1.

Dans un monde où les données à caractère personnel sont devenues une monnaie d’échange et constituent une nouvelle mine d’or pour les entreprises, à quelles conditions des amendes administratives peuvent-elles être imposées aux responsables du traitement ou aux sous‑traitants en cas de violation des règles en matière de protection des données énoncées dans le règlement (UE) 2016/679 ( 2 ) ? Plus précisément, un élément de « faute » est-il requis pour pouvoir leur imposer de telles amendes ? C’est la question centrale soulevée par le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie) dans la présente affaire.

2.

Le litige dont est saisie cette juridiction, qui oppose le Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centre national de la santé publique auprès du ministère de la Santé, Lituanie, ci-après le « CNSP ») à la Valstybinė duomenų apsaugos inspekcija (Inspection nationale de la protection des données, Lituanie, ci-après l’« Inspection ») porte, en substance, sur le rôle joué par le CNSP dans le développement et la mise à disposition du public d’une application mobile qui a collecté, en avril et mai 2020, les données à caractère personnel des personnes ayant été en contact avec des patients atteints de la COVID-19.

3.

Dans ce contexte, la présente affaire donne à la Cour l’occasion de fournir des précisions supplémentaires sur les notions de « responsable du traitement », de « responsables conjoints du traitement » et de « traitement », définies respectivement à l’article 4, point 7, à l’article 26, paragraphe 1, et à l’article 4, point 2, du RGPD, et d’examiner, pour la première fois, s’il est possible, en application de l’article 83 de ce règlement, d’imposer une amende administrative à un responsable du traitement qui n’a pas commis de violation délibérée ou par négligence des règles contenues dans le RGPD. Cette question invite la Cour à préciser si cette disposition permet d’imposer des amendes en l’absence de toute faute, sur le fondement d’une responsabilité objective.

4.

Le considérant 148 du RGPD énonce :

« Afin de renforcer l’application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent [...] règlement […]. En cas de violation mineure ou si l’amende susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l’ordre peut être adressé plutôt qu’une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l’autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l’encontre du responsable du traitement ou du sous-traitant, de l’application d’un code de conduite, et de toute autre circonstance aggravante ou atténuante. L’application de sanctions y compris d’amendes administratives devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et de la Charte, y compris le droit à une protection juridictionnelle effective et à une procédure régulière. »

5.

Selon le considérant 150 du ce règlement :

« Afin de renforcer et d’harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d’imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés par l’autorité de contrôle compétente dans chaque cas d’espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. [...] L’application d’une amende administrative ou le fait de donner un avertissement ne portent pas atteinte à l’exercice d’autres pouvoirs des autorités de contrôle ou à l’application d’autres sanctions en vertu du présent règlement. »

6.

L’article 4, point 7, du RGPD définit la notion de « responsable du traitement » comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

7.

L’article 26 de ce règlement, intitulé « Responsables conjoints du traitement », dispose dans sa partie pertinente :

« 1.   Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. [...]

[...] »

8.

L’article 83 dudit règlement, intitulé « Conditions générales pour imposer des amendes administratives », dispose :

« 1.   Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2.   Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

[...]

3.   Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

[...] »

9.

L’article 72, paragraphe 2, du Viešųjų jų pirkimų įstatymas (loi relative aux marchés publics) dispose :

« Le pouvoir adjudicateur met en œuvre une procédure négociée sans publication d’un avis de marché en suivant les étapes suivantes :

10.

En réponse à la situation résultant de la propagation de la COVID-19, le ministre de la Santé de la République de Lituanie (ci‑après le « ministre de la Santé ») a chargé, par décision du 24 mars 2020, le directeur du CNSP d’organiser le développement et l’acquisition d’une application mobile, à savoir KARANTINAS. Cette application mobile avait vocation à collecter et à contrôler les données à caractère personnel des personnes ayant été en contact avec des patients atteints de la COVID-19 ( 3 ).

11.

Le 27 mars 2020, une personne se présentant comme un agent représentant le CNSP a informé la société « IT sprendimai sėkmei » UAB (ci-après « ITSS ») qu’elle avait été sélectionnée pour développer KARANTINAS. Des courriels ont été échangés entre ITSS et cette personne ainsi qu’entre ITSS, d’une part, et un certain nombre d’employés et le directeur du CNSP, d’autre part, au sujet du développement de cette application mobile. Un accord de confidentialité a également été établi à ce stade, mentionnant à la fois ITSS et le CNSP en tant que responsables du traitement.

12.

L’application mobile finalement développée a été mise à la disposition du public à des fins de téléchargement à partir de Google Play Store le 4 avril 2020, et à partir d’Apple App Store le 6 avril 2020. Tant ITSS que le CNSP ont de nouveau été mentionnés comme responsables du traitement dans la version de KARANTINAS qui a été mise à la disposition du public à des fins de téléchargement. À cette époque, cette application mobile n’avait pas encore été achetée par le CNSP.

13.

Par décision du 10 avril 2020, le ministre de la Santé a chargé le directeur du CNSP de procéder à l’acquisition de KARANTINAS au moyen d’une procédure négociée sans publication d’avis de marché, en application de l’article 72, paragraphe 2, de la loi relative aux marchés publics.

14.

Cette procédure a été engagée mais, n’ayant pas reçu le financement nécessaire, le CNSP y a mis fin. Aucun marché public d’acquisition n’a donc été conclu. KARANTINAS a cependant continué à être disponible au téléchargement par le public.

15.

Le 15 mai 2020, le CNSP a demandé à ITSS de n’utiliser aucun renseignement concernant le CNSP et de ne pas établir de liens avec le CNSP dans l’application mobile. Le 18 mai 2020, l’Inspection a ouvert une enquête concernant à la fois ITSS et le CNSP pour violation des règles prévues par le RGPD. Le fonctionnement de KARANTINAS a été suspendu à la demande de l’Inspection le 26 mai 2020. Selon ITSS, 3802 utilisateurs avaient fourni leurs données à caractère personnel au moyen de l’application entre le 4 avril et le 26 mai 2020.

16.

Par décision du 24 février 2021, l’Inspection a imposé des amendes administratives au CNSP et à ITSS, en leur qualité de responsables conjoints du traitement, pour violation des articles 5, 13, 24, 32 et 35 du RGPD ( 4 ).

17.

Cette décision a été contestée par le CNSP devant le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius). Cette juridiction se demande, en substance, si la notion de « responsable du traitement », au sens de l’article 4, point 7, du RGPD, doit être interprétée largement de manière à inclure toute personne physique ou morale ou tout organisme tel que le CNSP, qui n’est pas le créateur d’une application mobile, mais qui, en vue de l’acquisition d’une telle application mobile par voie d’appel d’offres, a déterminé « les finalités et les moyens du traitement », ou s’il convient d’interpréter cette notion de manière plus stricte, en tenant compte de la procédure de passation de marché public et de son résultat.

18.

En particulier, elle se demande si le fait que la procédure d’appel d’offres a finalement été abandonnée, et que KARANTINAS n’a jamais été acquise par le CNSP, est pertinent à cet égard. Elle se demande également si le fait que le CNSP n’ait pas officiellement consenti à ou autorisé la mise à disposition du public de cette application mobile a une incidence sur cette appréciation.

