribution à cet objectif. |
26. |
Les conclusions dans la présente affaire reprennent, pour ainsi dire, là où s’arrêtent mes conclusions dans les affaires jointes C‑26/22 et C‑64/22 (SCHUFA Holding) (ci-après les « affaires SCHUFA ») ( 3 ). Alors que, dans ces affaires, j’ai expliqué quelles sont les obligations qui incombent à l’autorité de contrôle dans le cadre de l’examen d’une réclamation introduite au titre de l’article 77 du RGPD, dans la présente affaire, j’aborderai ses obligations lors de la détection d’une violation des données à caractère personnel, ainsi que son pouvoir d’adopter des mesures correctrices, notamment l’imposition d’amendes administratives. Puis j’examinerai la question de savoir si le RGPD prévoit l’obligation pour l’autorité de contrôle d’infliger une telle amende dans tous les cas ou du moins lorsque l’auteur de la réclamation l’exige expressément. Sur la base d’une synthèse de mon analyse, je répondrai à la question posée par la juridiction de renvoi concernant la possibilité pour l’autorité de contrôle de renoncer à l’adoption de mesures correctrices. |
B. Sur la recevabilité du renvoi préjudiciel
27. |
Avant d’examiner tous ces aspects, il convient d’aborder l’argument de TR, tiré de l’irrecevabilité de la demande de décision préjudicielle. Plus concrètement, TR fait valoir qu’une réponse à la question posée n’est pas nécessaire pour trancher le litige au principal. Son recours viserait seulement à ce que la juridiction de renvoi condamne le HBDI à se prononcer sur les griefs soulevés dans la réclamation dont celui-ci est saisi, et non pas à ce que le HBDI soit condamné à faire usage des pouvoirs conférés par l’article 58, paragraphe 2, du RGPD. |
28. |
À cet égard, il y a lieu de rappeler que, dans le cadre de la coopération entre la Cour et les juridictions nationales instituée à l’article 267 TFUE, il appartient au seul juge national, qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. Par conséquent, dès lors que les questions posées portent sur l’interprétation du droit de l’Union, la Cour est, en principe, tenue de statuer ( 4 ). |
29. |
Il s’ensuit que les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une demande formée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées ( 5 ). |
30. |
En l’occurrence, la juridiction de renvoi, tout en exposant clairement les raisons pour lesquelles elle s’interroge sur l’interprétation des dispositions de droit de l’Union visées dans sa question préjudicielle, a précisé que la réponse à celle-ci était déterminante pour la solution du litige au principal, dans la mesure où TR avait demandé au HBDI d’intervenir contre la Caisse d’épargne. Ainsi qu’il ressort de l’exposé des motifs contenu dans la demande de décision préjudicielle, TR avait fait valoir un « droit » à exiger une telle intervention. En particulier, selon l’avis de TR, « le HBDI aurait dû infliger des amendes à la Caisse d’épargne ». C’est dans ce contexte que la juridiction de renvoi se réfère aux calculs faits par TR afin de déterminer le montant des amendes à imposer. |
31. |
Toutes ces informations, fournies par la juridiction de renvoi elle-même, contredisent clairement les allégations de TR quant à la prétendue irrecevabilité de la demande de décision préjudicielle. Compte tenu de ces circonstances, il ne fait, selon moi, aucun doute qu’une réponse à la question posée par la juridiction de renvoi est nécessaire à la solution du litige. En effet, il apparaît essentiel d’établir la portée des pouvoirs de l’autorité de contrôle ainsi que de ses obligations envers l’auteur d’une réclamation. Par conséquent, il y a lieu de conclure à la recevabilité de la demande de décision préjudicielle. |
C. Examen de la question préjudicielle
32. |
En ce qui concerne le fond, la question préjudicielle vise à déterminer, en substance, quelles sont les obligations de l’autorité de contrôle lorsqu’une violation de données à caractère personnel a été détectée. Une telle hypothèse présuppose généralement que la violation en cause a été établie dans le cadre d’une enquête ouverte à la suite d’une réclamation. |
33. |
Les déclarations de la juridiction de renvoi révèlent quelques imprécisions en ce qui concerne les obligations que le RGPD impose à l’autorité de contrôle lors de l’examen d’une réclamation, ce qui s’explique, à mon avis, par le fait que la demande de décision préjudicielle a été déférée avant le prononcé de l’arrêt dans les affaires SCHUFA ( 6 ), dans lequel la Cour a établi une série de principes importants régissant la procédure de réclamation. Dès lors, on peut raisonnablement supposer que la juridiction n’a pas eu la possibilité de prendre connaissance de cette jurisprudence. |
34. |
Dans le souci de présenter de la manière la plus complète possible le cadre juridique relatif au régime de surveillance instauré par le RGPD et afin de donner une réponse utile à la juridiction de renvoi, il me semble indispensable de rappeler, dans un premier temps, quels sont les principes applicables à la procédure de réclamation ( 7 ) et d’expliquer, dans un second temps, comment une autorité de contrôle devrait procéder lorsqu’elle a identifié une violation de données à caractère personnel ( 8 ). |
1. Sur les obligations de l’autorité de contrôle lors du traitement d’une réclamation
35. |
Ainsi que l’a relevé la Cour dans l’arrêt SCHUFA, conformément à l’article 8, paragraphe 3, de la Charte ainsi qu’à l’article 51, paragraphe 1, et à l’article 57, paragraphe 1, sous a), du RGPD, les autorités nationales de contrôle sont chargées de contrôler le respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ( 9 ). |
36. |
En particulier, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, et d’en examiner l’objet dans la mesure du nécessaire ( 10 ). |
37. |
L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise. La Cour a également relevé que, aux fins de traiter les réclamations introduites, l’article 58, paragraphe 1, du RGPD investit chaque autorité de contrôle d’importants pouvoirs d’enquête ( 11 ). |
38. |
Dans ce contexte, il convient d’observer que la Cour s’est ralliée à l’interprétation que j’ai défendue dans les conclusions présentées dans les affaires SCHUFA, selon laquelle la procédure de réclamation, qui ne s’apparente pas à celle d’une pétition, est conçue comme un mécanisme apte à sauvegarder de manière efficace les droits et intérêts des personnes concernées ( 12 ). |
39. |
