1.

Le présent renvoi préjudiciel offre à la Cour l’occasion de se prononcer sur les conditions dans lesquelles une amende administrative peut être infligée à une personne morale pour des violations du règlement (UE) 2016/679 ( 2 ).

2.

Il s’agit en particulier de déterminer :

3.

Le considérant 74 du RGPD énonce ce qui suit :

« Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui‑même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

4.

Le considérant 150 du RGPD est ainsi rédigé :

« Afin de renforcer et d’harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d’imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés par l’autorité de contrôle compétente dans chaque cas d’espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 [TFUE]. [...] Il peut en outre être recouru au mécanisme de contrôle de la cohérence pour favoriser une application cohérente des amendes administratives [...] »

5.

L’article 4 du RGPD (intitulé « Définitions ») dispose :

« Aux fins du présent règlement, on entend par :

[...]

[...]

[...] »

6.

Aux termes de l’article 58 (intitulé « Pouvoirs »), paragraphe 2, du RGPD :

« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :

[...]

[...] »

7.

L’article 83 du RGPD (intitulé « Conditions générales pour imposer des amendes administratives ») se lit comme suit :

« 1.   Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2.   Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

3.   Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

4.   Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10000000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :

[...]

5.   Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20000000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :

[...]

6.   Le non‑respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20000000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

[...]

8.   L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

[...] »

8.

En vertu de l’article 9, paragraphe 1, du Gesetz über Ordnungswidrigkeiten (loi allemande sur les infractions administratives) ( 3 ), lorsqu’une personne agit en qualité : a) d’organe habilité à représenter une personne morale ou en qualité de membre d’un tel organe ; b) d’associé habilité à représenter une société de personnes ayant la capacité juridique, ou c) de représentant légal d’un tiers, il lui est fait application de toute loi en vertu de laquelle des fonctions, des relations ou des circonstances personnelles particulières justifient une sanction éventuelle, lorsque ces circonstances n’existent pas dans son chef, mais dans celui de la personne représentée.

9.

Selon l’article 9, paragraphe 2, de l’OWiG, ce qui précède s’applique également au cas du propriétaire d’un établissement (entreprise) qui confie à une autre personne, en tout ou en partie, le soin de diriger l’établissement ou de remplir, sous sa propre responsabilité, les missions incombant au propriétaire.

10.

L’article 30, paragraphe 1, de l’OWiG permet d’infliger une amende administrative à une personne morale lorsque la personne physique qui la représente, la dirige ou assume la responsabilité de sa gestion a commis une infraction pénale ou a manqué aux obligations qui incombent à la personne morale.

11.

Conformément à l’article 30, paragraphe 4, de l’OWiG, l’imposition d’une amende autonome à une personne morale exige qu’aucune procédure ne soit engagée contre le membre de l’organe ou le représentant de la personne morale ou qu’une procédure engagée soit interrompue.

12.

En vertu de l’article 130, paragraphe 1, de l’OWiG, quiconque, en qualité de propriétaire d’un établissement ou d’une entreprise, omet, volontairement ou par négligence, de prendre les mesures de surveillance nécessaires pour prévenir, au sein de l’établissement ou de l’entreprise, les manquements aux obligations qui incombent au propriétaire et dont la violation est passible d’une peine ou d’une amende, commet une infraction administrative lorsqu’un tel manquement survient alors que des mesures de surveillance adéquates, parmi lesquelles la désignation, la sélection minutieuse et le contrôle des personnes chargées de la surveillance, auraient permis de l’empêcher ou de l’entraver.

13.

Deutsche Wohnen SE est une société immobilière cotée en Bourse dont le siège est à Berlin (Allemagne). Elle détient indirectement, par l’entremise de participations, quelque 163000 unités de logement et 3000 unités commerciales.

14.

Les propriétaires de ces unités sont des filiales de Deutsche Wohnen appelées « sociétés propriétaires », qui gèrent les activités opérationnelles, tandis que Deutsche Wohnen se concentre sur la direction générale du groupe. Les sociétés propriétaires louent les unités commerciales et de logement, dont la gestion est assurée par d’autres sociétés du groupe, dites « sociétés de services ».

