CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. NICHOLAS EMILIOU

présentées le 4 mai 2023 ( 1 )

Affaire C‑683/21

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

contre

Valstybinė duomenų apsaugos inspekcija,

en présence de

« IT sprendimai sėkmei » UAB,

Lietuvos Respublikos sveikatos apsaugos ministerija

[demande de décision préjudicielle formée par le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, point 7 – Notion de “responsable du traitement” – Développement d’une application mobile dans le contexte de la pandémie de COVID-19 – Responsabilité de l’autorité publique chargée de l’organisation de la procédure d’appel d’offres pour l’acquisition de l’application mobile – Article 4, point 2 – Notion de “traitement” – Utilisation de données à caractère personnel lors de la phase de test d’une application mobile – Article 26, paragraphe 1 – Responsabilité conjointe du traitement – Article 83 – Imposition d’amendes administratives – Conditions – Nécessité du caractère délibéré ou négligent de la violation – Responsabilité du responsable du traitement pour le traitement des données à caractère personnel effectué par un sous-traitant »

I. Introduction

1.

Dans un monde où les données à caractère personnel sont devenues une monnaie d’échange et constituent une nouvelle mine d’or pour les entreprises, à quelles conditions des amendes administratives peuvent-elles être imposées aux responsables du traitement ou aux sous‑traitants en cas de violation des règles en matière de protection des données énoncées dans le règlement (UE) 2016/679 ( 2 ) ? Plus précisément, un élément de « faute » est-il requis pour pouvoir leur imposer de telles amendes ? C’est la question centrale soulevée par le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie) dans la présente affaire.

2.

Le litige dont est saisie cette juridiction, qui oppose le Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centre national de la santé publique auprès du ministère de la Santé, Lituanie, ci-après le « CNSP ») à la Valstybinė duomenų apsaugos inspekcija (Inspection nationale de la protection des données, Lituanie, ci-après l’« Inspection ») porte, en substance, sur le rôle joué par le CNSP dans le développement et la mise à disposition du public d’une application mobile qui a collecté, en avril et mai 2020, les données à caractère personnel des personnes ayant été en contact avec des patients atteints de la COVID-19.

3.

Dans ce contexte, la présente affaire donne à la Cour l’occasion de fournir des précisions supplémentaires sur les notions de « responsable du traitement », de « responsables conjoints du traitement » et de « traitement », définies respectivement à l’article 4, point 7, à l’article 26, paragraphe 1, et à l’article 4, point 2, du RGPD, et d’examiner, pour la première fois, s’il est possible, en application de l’article 83 de ce règlement, d’imposer une amende administrative à un responsable du traitement qui n’a pas commis de violation délibérée ou par négligence des règles contenues dans le RGPD. Cette question invite la Cour à préciser si cette disposition permet d’imposer des amendes en l’absence de toute faute, sur le fondement d’une responsabilité objective.

II. Le cadre juridique

A.   Le droit de l’Union

4.

Le considérant 148 du RGPD énonce :

« Afin de renforcer l’application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent [...] règlement […]. En cas de violation mineure ou si l’amende susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l’ordre peut être adressé plutôt qu’une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l’autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l’encontre du responsable du traitement ou du sous-traitant, de l’application d’un code de conduite, et de toute autre circonstance aggravante ou atténuante. L’application de sanctions y compris d’amendes administratives devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et de la Charte, y compris le droit à une protection juridictionnelle effective et à une procédure régulière. »

5.

Selon le considérant 150 du ce règlement :

« Afin de renforcer et d’harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d’imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés par l’autorité de contrôle compétente dans chaque cas d’espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. [...] L’application d’une amende administrative ou le fait de donner un avertissement ne portent pas atteinte à l’exercice d’autres pouvoirs des autorités de contrôle ou à l’application d’autres sanctions en vertu du présent règlement. »

6.

L’article 4, point 7, du RGPD définit la notion de « responsable du traitement » comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

7.

L’article 26 de ce règlement, intitulé « Responsables conjoints du traitement », dispose dans sa partie pertinente :

« 1.   Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. [...]

[...] »

8.

L’article 83 dudit règlement, intitulé « Conditions générales pour imposer des amendes administratives », dispose :

« 1.   Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2.   Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

a)

la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;

b)

le fait que la violation a été commise délibérément ou par négligence ;

[...]

k)

toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

3.   Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

[...] »

B.   Le droit lituanien

9.

L’article 72, paragraphe 2, du Viešųjų jų pirkimų įstatymas (loi relative aux marchés publics) dispose :

« Le pouvoir adjudicateur met en œuvre une procédure négociée sans publication d’un avis de marché en suivant les étapes suivantes :

1)

invitation écrite des opérateurs économiques sélectionnés à soumissionner ;

2)

vérification de l’existence d’éventuels motifs d’exclusion des opérateurs économiques prévus dans les documents de marché et vérification du respect par les opérateurs économiques des exigences de qualification imposées et, le cas échéant, des normes du système de gestion de la qualité exigées, et (ou) du système de gestion de la protection de l’environnement ;

3)

négociations avec les soumissionnaires conformément à la procédure établie à l’article 66 de la présente loi et invitation de ceux-ci à présenter des offres définitives. Le pouvoir adjudicateur n’est pas tenu de demander de présenter l’offre définitive lorsqu’un seul fournisseur participe à des négociations non publiées ;

4)

évaluation des offres définitives et désignation du lauréat. »

III. Les faits à l’origine du litige, la procédure au principal et les questions préjudicielles

10.

En réponse à la situation résultant de la propagation de la COVID-19, le ministre de la Santé de la République de Lituanie (ci‑après le « ministre de la Santé ») a chargé, par décision du 24 mars 2020, le directeur du CNSP d’organiser le développement et l’acquisition d’une application mobile, à savoir KARANTINAS. Cette application mobile avait vocation à collecter et à contrôler les données à caractère personnel des personnes ayant été en contact avec des patients atteints de la COVID-19 ( 3 ).

11.

Le 27 mars 2020, une personne se présentant comme un agent représentant le CNSP a informé la société « IT sprendimai sėkmei » UAB (ci-après « ITSS ») qu’elle avait été sélectionnée pour développer KARANTINAS. Des courriels ont été échangés entre ITSS et cette personne ainsi qu’entre ITSS, d’une part, et un certain nombre d’employés et le directeur du CNSP, d’autre part, au sujet du développement de cette application mobile. Un accord de confidentialité a également été établi à ce stade, mentionnant à la fois ITSS et le CNSP en tant que responsables du traitement.

12.

L’application mobile finalement développée a été mise à la disposition du public à des fins de téléchargement à partir de Google Play Store le 4 avril 2020, et à partir d’Apple App Store le 6 avril 2020. Tant ITSS que le CNSP ont de nouveau été mentionnés comme responsables du traitement dans la version de KARANTINAS qui a été mise à la disposition du public à des fins de téléchargement. À cette époque, cette application mobile n’avait pas encore été achetée par le CNSP.

13.

Par décision du 10 avril 2020, le ministre de la Santé a chargé le directeur du CNSP de procéder à l’acquisition de KARANTINAS au moyen d’une procédure négociée sans publication d’avis de marché, en application de l’article 72, paragraphe 2, de la loi relative aux marchés publics.

14.

Cette procédure a été engagée mais, n’ayant pas reçu le financement nécessaire, le CNSP y a mis fin. Aucun marché public d’acquisition n’a donc été conclu. KARANTINAS a cependant continué à être disponible au téléchargement par le public.

15.

Le 15 mai 2020, le CNSP a demandé à ITSS de n’utiliser aucun renseignement concernant le CNSP et de ne pas établir de liens avec le CNSP dans l’application mobile. Le 18 mai 2020, l’Inspection a ouvert une enquête concernant à la fois ITSS et le CNSP pour violation des règles prévues par le RGPD. Le fonctionnement de KARANTINAS a été suspendu à la demande de l’Inspection le 26 mai 2020. Selon ITSS, 3802 utilisateurs avaient fourni leurs données à caractère personnel au moyen de l’application entre le 4 avril et le 26 mai 2020.

16.

Par décision du 24 février 2021, l’Inspection a imposé des amendes administratives au CNSP et à ITSS, en leur qualité de responsables conjoints du traitement, pour violation des articles 5, 13, 24, 32 et 35 du RGPD ( 4 ).

17.

Cette décision a été contestée par le CNSP devant le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius). Cette juridiction se demande, en substance, si la notion de « responsable du traitement », au sens de l’article 4, point 7, du RGPD, doit être interprétée largement de manière à inclure toute personne physique ou morale ou tout organisme tel que le CNSP, qui n’est pas le créateur d’une application mobile, mais qui, en vue de l’acquisition d’une telle application mobile par voie d’appel d’offres, a déterminé « les finalités et les moyens du traitement », ou s’il convient d’interpréter cette notion de manière plus stricte, en tenant compte de la procédure de passation de marché public et de son résultat.

18.

En particulier, elle se demande si le fait que la procédure d’appel d’offres a finalement été abandonnée, et que KARANTINAS n’a jamais été acquise par le CNSP, est pertinent à cet égard. Elle se demande également si le fait que le CNSP n’ait pas officiellement consenti à ou autorisé la mise à disposition du public de cette application mobile a une incidence sur cette appréciation.

19.

En outre, elle s’interroge sur les relations entre le CNSP et ITSS. À cet égard, elle se demande dans quelles circonstances cette entité et cette société devraient être considérées comme des « responsables conjoints du traitement », au sens de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD. À titre subsidiaire, si le CNSP et ITSS ne devaient pas être considérés comme des « responsables conjoints du traitement », mais comme (respectivement) un « responsable du traitement » et un « sous-traitant » ( 5 ) au sens du RGPD, elle souhaite savoir à quel moment les actes d’ITSS pourraient engager la responsabilité du CNSP. À cet égard, elle se demande si l’article 83 du RGPD doit être interprété en ce sens qu’une amende administrative peut être imposée à un responsable du traitement tel que le CNSP qui n’a lui-même commis aucune violation délibérée ou par négligence de ce règlement.

20.

Dans ces conditions, le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

Convient-il d’interpréter la notion de “responsable du traitement” prévue à l’article 4, point 7, du RGPD en ce sens qu’une personne qui prévoit d’acquérir au moyen d’un marché public un outil de collecte des données (une application mobile) doit être également considérée comme responsable du traitement, en dépit du fait que le contrat de marché public n’a pas été conclu et que le produit créé (l’application mobile), pour l’acquisition duquel la procédure de marché public a été utilisée, n’a pas été transféré ?

2)

Convient-il d’interpréter la notion de “responsable du traitement” prévue à l’article 4, point 7, du RGPD en ce sens qu’un pouvoir adjudicateur, qui n’a pas acquis de droit de propriété sur le produit informatique créé et n’a pas repris sa gestion, doit également être considéré comme étant responsable du traitement lorsque des mentions de cette entité publique ou de liens vers celle-ci sont opérées dans la dernière version de l’application créée et (ou) lorsque cette entité publique est indiquée comme étant le responsable du traitement dans la politique de protection de la vie privée de l’application, qui n’a pas été officiellement confirmée ou reconnue par l’entité publique concernée ?