19.

En outre, elle s’interroge sur les relations entre le CNSP et ITSS. À cet égard, elle se demande dans quelles circonstances cette entité et cette société devraient être considérées comme des « responsables conjoints du traitement », au sens de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD. À titre subsidiaire, si le CNSP et ITSS ne devaient pas être considérés comme des « responsables conjoints du traitement », mais comme (respectivement) un « responsable du traitement » et un « sous-traitant » ( 5 ) au sens du RGPD, elle souhaite savoir à quel moment les actes d’ITSS pourraient engager la responsabilité du CNSP. À cet égard, elle se demande si l’article 83 du RGPD doit être interprété en ce sens qu’une amende administrative peut être imposée à un responsable du traitement tel que le CNSP qui n’a lui-même commis aucune violation délibérée ou par négligence de ce règlement.

20.

Dans ces conditions, le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

21.

La demande de décision préjudicielle, datée du 22 octobre 2021, a été enregistrée à la Cour le 12 novembre 2021. Le CNSP, l’Inspection, le gouvernement lituanien et la Commission européenne ont présenté des observations écrites.

22.

Les gouvernements lituanien et néerlandais, ainsi que la Commission et le Conseil, ont été représentés lors de l’audience qui s’est tenue le 17 janvier 2023.

23.

Au cours de la pandémie de COVID-19, des applications mobiles conçues pour « suivre et tracer » les personnes infectées par le virus et/ou celles ayant été en contact avec l’une d’entre elles ont été mises à la disposition du public à des fins de téléchargement dans de nombreux États membres. De telles applications mobiles ont été développées dans le but de répondre à l’urgence de la situation, souvent avec la participation de plusieurs entités publiques et privées (tels que les ministères et les autres entités publiques, ainsi que les entreprises privées). Les utilisateurs étaient tenus de télécharger leurs données à caractère personnel dans les applications mobiles, en particulier celles concernant leur santé ( 6 ).

24.

Le litige au principal porte précisément sur une telle application mobile, à savoir KARANTINAS, qui a été développée par ITSS (une société privée), à l’initiative du CNSP (une autorité publique) à la suite d’une décision du ministre de la Santé. Il ne ressort pas clairement des éléments du dossier, ni de ceux fournis lors de l’audience, que d’autres entités publiques lituaniennes auraient, le cas échéant, participé au développement de l’application ( 7 ). Il existe également des doutes sur le point de savoir si le CNSP a consenti à ce que KARANTINAS soit mise à la disposition du public pendant la période où le traitement des données à caractère personnel a eu lieu (avril et mai 2020). Cependant, dans les questions posées à la Cour, le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius) a identifié les circonstances suivantes comme étant pertinentes.

25.

Dans ce contexte, les questions posées à la Cour portent sur l’interprétation de différentes dispositions du RGPD. Les trois premières questions ainsi que la cinquième question appellent une interprétation de la notion de « responsable du traitement » au sens de l’article 4, point 7, de ce règlement, et nécessitent de préciser les conditions dans lesquelles deux entités ou plus peuvent être considérées comme étant des « responsables conjoints du traitement » en vertu de cette disposition et de l’article 26, paragraphe 1, dudit règlement. J’analyserai d’abord ces questions conjointement (section A), avant d’aborder la quatrième question, qui porte sur la notion de « traitement », au sens de l’article 4, point 2, du RGPD, et sur son application dans le cadre de la phase de test d’une application mobile (section B) ( 8 ). J’approfondirai ensuite la question au cœur de la présente affaire, à savoir la sixième question, qui est de nature transversale en ce qu’elle porte sur les conditions auxquelles des amendes administratives peuvent être imposées aux responsables du traitement, en application de l’article 83 du RGPD (section C).

26.

Par ses trois premières questions, la juridiction de renvoi se demande, en substance, si, eu égard aux circonstances détaillées au point 24 des présentes conclusions, une entité telle que le CNSP doit être considérée comme un « responsable du traitement », au sens de l’article 4, point 7, du RGPD. En outre, par la cinquième question, la juridiction de renvoi cherche à savoir si, dans de telles circonstances, deux entités telles que le CNSP et ITSS doivent être considérées comme des « responsables conjoints du traitement », conformément à cette disposition et à l’article 26, paragraphe 1, de ce règlement, alors même qu’elles n’ont passé aucun accord formel quant aux finalités et aux moyens du traitement et/ou qu’elles ne semblent pas avoir autrement coordonné leurs actions.

27.

Je rappelle que, en vertu de l’article 4, point 7, du RGPD, un « responsable du traitement » est défini comme la personne ou l’entité qui, « seule ou conjointement avec d’autres », détermine les finalités et les moyens du traitement. Pour formuler les choses simplement, un responsable du traitement ne doit pas nécessairement traiter lui-même chaque donnée à caractère personnel, mais il doit déterminer « le pourquoi et le comment » des opérations de traitement pertinentes ( 9 ). La Cour a suggéré que, pour remplir ce critère, une personne ou une entité doit effectivement « influe[r] [...] sur le traitement des données à caractère personnel » ( 10 ). Toutefois, il n’est pas nécessaire que la détermination des finalités et des moyens du traitement s’effectue conformément à des lignes directrices écrites ou à des consignes de la part du responsable du traitement ( 11 ). En effet, l’article 4, point 7, du RGPD appelle une analyse factuelle plutôt que formelle.

28.

Dans ce contexte, le comité européen de la protection des données (CEPD) a suggéré qu’il est également possible d’être un responsable du traitement indépendamment de la question de savoir si une compétence ou un pouvoir spécifiques de contrôle des données ont été conférés par la loi. En effet, la capacité de déterminer les finalités et les moyens du traitement dépend, avant tout, de l’influence exercée, qui peut être déduite de circonstances factuelles. Une entité qui est effectivement en mesure de déterminer les finalités et les moyens du traitement sera ainsi considérée comme un « responsable du traitement », indépendamment de la question de savoir si elle a été formellement désignée comme telle (par la loi, par un contrat ou d’une autre manière) ( 12 ).

29.

Ces précisions étant apportées, je relève que plusieurs des circonstances décrites par la juridiction de renvoi dans les trois premières questions préjudicielles sont de nature purement formelle : par exemple, le fait que le CNSP ne soit pas le propriétaire légal de KARANTINAS, que la procédure d’acquisition de cette application mobile n’ait jamais été achevée, ou que le CNSP n’ait pas officiellement autorisé la diffusion de l’application auprès du grand public ni approuvé la dernière version de l’application. Selon moi, aucune de ces circonstances ne saurait, à elle seule, exclure que le CNSP ait agi en tant que « responsable du traitement », au sens de l’article 4, point 7, du RGPD, dans le cadre de l’affaire au principal. En effet, elles ne suffisent pas à invalider la conclusion selon laquelle le CNSP était effectivement en mesure de déterminer les finalités et les moyens du traitement des données à caractère personnel qui a eu lieu. De même, il me semble que le fait que le CNSP ait été mentionné en tant que responsable du traitement dans la politique de confidentialité de la version de KARANTINAS mise à la disposition du public à des fins de téléchargement, ou que des liens vers cette entité aient été inclus dans cette version de l’application mobile, est pertinent, sans être déterminant, s’agissant de l’influence effectivement exercée par cette entité.