15.

Dans le cadre de leurs activités commerciales, Deutsche Wohnen et les sociétés du groupe traitent des données à caractère personnel des locataires des unités commerciales et de logement. Ces données sont, par exemple, des preuves d’identité, des données fiscales, sociales et d’assurance maladie, ainsi que des informations sur les contrats de location antérieurs.

16.

Le 23 juin 2017, dans le cadre d’un contrôle sur place, la Berliner Beauftragte für den Datenschutz [autorité de contrôle berlinoise en matière de protection des données (Allemagne) ; ci-après l’« autorité de contrôle »] a attiré l’attention de Deutsche Wohnen sur le fait que les sociétés de son groupe sauvegardaient des données à caractère personnel de locataires dans un système d’archivage électronique qui ne permettait pas de vérifier si la sauvegarde était nécessaire et de garantir que les données qui n’étaient plus nécessaires soient effacées.

17.

L’autorité de contrôle a demandé à Deutsche Wohnen de supprimer, à partir de ce moment et au plus tard avant la fin de l’année 2017, des documents de son système d’archivage électronique.

18.

Deutsche Wohnen a rejeté cette demande au motif qu’une telle suppression n’était pas possible pour des raisons techniques et juridiques. Cette objection a été abordée lors d’une réunion entre Deutsche Wohnen et l’autorité de contrôle, au cours de laquelle cette dernière a indiqué qu’il existait des solutions techniques pour l’effacement des données. Les discussions se sont poursuivies et Deutsche Wohnen a annoncé qu’elle envisageait de mettre en place un nouveau système destiné à se substituer à celui que l’autorité de contrôle avait contesté.

19.

Le 5 mars 2020, l’autorité de contrôle a effectué une inspection au siège central du groupe, au cours de laquelle un total de seize échantillons a été prélevé dans la base de données. Dans le même temps, Deutsche Wohnen a informé l’autorité de contrôle que le système d’archivage controversé avait déjà été mis hors service et que la migration des données vers le nouveau système était imminente.

20.

Le 30 octobre 2020, l’autorité de contrôle a sanctionné Deutsche Wohnen pour :

21.

Les amendes infligées s’élevaient à 14385000 euros au titre de la violation délibérée de l’article 25, paragraphe 1, et de l’article 5, paragraphe 1, sous a), c) et e), du RGPD, et à des montants compris entre 3000 et 17000 euros au titre des quinze violations de l’article 6, paragraphe 1, du RGPD.

22.

Deutsche Wohnen a introduit un recours contre ces sanctions devant le Landgericht Berlin (tribunal régional de Berlin, Allemagne), qui y a fait droit.

23.

La Staatsanwaltschaft Berlin (parquet de Berlin, Allemagne) a formé un recours contre la décision de première instance devant le Kammergericht Berlin (tribunal régional supérieur de Berlin, Allemagne), qui a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

24.

La demande de décision préjudicielle a été enregistrée au greffe de la Cour le 23 décembre 2021.

25.

Des observations écrites ont été déposées par Deutsche Wohnen, les gouvernements allemand, estonien et norvégien ainsi que par la Commission européenne.

26.

Le 9 novembre 2022, en application de l’article 101, paragraphe 1, du règlement de procédure, la Cour a invité la juridiction de renvoi à préciser :

27.

Les éclaircissements demandés ont été enregistrés au greffe de la Cour le 11 janvier 2023.

28.

Lors de l’audience, qui s’est tenue le 17 janvier 2023, ont comparu, outre les parties intéressées qui avaient déposé des observations écrites, le gouvernement néerlandais, le Parlement européen et le Conseil de l’Union européenne.

29.

La première question posée par la juridiction de renvoi vise en substance à savoir si, au regard du droit de l’Union, une personne morale peut être sanctionnée au titre d’une violation du RGPD sans qu’il soit nécessaire d’imputer cette violation, au préalable, à une personne physique.

30.

La juridiction de renvoi a cependant introduit plusieurs éléments de complexité dans sa question :

31.

La juridiction de renvoi affirme que le droit interne ne permet d’infliger une amende à une entreprise que lorsque certaines infractions commises (uniquement) par ses dirigeants exerçant des fonctions de représentation peuvent lui être imputées ( 5 ).

