–

pour le Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, par Mme G. Aleksienė,

–

pour la Valstybinė duomenų apsaugos inspekcija, par M. R. Andrijauskas,

–

pour le gouvernement lituanien, par Mme V. Kazlauskaitė-Švenčionienė, en qualité d’agent,

–

pour le gouvernement néerlandais, par Mme C. S. Schillemans, en qualité d’agent,

–

pour le Conseil de l’Union européenne, par Mme R. Liudvinavičiūtė et M. K. Pleśniak, en qualité d’agents,

–

pour la Commission européenne, par MM. A. Bouchagiar, H. Kranenborg et Mme A. Steiblytė, en qualité d’agents,

1

La demande de décision préjudicielle porte sur l’interprétation de l’article 4, points 2 et 7, de l’article 26, paragraphe 1, ainsi que de l’article 83, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2

Cette demande a été présentée dans le cadre d’un litige opposant le Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centre national de santé publique auprès du ministère de la Santé, Lituanie, ci-après le « CNSP ») à la Valstybinė duomenų apsaugos inspekcija (Inspection nationale de la protection des données, Lituanie, ci-après l’« INPD ») au sujet d’une décision par laquelle cette dernière a imposé au CNSP une amende administrative en application de l’article 83 du RGPD au titre de la violation des articles 5, 13, 24, 32 et 35 de ce règlement.

3

Les considérants 9, 10, 11, 13, 26, 74, 79, 129 et 148 du RGPD énoncent :

[…]

[…]

[…]

[…]

[…]

[…]

4

Aux termes de l’article 4 de ce règlement :

« Aux fins du présent règlement, on entend par :

[…]

[…]

[…] »

5

L’article 26 dudit règlement, intitulé « Responsables conjoints du traitement », énonce, à son paragraphe 1 :

« Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure où, leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord. »

6

L’article 28 du même règlement, intitulé « Sous-traitant », prévoit, à son paragraphe 10 :

« Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement. »

7

L’article 58 du RGPD, intitulé « Pouvoirs », dispose, à son paragraphe 2 :

« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :

[…]

[…]

[…]

[…] »

8

L’article 83 de ce règlement, intitulé « Conditions générales pour imposer des amendes administratives », est libellé comme suit :

« 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

4. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ;

a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43 ;

[…]

5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :

[…]

[…]

6. Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

8. L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

[…] »

9

L’article 84 dudit règlement, intitulé « Sanctions », dispose, à son paragraphe 1 :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »

10

L’article 29, paragraphe 3, du Viešųjų pirkimų įstatymas (loi relative aux marchés publics) mentionne certaines circonstances dans lesquelles le pouvoir adjudicateur a soit le droit, soit l’obligation, de retirer les procédures d’appel d’offres ou de concours engagées à son initiative et à tout moment avant la conclusion du marché public (ou du contrat préliminaire) ou la détermination du lauréat du concours.

11

L’article 72, paragraphe 2, de la loi relative aux marchés publics prévoit les étapes des négociations que le pouvoir adjudicateur mène dans le cadre d’une procédure négociée de marché public sans publication préalable.

12

Dans le contexte de la pandémie provoquée par le virus de la COVID–19, le Lietuvos Respublikos sveikatos apsaugos ministras (ministre de la santé de la République de Lituanie) a, par une première décision du 24 mars 2020, chargé le directeur du CNSP d’organiser l’acquisition immédiate d’un système informatique aux fins de l’enregistrement et du suivi des données des personnes exposées à ce virus, à des fins de suivi épidémiologique.

13

Par courriel du 27 mars 2020, une personne, se présentant comme un représentant du CNSP (ci-après « A.S. »), a informé la société UAB « IT sprendimai sėkmei » (ci-après la « société ITSS ») que le CNSP l’avait sélectionnée pour créer une application mobile à cet effet. A.S. a par la suite envoyé des courriels à la société ITSS relatifs à divers aspects de la création de cette application, une copie de ces courriels étant adressée au directeur du CNSP.