30.

En revanche, les éléments de preuve produits devant la juridiction de renvoi qui montrent que le CNSP a décidé quel type de données à caractère personnel devait être collecté par KARANTINAS et auprès de quelles personnes concernées et/ou d’autres aspects essentiels du traitement sont, selon moi, suffisants pour établir que cette entité déterminait les « moyens » du traitement. Je considère en outre que le fait que KARANTINAS a été créée pour réaliser l’objectif défini par le CNSP, à savoir fournir une réponse à la pandémie de COVID-19, et que son fonctionnement a été régulièrement modifié par ITSS pour répondre aux besoins déterminés par le CNSP, conformément aux instructions fournies par cette entité, suffit pour conclure que cette entité a déterminé les « finalités » de ce traitement.

31.

Cela étant dit, il me semble que, afin de déterminer si une entité telle que le CNSP peut être considérée comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD, la juridiction de renvoi doit également établir si, nonobstant l’influence exercée par le CNSP au stade du développement de KARANTINAS, la décision de mettre cette application mobile à la disposition du public et, partant, de procéder au traitement des données à caractère personnel, a effectivement été adoptée avec le consentement (exprès ou implicite) de cette entité (indépendamment du fait que ce consentement n’a pas été officiellement ou formellement exprimé).

32.

En effet, comme l’indique clairement la définition de la notion de « responsable du traitement » figurant à l’article 4, point 7, du RGPD, l’influence exercée par un responsable du traitement doit porter sur le traitement de données à caractère personnel lui-même, et non pas uniquement sur une quelconque étape préalable. Une personne ou une entité physique ou morale ne devient pas « responsable du traitement » du seul fait qu’elle lance le développement d’une application mobile ou qu’elle définit les paramètres de cette application (ou d’un autre outil de collecte de données). Ses actions doivent être effectivement liées au traitement de données à caractère personnel et elle doit, par conséquent, avoir consenti expressément ou implicitement à l’utilisation de l’outil pertinent pour procéder à un tel traitement.

33.

La Cour a insisté sur cette exigence dans son arrêt Fashion ID ( 13 ), dans lequel elle a expressément indiqué que la responsabilité du responsable du traitement est limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens ( 14 ). Il s’ensuit que la détermination des finalités et des moyens doit concerner directement l’opération ou l’ensemble d’opérations de traitement de données à caractère personnel pertinentes.

34.

Selon moi, il découle de ces constatations qu’une entité telle que le CNSP, qui lance le développement d’une application mobile, ne peut être considérée comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD, que dans une situation où il existe suffisamment d’éléments, de nature factuelle plutôt que formelle, permettant aux juridictions nationales de conclure qu’une telle entité a exercé une influence effective sur les « finalités et les moyens » de ce traitement et qu’elle a effectivement consenti à la diffusion de l’application mobile auprès du public et, par conséquent, au traitement des données à caractère personnel. Sous réserve des vérifications qu’il incombe à la juridiction de renvoi d’effectuer, je pense que le CNSP remplit ces conditions.

35.

La cinquième question porte sur les conditions qui doivent être satisfaites pour que deux (ou plusieurs) entités puissent être considérées comme des responsables conjoints du traitement. Je comprends que la juridiction de renvoi entend obtenir des précisions sur l’interprétation de cette notion dès lors qu’elle se demande si, dans la situation en cause au principal, le CNSP et ITSS pourraient être considérés comme des « responsables conjoints du traitement » et, en tant que tels, être solidairement responsables des dommages causés ( 15 ), et/ou se voir conjointement imposer des amendes pour les violations des règles en matière de protection des données commises lors de la mise à disposition de KARANTINAS à des fins de téléchargement par le public. Je relève, à cet égard, que, comme je l’ai indiqué au point 16 des présentes conclusions, cette entité et cette société ont, en effet, l’une et l’autre été reconnues responsables et se sont vu imposer une amende par l’Inspection en application de l’article 83 du RGPD pour les violations commises, en leur qualité de responsables conjoints du traitement.

36.

Conformément à l’article 26, paragraphe 1, du RGPD, il existe des « responsables conjoints du traitement » lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement. Chaque responsable conjoint du traitement doit par conséquent remplir de manière indépendante les critères énumérés dans la définition du « responsable du traitement » donnée à l’article 4, point 7, de ce règlement ( 16 ). En outre, les responsables conjoints du traitement doivent avoir une certaine relation entre eux, étant donné que leur influence sur le traitement doit être exercée conjointement.

37.

La Cour a indiqué que l’existence d’une responsabilité conjointe du traitement ne se traduit pas nécessairement par une responsabilité ou une participation égales des différentes personnes ou entités concernées. Au contraire, les responsables conjoints du traitement peuvent être impliqués à différents stades du traitement, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes de chaque cas d’espèce ( 17 ). En outre, la responsabilité conjointe de plusieurs entités pour un même traitement n’exige pas que chacun d’eux ait accès aux données à caractère personnel concernées ( 18 ). Il importe, cependant, qu’elles participent conjointement à la détermination des « finalités et moyens » du traitement.

38.

À cet égard, je relève que, comme l’indiquent les lignes directrices 07/2020, une telle participation conjointe peut exister sous différentes formes. Elle peut résulter d’une décision commune prise par deux entités ou plus ou elle peut simplement découler de décisions convergentes de ces entités. Dans ce dernier cas, il importe seulement que les décisions se complètent et qu’elles soient nécessaires au traitement de telle sorte qu’elles aient un effet concret sur la détermination des finalités et des moyens du traitement, à savoir, en substance, que le traitement ne serait pas possible sans la participation des deux parties ( 19 ).

39.

Dans ce contexte, la juridiction de renvoi se demande si le fait que deux responsables du traitement (en l’espèce le CNSP et ITSS) n’ont passé aucun arrangement formel quant aux finalités et aux moyens du traitement et/ou qu’ils ne semblent pas avoir autrement coordonné leurs actions empêche de les considérer comme des « responsables conjoints du traitement ».

40.

Je comprends que les doutes de la juridiction de renvoi à cet égard découlent du fait que, en vertu de l’article 26, paragraphe 1, du RGPD, les responsables conjoints du traitement doivent, par voie d’accord entre eux, définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences de ce règlement. En outre, le considérant 79 de ce règlement indique qu’une « répartition claire des responsabilités » est requise, y compris lorsqu’un responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres. Toutefois, selon moi, ces obligations et exigences ne s’appliquent aux responsables conjoints du traitement qu’une fois ceux-ci pouvant être considérés comme tels. Ils ne font pas partie des critères qui doivent être remplis aux fins de cette qualification.

41.