32.

L’affirmation susmentionnée est contredite par Deutsche Wohnen et le gouvernement allemand. Selon eux, l’article 30 de l’OWiG doit être interprété conjointement avec les articles 9 et 130 de cette loi, avec lesquels il forme un système de sanctions cohérent. Conformément à ce système, une entreprise peut se voir infliger une sanction administrative sans qu’il soit nécessaire d’engager une procédure contre la personne physique ayant agi pour le compte de celle-ci ( 6 ).

33.

Invitée par la Cour à se prononcer sur l’incidence éventuelle de l’article 130 de l’OWiG, la juridiction de renvoi a répondu qu’il n’était pas pertinent aux fins de la première question préjudicielle. Elle a fait valoir, à l’appui de sa position, que :

34.

Ces éclaircissements montrent que la première question préjudicielle posée par la juridiction de renvoi reflète une conception du droit national qui, contrairement à ce que défend le gouvernement allemand, admet un régime de responsabilité des personnes morales qui, au regard de ses caractéristiques, pourrait éventuellement être incompatible avec le droit de l’Union.

35.

La Cour doit s’en tenir au cadre juridique national tel que décrit par la juridiction de renvoi ( 7 ), qui a autorité pour interpréter son droit interne. Les questions relatives à l’interprétation du droit de l’Union posées par le juge national doivent être résolues au regard du cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude ( 8 ).

36.

C’est donc sur la base de ces prémisses que j’aborderai l’examen de la première question préjudicielle.

37.

Rien ne s’oppose, en droit de l’Union, à ce que Deutsche Wohnen soit considérée comme auteur de la violation et destinataire de la sanction infligée. Cette possibilité existe de manière abstraite dans le RGPD et a été utilisée de façon concrète dans le présent cas d’espèce :

38.

Sur le plan abstrait, il n’est pas nécessaire de développer une pléthore de considérations pour corroborer le postulat selon lequel une personne morale peut être sanctionnée directement en tant qu’auteur d’une violation du RGPD. Ce postulat se déduit sans difficultés d’interprétation de la lecture des articles 4, 58 et 83 du RGPD :

39.

Il ressort tout naturellement de l’ensemble de ces dispositions que, selon le RGPD, les amendes administratives résultant de la violation de ce règlement peuvent avoir pour destinataire direct une personne morale ( 12 ). Les autorités nationales compétentes en la matière ont reconnu cette évidence en n’hésitant pas à infliger des amendes, parfois importantes, à des personnes morales ayant violé le RGPD ( 13 ).

40.

Sur le plan concret, l’autorité de contrôle, je le répète, s’est adressée à Deutsche Wohnen en sa qualité de responsable du traitement des données, en lui enjoignant d’effacer de ses archives certaines données à caractère personnel des locataires, demande que cette entreprise a ignorée pendant un certain temps, jusqu’à ce qu’elle ait modifié ses systèmes d’archivage.

41.

Selon la juridiction de renvoi, pour qu’une entreprise puisse être sanctionnée directement au titre de la violation du RGPD, le droit interne exige que la responsabilité d’une personne physique soit établie au préalable. Tel est ce qui ressortirait de l’article 30 de l’OWiG : une amende ne saurait être infligée à une entreprise que lorsque certaines infractions commises par ses dirigeants ayant des fonctions de représentation peuvent lui être imputées ; à cet effet, il doit être établi que le représentant a violé la disposition correspondante en commettant les éléments de l’infraction de manière illégale et fautive ( 14 ).

42.

La juridiction de renvoi rejette l’objection du gouvernement allemand, qui invoque l’article 130 de l’OWiG pour contester l’interprétation qu’elle propose, dans les termes que j’ai déjà indiqués en retranscrivant sa réponse à la Cour ( 15 ). Elle affirme en substance que la protection des intérêts juridiques offerte par cette disposition est très restreinte par rapport au régime de responsabilité qui découle des articles 101 et 102 TFUE.

43.