14

Au cours des négociations entre la société ITSS et le CNSP, outre A.S., d’autres employés du CNSP ont également adressé des courriels à cette société au sujet de la rédaction des questions posées dans l’application mobile en cause.

15

Lors de la création de cette application mobile, une politique de protection de la vie privée a été élaborée, dans laquelle la société ITSS et le CNSP étaient désignés comme étant responsables du traitement.

16

L’application mobile en cause, mentionnant la société ITSS et le CNSP, était disponible aux fins du téléchargement dans la boutique en ligne Google Play Store à partir du 4 avril 2020 et dans la boutique en ligne Apple App Store à partir du 6 avril 2020. Elle était fonctionnelle jusqu’au 26 mai 2020.

17

Entre le 4 avril 2020 et le 26 mai 2020, 3802 personnes ont fait usage de cette application et ont fourni les données les concernant demandées par ladite application, telles que le numéro d’identité, les coordonnées géographiques (latitude et longitude), le pays, la ville, la commune, le code postal, le nom de rue, le numéro de l’immeuble, le nom, le prénom, le code personnel, le numéro de téléphone et l’adresse.

18

Par une seconde décision du 10 avril 2020, le ministre de la santé de la République de Lituanie a décidé de confier au directeur du CNSP la tâche d’organiser l’acquisition de l’application mobile en cause auprès de la société ITSS et, à cet effet, il a été envisagé de recourir à l’article 72, paragraphe 2, de la loi relative aux marchés publics. Toutefois, aucun marché public visant l’acquisition officielle de cette application par le CNSP n’a été attribué à cette société.

19

En effet, le 15 mai 2020, le CNSP a demandé à ladite société de ne le mentionner en aucune manière dans l’application mobile en cause. En outre, par lettre du 4 juin 2020, le CNSP a informé la même société que, en raison d’un défaut de financement pour l’acquisition de cette application, il avait mis fin, conformément à l’article 29, paragraphe 3, de la loi relative aux marchés publics, à la procédure visant une telle acquisition.

20

Dans le cadre d’une enquête relative au traitement des données à caractère personnel entamée le 18 mai 2020, l’INPD a établi que des données à caractère personnel avaient été collectées à l’aide de l’application mobile en cause. De plus, il a été constaté que les utilisateurs ayant choisi cette application comme méthode de suivi de l’isolement rendu obligatoire en raison de la pandémie de COVID-19 avaient répondu à des questions impliquant le traitement de données à caractère personnel. Ces données auraient été fournies dans les réponses aux questions posées au moyen de ladite application et portaient, notamment, sur l’état de santé de la personne concernée et le respect, par celle-ci, des conditions de l’isolement.

21

Par décision du 24 février 2021, l’INPD a imposé une amende administrative de 12000 euros au CNSP en application de l’article 83 du RGPD, eu égard à la violation par celui-ci des articles 5, 13, 24, 32 et 35 de ce règlement. Par cette décision, une amende administrative de 3000 euros a également été imposée à la société ITSS en tant que responsable conjoint du traitement.

22

Le CNSP a contesté cette décision devant le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie), qui est la juridiction de renvoi, en faisant valoir que c’est la société ITSS qui doit être considérée comme étant le seul responsable du traitement, au sens de l’article 4, point 7, du RGPD. Pour sa part, la société ITSS soutient qu’elle a agi en qualité de sous-traitant, au sens de l’article 4, point 8, du RGPD, sur l’instruction du CNSP qui est, selon elle, le seul responsable du traitement.

23

La juridiction de renvoi relève que la société ITSS a créé l’application mobile en cause et que le CNSP l’a conseillée sur le contenu des questions posées au moyen de cette application. Cependant, il n’existerait pas de contrat de marché public entre le CNSP et la société ITSS. En outre, le CNSP n’aurait pas consenti à, ni autorisé la mise à disposition de cette application au moyen de diverses boutiques en ligne.