Comme je l’ai indiqué au point 36 des présentes conclusions, la responsabilité conjointe du traitement dépend seulement de la réunion de deux conditions objectives. Premièrement, chaque responsable conjoint du traitement doit remplir les critères énumérés dans la définition du « responsable du traitement » donnée à l’article 4, point 7, du RGPD. Le dossier ne contient pas suffisamment d’éléments permettant de déterminer si, dans la situation au principal, ITSS doit être considérée comme un « responsable du traitement » au sens de cette disposition. Cependant, il me semble, à la lumière des constatations que j’ai faites dans la section précédente et sous réserve des vérifications qu’il incombe à la juridiction de renvoi d’effectuer, qu’au moins le CNSP – voire tant cette entité qu’ITSS – remplit les conditions pour être considéré comme « responsable du traitement », au sens de cette disposition. Deuxièmement, l’influence des responsables du traitement sur le traitement doit être exercée conjointement (ce qui signifie qu’elle doit être exercée conformément aux critères juridiques et à la jurisprudence que j’ai rappelés aux points 37 et 38 des présentes conclusions). À cet égard, j’ai expliqué que la participation conjointe au traitement peut exister sous différentes formes et qu’elle ne doit même pas procéder d’une décision commune des parties concernées. Ainsi, l’approche matérielle et fonctionnelle requise pour déterminer si une personne ou une entité doit être considérée comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD, s’applique également, à mon sens, à la responsabilité conjointe du traitement ( 20 ).

42.

Au vu de ces éléments, je suis d’avis, premièrement, que l’absence d’accord ou d’arrangement ou même de décision commune entre deux responsables du traitement ou plus tels que le CNSP et ITSS ne saurait, à elle seule, exclure qu’il s’agisse de « responsables conjoints du traitement » au sens de l’article 4, point 7, du RGPD, lu conjointement avec l’article 26, paragraphe 1, de ce règlement. À cet égard, j’ajoute que le CEPD a suggéré que, bien que des accords contractuels puissent être utiles à l’appréciation d’une responsabilité conjointe du traitement, ils devraient toujours être examinés au regard des circonstances factuelles de la relation entre les parties ( 21 ).

43.

Deuxièmement, il me semble aussi que le simple fait que le CNSP et ITSS, en plus de ne pas avoir pris d’accord, d’arrangement ou de décision commune, ne semblent pas avoir coordonné leurs actions ni autrement coopéré entre eux, ne signifie pas qu’ils ne puissent pas être considérés comme des « responsables conjoints du traitement ». Même si une telle coordination ou une telle coopération existe, elle est sans pertinence pour la question de savoir si la relation entre ces deux entités est ou non une relation de responsabilité conjointe. En effet, on peut aisément imaginer qu’une coopération ou une coordination puisse exister entre deux entités ou plus sans qu’elles soient des responsables conjoints du traitement. Par exemple, deux responsables du traitement distincts pourraient coordonner leurs actions ou coopérer dans l’intention de se transférer des données à caractère personnel. Cela n’en ferait pas pour autant des « responsables conjoints du traitement » au sens de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD ( 22 ). Ce qui importe, ainsi que je l’ai expliqué au point 38 des présentes conclusions, est que le traitement ne soit pas possible sans la participation des deux parties parce que l’une et l’autre ont un effet concret sur la détermination des finalités et des moyens de ce traitement.

44.

Au vu de ce qui précède, il me semble que, d’une part, sous réserve des vérifications qu’il incombe à la juridiction de renvoi d’effectuer, une entité telle que le CNSP remplit les conditions énumérées à l’article 4, point 7, du RGPD pour être considérée comme un « responsable du traitement ». D’autre part, la question de savoir si le CNSP et ITSS peuvent être considérés comme des « responsables conjoints du traitement », conformément aux critères que j’ai exposés dans la section précédente, ou doivent être qualifiés respectivement de « responsable du traitement » et de « sous-traitant », dépend de la nature de leur relation, qu’il incombe à la juridiction de renvoi d’évaluer.

45.

À cet égard, j’ajoute que la nature de la relation entre le CNSP et ITSS (à savoir la question de savoir s’il s’agit de « responsables conjoints du traitement » ou, respectivement, d’un « responsable du traitement » et d’un « sous-traitant ») est pertinente pour la sixième question. Je reviendrai donc sur les constatations que j’ai faites à propos de la cinquième question en abordant les problèmes soulevés par la sixième question.

46.

Par sa quatrième question, la juridiction de renvoi se demande, en substance, si la définition du « traitement » donnée à l’article 4, point 2, du RGPD couvre une situation dans laquelle des données à caractère personnel sont utilisées lors de la phase de test d’une application mobile ( 23 ). Je déduis de la demande de décision préjudicielle que KARANTINAS a fait l’objet d’une phase de test avant sa mise à disposition du public à des fins de téléchargement. Selon ma compréhension, la quatrième question concerne donc une situation autre que celle visée par les autres questions déférées à la Cour, qui portent toutes sur le traitement des données à caractère personnel après le déroulement de la phase de test, lorsque KARANTINAS a été rendue publique. Plus précisément, la juridiction de renvoi souhaite savoir si l’utilisation de données à caractère personnel au cours de cette phase de test peut être qualifiée de « traitement » au sens de l’article 4, point 2, du RGPD et, en tant que telle, entraîner une éventuelle responsabilité des responsables du traitement et/ou des sous-traitants concernés.

47.

L’article 4, point 2, du RGPD définit le « traitement » comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel » ( 24 ).

48.

Je comprends de ce libellé (en particulier de l’emploi du terme « toute » et de termes génériques tels que « opération » ou « ensemble d’opérations ») que cette disposition doit recevoir un sens large, de manière à couvrir le plus grand nombre possible de situations dans lesquelles des données à caractère personnel sont utilisées. La liste non exhaustive de telles situations qui figure dans cette disposition confirme cette interprétation, étant donné la diversité des opérations qui y sont incluses ( 25 ).

49.

En outre, alors qu’il résulte de la section qui précède que la définition du « responsable du traitement », au sens de l’article 4, point 7, de ce règlement, est étroitement liée aux finalités du traitement de données à caractère personnel (le « pourquoi » de la collecte des données à caractère personnel), tel n’est pas le cas de la définition énoncée à l’article 4, point 2, dudit règlement. Ainsi, les raisons pour lesquelles une opération ou un ensemble d’opérations sont effectuées sont, en principe, sans incidence sur la question de savoir si elles doivent être qualifiées de « traitement » au sens de cette disposition. Il s’ensuit, selon moi, que la question de savoir si des données à caractère personnel sont collectées en vue de tester les systèmes informatiques intégrés à une application mobile ou à une autre fin est sans incidence sur la question de savoir si l’opération en cause peut être qualifiée de « traitement ».

50.

À cet égard, je relève encore que l’« utilisation » de données à caractère personnel (sans autre mention et, partant, quelle que soit sa finalité) est énumérée parmi les opérations ou ensembles d’opérations qui constituent un « traitement » ( 26 ). En outre, l’article 4, point 2, du RGPD ne contient aucune exception, dérogation ou exclusion expresses pour les opérations relatives à l’utilisation de données à caractère personnel à des fins de test de systèmes informatiques. Il s’ensuit que rien ne s’oppose à ce que l’utilisation de données à caractère personnel en vue d’effectuer un tel test puisse être considérée comme un « traitement » au sens de cette disposition, bien au contraire.

51.

Au vu de ces éléments, je considère que la définition du « traitement » donnée à l’article 4, point 2, du RGPD couvre une situation dans laquelle des données à caractère personnel sont utilisées au cours de la phase de test d’une application mobile.

52.