Par ailleurs, il y a lieu de noter que la Cour a également partagé mon interprétation de l’article 78, paragraphe 1, du RGPD, considérant qu’une décision sur réclamation adoptée par une autorité de contrôle est soumise à un contrôle juridictionnel entier ( 13 ). |
2. Sur les obligations de l’autorité de contrôle lors de l’identification d’une violation de données à caractère personnel
40. |
Lorsque l’autorité de contrôle constate une violation de données à caractère personnel lors de l’examen d’une réclamation, la question se pose alors de savoir comment elle doit procéder. Comme je l’expliquerai ci-après, une telle constatation établit, tout d’abord, une obligation pour l’autorité de contrôle d’intervenir dans l’intérêt du principe de légalité. De manière générale, il s’agit de définir la ou les mesures correctrices les plus adéquates pour remédier à la violation ( 14 ). Cette interprétation me semble raisonnable, compte tenu du fait que l’article 57, paragraphe 1, sous a), du RGPD confie à l’autorité la mission de « contrôler l’application du règlement » et de « veiller au respect de celui-ci ». Il serait incompatible avec ce mandat que l’autorité de contrôle ait la faculté d’ignorer tout simplement l’infraction établie ( 15 ). |
41. |
De surcroît, les pouvoirs d’enquête dont l’autorité de contrôle dispose en vertu de l’article 58, paragraphe 1, du RGPD ne vaudraient pas grand-chose si l’autorité de contrôle était contrainte de se limiter à mener une enquête malgré la constatation d’une violation des droits de données à caractère personnel. En effet, l’exécution du droit de l’Union en matière de protection des données à caractère personnel constitue une composante essentielle de la notion de « contrôle » visée à l’article 16, paragraphe 2, TFUE et à l’article 8, paragraphe 3, de la Charte ( 16 ). Dans ce contexte, il ne faut pas oublier que l’autorité de contrôle agit aussi dans l’intérêt de la personne ou de l’entité dont les droits ont été enfreints. À cet égard, il convient de relever que l’article 57, paragraphe 1, sous f) et l’article 77, paragraphe 2, du RGPD imposent certaines obligations à l’égard de l’auteur de la réclamation, à savoir de « l’informer de l’état d’avancement et de l’issue de l’enquête ». |
42. |
Cette dernière phrase implique que l’autorité de contrôle doit également rendre compte des mesures prises au regard de la violation de données à caractère personnel qu’elle a identifiée. Il est évident que la procédure de réclamation ne serait d’aucune utilité si l’autorité de contrôle pouvait rester passive face à une situation juridique contraire au droit de l’Union. C’est la raison pour laquelle, afin de donner à l’autorité de contrôle un moyen efficace de faire face à ce type d’infractions, l’article 58, paragraphe 2, du RGPD prévoit un catalogue de mesures correctrices, échelonnées selon l’intensité de l’intervention. L’obligation d’intervenir dans tous les cas, quelle que soit la gravité de l’infraction, signifie que l’autorité de contrôle doit recourir à ce catalogue de mesures correctrices afin de rétablir une situation conforme au droit de l’Union ( 17 ). |
3. Sur le pouvoir dont dispose l’autorité de contrôle d’adopter des mesures correctrices
43. |
Cela étant dit, il convient de préciser que la question de savoir si l’autorité doit intervenir en cas de violation de données à caractère personnel doit être clairement distinguée de la question de savoir comment elle doit agir concrètement. En ce qui concerne cette dernière question, plusieurs indices permettent de déduire que l’autorité de contrôle dispose d’une marge de manœuvre, qui doit tout de même être exercée conformément aux objectifs du RGPD et dans les limites fixées par celui-ci. Si j’ai déjà présenté quelques arguments à l’appui d’une telle interprétation dans les affaires SCHUFA ( 18 ), il apparaît néanmoins nécessaire d’aborder cette question de manière approfondie dans les présentes conclusions. |
44. |
D’emblée, il convient d’observer que, conformément à l’article 58, paragraphe 2, du RGPD, l’autorité de contrôle « dispose du pouvoir » d’adopter toutes les mesures correctrices énumérées à cette disposition, ce qui signifie l’existence d’une faculté, comme le relève à juste titre la juridiction de renvoi. D’ailleurs, cette connotation se retrouve dans toutes les versions linguistiques que j’ai examinées dans le cadre de mon analyse ( 19 ). |
45. |
L’article 58, paragraphe 2, du RGPD doit être interprété à la lumière du considérant 129 de ce règlement, dont il ressort que « toute mesure [doit] [...] être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, compte tenu des circonstances de l’espèce » (mise en italique par mes soins). En d’autres termes, le « pouvoir » conféré à l’autorité de contrôle de recourir au catalogue des mesures correctrices visé à cette disposition est subordonné à une série de conditions, notamment à ce que la mesure prise par cette autorité soit « appropriée ». J’interprète cette notion juridique indéterminée, conférant à l’autorité une marge de manœuvre, en ce sens que la mesure choisie doit pouvoir, en raison de ses propriétés et de son mode d’action, rétablir une situation conforme au droit de l’Union ( 20 ). |
46. |
Cette interprétation est dans la droite ligne de la jurisprudence de la Cour qui a jugé que, lorsqu’une autorité de contrôle constate qu’un traitement de données à caractère personnel a constitué une violation du RGPD, « elle est tenue de réagir de manière appropriée afin de remédier à l’insuffisance constatée » ( 21 ). Ainsi que le fait observer la Commission, l’obligation liant l’autorité de contrôle porte donc avant tout sur le résultat à atteindre, à savoir remédier à la violation constatée, en adoptant la mesure « appropriée » à cette fin. En outre, il convient de relever le fait que la décision concernant la mesure à prendre dépend des circonstances concrètes de chaque cas d’espèce, ainsi qu’il ressort clairement du considérant 129 du RGPD précité. En conséquence, les décisions prises par l’autorité de contrôle dans le cadre de sa pratique administrative peuvent varier sensiblement d’un cas à l’autre, en fonction de la situation. |
47. |