24

Cette juridiction précise que la création de l’application mobile en cause visait à mettre en œuvre l’objectif assigné par le CNSP, à savoir la gestion de la pandémie de COVID-19 par la création d’un outil informatique, et qu’il était prévu de traiter des données à caractère personnel à cette fin. S’agissant du rôle de la société ITSS, il n’aurait pas été prévu que cette société poursuive d’autres objectifs que celui de percevoir une rémunération pour le produit informatique créé.

25

Ladite juridiction observe également que, lors de l’enquête de l’INPD, il a été établi que la société lituanienne Juvare Lithuania, gérante du système informatique de suivi et de contrôle des maladies transmissibles présentant un risque de propagation, devait recevoir les copies des données à caractère personnel recueillies par l’application mobile en cause. En outre, aux fins de tester celle-ci, des données fictives ont été utilisées, à l’exception des numéros de téléphone des employés de ladite société.

26

Dans ces conditions, le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

27

Par ses première à troisième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 4, point 7, du RGPD doit être interprété en ce sens que peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité ayant chargé une entreprise de développer une application informatique mobile, alors que cette entité n’a pas procédé, elle-même, à des opérations de traitement de données à caractère personnel, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de cette application mobile et qu’elle n’a pas acquis ladite application mobile.

28

L’article 4, point 7, du RGPD définit de manière large la notion de « responsable du traitement » comme visant la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, « détermine les finalités et les moyens du traitement » de données à caractère personnel.

29

L’objectif de cette définition large consiste, en conformité avec celui du RGPD, à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques ainsi que, notamment, un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant (voir, en ce sens, arrêts du 29 juillet 2019, Fashion ID, C-40/17, EU:C:2019:629, point 66, et du 28 avril 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, point 73 ainsi que jurisprudence citée).

30

La Cour a déjà jugé que toute personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de telles données et participe de ce fait à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable dudit traitement. À cet égard, il n’est pas nécessaire que les finalités et les moyens du traitement soient déterminés au moyen de lignes directrices écrites ou de consignes de la part du responsable du traitement (voir, en ce sens, arrêt du 10 juillet 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, points 67 et 68), ni que celui-ci ait été formellement désigné comme tel.

31

Dès lors, pour établir si une entité, telle que le CNSP, peut être considérée comme étant responsable du traitement au sens de l’article 4, point 7, du RGPD, il convient d’examiner si cette entité a effectivement influé, à des fins qui lui sont propres, sur la détermination des finalités et des moyens de ce traitement.

32

En l’occurrence, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il ressort du dossier dont dispose la Cour que la création de l’application mobile en cause a été commandée par le CNSP et visait à mettre en œuvre l’objectif assigné par celui-ci, à savoir la gestion de la pandémie de COVID-19 par le biais d’un outil informatique aux fins de l’enregistrement et du suivi des données des personnes exposées au virus de la COVID-19. Le CNSP avait prévu à cette fin que les données à caractère personnel des utilisateurs de l’application mobile en cause soient traitées. Il ressort en outre de la décision de renvoi que les paramètres de cette application, tels que les questions posées et leur formulation, ont été adaptés aux besoins du CNSP et que celui-ci a joué un rôle actif dans leur détermination.

33

Dans ces conditions, il doit, en principe, être considéré que le CNSP a effectivement participé à la détermination des finalités et des moyens du traitement.

34

En revanche, le simple fait que le CNSP a été mentionné en tant que responsable du traitement dans la politique de protection de la vie privée de l’application mobile en cause et que des liens vers cette entité ont été inclus dans cette application pourrait être considéré comme pertinent uniquement pour autant qu’il soit établi que le CNSP a consenti, de manière expresse ou implicite, à cette mention ou à ces liens.