3)

La notion de “responsable du traitement” prévue à l’article 4, point 7, du RGPD doit-elle être interprétée en ce sens qu’une personne, qui n’a pas réalisé des actions réelles de traitement des données, définies à l’article 4, point 2, du RGPD, et (ou) n’a pas donné une autorisation ou un consentement clairs à leur réalisation doit être également considérée responsable du traitement ? Est-ce que la circonstance que le produit informatique à l’aide duquel des données à caractère personnel ont été traitées a été créé selon une instruction formulée par le pouvoir adjudicateur serait importante pour l’interprétation de la notion de “responsable du traitement” ?

4)

Si la détermination des actions réelles du traitement des données est importante pour l’interprétation de la notion de “responsable du traitement”, l’article 4, point 2, du RGPD (“traitement des données à caractère personnel”) doit-il être interprété comme couvrant aussi les situations dans lesquelles les copies de données à caractère personnel sont utilisées pour les essais des systèmes informatiques lors de la procédure d’acquisition de l’application mobile ?

5)

La responsabilité conjointe des données en vertu de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD peut-elle être exclusivement interprétée comme impliquant une harmonisation volontaire des actions relatives à la fixation de l’objet du traitement des données et des mesures de traitement des données, ou peut-elle être interprétée également en ce sens que la responsabilité conjointe du traitement comprend aussi les situations dans lesquelles il n’existe pas d’“accord” clair relatif à l’objet du traitement des données à caractère personnel et des mesures de traitement de ces données et (ou) les actions ne sont pas coordonnées entre les entités ? Une circonstance relative à une étape de la création d’une mesure de traitement des données à caractère personnel (d’une application informatique), lors de laquelle les données à caractère personnel ont été traitées, ainsi qu’à l’objectif de la création de l’application est-elle juridiquement importante pour l’interprétation de la notion de responsabilité conjointe des données ? Un “accord” entre les responsables conjoints peut-il être interprété comme impliquant nécessairement la fixation claire et définie de conditions relatives à la responsabilité conjointe du traitement des données ?

6)

Les dispositions de l’article 83, paragraphe 1, du RGPD, prévoyant que “les amendes administratives [sont] effectives, proportionnées et dissuasives”, doivent-elles être interprétées en ce sens que celles-ci comprennent également les cas d’engagement de la responsabilité à l’encontre du “responsable du traitement”, lorsque le créateur réalise des actions de traitement des données à caractère personnel lors du processus de création du produit informatique, et les actions de traitement des données à caractère personnel inappropriées réalisées par le sous-traitant engagent-elles toujours automatiquement la responsabilité juridique du responsable du traitement ? Ces dispositions doivent‑elles également être interprétées en ce sens qu’elles comprennent aussi les cas de responsabilité sans faute du responsable du traitement ? »

21.

La demande de décision préjudicielle, datée du 22 octobre 2021, a été enregistrée à la Cour le 12 novembre 2021. Le CNSP, l’Inspection, le gouvernement lituanien et la Commission européenne ont présenté des observations écrites.

22.

Les gouvernements lituanien et néerlandais, ainsi que la Commission et le Conseil, ont été représentés lors de l’audience qui s’est tenue le 17 janvier 2023.

IV. Analyse

23.

Au cours de la pandémie de COVID-19, des applications mobiles conçues pour « suivre et tracer » les personnes infectées par le virus et/ou celles ayant été en contact avec l’une d’entre elles ont été mises à la disposition du public à des fins de téléchargement dans de nombreux États membres. De telles applications mobiles ont été développées dans le but de répondre à l’urgence de la situation, souvent avec la participation de plusieurs entités publiques et privées (tels que les ministères et les autres entités publiques, ainsi que les entreprises privées). Les utilisateurs étaient tenus de télécharger leurs données à caractère personnel dans les applications mobiles, en particulier celles concernant leur santé ( 6 ).

24.

Le litige au principal porte précisément sur une telle application mobile, à savoir KARANTINAS, qui a été développée par ITSS (une société privée), à l’initiative du CNSP (une autorité publique) à la suite d’une décision du ministre de la Santé. Il ne ressort pas clairement des éléments du dossier, ni de ceux fournis lors de l’audience, que d’autres entités publiques lituaniennes auraient, le cas échéant, participé au développement de l’application ( 7 ). Il existe également des doutes sur le point de savoir si le CNSP a consenti à ce que KARANTINAS soit mise à la disposition du public pendant la période où le traitement des données à caractère personnel a eu lieu (avril et mai 2020). Cependant, dans les questions posées à la Cour, le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius) a identifié les circonstances suivantes comme étant pertinentes.

Le CNSP avait prévu d’acquérir KARANTINAS conformément à l’article 72, paragraphe 2, de la loi relative aux marchés publics, mais la procédure n’a jamais été achevée et l’acquisition n’a jamais eu lieu. La propriété de KARANTINAS n’a donc jamais été transférée d’ITSS au CNSP.

Le CNSP a été mentionné en tant que responsable du traitement dans la politique de confidentialité de KARANTINAS qui a été mise à la disposition du public. Des liens vers le CNSP figuraient également dans la dernière version de l’application, qui n’a cependant jamais été officiellement approuvée par cette entité.

Le CNSP n’a jamais traité lui-même des données à caractère personnel et n’a pas non plus consenti de manière formelle aux opérations de traitement effectuées, mais il a donné des instructions relatives au développement de KARANTINAS et ces instructions ont été suivies par ITSS.

ITSS et le CNSP n’ont passé aucun accord formel quant aux finalités et aux moyens du traitement des données à caractère personnel qui a eu lieu.

25.

Dans ce contexte, les questions posées à la Cour portent sur l’interprétation de différentes dispositions du RGPD. Les trois premières questions ainsi que la cinquième question appellent une interprétation de la notion de « responsable du traitement » au sens de l’article 4, point 7, de ce règlement, et nécessitent de préciser les conditions dans lesquelles deux entités ou plus peuvent être considérées comme étant des « responsables conjoints du traitement » en vertu de cette disposition et de l’article 26, paragraphe 1, dudit règlement. J’analyserai d’abord ces questions conjointement (section A), avant d’aborder la quatrième question, qui porte sur la notion de « traitement », au sens de l’article 4, point 2, du RGPD, et sur son application dans le cadre de la phase de test d’une application mobile (section B) ( 8 ). J’approfondirai ensuite la question au cœur de la présente affaire, à savoir la sixième question, qui est de nature transversale en ce qu’elle porte sur les conditions auxquelles des amendes administratives peuvent être imposées aux responsables du traitement, en application de l’article 83 du RGPD (section C).

A.   Sur la notion de « responsable du traitement » et les situations de responsabilité conjointe du traitement (première, deuxième, troisième et cinquième questions)

26.

Par ses trois premières questions, la juridiction de renvoi se demande, en substance, si, eu égard aux circonstances détaillées au point 24 des présentes conclusions, une entité telle que le CNSP doit être considérée comme un « responsable du traitement », au sens de l’article 4, point 7, du RGPD. En outre, par la cinquième question, la juridiction de renvoi cherche à savoir si, dans de telles circonstances, deux entités telles que le CNSP et ITSS doivent être considérées comme des « responsables conjoints du traitement », conformément à cette disposition et à l’article 26, paragraphe 1, de ce règlement, alors même qu’elles n’ont passé aucun accord formel quant aux finalités et aux moyens du traitement et/ou qu’elles ne semblent pas avoir autrement coordonné leurs actions.

1. Qu’est-ce qu’un responsable du traitement (première à troisième questions)

27.

Je rappelle que, en vertu de l’article 4, point 7, du RGPD, un « responsable du traitement » est défini comme la personne ou l’entité qui, « seule ou conjointement avec d’autres », détermine les finalités et les moyens du traitement. Pour formuler les choses simplement, un responsable du traitement ne doit pas nécessairement traiter lui-même chaque donnée à caractère personnel, mais il doit déterminer « le pourquoi et le comment » des opérations de traitement pertinentes ( 9 ). La Cour a suggéré que, pour remplir ce critère, une personne ou une entité doit effectivement « influe[r] [...] sur le traitement des données à caractère personnel » ( 10 ). Toutefois, il n’est pas nécessaire que la détermination des finalités et des moyens du traitement s’effectue conformément à des lignes directrices écrites ou à des consignes de la part du responsable du traitement ( 11 ). En effet, l’article 4, point 7, du RGPD appelle une analyse factuelle plutôt que formelle.

28.

Dans ce contexte, le comité européen de la protection des données (CEPD) a suggéré qu’il est également possible d’être un responsable du traitement indépendamment de la question de savoir si une compétence ou un pouvoir spécifiques de contrôle des données ont été conférés par la loi. En effet, la capacité de déterminer les finalités et les moyens du traitement dépend, avant tout, de l’influence exercée, qui peut être déduite de circonstances factuelles. Une entité qui est effectivement en mesure de déterminer les finalités et les moyens du traitement sera ainsi considérée comme un « responsable du traitement », indépendamment de la question de savoir si elle a été formellement désignée comme telle (par la loi, par un contrat ou d’une autre manière) ( 12 ).

29.

Ces précisions étant apportées, je relève que plusieurs des circonstances décrites par la juridiction de renvoi dans les trois premières questions préjudicielles sont de nature purement formelle : par exemple, le fait que le CNSP ne soit pas le propriétaire légal de KARANTINAS, que la procédure d’acquisition de cette application mobile n’ait jamais été achevée, ou que le CNSP n’ait pas officiellement autorisé la diffusion de l’application auprès du grand public ni approuvé la dernière version de l’application. Selon moi, aucune de ces circonstances ne saurait, à elle seule, exclure que le CNSP ait agi en tant que « responsable du traitement », au sens de l’article 4, point 7, du RGPD, dans le cadre de l’affaire au principal. En effet, elles ne suffisent pas à invalider la conclusion selon laquelle le CNSP était effectivement en mesure de déterminer les finalités et les moyens du traitement des données à caractère personnel qui a eu lieu. De même, il me semble que le fait que le CNSP ait été mentionné en tant que responsable du traitement dans la politique de confidentialité de la version de KARANTINAS mise à la disposition du public à des fins de téléchargement, ou que des liens vers cette entité aient été inclus dans cette version de l’application mobile, est pertinent, sans être déterminant, s’agissant de l’influence effectivement exercée par cette entité.

30.

En revanche, les éléments de preuve produits devant la juridiction de renvoi qui montrent que le CNSP a décidé quel type de données à caractère personnel devait être collecté par KARANTINAS et auprès de quelles personnes concernées et/ou d’autres aspects essentiels du traitement sont, selon moi, suffisants pour établir que cette entité déterminait les « moyens » du traitement. Je considère en outre que le fait que KARANTINAS a été créée pour réaliser l’objectif défini par le CNSP, à savoir fournir une réponse à la pandémie de COVID-19, et que son fonctionnement a été régulièrement modifié par ITSS pour répondre aux besoins déterminés par le CNSP, conformément aux instructions fournies par cette entité, suffit pour conclure que cette entité a déterminé les « finalités » de ce traitement.

