Introduction. Saisie d’une question préjudicielle, la CJUE a jugé, dans son arrêt du 26 septembre 2024, que, dans le cas d’une violation avérée du règlement général sur la protection des données (RGPD)2, l’autorité de contrôle peut s’abstenir de prendre une mesure correctrice lorsque le responsable de traitement des données personnelles a déjà pris les mesures nécessaires. Cette question préjudicielle s’est posée dans le cadre d’un litige opposant un client d’une banque (dénommé TR) au Land Hessen (Allemagne), représenté par le commissaire à la protection des données et à la liberté de l’information (l’autorité de contrôle), au sujet du refus de l’autorité de contrôle de prendre des mesures correctrices contre la banque3 en raison d’une violation de données à caractère personnel le concernant.
Rappel du contexte (faits et procédure). Une banque avait notifié, le 15 novembre 20194, une violation de données à caractère personnel à l’autorité de contrôle car un de ses employés avait consulté à plusieurs reprises, et sans y être habilité, des données à caractère personnel d’un client. Après avoir estimé qu’il ne s’agissait pas d’une violation de données à caractère personnel susceptible d’engendrer un risque élevé pour le client, la banque s’était par ailleurs abstenue de notifier cet incident également à son client5. Ce dernier ayant eu connaissance de la consultation de ses données personnelles, avait introduit une réclamation, le 27 juillet 2020, auprès de l’autorité de contrôle en dénonçant le fait que la violation de ses données à caractère personnel ne lui avait pas été communiquée en violation de l’article 34 du RGPD6. Dans le cadre de son audition auprès de l’autorité de contrôle, la banque a indiqué que son délégué à la protection des données avait estimé qu’il n’y avait pas de risque pour le client, dès lors que des mesures disciplinaires avaient été prises à l’encontre de l’employée concernée et que celle-ci avait confirmé par écrit n’avoir ni copié ni conservé les données dont elle avait pris connaissance et ni pas les avoir transmises à des tiers. L’employée avait également indiqué qu’elle ne ferait plus à l’avenir7. En outre, la banque avait indiqué que la durée de conservation des données d’accès devait faire l’objet d’un réexamen.
Par décision du 3 septembre 2020, l’autorité de contrôle a, en définitive, informé le client que la banque n’avait pas enfreint l’article 34 du RGPD. Le client, estimant que l’autorité de contrôle devait adopter des mesures correctrices dont des amendes administratives en cas de violation avérée du RGPD, avait introduit un recours contre cette décision du 3 septembre 2020 de l’autorité de contrôle devant une juridiction allemande, lui demandant d’enjoindre à cette dernière d’intervenir à l’encontre de la banque en prenant des mesures correctrices8.
C’est dans ce cadre que la juridiction allemande a sursis à statuer et a posé la question préjudicielle auprès de la CJUE afin de savoir, lorsque l’autorité de contrôle constate un traitement des données qui viole les droits de la personne concernée, si cette autorité doit, en tout état de cause, intervenir dans le cadre des pouvoirs que lui confère l’article 58, paragraphe 2, du RGPD ou si, elle peut, malgré une violation des droits de la personne, renoncer à intervenir. En d’autres termes, la CJUE devait se prononcer sur la marge d’appréciation dont dispose l’autorité de contrôle en cas de violation du RGPD9.
Décision de la CJUE. Dans son arrêt du 26 septembre 2024, la CJUE a, d’abord, relevé que le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée puisque l’article 58, paragraphe 2, du RGPD confère à cette autorité le pouvoir d’adopter diverses mesures correctrices qu’elle peut choisir en fonction des circonstances du cas concret10. La CJUE a néanmoins ajouté que cette marge d’appréciation est cependant limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles11.
Ensuite, en ce qui concerne les amendes administratives visées, à l’article 58, paragraphe 2, sous i), du RGPD, en tant que mesures correctrices, la CJUE a précisé qu’il ressort de l’article 83, paragraphe 2, du RGPD que celles-ci sont imposées, selon les caractéristiques propres à chaque cas, en complément ou à la place des autres mesures correctrices visées à cet article 58, paragraphe 212. Rappelons le caractère très dissuasif de ces amendes afin de garantir le respect des droits des personnes physiques à l’égard du traitement de leurs données conformément à la finalité du RGPD d’assurer un niveau élevé de protection des données à caractère personnel13.
À la lumière de ces deux considérations, la CJUE conclut qu’il ne saurait être déduit ni de l’article 58, paragraphe 2, ni de l’article 83 du RGPD, l’existence d’une obligation à la charge de l’autorité de contrôle d’adopter, de manière systématique, lorsqu’elle constate une violation de données à caractère personnel, une mesure correctrice, comme une amende administrative, sa seule obligation étant de réagir de manière appropriée afin de remédier à l’insuffisance constatée14.
Partant, la CJUE explicite et justifie cette interprétation liée à la marge d’appréciation dont dispose l’autorité de contrôle dans l’usage de mesures correctrices. La CJUE précise, en effet, que l’autorité de contrôle peut s’abstenir d’adopter une mesure correctrice au vu des circonstances particulières du cas concret, et ce malgré le constat de la violation de données à caractère personnel. Et de citer ces circonstances du cas concret qui peuvent être liées au fait que la violation constatée a pris fin et ne s’est pas reproduite à l’avenir, en raison de l’intervention du responsable du traitement par la mise en œuvre des mesures techniques et organisationnelles appropriées au sens de l’article 24 du RGPD dès qu’il a eu connaissance de cette violation15. Cette analyse de la CJUE est intéressante car elle met l’accent sur le continuum entre l’autorégulation ex ante par le responsable de traitement devant se conformer aux obligations de remédiation prévues par le RGPD et les sanctions ex post susceptibles d’être infligées en dernier ressort si les mesures mises en place par l’entreprise ne sont pas suffisantes16.
En définitive, compte tenu de l’ensemble de ces considérations, la CJUE a jugé il y a lieu de répondre à la question posée que l’article 57, paragraphe 1, sous a) et f), l’article 58, paragraphe 2, et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, au titre de cet article 58, paragraphe 2, lorsqu’une telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD17.
Conclusion. Huit ans après son adoption, le RGPD ainsi que sa mise en œuvre font encore l’objet de clarifications de la part du juge européen. Cet arrêt de la CJUE illustre l’importance à la fois de la mise en place en interne à l’entreprise des mesures techniques et organisationnelles appropriées et de la capacité à démontrer que des mesures ont été prises pour remédier aux violations des données à caractère personnel grâce à une documentation pertinente pour échapper à des sanctions même en cas de violation avérée du RGPD. En miroir, l’autorité de contrôle se voit reconnaître une marge d’appréciation impliquant de ne prendre aucune des mesures correctrices, en particulier de ne pas infliger une amende administrative, en fonction les circonstances propres à chaque cas lorsque l’intervention de cette autorité n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée. n
