CJUE, n° C-683/21, Demande (JO) de la Cour, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinę duomenų apsaugos inspekciją, 12 novembre 2021

TA 22 octobre 2021

CJUE, Demande (JO) 12 novembre 2021

CJUE, Conclusions de l'avocat général 4 mai 2023

CJUE, Arrêt 5 décembre 2023

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Autre
Interprétation de la responsabilité du traitement des données
La cour doit examiner si la simple intention d'acquérir un outil de collecte de données engage la responsabilité du traitement des données selon le RGPD.
Autre
Responsabilité sans acquisition de droit de propriété
La cour doit déterminer si la mention d'une entité publique dans une application sans confirmation officielle engage sa responsabilité.
Autre
Actions réelles de traitement des données
La cour doit évaluer l'importance des actions réelles de traitement pour déterminer la responsabilité.
Autre
Utilisation de copies de données pour essais
La cour doit déterminer si ces situations relèvent du traitement des données à caractère personnel.
Autre
Responsabilité conjointe des données
La cour doit examiner si la responsabilité conjointe peut exister sans un accord clair entre les entités.
Autre
Interprétation des amendes administratives
La cour doit déterminer si les dispositions sur les amendes couvrent les cas de responsabilité sans faute.

Commentaires • 14

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Pas de sanction automatique en cas de violation du RGPDAccès limité

Lexis Veille · 26 septembre 2024

2. Actualités de l’année 2023-2024

lavoix.eu · 10 juin 2024

3. Revues françaises

Institut National de la Propriété Industrielle · 2 mai 2024

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (14)

Sur la décision

Référence :	CJUE, Cour, 12 nov. 2021, C-683/21
Numéro(s) :	C-683/21
Affaire C-683/21: Demande de décision préjudicielle présentée par le Vilniaus apygardos administracinis teismas (Lituanie) le 12 novembre 2021 — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinę duomenų apsaugos inspekciją
Date de dépôt :	12 novembre 2021
Identifiant CELEX :	62021CN0683
Journal officiel :	JOR 084 du 21 février 2022
Télécharger le PDF original fourni par la juridiction

Texte intégral

21.2.2022

Journal officiel de l’Union européenne

C 84/26

Demande de décision préjudicielle présentée par le Vilniaus apygardos administracinis teismas (Lituanie) le 12 novembre 2021 — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinę duomenų apsaugos inspekciją

(Affaire C-683/21)

(2022/C 84/34)

Langue de procédure: le lithuanien

Juridiction de renvoi

Vilniaus apygardos administracinis teismas

Parties dans la procédure au principal

Partie requérante: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Partie défenderesse: Valstybinę duomenų apsaugos inspekciją

Questions préjudicielles

Convient-il d’interpréter la notion de «responsable du traitement» prévue à l’article 4, point 7, du RGPD (1) en ce sens qu’une personne qui prévoit d’acquérir au moyen d’un marché public un outil de collecte des données (une application mobile) doit être également considérée comme responsable du traitement, en dépit du fait que le contrat de marché public n’a pas été conclu et que le produit créé (l’application mobile), pour l’acquisition duquel la procédure de marché public a été utilisée, n’a pas été transféré?

Convient-il d’interpréter la notion de «responsable du traitement» prévue à l’article 4, point 7, du RGPD en ce sens qu’un pouvoir adjudicateur, qui n’a pas acquis de droit de propriété sur le produit informatique créé et n’a pas repris sa gestion, doit également être considéré comme étant responsable du traitement lorsque des mentions de cette entité publique ou de liens vers celle-ci sont opérées dans la dernière version de l’application créée et (ou) lorsque cette entité publique est indiquée comme étant le responsable du traitement dans la politique de protection de la vie privée de l’application, qui n’a pas été officiellement confirmée ou reconnue par l’entité publique concernée?

La notion de «responsable du traitement» prévue à l’article 4, point 7, du RGPD doit-elle être interprétée en ce sens qu’une personne, qui n’a pas réalisé des actions réelles de traitement des données, définies à l’article 4, point 2, du RGPD, et (ou) n’a pas donné une autorisation ou un consentement clairs à leur réalisation doit être également considérée responsable du traitement? Est-ce que la circonstance que le produit informatique à l’aide duquel des données à caractère personnel ont été traitées a été créé selon une instruction formulée par le pouvoir adjudicateur serait importante pour l’interprétation de la notion de responsable du traitement?

Si la détermination des actions réelles du traitement des données est importante pour l’interprétation de la notion de responsable du traitement, l’article 4, point 2, du RGPD («traitement des données à caractère personnel») doit-il être interprété comme couvrant aussi les situations dans lesquelles les copies de données à caractère personnel sont utilisées pour les essais des systèmes informatiques lors de la procédure d’acquisition de l’application mobile?

La responsabilité conjointe des données en vertu de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD peut-elle être exclusivement interprétée comme impliquant une harmonisation volontaire des actions relatives à la fixation de l’objet du traitement des données et des mesures de traitement des données, ou peut-elle être interprétée également en ce sens que la responsabilité conjointe comprend aussi les situations dans lesquelles il n’existe pas d’«accord» clair relatif à l’objet du traitement des données à caractère personnel et des mesures de traitement de ces données et (ou) les actions ne sont pas coordonnées entre les entités? Une circonstance relative à une étape de la création d’une mesure de traitement des données à caractère personnel (d’une application informatique), lors de laquelle les données à caractère personnel ont été traitées, ainsi qu’à l’objectif de la création de l’application est-elle juridiquement importante pour l’interprétation de la notion de responsabilité conjointe des données? Un «accord» entre les responsables conjoints peut-il être interprété comme impliquant nécessairement la fixation claire et définie de conditions relatives à la responsabilité conjointe du traitement des données?

Les dispositions de l’article 83, paragraphe 1, du RGPD, prévoyant que «les amendes administratives [sont] effectives, proportionnées et dissuasives» doivent-elles être interprétées en ce sens que celles-ci comprennent également les cas d’engagement de la responsabilité du «responsable du traitement», lorsque le créateur réalise des actions de traitement des données à caractère personnel lors du processus de création du produit informatique, et les actions de traitement des données à caractère personnel inappropriées réalisées par le sous-traitant engagent-elles toujours automatiquement la responsabilité juridique du responsable du traitement? Ces dispositions doivent-elles également être interprétées en ce sens qu’elles comprennent aussi les cas de responsabilité sans faute du responsable du traitement?

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données); JO 2016, L 119, p. 1.