31.

Cela étant dit, il me semble que, afin de déterminer si une entité telle que le CNSP peut être considérée comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD, la juridiction de renvoi doit également établir si, nonobstant l’influence exercée par le CNSP au stade du développement de KARANTINAS, la décision de mettre cette application mobile à la disposition du public et, partant, de procéder au traitement des données à caractère personnel, a effectivement été adoptée avec le consentement (exprès ou implicite) de cette entité (indépendamment du fait que ce consentement n’a pas été officiellement ou formellement exprimé).

32.

En effet, comme l’indique clairement la définition de la notion de « responsable du traitement » figurant à l’article 4, point 7, du RGPD, l’influence exercée par un responsable du traitement doit porter sur le traitement de données à caractère personnel lui-même, et non pas uniquement sur une quelconque étape préalable. Une personne ou une entité physique ou morale ne devient pas « responsable du traitement » du seul fait qu’elle lance le développement d’une application mobile ou qu’elle définit les paramètres de cette application (ou d’un autre outil de collecte de données). Ses actions doivent être effectivement liées au traitement de données à caractère personnel et elle doit, par conséquent, avoir consenti expressément ou implicitement à l’utilisation de l’outil pertinent pour procéder à un tel traitement.

33.

La Cour a insisté sur cette exigence dans son arrêt Fashion ID ( 13 ), dans lequel elle a expressément indiqué que la responsabilité du responsable du traitement est limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens ( 14 ). Il s’ensuit que la détermination des finalités et des moyens doit concerner directement l’opération ou l’ensemble d’opérations de traitement de données à caractère personnel pertinentes.

34.

Selon moi, il découle de ces constatations qu’une entité telle que le CNSP, qui lance le développement d’une application mobile, ne peut être considérée comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD, que dans une situation où il existe suffisamment d’éléments, de nature factuelle plutôt que formelle, permettant aux juridictions nationales de conclure qu’une telle entité a exercé une influence effective sur les « finalités et les moyens » de ce traitement et qu’elle a effectivement consenti à la diffusion de l’application mobile auprès du public et, par conséquent, au traitement des données à caractère personnel. Sous réserve des vérifications qu’il incombe à la juridiction de renvoi d’effectuer, je pense que le CNSP remplit ces conditions.

2. Quand deux entités peuvent-elles être considérées comme des responsables conjoints du traitement ? (cinquième question)

35.

La cinquième question porte sur les conditions qui doivent être satisfaites pour que deux (ou plusieurs) entités puissent être considérées comme des responsables conjoints du traitement. Je comprends que la juridiction de renvoi entend obtenir des précisions sur l’interprétation de cette notion dès lors qu’elle se demande si, dans la situation en cause au principal, le CNSP et ITSS pourraient être considérés comme des « responsables conjoints du traitement » et, en tant que tels, être solidairement responsables des dommages causés ( 15 ), et/ou se voir conjointement imposer des amendes pour les violations des règles en matière de protection des données commises lors de la mise à disposition de KARANTINAS à des fins de téléchargement par le public. Je relève, à cet égard, que, comme je l’ai indiqué au point 16 des présentes conclusions, cette entité et cette société ont, en effet, l’une et l’autre été reconnues responsables et se sont vu imposer une amende par l’Inspection en application de l’article 83 du RGPD pour les violations commises, en leur qualité de responsables conjoints du traitement.

36.

Conformément à l’article 26, paragraphe 1, du RGPD, il existe des « responsables conjoints du traitement » lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement. Chaque responsable conjoint du traitement doit par conséquent remplir de manière indépendante les critères énumérés dans la définition du « responsable du traitement » donnée à l’article 4, point 7, de ce règlement ( 16 ). En outre, les responsables conjoints du traitement doivent avoir une certaine relation entre eux, étant donné que leur influence sur le traitement doit être exercée conjointement.

37.

La Cour a indiqué que l’existence d’une responsabilité conjointe du traitement ne se traduit pas nécessairement par une responsabilité ou une participation égales des différentes personnes ou entités concernées. Au contraire, les responsables conjoints du traitement peuvent être impliqués à différents stades du traitement, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes de chaque cas d’espèce ( 17 ). En outre, la responsabilité conjointe de plusieurs entités pour un même traitement n’exige pas que chacun d’eux ait accès aux données à caractère personnel concernées ( 18 ). Il importe, cependant, qu’elles participent conjointement à la détermination des « finalités et moyens » du traitement.

38.

À cet égard, je relève que, comme l’indiquent les lignes directrices 07/2020, une telle participation conjointe peut exister sous différentes formes. Elle peut résulter d’une décision commune prise par deux entités ou plus ou elle peut simplement découler de décisions convergentes de ces entités. Dans ce dernier cas, il importe seulement que les décisions se complètent et qu’elles soient nécessaires au traitement de telle sorte qu’elles aient un effet concret sur la détermination des finalités et des moyens du traitement, à savoir, en substance, que le traitement ne serait pas possible sans la participation des deux parties ( 19 ).

39.

Dans ce contexte, la juridiction de renvoi se demande si le fait que deux responsables du traitement (en l’espèce le CNSP et ITSS) n’ont passé aucun arrangement formel quant aux finalités et aux moyens du traitement et/ou qu’ils ne semblent pas avoir autrement coordonné leurs actions empêche de les considérer comme des « responsables conjoints du traitement ».

40.

Je comprends que les doutes de la juridiction de renvoi à cet égard découlent du fait que, en vertu de l’article 26, paragraphe 1, du RGPD, les responsables conjoints du traitement doivent, par voie d’accord entre eux, définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences de ce règlement. En outre, le considérant 79 de ce règlement indique qu’une « répartition claire des responsabilités » est requise, y compris lorsqu’un responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres. Toutefois, selon moi, ces obligations et exigences ne s’appliquent aux responsables conjoints du traitement qu’une fois ceux-ci pouvant être considérés comme tels. Ils ne font pas partie des critères qui doivent être remplis aux fins de cette qualification.

41.

Comme je l’ai indiqué au point 36 des présentes conclusions, la responsabilité conjointe du traitement dépend seulement de la réunion de deux conditions objectives. Premièrement, chaque responsable conjoint du traitement doit remplir les critères énumérés dans la définition du « responsable du traitement » donnée à l’article 4, point 7, du RGPD. Le dossier ne contient pas suffisamment d’éléments permettant de déterminer si, dans la situation au principal, ITSS doit être considérée comme un « responsable du traitement » au sens de cette disposition. Cependant, il me semble, à la lumière des constatations que j’ai faites dans la section précédente et sous réserve des vérifications qu’il incombe à la juridiction de renvoi d’effectuer, qu’au moins le CNSP – voire tant cette entité qu’ITSS – remplit les conditions pour être considéré comme « responsable du traitement », au sens de cette disposition. Deuxièmement, l’influence des responsables du traitement sur le traitement doit être exercée conjointement (ce qui signifie qu’elle doit être exercée conformément aux critères juridiques et à la jurisprudence que j’ai rappelés aux points 37 et 38 des présentes conclusions). À cet égard, j’ai expliqué que la participation conjointe au traitement peut exister sous différentes formes et qu’elle ne doit même pas procéder d’une décision commune des parties concernées. Ainsi, l’approche matérielle et fonctionnelle requise pour déterminer si une personne ou une entité doit être considérée comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD, s’applique également, à mon sens, à la responsabilité conjointe du traitement ( 20 ).

42.

Au vu de ces éléments, je suis d’avis, premièrement, que l’absence d’accord ou d’arrangement ou même de décision commune entre deux responsables du traitement ou plus tels que le CNSP et ITSS ne saurait, à elle seule, exclure qu’il s’agisse de « responsables conjoints du traitement » au sens de l’article 4, point 7, du RGPD, lu conjointement avec l’article 26, paragraphe 1, de ce règlement. À cet égard, j’ajoute que le CEPD a suggéré que, bien que des accords contractuels puissent être utiles à l’appréciation d’une responsabilité conjointe du traitement, ils devraient toujours être examinés au regard des circonstances factuelles de la relation entre les parties ( 21 ).

43.

Deuxièmement, il me semble aussi que le simple fait que le CNSP et ITSS, en plus de ne pas avoir pris d’accord, d’arrangement ou de décision commune, ne semblent pas avoir coordonné leurs actions ni autrement coopéré entre eux, ne signifie pas qu’ils ne puissent pas être considérés comme des « responsables conjoints du traitement ». Même si une telle coordination ou une telle coopération existe, elle est sans pertinence pour la question de savoir si la relation entre ces deux entités est ou non une relation de responsabilité conjointe. En effet, on peut aisément imaginer qu’une coopération ou une coordination puisse exister entre deux entités ou plus sans qu’elles soient des responsables conjoints du traitement. Par exemple, deux responsables du traitement distincts pourraient coordonner leurs actions ou coopérer dans l’intention de se transférer des données à caractère personnel. Cela n’en ferait pas pour autant des « responsables conjoints du traitement » au sens de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD ( 22 ). Ce qui importe, ainsi que je l’ai expliqué au point 38 des présentes conclusions, est que le traitement ne soit pas possible sans la participation des deux parties parce que l’une et l’autre ont un effet concret sur la détermination des finalités et des moyens de ce traitement.

3. Conclusion sur l’interprétation de la notion de « responsable du traitement » et les situations de responsabilité conjointe du traitement

44.

Au vu de ce qui précède, il me semble que, d’une part, sous réserve des vérifications qu’il incombe à la juridiction de renvoi d’effectuer, une entité telle que le CNSP remplit les conditions énumérées à l’article 4, point 7, du RGPD pour être considérée comme un « responsable du traitement ». D’autre part, la question de savoir si le CNSP et ITSS peuvent être considérés comme des « responsables conjoints du traitement », conformément aux critères que j’ai exposés dans la section précédente, ou doivent être qualifiés respectivement de « responsable du traitement » et de « sous-traitant », dépend de la nature de leur relation, qu’il incombe à la juridiction de renvoi d’évaluer.

45.

À cet égard, j’ajoute que la nature de la relation entre le CNSP et ITSS (à savoir la question de savoir s’il s’agit de « responsables conjoints du traitement » ou, respectivement, d’un « responsable du traitement » et d’un « sous-traitant ») est pertinente pour la sixième question. Je reviendrai donc sur les constatations que j’ai faites à propos de la cinquième question en abordant les problèmes soulevés par la sixième question.

B.   Sur la notion de « traitement » (quatrième question)

46.