Ma conclusion à cet égard n’est pas remise en cause par le seul fait que les données à caractère personnel fournies aux fins du test des systèmes informatiques intégrés à une application mobile ont pu subir une pseudonymisation ( 27 ). La seule circonstance dans laquelle le RGPD ne s’appliquerait pas est si les informations communiquées à l’application mobile consistent uniquement en des informations anonymes « ne concernant pas une personne physique identifiée ou identifiable » ou en des données à caractère personnel « rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable ». Je relève cependant que, dans l’affaire au principal, les données utilisées pour la phase d’essai ne semblent pas, sur la base des informations fournies dans le dossier, avoir consisté en de telles données anonymisées ( 28 ).

53.

Au regard de ce qui précède, je considère que la définition du « traitement » donnée à l’article 4, point 2, du RGPD vise une situation dans laquelle des données à caractère personnel sont utilisées au cours de la phase de test d’une application mobile, sauf si de telles données ont été rendues anonymes d’une manière telle que la personne concernée n’est pas ou plus identifiable. La question de savoir si des données à caractère personnel sont collectées en vue de tester les systèmes informatiques intégrés à une application mobile ou pour une autre finalité n’a, quant à elle, aucune incidence sur celle de savoir si l’opération en question peut être qualifiée de « traitement » ( 29 ).

54.

Cela étant précisé, j’aborde à présent la question centrale de la présente affaire, qui porte sur les conditions auxquelles une amende administrative peut être imposée à un responsable du traitement ou à un sous-traitant en application de l’article 83 du RGPD.

55.

Avant l’adoption du RGPD, les sanctions pour violation des règles en matière de protection des données étaient, dans une large mesure, laissées à la discrétion des États membres, en vertu de leur autonomie procédurale et en matière de voies de recours ( 30 ). Les amendes administratives, qui ont été introduites par l’article 83 de ce règlement, constituent, par conséquent, une « évolution » relativement nouvelle du droit de l’Union de la protection des données. Elles ont été décrites par le groupe de travail Article 29 comme étant « au cœur du nouveau régime d’application » ( 31 ). Bien que cette disposition n’ait pas encore été interprétée par la Cour, elle a déjà été appliquée par les autorités de contrôle, parfois pour imposer de lourdes amendes aux responsables du traitement ou aux sous-traitants ( 32 ).

56.

L’article 83 du RGPD prévoit un système de sanction à deux niveaux, en fonction du type spécifique de disposition violé. Alors que le premier niveau, défini à l’article 83, paragraphe 4, de ce règlement, s’applique aux situations dans lesquelles un responsable du traitement ou un sous-traitant viole les obligations générales auxquelles il est tenu ainsi que certaines obligations spécifiques, le second niveau est réservé, comme l’indique l’article 83, paragraphe 5, du RGPD, à des violations plus graves, telles que des violations, notamment, des principes de base d’un traitement, des droits dont bénéficient les personnes concernées et des règles relatives au transfert de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale.

57.

Pour les deux niveaux, les autorités nationales compétentes doivent, après avoir établi qu’une disposition particulière du RGPD a été violée, procéder à une double appréciation. Premièrement, elles doivent déterminer s’il y a lieu d’imposer une amende et, deuxièmement, elles doivent le cas échéant en fixer le montant. Ces appréciations doivent avoir lieu dans chaque cas d’espèce, à la lumière des différents éléments énumérés à l’article 83, paragraphe 2, du RGPD. Parmi ces éléments figure le « le fait que la violation a été commise délibérément ou par négligence » [article 83, paragraphe 2, sous b), de ce règlement].

58.

Par sa sixième question, la juridiction de renvoi se demande, en substance, si une amende administrative peut être imposée à un responsable du traitement lorsque celui-ci n’a pas commis délibérément ou par négligence la violation des règles en matière de protection des données et que c’est non pas le responsable du traitement lui-même, mais un sous-traitant qui a effectué le traitement illicite des données à caractère personnel. Pour revenir aux constatations que j’ai faites ci‑dessus à propos de la cinquième question, il me semble que la sixième question est posée dans l’hypothèse où, dans l’affaire au principal, le CNSP et ITSS ne pourraient pas être considérés comme des « responsables conjoints du traitement » au sens de l’article 4, point 7, du RGPD, lu conjointement avec l’article 26, paragraphe 1, de ce règlement, et où ils devraient être considérés respectivement comme un « responsable du traitement » et un « sous-traitant ». Dans ce contexte particulier, la juridiction de renvoi entend voir préciser les conditions auxquelles le CNSP peut se voir imposer une amende en application de l’article 83 du RGPD.

59.

Cela étant dit, je relève que la sixième question mentionne uniquement l’article 83, paragraphe 1, du RGPD en tant que disposition pertinente. Or, selon moi, les problèmes soulevés par cette question imposent de considérer l’article 83 de ce règlement dans son ensemble et, en particulier, comme je l’ai expliqué au point 57 des présentes conclusions, de prendre en compte l’article 83, paragraphe 2, sous b), dudit règlement, étant donné que cette disposition se réfère au « fait que la violation a été commise délibérément ou par négligence ». Je considérerai donc que la sixième question porte sur l’interprétation de l’article 83 du RGPD dans son ensemble et non pas uniquement sur l’article 83, paragraphe 1, de ce règlement.

60.

Selon moi, cette question comporte deux parties. Premièrement, elle requiert que la Cour détermine si l’article 83 du RGPD permet d’imposer de manière générale des amendes administratives aux responsables du traitement ou aux sous-traitants en l’absence de toute intention subjective (élément moral – faute). En substance, la juridiction de renvoi souhaiterait savoir si le CNSP pourrait se voir imposer une amende au seul motif qu’il a violé les obligations qui lui sont imposées en tant que responsable du traitement (responsabilité objective), ou si un élément de faute dans la commission de la (ou des) violation(s) concernée(s) est requis. Deuxièmement, elle appelle des précisions sur le point de savoir si le fait que le traitement illicite des données à caractère personnel n’a pas été effectué par le responsable du traitement lui-même, mais par un sous-traitant, a une quelconque incidence sur la possibilité pour les autorités de contrôle d’imposer une amende au responsable du traitement.

61.

J’examinerai successivement chacun de ces deux aspects.

62.

L’article 83 du RGPD exige que toute amende administrative imposée en raison d’une violation des règles en matière de protection des données soit « effective, proportionnée et dissuasive ». C’est ce que qu’indique clairement le paragraphe 1 de cette disposition. Cependant, ce paragraphe ne précise pas si une telle amende ne peut être imposée que si une faute est également établie et, donc, si la « faute » constitue un prérequis à l’imposition de toute amende administrative.

63.

Le paragraphe 2, sous b), de cette disposition, en revanche, intègre le « fait que la violation a été commise délibérément ou par négligence » parmi les éléments ( 33 ) dont les autorités de contrôle doivent tenir « dûment compte » dans chaque cas d’espèce. En vertu de l’article 83, paragraphe 2, sous k), dudit règlement, ces éléments doivent s’entendre comme des « circonstance[s] aggravante[s] ou atténuante[s] » et ne sont pas exhaustifs.

64.

Dans ce contexte, il existe, selon moi, deux façons possibles de comprendre l’article 83 du RGPD.

65.