La règle selon laquelle la responsabilité d’une personne physique doit être constatée au préalable, dont se prévaut la juridiction de renvoi, ne s’appliquerait toutefois pas si l’article 83, paragraphes 4 à 6, du RGPD intégrait, en l’incorporant dans le droit national, la « notion fonctionnelle d’“entreprise” » attachée aux articles 101 et 102 TFUE.

44.

L’article 83, paragraphes 4 à 6, du RGPD a pour objet le calcul du montant des sanctions applicables aux violations du RGPD qui y sont mentionnées. En particulier, ces trois paragraphes prévoient l’éventualité que le destinataire de la sanction soit une « entreprise ».

45.

C’est dans ce contexte qu’il y a lieu de comprendre le renvoi, effectué au considérant 150 du RGPD, à la notion d’« entreprise » au sens des articles 101 et 102 TFUE. Je rappelle que, pour la Cour, « le droit de la concurrence de l’Union vise les activités des entreprises et [...] la notion d’[“]entreprise[”] comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement » ( 16 ).

46.

Dans la mesure où le montant maximal des sanctions infligées pour des violations du RGPD est fixé, en ce qui concerne les entreprises responsables du traitement ou les entreprises sous‑traitantes, sur la base d’un pourcentage du « chiffre d’affaires annuel mondial total de l’exercice précédent », le critère de référence pour le calcul de ce montant ne peut être celui de la personnalité juridique formelle d’une société, mais celui de l’« entité fonctionnelle », au sens indiqué au point précédent des présentes conclusions.

47.

Il en est ainsi car, conformément à l’article 83, paragraphe 1, du RGPD, les amendes administratives prévues aux paragraphes 4 à 6 de cet article doivent être « effectives, proportionnées et dissuasives ». Seule une amende dont le montant est déterminé en fonction de la capacité économique réelle ou matérielle de son destinataire est susceptible de réunir ces trois caractéristiques. Il en découle la nécessité de recourir à une conception non pas strictement formelle, mais matérielle ou économique de l’entreprise pour calculer le montant de la sanction.

48.

Le législateur de l’Union a donc adopté la définition concrète ou matérielle de la notion d’« entreprise », caractéristique du droit de la concurrence ( 17 ), aux fins de la détermination du montant des amendes infligées pour la violation du RGPD. Cependant, je le répète, ce n’est qu’à cette fin que le RGPD évoque cette notion.

49.

En l’espèce, la notion d’« entreprise » visée aux articles 101 et 102 TFUE pourrait donc être pertinente pour calculer l’amende susceptible d’être infligée à Deutsche Wohnen. La question de savoir si cette dernière peut être qualifiée ou non d’« entité sanctionnée » (ou, plus précisément, d’« auteur de l’infraction ») ne dépend pas, à strictement parler, de l’application de ces deux articles du traité FUE.

50.

Il n’en demeure pas moins que, par analogie, les principes généraux qui gouvernent le régime des sanctions en droit de la concurrence (que la Cour a interprété à de nombreuses reprises) s’appliquent mutatis mutandis à la responsabilité des personnes morales pour les violations qu’elles commettent en matière de protection des données à caractère personnel ( 18 ).

51.

Une réglementation nationale qui confère un caractère indirect à l’imposition de sanctions administratives à des personnes morales, en la subordonnant à l’engagement de poursuites préalables contre une personne physique, est-elle compatible avec le RGPD ?

52.

En vertu de l’article 288 TFUE, le RGPD, outre qu’il a une portée générale, est obligatoire et directement applicable dans chaque État membre. Ces caractéristiques seraient compromises si les États membres pouvaient s’écarter de la configuration définitive des prescriptions imposées par le législateur de l’Union dans le RGPD.

53.

Il est vrai que, en raison précisément de la singularité et des caractéristiques de leur objet, plusieurs dispositions du RGPD laissent aux États membres une certaine marge de manœuvre pour maintenir ou introduire des règles nationales destinées à préciser davantage l’application de certaines de ces dispositions. Tel est le cas, par exemple :

54.

Cette marge d’appréciation des États membres, dont il a été débattu lors de l’audience, ne saurait, à mon sens, être étendue au point de restreindre la possibilité d’imputer des violations à une personne morale, comme il ressortirait, selon la juridiction de renvoi, de l’article 30 de l’OWiG.