Par sa quatrième question, la juridiction de renvoi se demande, en substance, si la définition du « traitement » donnée à l’article 4, point 2, du RGPD couvre une situation dans laquelle des données à caractère personnel sont utilisées lors de la phase de test d’une application mobile ( 23 ). Je déduis de la demande de décision préjudicielle que KARANTINAS a fait l’objet d’une phase de test avant sa mise à disposition du public à des fins de téléchargement. Selon ma compréhension, la quatrième question concerne donc une situation autre que celle visée par les autres questions déférées à la Cour, qui portent toutes sur le traitement des données à caractère personnel après le déroulement de la phase de test, lorsque KARANTINAS a été rendue publique. Plus précisément, la juridiction de renvoi souhaite savoir si l’utilisation de données à caractère personnel au cours de cette phase de test peut être qualifiée de « traitement » au sens de l’article 4, point 2, du RGPD et, en tant que telle, entraîner une éventuelle responsabilité des responsables du traitement et/ou des sous-traitants concernés.

47.

L’article 4, point 2, du RGPD définit le « traitement » comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel » ( 24 ).

48.

Je comprends de ce libellé (en particulier de l’emploi du terme « toute » et de termes génériques tels que « opération » ou « ensemble d’opérations ») que cette disposition doit recevoir un sens large, de manière à couvrir le plus grand nombre possible de situations dans lesquelles des données à caractère personnel sont utilisées. La liste non exhaustive de telles situations qui figure dans cette disposition confirme cette interprétation, étant donné la diversité des opérations qui y sont incluses ( 25 ).

49.

En outre, alors qu’il résulte de la section qui précède que la définition du « responsable du traitement », au sens de l’article 4, point 7, de ce règlement, est étroitement liée aux finalités du traitement de données à caractère personnel (le « pourquoi » de la collecte des données à caractère personnel), tel n’est pas le cas de la définition énoncée à l’article 4, point 2, dudit règlement. Ainsi, les raisons pour lesquelles une opération ou un ensemble d’opérations sont effectuées sont, en principe, sans incidence sur la question de savoir si elles doivent être qualifiées de « traitement » au sens de cette disposition. Il s’ensuit, selon moi, que la question de savoir si des données à caractère personnel sont collectées en vue de tester les systèmes informatiques intégrés à une application mobile ou à une autre fin est sans incidence sur la question de savoir si l’opération en cause peut être qualifiée de « traitement ».

50.

À cet égard, je relève encore que l’« utilisation » de données à caractère personnel (sans autre mention et, partant, quelle que soit sa finalité) est énumérée parmi les opérations ou ensembles d’opérations qui constituent un « traitement » ( 26 ). En outre, l’article 4, point 2, du RGPD ne contient aucune exception, dérogation ou exclusion expresses pour les opérations relatives à l’utilisation de données à caractère personnel à des fins de test de systèmes informatiques. Il s’ensuit que rien ne s’oppose à ce que l’utilisation de données à caractère personnel en vue d’effectuer un tel test puisse être considérée comme un « traitement » au sens de cette disposition, bien au contraire.

51.

Au vu de ces éléments, je considère que la définition du « traitement » donnée à l’article 4, point 2, du RGPD couvre une situation dans laquelle des données à caractère personnel sont utilisées au cours de la phase de test d’une application mobile.

52.

Ma conclusion à cet égard n’est pas remise en cause par le seul fait que les données à caractère personnel fournies aux fins du test des systèmes informatiques intégrés à une application mobile ont pu subir une pseudonymisation ( 27 ). La seule circonstance dans laquelle le RGPD ne s’appliquerait pas est si les informations communiquées à l’application mobile consistent uniquement en des informations anonymes « ne concernant pas une personne physique identifiée ou identifiable » ou en des données à caractère personnel « rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable ». Je relève cependant que, dans l’affaire au principal, les données utilisées pour la phase d’essai ne semblent pas, sur la base des informations fournies dans le dossier, avoir consisté en de telles données anonymisées ( 28 ).

53.

Au regard de ce qui précède, je considère que la définition du « traitement » donnée à l’article 4, point 2, du RGPD vise une situation dans laquelle des données à caractère personnel sont utilisées au cours de la phase de test d’une application mobile, sauf si de telles données ont été rendues anonymes d’une manière telle que la personne concernée n’est pas ou plus identifiable. La question de savoir si des données à caractère personnel sont collectées en vue de tester les systèmes informatiques intégrés à une application mobile ou pour une autre finalité n’a, quant à elle, aucune incidence sur celle de savoir si l’opération en question peut être qualifiée de « traitement » ( 29 ).

54.

Cela étant précisé, j’aborde à présent la question centrale de la présente affaire, qui porte sur les conditions auxquelles une amende administrative peut être imposée à un responsable du traitement ou à un sous-traitant en application de l’article 83 du RGPD.

C.   Sur les amendes administratives imposées en application de l’article 83 du RGPD (sixième question)

55.

Avant l’adoption du RGPD, les sanctions pour violation des règles en matière de protection des données étaient, dans une large mesure, laissées à la discrétion des États membres, en vertu de leur autonomie procédurale et en matière de voies de recours ( 30 ). Les amendes administratives, qui ont été introduites par l’article 83 de ce règlement, constituent, par conséquent, une « évolution » relativement nouvelle du droit de l’Union de la protection des données. Elles ont été décrites par le groupe de travail Article 29 comme étant « au cœur du nouveau régime d’application » ( 31 ). Bien que cette disposition n’ait pas encore été interprétée par la Cour, elle a déjà été appliquée par les autorités de contrôle, parfois pour imposer de lourdes amendes aux responsables du traitement ou aux sous-traitants ( 32 ).

56.

L’article 83 du RGPD prévoit un système de sanction à deux niveaux, en fonction du type spécifique de disposition violé. Alors que le premier niveau, défini à l’article 83, paragraphe 4, de ce règlement, s’applique aux situations dans lesquelles un responsable du traitement ou un sous-traitant viole les obligations générales auxquelles il est tenu ainsi que certaines obligations spécifiques, le second niveau est réservé, comme l’indique l’article 83, paragraphe 5, du RGPD, à des violations plus graves, telles que des violations, notamment, des principes de base d’un traitement, des droits dont bénéficient les personnes concernées et des règles relatives au transfert de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale.

57.

Pour les deux niveaux, les autorités nationales compétentes doivent, après avoir établi qu’une disposition particulière du RGPD a été violée, procéder à une double appréciation. Premièrement, elles doivent déterminer s’il y a lieu d’imposer une amende et, deuxièmement, elles doivent le cas échéant en fixer le montant. Ces appréciations doivent avoir lieu dans chaque cas d’espèce, à la lumière des différents éléments énumérés à l’article 83, paragraphe 2, du RGPD. Parmi ces éléments figure le « le fait que la violation a été commise délibérément ou par négligence » [article 83, paragraphe 2, sous b), de ce règlement].

58.

Par sa sixième question, la juridiction de renvoi se demande, en substance, si une amende administrative peut être imposée à un responsable du traitement lorsque celui-ci n’a pas commis délibérément ou par négligence la violation des règles en matière de protection des données et que c’est non pas le responsable du traitement lui-même, mais un sous-traitant qui a effectué le traitement illicite des données à caractère personnel. Pour revenir aux constatations que j’ai faites ci‑dessus à propos de la cinquième question, il me semble que la sixième question est posée dans l’hypothèse où, dans l’affaire au principal, le CNSP et ITSS ne pourraient pas être considérés comme des « responsables conjoints du traitement » au sens de l’article 4, point 7, du RGPD, lu conjointement avec l’article 26, paragraphe 1, de ce règlement, et où ils devraient être considérés respectivement comme un « responsable du traitement » et un « sous-traitant ». Dans ce contexte particulier, la juridiction de renvoi entend voir préciser les conditions auxquelles le CNSP peut se voir imposer une amende en application de l’article 83 du RGPD.

59.

Cela étant dit, je relève que la sixième question mentionne uniquement l’article 83, paragraphe 1, du RGPD en tant que disposition pertinente. Or, selon moi, les problèmes soulevés par cette question imposent de considérer l’article 83 de ce règlement dans son ensemble et, en particulier, comme je l’ai expliqué au point 57 des présentes conclusions, de prendre en compte l’article 83, paragraphe 2, sous b), dudit règlement, étant donné que cette disposition se réfère au « fait que la violation a été commise délibérément ou par négligence ». Je considérerai donc que la sixième question porte sur l’interprétation de l’article 83 du RGPD dans son ensemble et non pas uniquement sur l’article 83, paragraphe 1, de ce règlement.

60.

Selon moi, cette question comporte deux parties. Premièrement, elle requiert que la Cour détermine si l’article 83 du RGPD permet d’imposer de manière générale des amendes administratives aux responsables du traitement ou aux sous-traitants en l’absence de toute intention subjective (élément moral – faute). En substance, la juridiction de renvoi souhaiterait savoir si le CNSP pourrait se voir imposer une amende au seul motif qu’il a violé les obligations qui lui sont imposées en tant que responsable du traitement (responsabilité objective), ou si un élément de faute dans la commission de la (ou des) violation(s) concernée(s) est requis. Deuxièmement, elle appelle des précisions sur le point de savoir si le fait que le traitement illicite des données à caractère personnel n’a pas été effectué par le responsable du traitement lui-même, mais par un sous-traitant, a une quelconque incidence sur la possibilité pour les autorités de contrôle d’imposer une amende au responsable du traitement.

61.

J’examinerai successivement chacun de ces deux aspects.

1. Sur le premier aspect : la nécessité d’établir une faute

62.

L’article 83 du RGPD exige que toute amende administrative imposée en raison d’une violation des règles en matière de protection des données soit « effective, proportionnée et dissuasive ». C’est ce que qu’indique clairement le paragraphe 1 de cette disposition. Cependant, ce paragraphe ne précise pas si une telle amende ne peut être imposée que si une faute est également établie et, donc, si la « faute » constitue un prérequis à l’imposition de toute amende administrative.

63.

Le paragraphe 2, sous b), de cette disposition, en revanche, intègre le « fait que la violation a été commise délibérément ou par négligence » parmi les éléments ( 33 ) dont les autorités de contrôle doivent tenir « dûment compte » dans chaque cas d’espèce. En vertu de l’article 83, paragraphe 2, sous k), dudit règlement, ces éléments doivent s’entendre comme des « circonstance[s] aggravante[s] ou atténuante[s] » et ne sont pas exhaustifs.

64.

Dans ce contexte, il existe, selon moi, deux façons possibles de comprendre l’article 83 du RGPD.

65.

D’une part, on pourrait considérer que, bien que la décision d’imposer une amende et son montant doivent être déterminés en tenant dûment compte de la gravité de la faute (de sorte que, par exemple, une amende plus élevée devrait, en principe, être imposée si la violation a résulté d’un comportement intentionnel et que, inversement, un comportement négligent devrait donner lieu à une amende moins élevée), rien ne s’oppose à ce qu’une amende soit également imposée en l’absence de toute faute, pour autant que le sous-traitant ou le responsable du traitement puisse être considéré comme responsable de la violation. Cette interprétation serait confortée par une lecture de l’article 83, paragraphe 2, sous b) et k), selon laquelle la mention de différents types de fautes (délibérée ou par négligence) en tant que « circonstance[s] aggravante[s] ou atténuante[s] », dans ces dispositions, pourrait laisser entendre qu’une faute n’est, d’une manière générale, pas une condition préalable à l’imposition d’une amende.

