accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Pas de sanction automatique en cas de violation du RGPD

Jurisprudence
CJUE, 26 sept. 2024, aff. C‑768/21, TR
Guillaume RUC Editeur sur LexisVeille
[26.09.2024]

En cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, lorsqu’une telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD. Tel pourrait être le cas, notamment, lorsque le responsable du traitement a, dès qu’il en a eu connaissance, pris les mesures nécessaires pour que ladite violation prenne fin et ne se reproduise pas.

Après avoir pris connaissance du fait que ses données personnelles avaient été indûment consultées, le client d'une caisse d'épargne a introduit une réclamation auprès de l'autorité de régulation allemande sur le fondement de l’article 77 du règlement du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016 , RGPD).

Dans cette réclamation, le client dénonçait le fait que la violation de ses données à caractère personnel ne lui avait pas été communiquée, en méconnaissance de l’article 34 du RGPD. Il critiquait également la durée de conservation du registre d’accès de la Caisse d’épargne, fixée à seulement trois mois, ainsi que les droits de consultation étendus dont jouissent les membres de son personnel. Face à l'absence de sanction prononcée par le régulateur, le client a saisi le juge administratif allemand. Ce dernier demande à la CJUE d'interpréter le RGPD à ce sujet.

La Cour de Justice rappelle que le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée ( CJUE gde ch., 16 juill. 2020, aff. C‑311/18, Facebook Ireland et Schrems ). Cette marge est limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse du RGPD ( CJUE gde ch., 5 déc. 2023, aff. C-683/21, Nacionalinis visuomenės sveikatos centras ).

En revanche, rappelle la Cour, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

La CJUE considère qu’en cas de constatation d’une violation de données à caractère personnel, le régulateur n’est pas obligée de prendre une mesure correctrice, en particulier d’imposer une amende administrative, lorsque cela n’est pas nécessaire pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD.

Tel pourrait être le cas, notamment, lorsque, comme en l'espèce dans des circonstance de violation minime, le responsable du traitement a, dès qu’il en a eu connaissance, pris les mesures nécessaires pour que ladite violation prenne fin et ne se reproduise pas. Dès lors, il incombe à la juridiction allemande de vérifier si le commissaire à la protection des données a respecté ces limites.