55.

Une telle configuration du régime de responsabilité des personnes morales permettrait d’exclure du champ d’application du système de sanctions du RGPD des violations qui, selon ce règlement, doivent être imputées à une personne morale dès lors qu’elle a la qualité de responsable du traitement ou de sous‑traitant. Tel serait le cas lorsque les personnes physiques qui représentent, dirigent ou assurent la gestion de la personne morale n’ont pas participé à ces violations.

56.

Dans la mesure où, je le répète, une personne morale peut être responsable du traitement de données et, en cette qualité, auteur des violations du RGPD qui lui sont imputables, l’application de l’article 30 de l’OWiG pourrait entraîner une altération ou une réduction injustifiée de l’éventail des comportements répréhensibles, en contradiction avec ce que prévoit de manière générale le RGPD lui-même.

57.

Une personne morale qui peut être qualifiée de « responsable du traitement » ou de « sous-traitant » doit subir les conséquences, du point de vue des sanctions, des violations du RGPD commises non seulement par ses représentants, directeurs ou gestionnaires, mais également par les personnes physiques (employés au sens large) qui agissent dans le cadre de l’activité commerciale de la personne morale et sous le contrôle de ces représentants, directeurs ou gestionnaires.

58.

Ces personnes physiques, en réalité, façonnent et définissent la volonté de la personne morale, en la matérialisant par des actes spécifiques et concrets. Ces actes spécifiques, en tant que manifestation tangible de cette volonté, sont imputables, en dernière analyse, à la personne morale elle-même.

59.

Il s’agit, en définitive, de personnes physiques qui, sans être elles-mêmes des représentants d’une personne morale, agissent sous l’autorité de ceux qui, en leur qualité de représentants de cette dernière, se sont rendus coupables d’un défaut de surveillance ou de contrôle sur ces personnes physiques. En dernier ressort, l’imputabilité finit par mener à la personne morale elle-même, dans la mesure où la violation commise par l’employé agissant sous l’autorité de ses organes de direction constitue une défaillance du système de contrôle et de surveillance, dont la responsabilité incombe directement à ces derniers.

60.

Les développements qui précèdent correspondent à la lecture que la juridiction de renvoi fait de son droit interne. Or, le gouvernement allemand soutient que l’application combinée des articles 9, 30 et 130 de l’OWiG crée un système qui permet de sanctionner des violations imputées à une personne morale, commises par des personnes physiques n’exerçant pas de fonctions de direction ou de représentation au sein de celle-ci, sans qu’il soit nécessaire d’identifier ces personnes physiques ( 21 ).

61.

Comme je l’ai indiqué précédemment, il appartient à la juridiction de renvoi d’interpréter les dispositions de son droit national. La question de savoir si, à la lumière de la jurisprudence nationale et de la doctrine invoquées par le gouvernement allemand ( 22 ), ces dispositions permettent une interprétation du droit interne conforme aux exigences du droit de l’Union doit être tranchée par les juridictions allemandes.

62.

Dans l’hypothèse où une telle interprétation serait contra legem et où il se révélerait impossible, en raison de la structure particulière de son régime national de sanctions, de donner leur pleine application aux dispositions du RGPD en la matière, la juridiction de renvoi devrait écarter l’application de la réglementation nationale incompatible avec le droit de l’Union afin de garantir la primauté du RGPD.

63.

La juridiction de renvoi souhaite savoir si, en vertu de l’article 83, paragraphes 4 à 6, du RGPD, « l’entreprise doit avoir commis de manière fautive l’infraction commise par l’entremise d’un collaborateur [...] » ou si, aux fins d’infliger une amende à l’entreprise, il suffit en principe d’une « violation objective d’une obligation qui lui est imputable (strict liability) » ( 23 ).

64.

La question ainsi posée revêt un caractère hypothétique, ce qui la rend irrecevable pour deux raisons.

65.