66.

D’autre part, on pourrait soutenir, comme le fait la Commission dans la présente affaire, que la négligence de la personne ou de l’entité auteur de la violation doit être établie, en tant qu’exigence minimale, avant qu’une amende puisse être imposée. Cette approche serait confortée par une lecture différente, plus prudente, de l’article 83, paragraphe 2, sous b) et k), du RGPD, à savoir que ces dispositions imposent aux autorités de contrôle de distinguer entre une circonstance atténuante (la négligence) et une circonstance aggravante (l’intention), mais sans indiquer qu’une amende pourrait être imposée en l’absence totale de faute.

67.

La Commission a expressément opté pour cette interprétation dans sa proposition initiale qui a abouti à l’adoption du RGPD ( 34 ), dans laquelle elle suggérait d’organiser le système des amendes sous la forme d’un système à trois niveaux. Pour chaque niveau, la Commission proposait que des amendes ne puissent être imposées qu’à « quiconque, de propos délibéré ou par négligence » ( 35 ), a commis une ou plusieurs des violations alléguées. La faute était ainsi clairement envisagée par la Commission comme une condition préalable à l’imposition d’une telle amende ( 36 ).

68.

Si les deux approches peuvent, selon moi, être défendues sur la base d’une interprétation littérale de l’article 83, paragraphe 2, du RGPD, dans la mesure où elles correspondent chacune à une compréhension du « fait que la violation a été commise délibérément ou par négligence » en tant que circonstance « aggravante » ou « atténuante », j’estime que seule la seconde approche reflète correctement l’intention du législateur de l’Union. Plusieurs raisons m’amènent à cette conclusion.

a) Sur les raisons pour lesquelles une faute est requise

69.

Premièrement, je relève que plusieurs éléments énumérés à l’article 83, paragraphe 2, du RGPD contiennent une formulation spécifique permettant de conclure que de tels éléments peuvent s’appliquer non pas dans tous les cas, mais seulement dans certains. En particulier, les points c), e) et k) de l’article 83, paragraphe 2, commencent tous par le mot « toute » (« toute mesure prise par le responsable du traitement ou le sous‑traitant pour atténuer le dommage », « toute violation pertinente commise précédemment », « toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce »), suggérant ainsi que, même si les autorités de contrôle doivent toujours tenir compte de l’existence des mesures d’atténuation, violations commises précédemment ou autres circonstances aggravantes ou atténuantes pertinentes lorsque de tels éléments sont présents ou avérés, il peut également exister des situations où ces mêmes éléments sont tout simplement absents, mais où l’autorité de protection des données compétente peut néanmoins décider d’imposer une amende (ou, à l’inverse, de ne pas en imposer). Dans le même ordre d’idées, je relève que l’article 83, paragraphe 2, sous i), du RGPD est lui aussi formulé de manière non systématique, en ce qu’il impose d’examiner si le responsable du traitement ou le sous-traitant a respecté les mesures visées à l’article 58, paragraphe 2, dudit règlement, mais uniquement« lorsque [de telles] mesures [...] ont été préalablement ordonnées à l’encontre du responsable du traitement ou du sous‑traitant ».

70.

L’article 83, paragraphe 2, sous b), en revanche, mentionne « le fait que la violation a été commise délibérément ou par négligence » ( 37 ). À ce titre, il me semble faire partie des éléments qui doivent être présents et, d’un point de vue imagé, dont la case doit être « cochée », dans tous les cas avant qu’une amende puisse être imposée, tout comme « la nature, la gravité et la durée de la violation […] » [article 83, paragraphe 2, sous a)], « les catégories de données à caractère personnel concernées » [article 83, paragraphe 2, sous g)], et « la manière dont [il a été pris] connaissance de la violation » [article 83, paragraphe 2, sous h)]. Ces autres éléments doivent également, selon moi, être « présents » dans tous les cas : par exemple, la « nature, la gravité et la durée de la violation » peuvent différer grandement d’une affaire à l’autre (et peuvent donc être considérées comme un motif plaidant soit « pour », soit « contre » l’imposition d’une amende). Il n’en demeure pas moins que, dans tous les cas, il faudra prendre en compte la nature, une certaine gravité et une certaine durée de la violation. Selon moi, il s’agit d’un premier indice de ce que les amendes administratives ont été insérées à l’article 83 du RGPD afin de n’être imposées que dans des situations où la violation alléguée a été soit délibérée, soit due à une négligence ( 38 ).

71.

Deuxièmement, je relève que, bien que l’article 83, paragraphe 2, du RGPD n’indique pas expressément que la violation doit avoir eu lieu « délibérément ou par négligence », il n’en va pas de même du paragraphe 3 de la même disposition, qui contient une règle générale excluant le cumul des amendes administratives. En effet, ce paragraphe mentionne uniquement le cas où la ou les violations concernées s’est produite ou se sont produites « délibérément ou par négligence ».

72.

Selon moi, il s’ensuit logiquement que l’article 83, paragraphe 2, du RGPD doit être interprété en ce sens qu’une amende ne peut être imposée que si la violation alléguée s’est produite délibérément ou par négligence. En effet, si les champs d’application des paragraphes 2 et 3 de l’article 83 du RGPD étaient différents, il serait alors possible d’imposer des amendes cumulées pour des violations moins graves (à savoir celles commises sans faute), puisque celles-ci, bien qu’elles puissent entraîner l’imposition d’une amende en application de la première de ces deux dispositions (l’article 83, paragraphe 2), ne relèveraient pas de la seconde (l’article 83, paragraphe 3). Il n’en irait toutefois pas de même pour les violations commises par négligence ou délibérément, dès lors qu’elles seraient toutes soumises à la règle de non‑cumul prévue à l’article 83, paragraphe 3, de ce règlement. Un tel résultat irait manifestement à l’encontre du principe de base du régime de sanction institué par le RGPD, selon lequel les violations graves devraient, en principe, être sanctionnées plus strictement que les moins graves, et non l’inverse.

73.

Troisièmement, je relève que les amendes imposées en application de l’article 83 du RGPD peuvent donner lieu à des sanctions sévères. En effet, le premier niveau, visé à l’article 83, paragraphe 4, de ce règlement, peut donner lieu à l’imposition d’amendes pouvant s’élever jusqu’à 10000000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Le second niveau prévoit des amendes pouvant s’élever jusqu’à 20000000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant également retenu).

74.

Par conséquent, il me semble que les amendes imposées en application de l’article 83 du RGPD ont une finalité punitive, à tout le moins dans certaines situations ( 39 ), et qu’elles présentent un degré de sévérité élevé tel qu’elles sont susceptibles de revêtir une nature pénale ( 40 ) et, partant, de relever du champ d’application de l’article 49 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ( 41 ).

75.

Au vu de ces considérations et, en particulier, du caractère pénal des amendes imposées en vertu de l’article 83 du RGPD, il pourrait être tentant de soutenir qu’il serait incompatible avec l’exigence du paragraphe 1 de cette disposition que les amendes soient, dans tous les cas, non seulement « effectives » et « dissuasives », mais aussi « proportionnées », de permettre d’imposer de telles amendes en l’absence de faute. En d’autres termes, il serait disproportionné d’imposer une amende dans les cas où même une négligence n’est pas établie. Selon moi, cet argument est toutefois difficilement défendable, étant donné que la Cour a déjà constaté qu’un système de pénalités ou de sanctions fondé sur la responsabilité objective, même de nature pénale, n’est pas, en soi, disproportionné par rapport aux objectifs recherchés, lorsque ce système est de nature à inciter les personnes visées à respecter les dispositions d’un règlement et lorsque les objectifs poursuivis relèvent d’un intérêt général susceptible de justifier l’instauration d’un tel système ( 42 ). En outre, la Cour européenne des droits de l’homme (ci-après la Cour EDH) a jugé, à propos de l’article 7 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (ci-après la « CEDH ») (qui correspond à l’article 49 de la Charte) ( 43 ), que, si l’article 7 exige en général, pour punir, un lien de nature intellectuelle permettant précisément de déceler un élément de responsabilité dans la conduite de l’auteur matériel de l’infraction, cette exigence ne fait pas obstacle à certaines formes de responsabilité objective ( 44 ).

76.

Cela étant dit, je comprends de cette jurisprudence qu’une intention subjective est, en règle générale, requise pour qu’une sanction pénale soit imposée, et que la responsabilité sans faute constitue donc une sorte d’« exception » à cette règle générale, dans la mesure où elle doit être justifiée au regard des objectifs poursuivis par la réglementation.

77.

Compte tenu du RGPD dans son ensemble, il me semble que les amendes administratives n’ont été envisagées par le législateur de l’Union que comme l’un des outils parmi ceux prévus dans cet instrument pour assurer son respect effectif. En effet, les amendes doivent être imposées « en complément ou à la place » des autres mesures énumérées à l’article 58, paragraphe 2, de ce règlement, qui confère aux autorités de contrôle un éventail de pouvoirs correctifs (tels que le pouvoir d’avertissement, de rappel à l’ordre ou d’injonction) ( 45 ). En outre, dans les situations où aucune amende administrative n’est imposée en application de l’article 83 du RGPD, les autorités de contrôle ont la possibilité d’imposer d’autres sanctions en vertu de l’article 84 de ce règlement ( 46 ).

78.

Selon moi, il ressort clairement de ces dispositions que, lors de l’adoption de ce règlement, le législateur de l’Union n’a pas entendu rendre chaque violation des règles en matière de protection des données passible d’une amende administrative. Il a plutôt entendu prévoir un système souple et différencié de pénalités et de sanctions. C’est ce que confirme le considérant 148 du RGPD, qui énonce que les autorités de contrôle peuvent, en cas de « violation mineure ou si l’amende susceptible d’être imposée constitue une charge disproportionnée pour une personne physique », s’abstenir d’imposer une amende administrative et plutôt prononcer un rappel à l’ordre. Dans ce contexte, limiter l’application de l’article 83 du RGPD aux situations dans lesquelles une négligence est établie, en tant qu’exigence minimale, s’inscrit, selon moi, dans le prolongement des objectifs et de l’économie générale de ces différentes dispositions, selon lesquels les amendes administratives devraient être réservées à certaines violations.

79.