Dans la mesure où l’article 58, paragraphe 2, du RGPD se limite à énoncer que chaque autorité de contrôle « dispose du pouvoir » d’adopter toutes les mesures correctrices énumérées à cette disposition, l’autorité de contrôle jouit d’une marge de manœuvre en ce qu’elle est, en principe, libre de choisir parmi ces mesures correctrices pour remédier à la violation constatée. Ainsi que la Cour l’a souligné dans l’arrêt rendu dans l’affaire C‑311/18 (Facebook Ireland et Schrems), « le choix du moyen approprié et nécessaire relève de l’autorité de contrôle », qui doit opérer ce choix en prenant en considération toutes les circonstances du cas concret ( 22 ). |
48. |
La reconnaissance d’un pouvoir discrétionnaire implique également, selon moi, le pouvoir de ne prendre aucune des mesures correctrices visées à l’article 58, paragraphe 2, du RGPD lorsqu’une telle approche est justifiée par les circonstances spécifiques du cas particulier. En effet, étant donné que le recours au catalogue de mesures correctrices est également subordonné à la condition que la mesure en cause soit « nécessaire » en vue de garantir le respect de ce règlement, il ne saurait être exclu qu’une intervention concrète de la part de l’autorité de contrôle ne remplisse pas cette condition, par exemple si le problème a entre-temps été résolu ou surmonté et l’infraction a cessé d’exister. Il est évident qu’une intervention de l’autorité de contrôle serait dépourvue de sens dans de telles circonstances. |
49. |
De même, comme l’indique à juste titre le gouvernement portugais, le recours à des mesures correctrices peut ne plus être justifié si le niveau de caractère répréhensible du comportement du responsable du traitement ou du sous-traitant est manifestement faible, ou si les circonstances de l’affaire sont en elles-mêmes atténuantes, notamment parce qu’il y a un certain partage de responsabilité avec l’auteur de la réclamation. Or, cela présuppose que l’autorité de contrôle ait la faculté de fixer un seuil en dessous duquel une intervention n’est pas considérée « nécessaire » au sens du RGPD. |
50. |
Dans ce contexte, je me permets d’attirer l’attention sur le considérant 141 du RGPD, qui évoque explicitement la possibilité que l’autorité de contrôle décide de ne pas agir, dans les cas dans lesquels elle estime qu’une action n’est pas « nécessaire » afin de garantir la protection des droits de la personne concernée (« si elle n’agit pas alors qu’une action est nécessaire ») (mise en italique par mes soins). Ce considérant précise que la décision de l’autorité de contrôle est susceptible d’un contrôle juridictionnel également dans le cas où l’auteur de la réclamation ne devait pas partager l’appréciation de l’autorité de contrôle en ce qui concerne la « nécessité » d’agir, outre les autres cas de figure y énumérés, à savoir lorsque les droits que lui confère ce règlement sont violés ou lorsque l’autorité de contrôle ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie. |
51. |
Le pouvoir discrétionnaire reconnu à l’autorité de contrôle en vertu de l’article 58, paragraphe 2, du RGPD implique qu’il est également possible de remédier aux violations mineures par d’autres mesures prises par le responsable du traitement lui-même. Comme le montrent les circonstances de l’affaire en l’espèce, des mesures correctrices à prendre par les entreprises responsables de manière « autonome » peuvent consister en l’adoption de mesures disciplinaires à l’encontre des salariés ayant commis des infractions. Dans des circonstances dans lesquelles la responsabilité de l’infraction a été reconnue et où il a été assuré qu’une nouvelle violation de données ne se produira pas, l’imposition de mesures correctrices supplémentaires par l’autorité de contrôle peut sembler inutile. |
52. |
Dans certaines circonstances, il peut même se révéler contre-productif d’utiliser le pouvoir d’adopter des mesures correctrices à l’encontre d’un responsable du traitement, lorsque cela n’est ni approprié ni nécessaire. Si l’autorité de contrôle était obligée d’utiliser les pouvoirs d’adopter des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD dans chaque cas de violation, il en résulterait une diminution des ressources disponibles pour le suivi d’autres affaires et tâches qui méritent plus d’attention du point de vue de la protection des données. De ce fait, je considère que le recours à des mesures « autonomes » prises par le responsable du traitement lui-même permettrait à l’autorité de contrôle de se concentrer sur des cas graves qui méritent la priorité, tout en garantissant une lutte continue, mais de manière décentralisée contre les violations de données à caractère personnel, à savoir par le biais d’une délégation partielle de ses tâches. |
53. |
Si l’autorité de contrôle choisit de s’abstenir d’appliquer des mesures correctrices visées à l’article 58, paragraphe 2, du RGPD, tout en privilégiant le recours à des mesures « autonomes » prises par le responsable du traitement, il me semble toutefois indispensable que quelques exigences juridiques soient respectées. En premier lieu, l’autorité de contrôle devrait donner son consentement exprès à une telle mesure afin d’éviter tout contournement du régime de surveillance instauré par le RGPD. En deuxième lieu, ce consentement devrait être précédé d’un examen rigoureux de la situation au regard des conditions visées au considérant 129 du RGPD, afin de ne pas dispenser l’autorité de contrôle de sa responsabilité de veiller sur le respect de ce règlement. En troisième lieu, l’accord avec l’entité qui doit exécuter la mesure « autonome » devrait prévoir le droit de l’autorité de contrôle d’intervenir si ses instructions ne sont pas respectées. Si la Cour devait suivre cette interprétation et considérer que de telles mesures « autonomes » sont, en principe, conformes au RGPD, j’estime que la Cour devrait aussi insister sur la nécessité de respecter les exigences susmentionnées dans l’intérêt de la cohérence du système de surveillance. |
54. |
Dès lors que l’article 58, paragraphe 2, du RGPD reconnaît un pouvoir discrétionnaire à l’autorité de contrôle en ce qui concerne le choix de la mesure correctrice « appropriée » dans le cas particulier, il est logique d’exclure tout droit de l’auteur de la réclamation d’exiger l’adoption d’une mesure déterminée. En effet, si l’auteur de la réclamation dispose de certains droits à l’égard de l’autorité de contrôle dans le cadre de cette procédure, notamment du droit d’être informé de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, il n’en reste pas moins que ceux-ci n’incluent pas le droit d’exiger l’adoption d’une mesure spécifique. |
55. |