Premièrement, selon la décision de renvoi, la sanction a été infligée à Deutsche Wohnen pour un comportement intentionnel (délibéré) et non pour la simple « violation objective » du RGPD. L’exposé des faits retranscrit dans les présentes conclusions montre que cette entreprise a sciemment et délibérément ignoré la demande de l’autorité de contrôle et a poursuivi le traitement de données incriminé. Il est sans incidence, aux fins de cette qualification, qu’elle ait indiqué avoir rencontré un certain nombre de difficultés techniques et juridiques lors de la modification de ses systèmes de traitement de données.

66.

Deuxièmement, invitée par la Cour à clarifier sa question, la juridiction de renvoi a précisé que le tribunal de première instance n’était pas lié par les constatations opérées dans la décision de sanction et que, à l’avenir, ce tribunal pourrait se prononcer sur les moyens du recours introduit contre la sanction. S’il acquérait la conviction que l’infraction a eu lieu, il aurait à déterminer quel type de faute a été commise, ce qui dépendra de la réponse à la seconde question préjudicielle.

67.

Cette clarification révèle à nouveau le caractère hypothétique de la seconde question préjudicielle : l’appréciation de la qualification du comportement incriminé n’est pas indispensable à la résolution du litige devant la juridiction de renvoi, mais pourrait le cas échéant s’avérer nécessaire si l’affaire était renvoyée devant le tribunal de première instance afin que celui-ci se prononce à l’avenir.

68.

En tout état de cause, et dans l’hypothèse où la Cour déciderait d’examiner le fond de la question, j’estime que la réponse à cette interrogation ne dépend pas de l’interprétation de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives.

69.

La juridiction de renvoi opère une distinction entre : a) l’infraction commise par le collaborateur d’une personne morale et b) l’existence d’une intention fautive ou d’une négligence de la personne morale lors de la commission de cette infraction.

70.

À mon sens, l’infraction commise par le collaborateur est, en réalité, au vu des développements relatifs à la première question, une infraction commise par la personne morale sous l’autorité de laquelle ce collaborateur a agi.

71.

Correctement posée, la question porte donc sur la possibilité de sanctionner une personne morale pour la violation objective (sans faute) des obligations qui lui incombent en tant que responsable du traitement ou sous-traitant.

72.

Pour répondre à la question susmentionnée, il peut être utile de se référer à la jurisprudence de la Cour européenne des droits de l’homme (ci-après la « Cour EDH ») relative au principe de la légalité des délits et des peines, garanti par l’article 7 de la convention de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la « CEDH »).

73.

Bien que la CEDH ne constitue pas, tant que l’Union n’y a pas adhéré, un instrument juridique formellement intégré à son ordre juridique, les droits fondamentaux reconnus dans cette convention font partie du droit de l’Union en tant que principes généraux (article 6, paragraphe 3, TUE).

74.

Selon la Cour, « l’article 52, paragraphe 3, de la [charte des droits fondamentaux de l’Union européenne], qui dispose que les droits contenus dans celle-ci correspondant à des droits garantis par la CEDH ont le même sens et la même portée que ceux que leur confère ladite convention, vise à assurer la cohérence nécessaire entre ces droits respectifs sans porter atteinte à l’autonomie du droit de l’Union et de la Cour » ( 24 ).

75.

Or, la jurisprudence de la Cour EDH relative à l’interprétation de l’article 7 de la CEDH contient des nuances qui ne coïncident pas entièrement :

76.

En réalité, l’importation des catégories dogmatiques du droit pénal (nulla poena sine culpa) aux fins de leur application en droit administratif pénal soulève des difficultés d’interprétation considérables. Peuvent relever de la notion de « culpa » (lorsqu’elle prend la forme d’une négligence) des cas de simple manquement à une disposition légale, lorsque son auteur avait l’obligation de savoir quel comportement était exigé de lui.

77.

De ce point de vue, les diverses déclinaisons de la notion de « culpa », y compris celles de faible gravité, ainsi que les différents titres d’imputation (culpa in vigilando ou in eligendo, par exemple), pourraient caractériser des comportements qui, sous un autre angle, seraient qualifiés par un tribunal de « cas de responsabilité objective ». Les frontières entre l’une et l’autre catégorie ne sont donc pas aussi marquées en droit administratif pénal que ce qui semble ressortir de la décision de renvoi.

78.