Il me semble également que, lorsque le législateur de l’Union a manifesté sa volonté d’introduire une responsabilité objective ou présumée dans le RGPD, il l’a fait en utilisant une formulation spécifique qui est absente de l’article 83 de ce règlement. Par exemple, en ce qui concerne la responsabilité civile (c’est-à-dire la responsabilité des responsables du traitement et des sous-traitants envers les personnes concernées) visée à l’article 82 du RGPD, le législateur de l’Union a indiqué que les responsables du traitement et les sous-traitants ont l’obligation stricte de réparer les dommages qu’ils causent aux personnes concernées, sauf s’ils parviennent à prouver que les faits qui ont provoqué le dommage ne leur sont nullement imputables ( 47 ). En revanche, l’article 83 de ce règlement ne contient pas de formulation analogue à l’article 84 du RGPD. Cela confirme, selon moi, que le législateur de l’Union n’a pas entendu instituer, par cette disposition, un système d’amendes fondé sur une responsabilité objective ou présumée.

80.

Quatrièmement, et c’est peut-être là le point le plus important, je considère que, dans la pratique, le seuil d’une violation du RGPD par négligence au sens de l’article 83, paragraphe 2, sous b), de ce règlement, est, en tout état de cause, tellement bas qu’il est difficile d’envisager des situations dans lesquelles il sera impossible d’imposer une amende simplement parce que cet élément n’est pas satisfait. À ce titre, je considère que le simple fait de devoir établir une intention ou une négligence avant de pouvoir imposer une amende en application de l’article 83 de ce règlement ne compromet pas l’objectif recherché par le législateur de l’Union consistant à garantir l’application effective des règles en matière de protection des données qui y figurent, bien au contraire.

81.

D’aucuns ont soutenu, à cet égard, que le simple fait de ne prendre aucune mesure dans une situation dans laquelle le responsable du traitement ou le sous‑traitant a de simples doutes quant à la légalité du traitement effectué constitue déjà une acceptation délibérée d’une violation potentielle du RGPD et, partant, une négligence grave ( 48 ). En outre, le groupe de travail Article 29 a suggéré qu’une violation commise par négligence correspond à maints égards à une violation commise « non délibérément », dès lors que, selon lui, une telle violation peut exister tandis qu’il n’existait pas d’intention de causer la violation et que le responsable du traitement ou le sous-traitant a simplement manqué à son obligation de diligence ( 49 ). En particulier, il a indiqué que même une pure et simple « erreur humaine » ( 50 ) peut être révélatrice d’une négligence.

82.

Deux conclusions me viennent à l’esprit. Premièrement, la ligne qui sépare une violation sans faute purement non délibérée et une violation par négligence est, en réalité, très ténue. J’estime que les autorités de contrôle auront rarement des difficultés à trouver suffisamment d’éléments indiquant que la violation alléguée a eu lieu au moins par négligence. À cet égard, je relève qu’il a été affirmé, dans la doctrine, que, « compte tenu des actions de sensibilisation [...] à présent nombreuses visant à assurer le respect du RGPD [...], il est difficile d’imaginer [...] des violations du RGPD sans qu’au moins une négligence soit présente » ( 51 ). Je suis tout à fait d’accord et je rappelle que le RGPD vise spécifiquement à garantir que les responsables du traitement et les sous-traitants soient conscients des règles en matière de protection des données, ce qui rend encore plus difficile, selon moi, de considérer qu’une violation pourrait se produire sans la moindre faute (ni a fortiori sans négligence) ( 52 ).

83.

Deuxièmement, ce résultat semble parfaitement conforme à l’objectif principal du RGPD, qui est d’assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données personnelles au sein de l’Union ( 53 ). En effet, les amendes ont un effet dissuasif ( 54 ). Grâce à l’incitation qu’elles créent pour les responsables du traitement et les sous-traitants de se conformer au RGPD, elles contribuent globalement au renforcement de la protection des personnes concernées et constituent donc un élément clé pour garantir le respect de leurs droits ( 55 ). Il s’ensuit, selon moi, que, même si l’on ne peut faire l’économie d’une « faute », le degré de faute requis pour déclencher l’application de l’article 83 de ce règlement est suffisamment bas pour assurer un niveau approprié de protection des personnes concernées.

84.

En outre, je souligne que l’approche que je propose à la Cour d’adopter confirmerait également l’alignement du système d’amendes mis en place par cette disposition sur celui qui est prévu à l’article 23, paragraphe 1, du règlement (CE) no 1/2003 ( 56 ), pour les infractions au droit de la concurrence, qui, lui aussi, s’applique uniquement si une intention ou une négligence est établie. Le fait que cet autre système d’amendes a inspiré le libellé de l’article 83 du RGPD est corroboré par le considérant 150 de ce règlement, qui énonce que, « lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne », ainsi que par d’autres similitudes entre ces deux systèmes d’amendes, telles que le fait que le montant des amendes peut, pour les entreprises, être basé, dans les deux systèmes, sur leur chiffre d’affaires. Je relève également que plusieurs des éléments énumérés à l’article 83, paragraphe 2, du RGPD reflètent ceux qui sont pertinents pour déterminer le montant d’une amende pour infraction au droit de la concurrence ( 57 ).

85.

Ayant exposé les raisons pour lesquelles j’estime qu’une faute doit être établie avant qu’une amende puisse être imposée à un responsable du traitement ou à un sous-traitant en application de l’article 83, paragraphe 2, du RGPD, il me reste à dire quelques mots sur l’approche proposée par le Conseil et le gouvernement lituanien. Selon ces parties, il appartient aux États membres de décider si une faute est requise ou non avant qu’une amende administrative puisse être imposée.

86.

Je ne souscris, pour ma part, tout simplement pas à cette suggestion.

b) Pourquoi les États membres ne disposent d’aucune marge d’appréciation quant à la question de savoir si une faute est requise

87.

Il me semble évident que l’un des objectifs essentiels du RGPD et, en particulier, de son article 83 est d’atteindre un niveau plus élevé d’harmonisation dans l’ensemble de l’Union en ce qui concerne, en particulier, l’imposition d’amendes ( 58 ). À ce titre, j’estime que, contrairement à ce qu’ont soutenu le Conseil et le gouvernement lituanien, le législateur de l’Union n’a pas entendu que les États membres disposent d’une marge d’appréciation quant à la question de savoir si une faute est requise ou non.

88.

Il est vrai que des exigences supplémentaires concernant la procédure à suivre par les autorités de contrôle pour imposer une amende peuvent être prévues par la législation nationale (en ce qui concerne des questions telles que la notification de l’amende ainsi que les délais de présentation d’observations, de recours, d’exécution et de paiement) ( 59 ). Cela ressort clairement de l’article 83, paragraphe 8, du RGPD, qui dispose que l’exercice des pouvoirs des autorités de contrôle est« soumis à des garanties procédurales appropriées » qui doivent être prévues par le droit national pour autant que le droit de l’Union (et notamment le droit à un recours juridictionnel effectif et à une procédure régulière) soit respecté.

89.

Cette marge d’appréciation ne saurait toutefois s’étendre aux exigences de fond qui s’appliquent à l’imposition d’une amende, telles que le degré de faute. Selon moi, cette conclusion découle directement de plusieurs considérants de ce règlement ( 60 ), dont il ressort que le système d’amendes administratives instauré par l’article 83 du RGPD a été conçu par le législateur de l’Union pour aboutir à des résultats cohérents sur le territoire de l’Union.

90.

Par souci d’exhaustivité, j’ajoute que, étant donné que les amendes ont une forte incidence sur la concurrence entre entreprises et qu’elles ont d’importante répercussions sur le marché, il est essentiel, selon moi, que l’article 83 du RGPD soit appliqué de façon cohérente, sans quoi il pourrait effectivement contribuer à introduire des distorsions de concurrence entre entreprises ( 61 ).

2. Sur le second aspect : un responsable du traitement peut-il se voir imposer une amende pour une violation commise dans un contexte où le traitement illicite a été effectué non pas par lui‑même, mais par un sous-traitant ?

91.

Par la seconde partie de la sixième question, la juridiction de renvoi se demande, en substance, si un responsable du traitement peut se voir imposer une amende en application de l’article 83 du RGPD, dans un contexte où ce n’est pas lui-même, mais un sous-traitant (en l’occurrence ITSS), qui a effectué un traitement illicite de données à caractère personnel.

92.

Il y a lieu, selon moi, de répondre à cette question par l’affirmative.

93.

À cet égard, je rappelle que, comme je l’ai indiqué au point 27 des présentes conclusions, un responsable du traitement ne doit pas nécessairement traiter lui-même chaque donnée à caractère personnel, mais il doit déterminer « le pourquoi et le comment » des opérations de traitement pertinentes. Je relève en outre que l’article 4, point 8, du RGPD définit le « sous-traitant » comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » ( 62 ).

94.

Ces définitions confirment, selon moi, que, dans le cadre de l’application du RGPD, un responsable du traitement peut être tenu pour responsable et, partant, qu’il peut se voir imposer une amende en application de l’article 83 de ce règlement, dans une situation où des données à caractère personnel font l’objet d’un traitement illicite, et où c’est non pas le responsable du traitement lui-même, mais un sous‑traitant, qui a effectué ce traitement illicite. Cette possibilité subsiste aussi longtemps qu’un tel sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement.

95.

Tel sera le cas tant que le sous-traitant agira dans le cadre du mandat qui lui a été conféré par le responsable du traitement et qu’il traitera les données conformément aux instructions licites reçues de la part du responsable du traitement ( 63 ). Cependant, si le sous-traitant sort du cadre de ce mandat, s’il utilise les données reçues en tant que sous‑traitant à des fins propres et s’il est clair que les parties ne sont pas des « responsables conjoints du traitement » au sens de l’article 4, point 7, et de l’article 21, paragraphe 6, du RGPD, le responsable du traitement ne saurait, à mon sens, se voir imposer une amende sanctionnant, en application de l’article 83 de ce règlement, le traitement illicite qui a eu lieu ( 64 ).

96.

Il s’ensuit que, dans un cas tel que celui de l’affaire au principal, une amende peut être imposée au CNSP en application de l’article 83 du RGPD même si les données à caractère personnel n’ont été traitées de manière illicite que par ITSS et que le CNSP n’a pas participé au traitement. Cette possibilité existe pour autant que cette société puisse être considérée comme ayant traité des données à caractère personnel pour le compte du CNSP, ce qui ne sera pas le cas si ITSS a agi en dehors des instructions licites du CNSP ou en contradiction avec celles‑ci, si elle a utilisé des données à caractère personnel à ses propres fins, et s’il est clair que le CNSP et ITSS n’ont pas agi en tant que responsables conjoints du traitement.

V. Conclusion

97.

Eu égard aux considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions préjudicielles présentées par le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie) :

1)

L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

une entité qui lance le développement d’une application mobile ne peut être considérée comme étant le « responsable du traitement » au sens de cette disposition, que dans une situation où il existe suffisamment d’éléments, de nature factuelle plutôt que formelle, permettant aux juridictions nationales de conclure qu’une telle entité a exercé une influence effective tant sur les « finalités » que sur les « moyens » de ce traitement, et qu’elle a effectivement consenti à la diffusion de l’application mobile auprès du public et, par conséquent, au traitement des données à caractère personnel.