Un tel droit ne peut pas non plus être déduit du fait que l’auteur de la réclamation jouit du droit à un recours juridictionnel effectif contre une autorité de contrôle, en vertu de l’article 78 du RGPD, car l’obligation principale de cette autorité à l’égard de celui-ci dans le cadre de la procédure de réclamation consiste à motiver de manière suffisamment précise et détaillée sa décision d’intervenir ou non en l’espèce, compte tenu des constatations faites dans le cadre de l’enquête menée par l’autorité. |
56. |
Par ailleurs, il convient d’observer que, conformément à l’article 78, paragraphe 2, du RGPD, le recours juridictionnel peut être formé au motif que l’autorité de contrôle compétente ne traite pas la réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état de l’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77 de ce règlement. Or, force est de constater qu’aucun des motifs mentionnés n’indique que la personne concernée dispose d’un quelconque droit subjectif de demander l’adoption d’une mesure déterminée dans le cadre d’un recours juridictionnel. |
57. |
Il en va de même pour la possibilité, visée au considérant 141 du RGPD, de contester, par un recours juridictionnel, l’appréciation de l’autorité de contrôle quant à la « nécessité » d’agir pour protéger les droits de la personne concernée. Même si la « nécessité » d’agir dans un cas particulier devait finalement être établie par la juridiction compétente, cela ne signifie pas forcément qu’une mesure déterminée devrait être adoptée par l’autorité de contrôle. Cette dernière serait plutôt obligée d’exercer son pouvoir discrétionnaire, le cas échéant, en tenant compte de l’appréciation effectuée par cette juridiction. |
58. |
Cela étant dit, il convient de préciser qu’il est également concevable que l’autorité de contrôle, en tant qu’organe administratif, se voie contrainte d’adopter une mesure déterminée en raison des circonstances particulières de l’espèce, notamment lorsqu’il existe un risque sérieux d’atteinte aux droits fondamentaux de la personne concernée. J’ai évoqué précisément ce scénario dans mes conclusions dans les affaires SCHUFA ( 23 ). La présente demande de décision préjudicielle offre ainsi l’opportunité de développer ce sujet. |
59. |
À cet égard, il convient de rappeler, tout d’abord, l’arrêt rendu dans l’affaire C‑311/18 (Facebook Ireland et Schrems), dans lequel la Cour a laissé entrevoir qu’un tel cas de figure peut effectivement exister. Plus concrètement, la Cour a jugé que l’autorité de contrôle est tenue, le cas échéant, de prendre certaines des mesures énumérées à l’article 58, paragraphe 2, du RGPD, et ce notamment lorsqu’elle estime que la protection requise par le droit de l’Union ne peut pas être assurée par d’autres moyens. Par conséquent, dans cette mesure, le pouvoir discrétionnaire de l’autorité de contrôle se limite à certaines ou même, le cas échéant, à l’une des mesures visées à cette disposition ( 24 ). |
60. |
Comme l’indique à juste titre le gouvernement autrichien, il peut exister une multitude de cas de figure similaires qui exigent l’adoption d’une mesure correctrice déterminée, tel par exemple celui dans lequel l’autorité de contrôle constate, dans le cadre d’une procédure de réclamation, qu’il y a une obligation d’effacement et que le responsable du traitement n’a pas encore effacé les données. Dans la situation décrite, l’autorité de contrôle sera tenue, en tout état de cause, conformément à l’article 58, paragraphe 2, sous g), du RGPD, d’ordonner l’effacement. |
61. |
Les exemples mentionnés aux points précédents montrent qu’il ne saurait être exclu que, en fonction des circonstances spécifiques du cas particulier, le rétablissement d’une situation conforme au droit de l’Union ne puisse être obtenu que par l’adoption d’une mesure correctrice déterminée. En particulier, il me semble que, dans des circonstances où il existerait autrement un risque de violation grave des droits de la personne concernée, le pouvoir discrétionnaire de l’autorité de contrôle pourrait être limité à l’adoption de la seule mesure appropriée afin de protéger les droits de cette personne. |
62. |
Toute autre interprétation serait, selon moi, incompatible avec l’obligation de garantir le respect des droits fondamentaux de la Charte, auxquels sont liées les autorités des États membres lorsqu’elles mettent en œuvre le droit de l’Union, conformément à l’article 51, paragraphe 1 de la Charte. Cette obligation incombe également aux autorités de contrôle, ainsi qu’il découle de l’article 58, paragraphe 4 du RGPD ( 25 ). Vu sous cet angle, il est raisonnable de soutenir la thèse que le droit de l’Union accorde à la personne concernée un droit subjectif à exiger que l’autorité adopte la mesure en cause. Toutefois, je tiens à souligner que, dans l’affaire en l’espèce, je ne vois aucun indice que les conditions pour une telle limitation du pouvoir discrétionnaire de l’autorité de contrôle soient remplies. |
63. |
En résumé, il convient de retenir qu’une autorité de contrôle saisie d’une réclamation au titre de l’article 77 du RGPD est tenue, lorsqu’elle constate une violation des droits de la personne concernée, de réagir de manière appropriée afin de remédier aux insuffisances constatées et persistantes et d’assurer la protection des droits de la personne concernée. Lorsque l’autorité de contrôle intervient à cet égard, elle est tenue de choisir, parmi les pouvoirs visés à l’article 58, paragraphe 2, de ce règlement, la mesure appropriée, nécessaire et proportionnée. Ce pouvoir discrétionnaire dans le choix des moyens est limité en conséquence lorsque la protection requise ne peut être assurée qu’en prenant des mesures précises. |
4. Sur l’absence d’obligation de l’autorité de contrôle d’imposer des amendes administratives dans tous les cas
64. |
Après cet exposé général sur le pouvoir dont dispose l’autorité de contrôle d’adopter des mesures correctrices, il y a lieu d’examiner la question de savoir si l’autorité de contrôle est obligée d’imposer des amendes administratives dans tous les cas. Bien que certains aspects de cette question puissent être clarifiés sur la base des observations qui précèdent, quelques explications supplémentaires me semblent nécessaires. En effet, si le législateur de l’Union a inclus les amendes administratives parmi les « mesures correctrices » au titre de l’article 58, paragraphe 2, du RGPD, il n’en reste pas moins qu’elles présentent quelques caractéristiques particulières par rapport aux autres mesures. C’est la raison pour laquelle cette partie de l’analyse se centrera sur les réglementations spécifiques visées à l’article 58, paragraphe 2, sous i), et à l’article 83 de ce règlement. |