Certes, pour ce qui est du droit de l’Union, la Cour a admis, dans certains cas, un régime qu’elle qualifie de « responsabilité objective » dans le domaine des sanctions. C’est ce qu’elle a fait, par exemple, dans l’affaire Euro-Team et Spirál‑Gép, en déclarant ce qui suit :

79.

Cette jurisprudence a toutefois été établie dans des domaines autres que celui de la protection des données, en ce qui concerne le manquement à des obligations de faire revêtant un caractère essentiellement formel : il s’agissait d’infliger une amende pour avoir utilisé un tronçon autoroutier sans s’être acquitté du montant du péage requis ( 29 ) ou pour non‑respect des dispositions relatives à l’utilisation de la feuille d’enregistrement d’un appareil de contrôle installé dans un poids lourd ( 30 ).

80.

Dans le cas des obligations énoncées dans le RGPD, parmi lesquelles figurent celles qui conditionnent le traitement des données (article 5 de ce règlement) et sa licéité (article 6 dudit règlement), l’appréciation portant sur le point de savoir si elles ont été respectées implique un processus d’évaluation et d’examen complexe allant au‑delà de la simple constatation d’un manquement formel.

81.

Quoi qu’il en soit, je suis d’avis que l’article 83 du RGPD confirme l’exclusion d’un régime de responsabilité objective (sans faute) en matière de sanctions, en ce qu’il requiert que le comportement passible de sanctions ait été commis délibérément ou par négligence. C’est ce qui ressort, à mon sens, de plusieurs de ses paragraphes :

82.

La thèse que je viens d’exposer pourrait être invalidée si, comme le soutiennent certains gouvernements intervenants, l’absence de dispositions explicites sur ce point dans le RGPD signifiait que les États membres se voient accorder la possibilité d’opter pour un système de responsabilité subjective (fondé sur l’intentionnalité ou la négligence) ou pour un système admettant également la responsabilité objective.

83.

Je reconnais que la position de ces gouvernements n’est pas sans fondement : dans la mesure où l’article 83, paragraphe 2, du RGPD fait référence au caractère délibéré ou à la négligence comme facteurs de détermination du montant de l’amende, et non comme éléments indispensables (essentiels) du comportement infractionnel lui-même, cette disposition laisserait aux États membres la possibilité de définir à leur guise ces éléments essentiels de la violation.

84.

Je considère néanmoins, à l’instar de la Commission, qu’une interprétation correcte du système de sanctions mis en place par le RGPD, dont l’applicabilité directe ne fait aucun doute, plaide en faveur d’une solution unitaire et cohérente ( 33 ) pour tous les États membres et non d’une approche qui laisserait à chacun d’entre eux le soin de décider lui-même si les violations passibles de sanctions doivent ou non englober celles qui ne sont pas commises délibérément ou par négligence.

85.

Les considérants du RGPD cités par la juridiction de renvoi dans sa demande de décision préjudicielle, qui réitèrent la nécessité de réprimer les violations par des sanctions équivalentes, corroborent, à mon sens, la pertinence de la solution unitaire (et le caractère irréalisable de la solution non intégratrice) ( 34 ). Une telle équivalence ne pourrait pas être obtenue s’il était permis à chaque État membre de sanctionner des violations de nature disparate, en incluant celles qui consistent en de simples manquements objectifs qui n’ont pas été commis délibérément ou par négligence.

86.

Eu égard à ce qui précède, je propose à la Cour de répondre au Kammergericht Berlin (tribunal régional supérieur de Berlin, Allemagne) dans les termes suivants :

L’article 58, paragraphe 2, sous i), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lu en combinaison avec l’article 4, point 7, et l’article 83 de ce règlement,

doit être interprété en ce sens que :

une amende administrative peut être infligée à une personne morale responsable du traitement de données à caractère personnel sans qu’il soit nécessaire de constater au préalable l’existence d’une infraction commise par une ou plusieurs personnes physiques déterminées au service de cette personne morale.

Les amendes administratives susceptibles d’être infligées en vertu du règlement 2016/679 exigent que le comportement constitutif de l’infraction sanctionnée ait été commis délibérément ou par négligence.