2)

L’article 4, point 7, du règlement 2016/679, lu conjointement avec l’article 26, paragraphe 1, de ce règlement,

doit être interprété en ce sens que :

pour que deux responsables du traitement ou plus puissent être considérés comme des « responsables conjoints du traitement », deux conditions doivent être remplies : d’abord, chaque responsable conjoint du traitement doit remplir de manière indépendante les critères énumérés dans la définition du « responsable du traitement » donnée à l’article 4, point 7, de ce règlement et, ensuite, les responsables du traitement doivent exercer conjointement leur influence sur la finalité et les moyens du traitement. En outre, l’absence d’accord voire de coordination entre les responsables du traitement ne saurait, à elle seule exclure qu’il s’agisse de « responsables conjoints du traitement » au sens de ces dispositions.

3)

L’article 4, point 2, du règlement 2016/679

doit être interprété en ce sens que :

la notion de « traitement » vise une situation dans laquelle des données à caractère personnel sont utilisées au cours de la phase de test d’une application mobile, sauf si de telles données ont été rendues anonymes d’une manière telle que la personne concernée n’est pas ou plus identifiable. La question de savoir si des données à caractère personnel sont collectées en vue de tester les systèmes informatiques intégrés à une application mobile ou pour une autre finalité n’a, quant à elle, aucune incidence sur la question de savoir si l’opération en question peut être qualifiée de « traitement ».

4)

L’article 83 du règlement 2016/679

doit être interprété en ce sens que :

une amende ne peut être imposée que pour sanctionner une violation des règles de ce règlement qui a été commise « délibérément ou par négligence ». En outre, un responsable du traitement peut se voir imposer une amende en application de cette disposition même si le traitement illicite est effectué par un sous‑traitant. Cette possibilité existe pour autant qu’il soit établi que le sous-traitant agit pour le compte du responsable du traitement. Cependant, si le sous‑traitant traite des données à caractère personnel en s’écartant des instructions licites du responsable du traitement ou en violation de celles-ci, s’il utilise les données à caractère personnel reçues à ses propres fins et s’il est clair que les parties ne sont pas des « responsables conjoints du traitement » au sens de l’article 4, point 7, et de l’article 21, paragraphe 6, du règlement 2016/679, le responsable du traitement ne saurait se voir imposer une amende sanctionnant, en application de l’article 83 de ce même règlement, le traitement illicite qui a eu lieu.


( 1 ) Langue originale : l’anglais.

( 2 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).

( 3 ) Les données à caractère personnel collectées par KARANTINAS auprès de ses utilisateurs comprenaient les éléments suivants : le numéro d’identité, les latitude et longitude, le pays, la ville, la commune, l’adresse du domicile, le prénom, le nom, le numéro d’identification personnel, le numéro de téléphone, si la personne devait s’isoler, si elle s’était enregistrée, etc. Ces données ont été collectées non seulement en Lituanie, mais également à l’étranger.

( 4 ) L’article 5 du RGPD contient une liste des principes généraux dont les responsables du traitement doivent garantir le respect lors du traitement de données à caractère personnel. L’article 13 de ce règlement énumère les informations que les responsables du traitement doivent fournir aux personnes concernées lorsque des données à caractère personnel sont collectées auprès d’elles. L’article 24 dudit règlement dispose que les responsables du traitement doivent, entre autres, mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer (et être en mesure de démontrer) que le traitement est effectué conformément aux règles applicables en matière de protection des données. L’article 32 du RGPD traite de la sécurité du traitement et crée des obligations à cet égard tant pour les responsables du traitement que pour les sous-traitants, tandis que l’article 35 de ce règlement concerne l’obligation des responsables du traitement d’effectuer des analyses d’impact relatives à la protection des données avant de procéder à certains types de traitement.

( 5 ) En vertu de l’article 29 du RGPD, « [l]e sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre ».

( 6 ) Je relève que les données concernant la santé constituent une « catégorie particulière de données à caractère personnel » dont l’article 9 du RGPD interdit le traitement sous réserve de l’application d’un des motifs énumérés au paragraphe 2 de cette disposition [notamment le fait que le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique [point i)] ou aux fins de la médecine préventive ou de la médecine du travail [point h)]]. Cela étant dit, j’observe que les questions posées à la Cour dans la présente affaire portent non pas sur la licéité d’un tel traitement, mais sur les conditions auxquelles une entité telle que le CNSP peut être tenue responsable du traitement effectué par le créateur d’une telle application mobile (en l’occurrence ITSS).

( 7 ) Sur la base des informations communiquées dans le dossier et lors de l’audience, il n’a pas pu être déterminé si la ville de Vilnius a participé au développement de KARANTINAS.

( 8 ) Comme je l’expliquerai au point 46 des présentes conclusions, je déduis de la demande de décision préjudicielle que KARANTINAS a fait l’objet d’une phase de test avant sa mise à disposition du public à des fins de téléchargement. Selon ma compréhension, la quatrième question concerne donc l’utilisation de données à caractère personnel intervenue lors de cette phase de test, par opposition à celles utilisées à un stade ultérieur, lorsque KARANTINAS était à la disposition du public à des fins de téléchargement.

( 9 ) Voir Rücker, D., et Kugler, T., New European General Data Protection Regulation : A Practitioner’s Guide, C.H. Beck, Hart and Nomos, Oxford, 2018, p. 27. Selon ces auteurs, la caractéristique la plus importante d’un responsable du traitement est qu’il détermine les résultats censés être atteints, davantage que les moyens ou le « comment » du traitement, lesquels peuvent, du moins dans leurs aspects non essentiels, être délégués à un sous-traitant sans perte de la qualité de responsable du traitement.

( 10 ) Voir arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 68). Cet arrêt portait sur l’interprétation de la notion de « responsable du traitement » telle qu’elle était définie à l’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31). Bien que cette directive ne soit plus en vigueur et qu’elle ait été remplacée par le RGPD, l’interprétation donnée par la Cour en ce qui concerne cette disposition demeure pertinente dans le cadre de l’application du RGPD, étant donné que la définition de cette notion demeure identique dans les deux instruments, à l’exception de modifications formelles mineures. Je ferai donc références aux arrêts portant sur l’un ou l’autre instrument sans opérer de distinction.

( 11 ) Voir arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 67).

( 12 ) Voir « Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD » du CEPD, version 2.1 adoptée le 7 juillet 2021 (ci-après les « lignes directrices 07/2020 »), disponibles en français à l’adresse Internet https://edpb.europa.eu/system/files/2022‑02/eppb_guidelines_202007_controllerprocessor_final_fr.pdf), p. 3 ainsi que points 21 et 25 à 27.

( 13 ) Arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 85).

( 14 ) Voir également lignes directrices 07/2020, point 42.

( 15 ) Voir article 26, paragraphe 3, du RGPD, en vertu duquel « la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement ». Voir également article 82, paragraphes 4 et 5, de ce règlement.

( 16 ) Voir, à cet égard, arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 67 et jurisprudence citée).

( 17 ) Voir, à cet égard, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, point 43).

( 18 ) Voir arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 69 et jurisprudence citée).

( 19 ) Voir lignes directrices 07/2020, p. 3 ainsi que points 54 et 55.

( 20 ) En effet, il serait quelque peu contradictoire qu’il soit possible de se départir des exigences formelles pour qu’une personne ou une entité puisse être qualifiée de « responsable du traitement », mais pas pour que la même entité et une autre entité soient considérées comme des « responsables conjoints du traitement ».

( 21 ) Voir lignes directrices 07/2020, point 52.

( 22 ) Voir, en ce sens, lignes directrices 07/2020, point 69.

( 23 ) Je relève que, dans sa quatrième question, la juridiction de renvoi mentionne l’utilisation de « copies de données à caractère personnel » plutôt que de données à caractère personnel. J’avoue ne pas bien saisir ce que cette juridiction entend par le terme « copies de données à caractère personnel » étant donné que les données à caractère personnel peuvent exister sous une forme immatérielle et que, comme l’indique clairement l’article 4, point 1, du RGPD, le terme « données à caractère personnel » est défini comme « toute information se rapportant à une personne physique identifiée ou identifiable » (mise en italique par mes soins), sans aucune exigence que ces données soient copiées ou retranscrite sur un quelconque support. Selon moi, l’objet physique (par exemple des copies papier) ou les fichiers électroniques sur lequel les données à caractère personnel sont disponibles ne sont pas pertinents pour répondre à la question de savoir si un ensemble particulier d’opérations impliquant des données à caractère personnel peut être qualifié de « traitement » au sens de l’article 4, point 2, de ce règlement. Dans ma réponse à la quatrième question, je me référerai donc à des « données à caractère personnel » plutôt qu’à des « copies de données à caractère personnel ».

( 24 ) Mise en italique par mes soins.

( 25 ) En vertu de l’article 4, point 2, du RGPD, le « traitement » inclut des opérations telles que « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

( 26 ) Voir note en bas de page 25 des présentes conclusions.

( 27 ) En effet, les « données à caractère personnel » au sens de l’article 4, point 1, du RGPD, lu à la lumière du considérant 26 de ce règlement, comprennent les données à caractère personnel qui ont fait l’objet d’une pseudonymisation, mais qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires.

( 28 ) Dans la demande de décision préjudicielle, la juridiction de renvoi mentionne que certaines données à caractère personnel utilisées aux fins de la phase de test, mais pas toutes, ont pu consister en des données « fictives ». Cependant, elle ne précise pas davantage ce qu’elle entend par ce terme. À cet égard, je souhaite seulement indiquer que, selon moi, des informations peuvent être qualifiées de « données à caractère personnel » au sens de l’article 4, point 1, du RGPD, indépendamment du fait qu’elles contiennent des informations exactes ou fausses. Ce qui importe, comme je l’ai indiqué, est seulement que les informations concernent une personne physique identifiée ou identifiable. Si les données sont entièrement inventées de telle sorte qu’elles ne sauraient être considérées comme se rapportant à une personne identifiée ou identifiable, il ne s’agit pas, selon moi, de « données à caractère personnel » et le RGPD ne s’applique pas au traitement de ces données. En revanche, ce règlement continue de s’appliquer aux autres données « non fictives » collectées au cours de la phase de test.

( 29 ) Je tiens à rappeler que l’utilisation de données à caractère personnel pour tester des systèmes informatiques intégrés à une application mobile constitue un « traitement » différent de celui qui a lieu lorsque la même application mobile est mise à la disposition du public à des fins de téléchargement. Une appréciation distincte de la question de savoir ce qu’est un « responsable du traitement », un « sous-traitant » ou un « responsable conjoint du traitement » est donc requise.

( 30 ) Voir article 24 de la directive 95/46.

( 31 ) Voir « Lignes directrices sur l’application et la fixation des amendes administratives aux fins du [RGPD] » du groupe de travail Article 29 sur la protection des données, adoptées le 3 octobre 2017, p. 4. Ce groupe de travail a par la suite été remplacé par le CEPD. Cependant, ses « Lignes directrices sur l’application et la fixation des amendes administratives » demeurent valides.