65. |
Ainsi que l’a récemment rappelé la Cour, l’amende administrative s’inscrit dans le système de sanctions instauré par le RGPD, créant pour les responsables du traitement et les sous-traitants une incitation à se conformer à ce règlement. Par leur effet dissuasif, les amendes administratives contribuent au renforcement de la protection des personnes physiques à l’égard du traitement des données à caractère personnel et constituent dès lors un élément clé pour garantir le respect des droits de ces personnes, conformément à la finalité dudit règlement d’assurer un niveau élevé de protection de telles personnes à l’égard du traitement des données à caractère personnel ( 26 ). |
66. |
L’article 83 du RGPD prévoit un système à deux niveaux, indiquant explicitement que certaines violations sont plus graves que d’autres. Le premier niveau comprend la violation des articles régissant les responsabilités de différents acteurs (responsable du traitement, sous-traitant, organismes de certification, etc.). Le second niveau comprend les violations des droits individuels protégés par ce règlement, tels que les droits fondamentaux, les principes de base d’un traitement, les droits à l’information des personnes concernées, les règles de transfert, etc. Aux deux niveaux, deux évaluations doivent être effectuées : premièrement, pour décider s’il y a lieu d’imposer une amende et, deuxièmement, pour décider du montant de l’amende administrative. Dans les deux évaluations, les autorités de contrôle doivent considérer tous les facteurs individuels énumérés à l’article 83, paragraphe 2, dudit règlement. Cependant, les conclusions établies au premier stade peuvent être utilisées à la seconde étape relative au montant de l’amende, afin d’éviter de devoir effectuer une seconde évaluation sur la base des mêmes critères ( 27 ). |
67. |
Après ces explications liminaires, j’examinerai ci-après la question concernant l’obligation éventuelle d’imposer des amendes administratives dans tous les cas. À cet égard, il convient d’emblée de noter que l’article 58, paragraphe 2, sous i), du RGPD dispose que l’autorité de contrôle peut imposer une amende administrative « en fonction des caractéristiques propres à chaque cas ». Cette disposition doit être lue conjointement avec l’article 83, paragraphe 2, de ce règlement, qui prévoit non seulement la même restriction à l’application d’une telle mesure correctrice, mais suggère que l’autorité de contrôle peut même s’abstenir de le faire (« pour décider s’il y a lieu d’imposer une amende administrative ») (mise en italique par mes soins) si les circonstances justifient une telle approche. Cette formulation se retrouve – en des termes plus ou moins similaires – dans d’autres versions linguistiques ( 28 ). En résumé, le libellé de l’article 83, paragraphe 2, du RGPD indique lui-même que l’imposition d’une amende administrative n’est pas obligatoire dans tous les cas. |
68. |
De surcroît, il convient d’observer que cette disposition impose à l’autorité de contrôle de tenir compte, dans chaque cas d’espèce, d’une série d’éléments, pour décider s’il y a lieu d’infliger une amende administrative. Il s’agit, en substance, de circonstances – aggravantes et atténuantes – qui influent sur la décision de l’autorité de contrôle, telles que la nature, la gravité et la durée de la violation, mais aussi des circonstances liées au comportement du responsable du traitement, comme le fait que la violation a été commise délibérément ou par négligence ( 29 ). |
69. |
Dans ce contexte, les deuxième et troisième phrases du considérant 148 du RGPD me semblent pertinentes aux fins de l’interprétation de l’article 83, paragraphe 2, de ce règlement, dans la mesure où elles donnent des indications sur les caractéristiques qu’il convient de prendre en considération dans la prise de décision. Ce considérant a pour effet d’introduire la notion de « violation mineure », entraînant des conséquences importantes pour la pratique administrative de l’autorité de contrôle ( 30 ). On peut y lire, entre autres, qu’« [e]n cas de violation mineure ou si l’amende susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l’ordre peut être adressé plutôt qu’une amende » (mise en italique par mes soins). |
70. |
À mon sens, cette indication permet de déduire que le législateur de l’Union était conscient du fait qu’une amende administrative constitue une mesure correctrice particulièrement sévère à laquelle il ne faut pas recourir dans tous les cas, sous peine de voir son efficacité amoindrie, mais uniquement lorsque les circonstances d’un cas particulier l’exigent. En effet, le considérant 148 du RGPD évoque le principe de proportionnalité que les autorités de contrôle sont censées respecter lorsqu’elles appliquent ce règlement dans le contexte spécifique des sanctions, y compris des amendes administratives. Comme je l’ai déjà relevé dans mon analyse, ce principe est reflété au considérant 129 dudit règlement, qui concerne l’adoption de mesures correctrices en général ( 31 ). Le système de sanctions que le législateur a entendu prévoir est donc souple et différencié ( 32 ). |
71. |
Il découle de l’interprétation dudit article 83, paragraphe 2, lu à la lumière du considérant 148, du RGPD, que, même face au constat d’une violation, l’évaluation des critères énoncés dans cette disposition peut amener l’autorité de contrôle à considérer que, dans les circonstances concrètes de l’espèce, la violation n’engendre pas un risque important pour les droits des personnes concernées, par exemple, et qu’elle n’affecte pas l’essence de l’obligation en question. Dans de tels cas, l’amende est parfois – mais pas toujours – remplacée par un rappel à l’ordre ( 33 ). |
72. |
Toutefois, il importe de préciser que ce considérant 148 ne fait pas obligation à l’autorité de contrôle de remplacer d’office l’amende par un rappel à l’ordre dans le cas d’une violation mineure, mais lui laisse la possibilité de le faire après une évaluation concrète de toutes les circonstances de l’espèce. Enfin, il ressort dudit considérant 148 que l’autorité de contrôle peut s’abstenir d’imposer une amende, même si le recours à une telle mesure correctrice est a priori nécessaire sur la base de l’évaluation qu’elle a effectuée, si cette amende constitue une charge disproportionnée pour une personne physique ( 34 ). |