D’une part, on pourrait considérer que, bien que la décision d’imposer une amende et son montant doivent être déterminés en tenant dûment compte de la gravité de la faute (de sorte que, par exemple, une amende plus élevée devrait, en principe, être imposée si la violation a résulté d’un comportement intentionnel et que, inversement, un comportement négligent devrait donner lieu à une amende moins élevée), rien ne s’oppose à ce qu’une amende soit également imposée en l’absence de toute faute, pour autant que le sous-traitant ou le responsable du traitement puisse être considéré comme responsable de la violation. Cette interprétation serait confortée par une lecture de l’article 83, paragraphe 2, sous b) et k), selon laquelle la mention de différents types de fautes (délibérée ou par négligence) en tant que « circonstance[s] aggravante[s] ou atténuante[s] », dans ces dispositions, pourrait laisser entendre qu’une faute n’est, d’une manière générale, pas une condition préalable à l’imposition d’une amende.

66.

D’autre part, on pourrait soutenir, comme le fait la Commission dans la présente affaire, que la négligence de la personne ou de l’entité auteur de la violation doit être établie, en tant qu’exigence minimale, avant qu’une amende puisse être imposée. Cette approche serait confortée par une lecture différente, plus prudente, de l’article 83, paragraphe 2, sous b) et k), du RGPD, à savoir que ces dispositions imposent aux autorités de contrôle de distinguer entre une circonstance atténuante (la négligence) et une circonstance aggravante (l’intention), mais sans indiquer qu’une amende pourrait être imposée en l’absence totale de faute.

67.

La Commission a expressément opté pour cette interprétation dans sa proposition initiale qui a abouti à l’adoption du RGPD ( 34 ), dans laquelle elle suggérait d’organiser le système des amendes sous la forme d’un système à trois niveaux. Pour chaque niveau, la Commission proposait que des amendes ne puissent être imposées qu’à « quiconque, de propos délibéré ou par négligence » ( 35 ), a commis une ou plusieurs des violations alléguées. La faute était ainsi clairement envisagée par la Commission comme une condition préalable à l’imposition d’une telle amende ( 36 ).

68.

Si les deux approches peuvent, selon moi, être défendues sur la base d’une interprétation littérale de l’article 83, paragraphe 2, du RGPD, dans la mesure où elles correspondent chacune à une compréhension du « fait que la violation a été commise délibérément ou par négligence » en tant que circonstance « aggravante » ou « atténuante », j’estime que seule la seconde approche reflète correctement l’intention du législateur de l’Union. Plusieurs raisons m’amènent à cette conclusion.

69.

Premièrement, je relève que plusieurs éléments énumérés à l’article 83, paragraphe 2, du RGPD contiennent une formulation spécifique permettant de conclure que de tels éléments peuvent s’appliquer non pas dans tous les cas, mais seulement dans certains. En particulier, les points c), e) et k) de l’article 83, paragraphe 2, commencent tous par le mot « toute » (« toute mesure prise par le responsable du traitement ou le sous‑traitant pour atténuer le dommage », « toute violation pertinente commise précédemment », « toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce »), suggérant ainsi que, même si les autorités de contrôle doivent toujours tenir compte de l’existence des mesures d’atténuation, violations commises précédemment ou autres circonstances aggravantes ou atténuantes pertinentes lorsque de tels éléments sont présents ou avérés, il peut également exister des situations où ces mêmes éléments sont tout simplement absents, mais où l’autorité de protection des données compétente peut néanmoins décider d’imposer une amende (ou, à l’inverse, de ne pas en imposer). Dans le même ordre d’idées, je relève que l’article 83, paragraphe 2, sous i), du RGPD est lui aussi formulé de manière non systématique, en ce qu’il impose d’examiner si le responsable du traitement ou le sous-traitant a respecté les mesures visées à l’article 58, paragraphe 2, dudit règlement, mais uniquement« lorsque [de telles] mesures [...] ont été préalablement ordonnées à l’encontre du responsable du traitement ou du sous‑traitant ».

70.

L’article 83, paragraphe 2, sous b), en revanche, mentionne « le fait que la violation a été commise délibérément ou par négligence » ( 37 ). À ce titre, il me semble faire partie des éléments qui doivent être présents et, d’un point de vue imagé, dont la case doit être « cochée », dans tous les cas avant qu’une amende puisse être imposée, tout comme « la nature, la gravité et la durée de la violation […] » [article 83, paragraphe 2, sous a)], « les catégories de données à caractère personnel concernées » [article 83, paragraphe 2, sous g)], et « la manière dont [il a été pris] connaissance de la violation » [article 83, paragraphe 2, sous h)]. Ces autres éléments doivent également, selon moi, être « présents » dans tous les cas : par exemple, la « nature, la gravité et la durée de la violation » peuvent différer grandement d’une affaire à l’autre (et peuvent donc être considérées comme un motif plaidant soit « pour », soit « contre » l’imposition d’une amende). Il n’en demeure pas moins que, dans tous les cas, il faudra prendre en compte la nature, une certaine gravité et une certaine durée de la violation. Selon moi, il s’agit d’un premier indice de ce que les amendes administratives ont été insérées à l’article 83 du RGPD afin de n’être imposées que dans des situations où la violation alléguée a été soit délibérée, soit due à une négligence ( 38 ).

71.

Deuxièmement, je relève que, bien que l’article 83, paragraphe 2, du RGPD n’indique pas expressément que la violation doit avoir eu lieu « délibérément ou par négligence », il n’en va pas de même du paragraphe 3 de la même disposition, qui contient une règle générale excluant le cumul des amendes administratives. En effet, ce paragraphe mentionne uniquement le cas où la ou les violations concernées s’est produite ou se sont produites « délibérément ou par négligence ».

72.

Selon moi, il s’ensuit logiquement que l’article 83, paragraphe 2, du RGPD doit être interprété en ce sens qu’une amende ne peut être imposée que si la violation alléguée s’est produite délibérément ou par négligence. En effet, si les champs d’application des paragraphes 2 et 3 de l’article 83 du RGPD étaient différents, il serait alors possible d’imposer des amendes cumulées pour des violations moins graves (à savoir celles commises sans faute), puisque celles-ci, bien qu’elles puissent entraîner l’imposition d’une amende en application de la première de ces deux dispositions (l’article 83, paragraphe 2), ne relèveraient pas de la seconde (l’article 83, paragraphe 3). Il n’en irait toutefois pas de même pour les violations commises par négligence ou délibérément, dès lors qu’elles seraient toutes soumises à la règle de non‑cumul prévue à l’article 83, paragraphe 3, de ce règlement. Un tel résultat irait manifestement à l’encontre du principe de base du régime de sanction institué par le RGPD, selon lequel les violations graves devraient, en principe, être sanctionnées plus strictement que les moins graves, et non l’inverse.

73.

Troisièmement, je relève que les amendes imposées en application de l’article 83 du RGPD peuvent donner lieu à des sanctions sévères. En effet, le premier niveau, visé à l’article 83, paragraphe 4, de ce règlement, peut donner lieu à l’imposition d’amendes pouvant s’élever jusqu’à 10000000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Le second niveau prévoit des amendes pouvant s’élever jusqu’à 20000000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant également retenu).

74.

