CJUE, n° C-683/21, Arrêt (JO) de la Cour, 5 décembre 2023

TA 22 octobre 2021

CJUE, Demande (JO) 12 novembre 2021

CJUE, Conclusions de l'avocat général 4 mai 2023

CJUE, Arrêt 5 décembre 2023

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Responsabilité du traitement des données
La cour a jugé qu'une entité qui charge une autre entreprise de développer une application et qui participe à la détermination des finalités et des moyens du traitement est responsable du traitement, même sans accord explicite pour les opérations concrètes.
Accepté
Responsabilité conjointe du traitement
La cour a confirmé que la responsabilité conjointe peut exister sans accord explicite entre les entités sur les finalités et les moyens du traitement.
Accepté
Définition du traitement des données
La cour a jugé que l'utilisation de données à caractère personnel pour des essais informatiques est considérée comme un traitement, sauf si les données sont anonymisées.
Accepté
Conditions d'imposition d'amendes administratives
La cour a précisé qu'une amende peut être imposée uniquement si une violation a été commise délibérément ou par négligence, même pour des opérations effectuées par un sous-traitant.

Commentaires • 15

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Pas de sanction automatique en cas de violation du RGPDAccès limité

Lexis Veille · 26 septembre 2024

2. Actualités de l’année 2023-2024

lavoix.eu · 10 juin 2024

3. Revues françaises

Institut National de la Propriété Industrielle · 2 mai 2024

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (15)

Sur la décision

Référence :	CJUE, Cour, 5 déc. 2023, C-683/21
Numéro(s) :	C-683/21
Affaire C-683/21, Nacionalinis visuomenės sveikatos centras: Arrêt de la Cour (Grande chambre) du 5 décembre 2023 (demande de décision préjudicielle du Vilniaus apygardos administracinis teismas — Lituanie) — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos / Valstybinė duomenų apsaugos inspekcija [Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, points 2 et 7 – Notions de «traitement» et de «responsable du traitement» – Développement d’une application informatique mobile – Article 26 – Responsabilité conjointe du traitement – Article 83 – Imposition d’amendes administratives – Conditions – Exigence du caractère délibéré ou négligent de la violation – Responsabilité du responsable du traitement pour le traitement de données à caractère personnel effectué par un sous-traitant]
Date de dépôt :	12 novembre 2021
Identifiant CELEX :	62021CA0683
Télécharger le PDF original fourni par la juridiction

Texte intégral

Journal officiel
de l’Union européenne

Séries C

C/2024/914

29.1.2024

Arrêt de la Cour (Grande chambre) du 5 décembre 2023 (demande de décision préjudicielle du Vilniaus apygardos administracinis teismas — Lituanie) — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos / Valstybinė duomenų apsaugos inspekcija

(Affaire C-683/21 (1), Nacionalinis visuomenės sveikatos centras)

(Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, points 2 et 7 – Notions de «traitement» et de «responsable du traitement» – Développement d’une application informatique mobile – Article 26 – Responsabilité conjointe du traitement – Article 83 – Imposition d’amendes administratives – Conditions – Exigence du caractère délibéré ou négligent de la violation – Responsabilité du responsable du traitement pour le traitement de données à caractère personnel effectué par un sous-traitant)

(C/2024/914)

Langue de procédure: le lithuanien

Juridiction de renvoi

Vilniaus apygardos administracinis teismas

Parties à la procédure au principal

Partie requérante: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Partie défenderesse: Valstybinė duomenų apsaugos inspekcija

en présence de: UAB «IT sprendimai sėkmei», Lietuvos Respublikos sveikatos apsaugos ministerija

Dispositif

L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que:

peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.

L’article 4, point 7, et l’article 26, paragraphe 1, du règlement 2016/679

doivent être interprétés en ce sens que:

la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ni l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement.

L’article 4, point 2, du règlement 2016/679

doit être interprété en ce sens que:

constitue un «traitement», au sens de cette disposition, l’utilisation de données à caractère personnel aux fins d’essais informatiques d’une application mobile, à moins que de telles données n’aient été rendues anonymes de telle sorte que la personne concernée par ces données n’est pas ou n’est plus identifiable ou qu’il ne s’agisse de données fictives qui ne se rapportent pas à une personne physique existante.

L’article 83 du règlement 2016/679

doit être interprété en ce sens que:

d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et,

d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données à caractère personnel effectuées par un sous-traitant pour le compte de celui-ci, sauf si, dans le cadre de ces opérations, ce sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti.

(1) JO C 84, du 21.02.2022

ELI: http://data.europa.eu/eli/C/2024/914/oj

ISSN 1977-0936 (electronic edition)