73. |
Ainsi, les caractéristiques propres à chaque cas, qui sont visées à l’article 83, paragraphe 2, du RGPD, déterminent en dernier ressort s’il y a lieu d’imposer une amende et, dans l’affirmative, le montant de celle-ci. Tous ces indices confortent mon point de vue que cette décision constitue, en fin de compte, une décision discrétionnaire de l’autorité de contrôle ( 35 ). Cette dernière est responsable d’exercer, de manière consciencieuse et conforme aux exigences du RGPD, le pouvoir discrétionnaire qui lui a été conféré. Les limites à ce pouvoir discrétionnaire découlent des principes généraux du droit de l’Union et du droit des États membres, notamment du principe d’égalité de traitement. Il en résulte la nécessité de développer une pratique administrative d’imposition d’amendes qui traite des cas similaires de manière comparable. |
74. |
Je voudrais également relever que, dans le cas de l’imposition cumulative de sanctions pécuniaires à caractère pénal, il existe même un risque d’enfreindre le principe « ne bis in idem », tel qu’il a été interprété par la Cour, ainsi qu’il ressort du considérant 149 du RGPD. Or, ce principe constitue un droit fondamental, qui est protégé par l’article 50 de la Charte, et ne peut être limité que sous de strictes conditions, visées à l’article 52 de la Charte. En d’autres termes, des barrières de nature juridique peuvent également faire obstacle à l’imposition d’amendes administratives. |
5. Sur l’absence d’obligation de l’autorité de contrôle d’imposer des amendes administratives lorsque l’auteur de la réclamation l’exige expressément
75. |
Le dernier aspect à examiner concerne le point de savoir si l’autorité de contrôle est obligée d’imposer des amendes administratives lorsque l’auteur de la réclamation l’exige expressément. Comme je l’ai relevé lors de l’examen de la recevabilité de la demande de décision préjudicielle, il ressort du dossier que TR avait demandé au HBDI d’agir contre la Caisse d’épargne et de lui imposer des amendes administratives. Afin d’étayer sa demande, TR avait effectué des calculs pour déterminer le montant des amendes à infliger ( 36 ). Cette demande repose, de toute apparence, sur le point de vue selon lequel l’auteur d’une réclamation aurait un droit subjectif à l’égard de l’autorité de contrôle à demander l’adoption d’une mesure spécifique. Cependant, comme je l’expliquerai ci-après, je considère que cette position n’a aucun fondement juridique. |
76. |
Premièrement, mon analyse a montré que l’autorité de contrôle dispose d’un pouvoir discrétionnaire pour choisir la mesure appropriée dans chaque cas individuel. Sauf circonstances particulières susceptibles de conduire à une limitation de ce pouvoir discrétionnaire, telles que la gravité ou l’impact persistant d’une violation des données à caractère personnel – qui ne me semblent pas être réunies en l’espèce –, l’autorité de contrôle conserve ce pouvoir discrétionnaire. Eu égard au fait que les amendes administratives figurent parmi les mesures correctrices que l’autorité de contrôle peut adopter, en vertu de l’article 58, paragraphe 2, du RGPD, il est logique de déduire que ce pouvoir discrétionnaire s’étend également à celles-ci. Il s’ensuit qu’il n’existe aucune obligation de l’autorité de contrôle d’agir dans l’intérêt de l’auteur de la réclamation par l’adoption d’une mesure correctrice déterminée. |
77. |
Deuxièmement, même dans l’hypothèse où les circonstances du cas d’espèce seraient différentes au point de justifier l’adoption d’une mesure correctrice spécifique, il me semble qu’on ne pourrait pas soutenir valablement que l’imposition d’une amende administrative soit nécessaire. À l’instar du gouvernement autrichien, je considère qu’il convient de prendre en compte les objectifs visés par les diverses mesures correctrices énumérées à l’article 58, paragraphe 2, du RGPD et, en particulier, par l’amende administrative. Plus concrètement, il me semble que sa nature juridique s’oppose à la reconnaissance d’un droit subjectif de la personne concernée dans le sens susmentionné, car un des objectifs de cette mesure est de sanctionner un comportement considéré comme contraire au droit de l’Union. J’estime que, en raison de sa finalité punitive, à tout le moins dans certaines situations ( 37 ), et compte tenu du degré de sévérité élevé qu’elle peut présenter, l’amende administrative est susceptible de revêtir une nature pénale ( 38 ). Or, il convient de rappeler que le droit de punir (« ius puniendi ») appartient exclusivement à l’État et à ses organes. |
78. |
Dans ce contexte, on observe que l’article 83, paragraphe 1, du RGPD exige, entre autres, que les amendes soient, dans chaque cas, « effectives, proportionnées et dissuasives ». L’appréciation de la question de savoir si l’amende envisagée réunit ces conditions dans un cas donné appartient à l’autorité de contrôle, qui agit sous sa propre responsabilité. Il lui incombe de décider si le recours à l’instrument de l’amende administrative s’impose dans un cas particulier. À cet effet, le législateur de l’Union lui fournit un cadre juridique détaillé. Ainsi, l’article 83 du RGPD établit les conditions générales pour imposer de telles amendes, qui se voient complétées par les lignes directrices sur l’application et la fixation des amendes administratives aux fins du RGPD, élaborées par le CEPD, conformément à l’article 70, paragraphe 1, sous k), de ce règlement. À cet égard, il convient de noter qu’aucune de ces règles et lignes directrices ne permet de déduire que l’auteur d’une réclamation dont les droits ont été enfreints bénéficie d’un statut juridique particulier lui permettant de demander à l’autorité de contrôle d’infliger une amende administrative au contrevenant. |
79. |
Certes, certains critères visés à l’article 83, paragraphe 2, du RGPD – tels que le niveau du dommage subi – suggèrent que l’autorité de contrôle doit également tenir compte de la situation de la personne concernée lorsqu’elle prend une décision. Toutefois, ces critères ne constituent pas, à eux seuls, un indice suffisant pour établir l’existence d’un droit subjectif à demander l’imposition d’une amende. Ainsi qu’il découle d’une interprétation de cette disposition, lue à la lumière du considérant 75 de ce règlement, l’objet desdits critères est de fournir à l’autorité de contrôle des éléments utiles, lui permettant d’apprécier la nature, la gravité et la durée de la violation et de choisir la mesure correctrice appropriée ( 39 ). Par conséquent, en fonction de chaque cas particulier, diverses mesures correctrices – et non seulement une amende administrative – peuvent être envisagées par l’autorité de contrôle, sans pour autant que la personne concernée puisse exiger l’adoption d’une mesure déterminée. Il appartient à la seule autorité de contrôle de décider s’il y a lieu d’adopter une mesure dans l’objectif de restaurer le respect des règles ou de sanctionner un comportement illicite. |