Par conséquent, il me semble que les amendes imposées en application de l’article 83 du RGPD ont une finalité punitive, à tout le moins dans certaines situations ( 39 ), et qu’elles présentent un degré de sévérité élevé tel qu’elles sont susceptibles de revêtir une nature pénale ( 40 ) et, partant, de relever du champ d’application de l’article 49 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ( 41 ).

75.

Au vu de ces considérations et, en particulier, du caractère pénal des amendes imposées en vertu de l’article 83 du RGPD, il pourrait être tentant de soutenir qu’il serait incompatible avec l’exigence du paragraphe 1 de cette disposition que les amendes soient, dans tous les cas, non seulement « effectives » et « dissuasives », mais aussi « proportionnées », de permettre d’imposer de telles amendes en l’absence de faute. En d’autres termes, il serait disproportionné d’imposer une amende dans les cas où même une négligence n’est pas établie. Selon moi, cet argument est toutefois difficilement défendable, étant donné que la Cour a déjà constaté qu’un système de pénalités ou de sanctions fondé sur la responsabilité objective, même de nature pénale, n’est pas, en soi, disproportionné par rapport aux objectifs recherchés, lorsque ce système est de nature à inciter les personnes visées à respecter les dispositions d’un règlement et lorsque les objectifs poursuivis relèvent d’un intérêt général susceptible de justifier l’instauration d’un tel système ( 42 ). En outre, la Cour européenne des droits de l’homme (ci-après la Cour EDH) a jugé, à propos de l’article 7 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (ci-après la « CEDH ») (qui correspond à l’article 49 de la Charte) ( 43 ), que, si l’article 7 exige en général, pour punir, un lien de nature intellectuelle permettant précisément de déceler un élément de responsabilité dans la conduite de l’auteur matériel de l’infraction, cette exigence ne fait pas obstacle à certaines formes de responsabilité objective ( 44 ).

76.

Cela étant dit, je comprends de cette jurisprudence qu’une intention subjective est, en règle générale, requise pour qu’une sanction pénale soit imposée, et que la responsabilité sans faute constitue donc une sorte d’« exception » à cette règle générale, dans la mesure où elle doit être justifiée au regard des objectifs poursuivis par la réglementation.

77.

Compte tenu du RGPD dans son ensemble, il me semble que les amendes administratives n’ont été envisagées par le législateur de l’Union que comme l’un des outils parmi ceux prévus dans cet instrument pour assurer son respect effectif. En effet, les amendes doivent être imposées « en complément ou à la place » des autres mesures énumérées à l’article 58, paragraphe 2, de ce règlement, qui confère aux autorités de contrôle un éventail de pouvoirs correctifs (tels que le pouvoir d’avertissement, de rappel à l’ordre ou d’injonction) ( 45 ). En outre, dans les situations où aucune amende administrative n’est imposée en application de l’article 83 du RGPD, les autorités de contrôle ont la possibilité d’imposer d’autres sanctions en vertu de l’article 84 de ce règlement ( 46 ).

78.

Selon moi, il ressort clairement de ces dispositions que, lors de l’adoption de ce règlement, le législateur de l’Union n’a pas entendu rendre chaque violation des règles en matière de protection des données passible d’une amende administrative. Il a plutôt entendu prévoir un système souple et différencié de pénalités et de sanctions. C’est ce que confirme le considérant 148 du RGPD, qui énonce que les autorités de contrôle peuvent, en cas de « violation mineure ou si l’amende susceptible d’être imposée constitue une charge disproportionnée pour une personne physique », s’abstenir d’imposer une amende administrative et plutôt prononcer un rappel à l’ordre. Dans ce contexte, limiter l’application de l’article 83 du RGPD aux situations dans lesquelles une négligence est établie, en tant qu’exigence minimale, s’inscrit, selon moi, dans le prolongement des objectifs et de l’économie générale de ces différentes dispositions, selon lesquels les amendes administratives devraient être réservées à certaines violations.

79.

Il me semble également que, lorsque le législateur de l’Union a manifesté sa volonté d’introduire une responsabilité objective ou présumée dans le RGPD, il l’a fait en utilisant une formulation spécifique qui est absente de l’article 83 de ce règlement. Par exemple, en ce qui concerne la responsabilité civile (c’est-à-dire la responsabilité des responsables du traitement et des sous-traitants envers les personnes concernées) visée à l’article 82 du RGPD, le législateur de l’Union a indiqué que les responsables du traitement et les sous-traitants ont l’obligation stricte de réparer les dommages qu’ils causent aux personnes concernées, sauf s’ils parviennent à prouver que les faits qui ont provoqué le dommage ne leur sont nullement imputables ( 47 ). En revanche, l’article 83 de ce règlement ne contient pas de formulation analogue à l’article 84 du RGPD. Cela confirme, selon moi, que le législateur de l’Union n’a pas entendu instituer, par cette disposition, un système d’amendes fondé sur une responsabilité objective ou présumée.

80.

Quatrièmement, et c’est peut-être là le point le plus important, je considère que, dans la pratique, le seuil d’une violation du RGPD par négligence au sens de l’article 83, paragraphe 2, sous b), de ce règlement, est, en tout état de cause, tellement bas qu’il est difficile d’envisager des situations dans lesquelles il sera impossible d’imposer une amende simplement parce que cet élément n’est pas satisfait. À ce titre, je considère que le simple fait de devoir établir une intention ou une négligence avant de pouvoir imposer une amende en application de l’article 83 de ce règlement ne compromet pas l’objectif recherché par le législateur de l’Union consistant à garantir l’application effective des règles en matière de protection des données qui y figurent, bien au contraire.

81.

D’aucuns ont soutenu, à cet égard, que le simple fait de ne prendre aucune mesure dans une situation dans laquelle le responsable du traitement ou le sous‑traitant a de simples doutes quant à la légalité du traitement effectué constitue déjà une acceptation délibérée d’une violation potentielle du RGPD et, partant, une négligence grave ( 48 ). En outre, le groupe de travail Article 29 a suggéré qu’une violation commise par négligence correspond à maints égards à une violation commise « non délibérément », dès lors que, selon lui, une telle violation peut exister tandis qu’il n’existait pas d’intention de causer la violation et que le responsable du traitement ou le sous-traitant a simplement manqué à son obligation de diligence ( 49 ). En particulier, il a indiqué que même une pure et simple « erreur humaine » ( 50 ) peut être révélatrice d’une négligence.

82.

Deux conclusions me viennent à l’esprit. Premièrement, la ligne qui sépare une violation sans faute purement non délibérée et une violation par négligence est, en réalité, très ténue. J’estime que les autorités de contrôle auront rarement des difficultés à trouver suffisamment d’éléments indiquant que la violation alléguée a eu lieu au moins par négligence. À cet égard, je relève qu’il a été affirmé, dans la doctrine, que, « compte tenu des actions de sensibilisation [...] à présent nombreuses visant à assurer le respect du RGPD [...], il est difficile d’imaginer [...] des violations du RGPD sans qu’au moins une négligence soit présente » ( 51 ). Je suis tout à fait d’accord et je rappelle que le RGPD vise spécifiquement à garantir que les responsables du traitement et les sous-traitants soient conscients des règles en matière de protection des données, ce qui rend encore plus difficile, selon moi, de considérer qu’une violation pourrait se produire sans la moindre faute (ni a fortiori sans négligence) ( 52 ).