( 32 ) Voir, notamment, l’amende de plusieurs millions d’euros imposée par l’autorité française de protection des données à Google en janvier 2019 (https://edpb.europa.eu/news/national-news/2019/cnils-restricted-committee-imposes-financial-penalty-50-million-euros_en).

( 33 ) Plus précisément, à l’article 83, paragraphe 2, sous b), de ce règlement. Les autres éléments énumérés à l’article 83, paragraphe 2, sous a) à k), sont liés soit à la violation elle-même [par exemple à sa nature, à sa gravité et à sa durée [sous a)], ou aux catégories de données à caractère personnel visées [sous g)]], soit au responsable du traitement ou au sous-traitant destinataire de l’amende [à savoir à son degré de responsabilité [sous d)], à son comportement ex ante, comme des violations pertinentes commises précédemment [sous e)] et les mesures antérieures ordonnées à son encontre [sous i)], et à son comportement ex post, y compris la question de savoir s’il a notifié la violation [sous h)], les mesures qu’il a prises pour atténuer le dommage [sous c)] et le degré de coopération avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs [sous f)]]. En outre, il convient de tenir dûment compte de « toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation » [sous k)].

( 34 ) « Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) », COM(2012) 11 final (ci-après la « proposition initiale de la Commission en vue de l’adoption d’un règlement »).

( 35 ) Voir article 79, paragraphes 4, 5 et 6, de la proposition initiale de la Commission en vue de l’adoption d’un règlement. Je relève que le fait que la violation ait été commise « de propos délibéré ou par négligence » était également inclus dans la liste d’éléments figurant à l’article 79, paragraphe 2, de cette proposition, qui devaient être pris en considération pour fixer le montant de l’amende (mise en italique par mes soins).

( 36 ) Cette formulation a par la suite été modifiée et les termes « de propos délibéré ou par négligence » ne figurent plus dans les dispositions définissant les deux niveaux du système d’amendes mis en place par le RGPD.

( 37 ) Mise en italique par mes soins.

( 38 ) La même observation peut également être faite si l’on examine les autres versions linguistiques de l’article 83, paragraphe 2, du RGPD, notamment les versions linguistiques tchèque, grecque, espagnole, anglaise et italienne. Je relève cependant que, dans la version linguistique italienne, c’est le terme « le » (« le ») et non pas « toute » (« eventuali ») qui est utilisé à l’article 83, paragraphe 2, sous c), de ce règlement, qui concerne les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le dommage.

( 39 ) Selon le groupe de travail Article 29, les amendes administratives sont des « mesures correctives » dont l’objectif peut être « de restaurer le respect des règles ou de sanctionner un comportement illicite (ou les deux) » (mise en italique par mes soins) [voir « Lignes directrices sur l’application et la fixation des amendes administratives aux fins du [RGPD] » du groupe de travail Article 29 sur la protection des données, adoptées le 3 octobre 2017, p. 6].

( 40 ) Voir, par analogie, arrêt du 2 février 2021, Consob (C‑481/19, EU:C:2021:84, point 43). Je rappelle que trois critères sont pertinents pour apprécier si des sanctions revêtent un caractère pénal : le premier est la qualification juridique de l’infraction en droit interne, le deuxième concerne la nature même de l’infraction et le troisième est relatif au degré de sévérité de la sanction que risque de subir l’intéressé (voir arrêts du 2 février 2021, Consob, C‑481/19, EU:C:2021:84, point 42, et du 5 juin 2012, Bonda, C‑489/10, EU:C:2012:319, point 37 ; voir également Cour EDH, 8 juin 1976, Engel et autres c. Pays-Bas, CE:ECHR:1976:0608JUD000510071, § 82). Tous les critères ne doivent pas être remplis pour qu’une amende puisse être considérée comme étant pénale (voir, à cet égard, conclusions de l’avocat général Bot dans l’affaire ThyssenKrupp Nirosta/Commission, C‑352/09 P, EU:C:2010:635, point 50 et jurisprudence citée).

( 41 ) L’article 49 de la Charte, intitulé « Principes de légalité et de proportionnalité des délits et des peines » dispose, au paragraphe 3, que « l’intensité des peines ne doit pas être disproportionnée par rapport à l’infraction ».

( 42 ) Voir arrêts du 9 février 2012, Urbán (C‑210/10, EU:C:2012:64, point 48), du 13 novembre 2014, Reindl (C‑443/13, EU:C:2014:2370, point 42), du 20 décembre 2017, Global Starnet (C‑322/16, EU:C:2017:985, point 63), et du 22 mars 2017, Euro-Team et Spirál-Gép (C‑497/15 et C‑498/15, EU:C:2017:229, points 53 et 54). Ces arrêts illustrent le fait que cette jurisprudence a été appliquée à différents domaines du droit de l’Union.

( 43 ) Voir « Explications relatives à la Charte des droits fondamentaux » (JO 2007, C 303, p. 17). En vertu de l’article 52, paragraphe 3, de la Charte, le niveau de protection accordé par l’article 49 de celle-ci ne peut pas être inférieur à celui qui est offert par l’article 7 de la CEDH.

( 44 ) Voir Cour EDH (grande chambre), 28 juin 2018, GIEM s.r.l. et autres c. Italie (CE:ECHR:2018:0628JUD000182806, §§ 242 et 243).

( 45 ) Voir article 58, paragraphe 2, sous i), et article 83, paragraphe 2, du RGPD.

( 46 ) En vertu de l’article 84, paragraphe 1, du RGPD, « les États membres déterminent le régime des autres sanctions applicables en cas de violations [...], en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre ». Le considérant 152 de ce règlement explique que l’article 84 s’applique lorsque le RGPD « n’harmonise pas les sanctions administratives ou, si nécessaire dans d’autres circonstances, par exemple en cas de violation grave ».

( 47 ) Voir, à cet égard, Chamberlain, J., et Reichel, J., « The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation », Mississippi Law Journal, vol. 89, no 4, 2020, p. 677 à 679.

( 48 ) Voir Nemitz, P., « Fines under the GDPR », dans Leenes, R., van Brakel, R., Gutwirth, S., et De Hert, P., Data Protection and Privacy : The Internet of Bodies, Hart Publishing, Oxford, 2019, p. 241.

( 49 ) En revanche, il a défini la notion d’« intention » comme comprenant à la fois la connaissance et la volonté en rapport avec les caractéristiques d’une infraction [voir « Lignes directrices sur l’application et la fixation des amendes administratives aux fins du [RGPD] » du groupe de travail Article 29 sur la protection des données, adoptées le 3 octobre 2017, p. 11].

( 50 ) « Lignes directrices sur l’application et la fixation des amendes administratives aux fins du [RGPD] » du groupe de travail Article 29 sur la protection des données, adoptées le 3 octobre 2017, p. 12. Les autres circonstances mentionnées incluent le simple fait de ne pas lire et de ne pas respecter les politiques existantes, de ne pas vérifier la présence de données à caractère personnel dans les informations publiées, de ne pas appliquer à temps les mises à jour techniques ou de ne pas adopter de politiques.

( 51 ) Voir Nemitz, P., « Fines under the GDPR », dans Leenes, R., van Brakel, R., Gutwirth, S., et De Hert, P., Data Protection and Privacy : The Internet of Bodies, Hart Publishing, Oxford, 2019, p. 240.

( 52 ) Voir considérants 122 et 132 du RGPD.

( 53 ) Voir, notamment, considérant 1 du RGPD qui rappelle, par référence à l’article 8, paragraphe 1, de la Charte et à l’article 16, paragraphe 1, TFUE, que la protection des données à caractère personnel est un droit fondamental. Voir également considérants 10, 11 et 13 du RGPD, ainsi que arrêt du 24 septembre 2019, Google (Portée territoriale du déréférencement) (C‑507/17, EU:C:2019:772, point 54).

( 54 ) Voir considérant 148 du RGPD.

( 55 ) Voir Chamberlain, J., et Reichel, J., « The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation », Mississippi Law Journal, vol. 89, no 4, 2020, p. 685.

( 56 ) Règlement du Conseil du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux articles [101] et [102] TFUE (JO 2003, L 1, p. 1).

( 57 ) Voir arrêt du 8 décembre 2011, Chalkor/Commission (C‑386/10 P, EU:C:2011:815, points 56 et 57 ainsi que jurisprudence citée). À cet égard, je relève que, si l’intention ou la négligence doivent être établies avant l’imposition d’une amende pour violation des règles du droit de la concurrence, cette exigence est également très peu élevée en pratique. En effet, la Cour a jugé que cette condition est remplie dès lors que l’entreprise en cause ne peut ignorer le caractère anticoncurrentiel de son comportement, qu’elle ait eu ou non conscience d’enfreindre les règles de concurrence (voir arrêt du 10 juillet 2014, Telefónica et Telefónica de España/Commission, C‑295/12 P, EU:C:2014:2062, point 156 et jurisprudence citée).

( 58 ) Voir, notamment, considérant 9 du RGPD qui indique que « les différences dans le niveau de protection des droits et libertés des personnes physiques données à entre les États membres “empêche[nt] le libre flux [des] données [à caractère personnel] dans l’ensemble de l’Union” et “constitue[nt] un obstacle à l’exercice des activités économiques au niveau de l’Union” ».

( 59 ) Voir considérant 129 [« cela ne devrait pas exclure des exigences supplémentaires prévues par le droit procédural des États membres » (mise en italique par mes soins)] et considérant 150 du RGPD. Voir également, à cet égard, « Lignes directrices sur l’application et la fixation des amendes administratives aux fins du [RGPD] » du groupe de travail Article 29 sur la protection des données, adoptées le 3 octobre 2017, p. 6.

( 60 ) À cet égard, je relève que le considérant 10 du RGPD énonce que « le niveau de protection devrait être équivalent dans tous les États membres », tandis que les considérants 11, 13 et 129 de ce règlement appellent, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles et des sanctions équivalentes pour les violations. Le considérant 152 dudit règlement énonce quant à lui que c’est uniquement dans la mesure où ce règlement n’harmonise pas les sanctions administratives (ou si cela s’avère nécessaire pour toute autre raison) que les États membres devraient mettre en œuvre un système qui prévoit de telles sanctions (voir également considérant 150 du RGPD).

( 61 ) Voir, à cet égard Voss, W.G., et Bouthinon‑Dumas, H., « EU General Data Protection Regulation Sanctions in Theory and in Practice », Santa Clara High Tech, vol. 37, 2020, p. 44.

( 62 ) Mise en italique par mes soins.

( 63 ) En vertu de l’article 29 du RGPD, « le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre ».

( 64 ) En vertu de l’article 28, paragraphe 10, du RGPD, le sous-traitant sera considéré comme un responsable du traitement pour ce qui concerne le traitement de telles données. Voir également, à cet égard, Rücker, D., et Kugler, T., New European General Data Protection Regulation : A Practitioner’s Guide, C.H. Beck, Hart and Nomos, Oxford, 2018, p. 30.