80. |
Troisièmement, une conclusion différente ne saurait non plus être tirée du fait que le législateur de l’Union a défini le rôle de l’autorité de contrôle dans le système d’amendes créé par le RGPD en s’inspirant des pouvoirs que la Commission détient en matière de droit de la concurrence ( 40 ). À cet égard, on rappellera que le pouvoir de cette institution d’infliger des amendes aux entreprises qui commettent des infractions, au sens des articles 101 et 102 TFUE, constitue un des moyens attribués à celle-ci afin de lui permettre d’accomplir la mission de surveillance que lui confère le droit de l’Union ( 41 ). Toutefois, il convient de noter que la Commission dispose d’un pouvoir discrétionnaire dont l’exercice est limité uniquement par le respect des principes généraux du droit de l’Union, y compris les principes de proportionnalité et d’égalité de traitement ( 42 ). Par ailleurs, il y a lieu d’observer que le règlement (CE) no 1/2003, relatif à la mise en œuvre des règles de concurrence ( 43 ), ne prévoit aucun droit à demander l’adoption d’amendes au titre de son article 23 pour les plaignants ou pour les tiers dont les intérêts peuvent être affectés par une décision dans le cadre d’une procédure administrative ouverte par la Commission ( 44 ), cette dernière étant, en vertu de l’article 27 de ce règlement, simplement tenue de faire droit aux possibles demandes d’audition présentées par ceux-ci avant l’adoption d’une sanction. |
81. |
Sur la base des éléments exposés, je considère qu’il n’est pas possible, dans l’état actuel de l’évolution du droit de l’Union, de conclure que l’auteur d’une réclamation dont les droits ont été enfreints dispose d’un droit subjectif à demander l’imposition d’une amende administrative. Cela est sans préjudice de la possibilité de proposer le recours à une telle mesure correctrice, en fournissant des arguments et des preuves pour étayer son point de vue. Toutefois, la décision définitive relève du pouvoir discrétionnaire de l’autorité de contrôle. |
D. Synthèse de l’examen de la question préjudicielle
82. |
Il résulte de l’analyse ci-dessus que l’autorité de contrôle a l’obligation d’intervenir lorsqu’elle constate une violation de données à caractère personnel dans le cadre de l’examen d’une réclamation. En particulier, elle est tenue de définir la ou les mesures correctrices les plus adéquates pour remédier à la violation et faire respecter les droits de la personne concernée. À cet égard, le RGPD exige, tout en laissant un certain pouvoir discrétionnaire à l’autorité de contrôle, que ces mesures soient appropriées, nécessaires et proportionnées. Sous certaines conditions, l’autorité de contrôle peut renoncer aux mesures visées à l’article 58, paragraphe 2, de ce règlement en faveur de mesures « autonomes » prises par le responsable du traitement lui-même. En tout état de cause, la personne concernée n’a pas le droit d’exiger qu’une mesure déterminée soit prise. Ces principes s’appliquent également au régime des amendes administratives. |
VI. Conclusion
83. |
Au vu des considérations qui précèdent, je propose à la Cour de répondre comme suit à la question préjudicielle posée par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne) : Les dispositions combinées de l’article 57, paragraphe 1, sous a) et f), de l’article 58, paragraphe 2, sous a) à j), et de l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétées en ce sens que : lorsque l’autorité de contrôle constate un traitement de données qui empiète sur les droits de la personne concernée, elle est tenue d’intervenir au titre de l’article 58, paragraphe 2, du règlement 2016/679 dans la mesure où cela est nécessaire afin de garantir le plein respect de ce règlement. À cet égard, elle est tenue de sélectionner, en tenant compte des circonstances concrètes de chaque cas, le moyen approprié, nécessaire et proportionné, notamment afin de remédier à la violation et de faire respecter les droits de la personne concernée. |
( 1 ) Langue originale : le français.
( 2 ) JO 2016, L 119, p. 1.
( 3 ) Conclusions dans les affaires jointes SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:222).
( 4 ) Voir arrêt du 10 décembre 2020, J & S Service (C-620/19, EU:C:2020:1011, point 31 et jurisprudence citée).
( 5 ) Voir arrêt du 14 juillet 2022, Sense Visuele Communicatie en Handel vof (C-36/21, EU:C:2022:556, point 22 et jurisprudence citée).
( 6 ) Arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, ci-après l’ arrêt SCHUFA , EU:C:2023:958).
( 7 ) Voir points 35 à 39 des présentes conclusions.
( 8 ) Voir points 40 et suiv. des présentes conclusions.
( 9 ) Arrêt SCHUFA (point 55).
( 10 ) Arrêt SCHUFA (point 56).
( 11 ) Arrêt SCHUFA (points 56 et 57).
( 12 ) Arrêt SCHUFA (point 58).
( 13 ) Arrêt SCHUFA (point 70).
( 14 ) Voir « Lignes directrices sur l’application et la fixation des amendes administratives aux fins du [RGPD] » du groupe de travail Article 29 sur la protection des données, adoptées le 3 octobre 2017, p. 5 (ci-après les « lignes directrices sur l’application et la fixation des amendes administratives aux fins du RGPD »). Ce groupe de travail a par la suite été remplacé par le Comité européen de la protection des données (ci-après le « CEPD »). Cependant, ses lignes directrices demeurent valides.
( 15 ) Voir, en ce sens, Chamberlain, J., Reichel, J., « The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation », Mississippi Law Journal, 2020, vol. 89(4), p. 686, qui s’appuient sur les lignes directrices précitées.
( 16 ) Hijmans, H., « Article 57. Tasks », Kuner, C., Bygrave, L. A., Docksey, C., (éd.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, p. 934.
( 17 ) Voir, en ce sens, Härting, N., Flisek, C., Thiess, L., « DSGVO : Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers », Computer und Recht, 5/2018, p. 299.
( 18 ) Voir mes conclusions dans les affaires SCHUFA, points 41 et suiv..