83.

Deuxièmement, ce résultat semble parfaitement conforme à l’objectif principal du RGPD, qui est d’assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données personnelles au sein de l’Union ( 53 ). En effet, les amendes ont un effet dissuasif ( 54 ). Grâce à l’incitation qu’elles créent pour les responsables du traitement et les sous-traitants de se conformer au RGPD, elles contribuent globalement au renforcement de la protection des personnes concernées et constituent donc un élément clé pour garantir le respect de leurs droits ( 55 ). Il s’ensuit, selon moi, que, même si l’on ne peut faire l’économie d’une « faute », le degré de faute requis pour déclencher l’application de l’article 83 de ce règlement est suffisamment bas pour assurer un niveau approprié de protection des personnes concernées.

84.

En outre, je souligne que l’approche que je propose à la Cour d’adopter confirmerait également l’alignement du système d’amendes mis en place par cette disposition sur celui qui est prévu à l’article 23, paragraphe 1, du règlement (CE) no 1/2003 ( 56 ), pour les infractions au droit de la concurrence, qui, lui aussi, s’applique uniquement si une intention ou une négligence est établie. Le fait que cet autre système d’amendes a inspiré le libellé de l’article 83 du RGPD est corroboré par le considérant 150 de ce règlement, qui énonce que, « lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne », ainsi que par d’autres similitudes entre ces deux systèmes d’amendes, telles que le fait que le montant des amendes peut, pour les entreprises, être basé, dans les deux systèmes, sur leur chiffre d’affaires. Je relève également que plusieurs des éléments énumérés à l’article 83, paragraphe 2, du RGPD reflètent ceux qui sont pertinents pour déterminer le montant d’une amende pour infraction au droit de la concurrence ( 57 ).

85.

Ayant exposé les raisons pour lesquelles j’estime qu’une faute doit être établie avant qu’une amende puisse être imposée à un responsable du traitement ou à un sous-traitant en application de l’article 83, paragraphe 2, du RGPD, il me reste à dire quelques mots sur l’approche proposée par le Conseil et le gouvernement lituanien. Selon ces parties, il appartient aux États membres de décider si une faute est requise ou non avant qu’une amende administrative puisse être imposée.

86.

Je ne souscris, pour ma part, tout simplement pas à cette suggestion.

87.

Il me semble évident que l’un des objectifs essentiels du RGPD et, en particulier, de son article 83 est d’atteindre un niveau plus élevé d’harmonisation dans l’ensemble de l’Union en ce qui concerne, en particulier, l’imposition d’amendes ( 58 ). À ce titre, j’estime que, contrairement à ce qu’ont soutenu le Conseil et le gouvernement lituanien, le législateur de l’Union n’a pas entendu que les États membres disposent d’une marge d’appréciation quant à la question de savoir si une faute est requise ou non.

88.

Il est vrai que des exigences supplémentaires concernant la procédure à suivre par les autorités de contrôle pour imposer une amende peuvent être prévues par la législation nationale (en ce qui concerne des questions telles que la notification de l’amende ainsi que les délais de présentation d’observations, de recours, d’exécution et de paiement) ( 59 ). Cela ressort clairement de l’article 83, paragraphe 8, du RGPD, qui dispose que l’exercice des pouvoirs des autorités de contrôle est« soumis à des garanties procédurales appropriées » qui doivent être prévues par le droit national pour autant que le droit de l’Union (et notamment le droit à un recours juridictionnel effectif et à une procédure régulière) soit respecté.

89.

Cette marge d’appréciation ne saurait toutefois s’étendre aux exigences de fond qui s’appliquent à l’imposition d’une amende, telles que le degré de faute. Selon moi, cette conclusion découle directement de plusieurs considérants de ce règlement ( 60 ), dont il ressort que le système d’amendes administratives instauré par l’article 83 du RGPD a été conçu par le législateur de l’Union pour aboutir à des résultats cohérents sur le territoire de l’Union.

90.

Par souci d’exhaustivité, j’ajoute que, étant donné que les amendes ont une forte incidence sur la concurrence entre entreprises et qu’elles ont d’importante répercussions sur le marché, il est essentiel, selon moi, que l’article 83 du RGPD soit appliqué de façon cohérente, sans quoi il pourrait effectivement contribuer à introduire des distorsions de concurrence entre entreprises ( 61 ).

91.

Par la seconde partie de la sixième question, la juridiction de renvoi se demande, en substance, si un responsable du traitement peut se voir imposer une amende en application de l’article 83 du RGPD, dans un contexte où ce n’est pas lui-même, mais un sous-traitant (en l’occurrence ITSS), qui a effectué un traitement illicite de données à caractère personnel.

92.

Il y a lieu, selon moi, de répondre à cette question par l’affirmative.

93.

À cet égard, je rappelle que, comme je l’ai indiqué au point 27 des présentes conclusions, un responsable du traitement ne doit pas nécessairement traiter lui-même chaque donnée à caractère personnel, mais il doit déterminer « le pourquoi et le comment » des opérations de traitement pertinentes. Je relève en outre que l’article 4, point 8, du RGPD définit le « sous-traitant » comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » ( 62 ).

94.

Ces définitions confirment, selon moi, que, dans le cadre de l’application du RGPD, un responsable du traitement peut être tenu pour responsable et, partant, qu’il peut se voir imposer une amende en application de l’article 83 de ce règlement, dans une situation où des données à caractère personnel font l’objet d’un traitement illicite, et où c’est non pas le responsable du traitement lui-même, mais un sous‑traitant, qui a effectué ce traitement illicite. Cette possibilité subsiste aussi longtemps qu’un tel sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement.

95.

Tel sera le cas tant que le sous-traitant agira dans le cadre du mandat qui lui a été conféré par le responsable du traitement et qu’il traitera les données conformément aux instructions licites reçues de la part du responsable du traitement ( 63 ). Cependant, si le sous-traitant sort du cadre de ce mandat, s’il utilise les données reçues en tant que sous‑traitant à des fins propres et s’il est clair que les parties ne sont pas des « responsables conjoints du traitement » au sens de l’article 4, point 7, et de l’article 21, paragraphe 6, du RGPD, le responsable du traitement ne saurait, à mon sens, se voir imposer une amende sanctionnant, en application de l’article 83 de ce règlement, le traitement illicite qui a eu lieu ( 64 ).

96.

Il s’ensuit que, dans un cas tel que celui de l’affaire au principal, une amende peut être imposée au CNSP en application de l’article 83 du RGPD même si les données à caractère personnel n’ont été traitées de manière illicite que par ITSS et que le CNSP n’a pas participé au traitement. Cette possibilité existe pour autant que cette société puisse être considérée comme ayant traité des données à caractère personnel pour le compte du CNSP, ce qui ne sera pas le cas si ITSS a agi en dehors des instructions licites du CNSP ou en contradiction avec celles‑ci, si elle a utilisé des données à caractère personnel à ses propres fins, et s’il est clair que le CNSP et ITSS n’ont pas agi en tant que responsables conjoints du traitement.

97.

Eu égard aux considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions préjudicielles présentées par le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie) :