( 19 ) Voir versions en langues espagnole (« dispondrá de [...] los [...] poderes correctivos »), danoise (« har [...] korrigerende beføjelser »), allemande (« verfügt über [...] Abhilfebefugnisse, die es ihr gestatten »), estonienne (« on [...] parandusvolitused »), anglaise (« shall have [...] corrective powers »), italienne (« ha [...] i poteri correttivi »), néerlandaise (« heeft [...] bevoegdheden tot het nemen van corrigerende maatregelen »), polonaise (« przysługują [...] uprawnienia naprawcze »), portugaise (« dispõe dos [...] poderes de correção ») et suédoise (« ska ha [...] korrigerande befogenheter »).
( 20 ) Voir, en ce sens, Härting, N., Flisek, C., Thiess, L., « DSGVO : Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers », Computer und Recht, 5/2018, p. 299.
( 21 ) Voir arrêt SCHUFA (point 57) et arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 111). Mise en italique par mes soins.
( 22 ) Arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 112). Mise en italique par mes soins.
( 23 ) Voir point 42 de ces conclusions.
( 24 ) Arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 113). La Cour a jugé que l’autorité de contrôle est tenue, en vertu de l’article 58, paragraphe 2, sous f) et j), du RGPD, de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établi dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.
( 25 ) Voir, en ce sens, Georgieva, L., Schmidl, M., « Article 58. Powers », Kuner, C., Bygrave, L. A., Docksey, C. (éd.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, p. 945.
( 26 ) Voir arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, point 78).
( 27 ) Voir lignes directrices sur l’application et la fixation des amendes administratives aux fins du RGPD, p. 9.
( 28 ) Voir versions en langues espagnole (« Al decidir la imposición »), danoise (« Når der træffes afgørelse om, hvorvidt der skal pålægges »), allemande (« Bei der Entscheidung über die Verhängung »), estonienne (« Otsustades igal konkreetsel juhul »), anglaise (« When deciding whether to impose »), italienne (« Al momento di decidere se infliggere »), néerlandaise (« Bij het besluit over de vraag of [...] wordt opgelegd »), polonaise (« Decydując, czy nałożyć »), portugaise (« Ao decidir sobre a aplicação ») et suédoise (« Vid beslut om huruvida [...] ska påföras »).
( 29 ) Voir, à cet égard, arrêt du 5 décembre 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, points 61 et suiv.).
( 30 ) Arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, point 76).
( 31 ) Voir point 45 des présentes conclusions.
( 32 ) Voir conclusions de l’avocat général Emiliou dans l’affaire Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, point 78), dans lesquelles il explique que, lors de l’adoption du RGPD, le législateur de l’Union n’a pas entendu rendre passible d’une amende administrative chaque violation des règles en matière de protection des données.
( 33 ) Voir lignes directrices sur l’application et la fixation des amendes administratives aux fins du RGPD, p. 9.
( 34 ) Voir lignes directrices sur l’application et la fixation des amendes administratives aux fins du RGPD, p. 9.
( 35 ) Holländer, C., Beck’scher Online-Kommentar Datenschutzrecht (Wolff/Brink/Ungern-Sternberg), 46e édition, Munich 2017, article 83 RGPD, point 22 ; Frenzel, E., Datenschutz-Grundverordnung Kommentar (Paal/Pauly/Frenzel), 3e édition, Munich 2021, article 83 RGPD, points 8 à 12, expliquant que l’autorité de contrôle dispose d’un pouvoir discrétionnaire et, par conséquent, n’est pas tenue d’imposer une amende administrative dans tous les cas.
( 36 ) Voir point 30 des présentes conclusions.
( 37 ) Les lignes directrices sur l’application et la fixation des amendes administratives aux fins du RGPD (p. 6), indiquent que les amendes administratives sont des « mesures correctives » dont l’objectif peut être « de restaurer le respect des règles ou de sanctionner un comportement illicite (ou les deux) ». Mise en italique par mes soins.
( 38 ) Je rappelle que trois critères sont pertinents pour apprécier si des sanctions revêtent un caractère pénal : le premier est la qualification juridique de l’infraction en droit interne, le deuxième concerne la nature même de l’infraction et le troisième est relatif au degré de sévérité de la sanction que risque de subir l’intéressé [voir arrêts du 5 juin 2012, Bonda (C‑489/10, EU:C:2012:319, point 37), et du 2 février 2021, Consob (C‑481/19, EU:C:2021:84, point 42)] ; voir également Cour EDH, 8 juin 1976, Engel et autres c. Pays-Bas, CE:ECHR:1976:0608JUD000510071, § 82. Tous les critères ne doivent pas être remplis pour qu’une amende puisse être considérée comme étant pénale [voir, à cet égard, conclusions de l’avocat général Bot dans l’affaire ThyssenKrupp Nirosta/Commission (C‑352/09 P, EU:C:2010:635, point 50 et jurisprudence citée)].
( 39 ) Voir lignes directrices sur l’application et la fixation des amendes administratives aux fins du RGPD (p. 12), dont il ressort, d’une part, que le niveau du dommage doit être pris en considération « dans le choix de la mesure corrective », ce qui n’exclut pas l’adoption de mesures correctrices autres qu’une amende administrative. D’autre part, on peut y lire que « l’imposition d’une amende ne dépend pas de la capacité de l’autorité de contrôle à établir un lien de cause à effet entre la violation et le préjudice matériel ». Il s’ensuit que la décision d’infliger une amende administrative dépend de chaque cas individuel et non seulement de l’existence d’un dommage.
( 40 ) Voir, à cet égard, conclusions de l’avocat général Emiliou dans l’affaire Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, point 84), qui attire l’attention sur les similitudes entre les deux systèmes. Voir aussi arrêt du 5 décembre 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, points 55 et suiv.).
( 41 ) Voir, en ce sens, arrêt du 11 juin 2009, X (C‑429/07, EU:C:2009:359, point 35 et jurisprudence citée).
( 42 ) Conclusions de l’avocate générale Kokott dans les affaires jointes Alliance One International et Standard Commercial Tobacco/Commission et Commission/Alliance One International e.a. (C‑628/10 P et C‑14/11 P, EU:C:2012:11, p. 48 et jurisprudence citée).
( 43 ) Règlement du Conseil du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux articles 81 et 82 du traité (JO 2003, L 1, p. 1).
( 44 ) Voir, en ce sens, Wils W., « Procedural rights and obligations of third parties in antitrust investigation and proceedings by the European Commission », Concurrences, no 2-2022, p. 50.