35

En outre, les circonstances mentionnées par la juridiction de renvoi dans le cadre des considérations venant au soutien de ses trois premières questions préjudicielles, à savoir que le CNSP n’a pas lui-même traité de données à caractère personnel, qu’il n’existait pas de contrat entre le CNSP et la société ITSS, que le CNSP n’a pas acquis l’application mobile en cause ou encore que la diffusion de cette application par le biais de boutiques en ligne n’a pas fait l’objet d’une autorisation par le CNSP, n’excluent pas que celui-ci puisse être qualifié de « responsable du traitement », au sens de l’article 4, point 7, du RGPD.

36

En effet, il ressort de cette disposition, lue à la lumière du considérant 74 du RGPD, qu’une entité, dès lors qu’elle répond à la condition posée par ledit article 4, point 7, est responsable non seulement pour tout traitement de données à caractère personnel qu’elle effectue elle-même, mais également pour celui qui est réalisé pour son compte.

37

À cet égard, il importe néanmoins de préciser que le CNSP ne saurait être considéré comme le responsable du traitement des données à caractère personnel résultant de la mise à disposition de l’application mobile en cause au public si, avant cette mise à disposition, il s’est expressément opposé à celle-ci, ce qu’il incombe à la juridiction de renvoi de vérifier. En effet, dans une telle hypothèse, il ne saurait être considéré que le traitement en cause a été effectué pour le compte du CNSP.

38

Eu égard aux motifs qui précédent, il y a lieu de répondre aux première à troisième questions que l’article 4, point 7, du RGPD doit être interprété en ce sens que peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.

39

Par sa cinquième question, qu’il convient d’examiner en deuxième lieu, la juridiction de renvoi demande, en substance, si l’article 4, point 7, et l’article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que la qualification de deux entités comme étant responsables conjoints du traitement présuppose l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ou l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement.

40

Conformément à l’article 26, paragraphe 1, du RGPD, il existe des « responsables conjoints du traitement » lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement.

41

Ainsi que la Cour l’a jugé, pour pouvoir être considérée comme étant responsable conjoint du traitement, une personne physique ou morale doit donc répondre de manière indépendante à la définition de « responsable du traitement » donnée à l’article 4, point 7, du RGPD (voir, en ce sens, arrêt du 29 juillet 2019, Fashion ID, C-40/17, EU:C:2019:629, point 74).

42

Cependant, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, point 43). Par ailleurs, la responsabilité conjointe de plusieurs acteurs pour un même traitement n’exige pas que chacun d’eux ait accès aux données à caractère personnel concernées (arrêt du 10 juillet 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, point 69 et jurisprudence citée).

43

Ainsi que l’a relevé M. l’avocat général au point 38 de ses conclusions, la participation à la détermination des finalités et des moyens du traitement peut prendre différentes formes, cette participation pouvant résulter tant d’une décision commune prise par deux entités ou plus que de décisions convergentes de telles entités. Or, dans ce dernier cas, lesdites décisions doivent se compléter, de telle sorte que chacune d’elles ait un effet concret sur la détermination des finalités et des moyens du traitement.

44

En revanche, il ne saurait être exigé qu’il existe un accord formel entre ces responsables du traitement quant aux finalités et aux moyens du traitement.

45

Certes, en vertu de l’article 26, paragraphe 1, du RGPD, lu à la lumière du considérant 79 de celui-ci, les responsables conjoints du traitement doivent, par voie d’accord entre eux, définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences de ce règlement. Toutefois, l’existence d’un tel accord constitue non pas une condition préalable pour que deux entités ou plus soient qualifiées de responsables conjoints du traitement, mais une obligation que cet article 26, paragraphe 1, impose aux responsables conjoints du traitement, une fois qualifiés de tels, aux fins d’assurer le respect des exigences du RGPD pesant sur eux. Ainsi, cette qualification découle du seul fait que plusieurs entités ont participé à la détermination des finalités et des moyens du traitement.

46

Eu égard aux motifs qui précédent, il y a lieu de répondre à la cinquième question que l’article 4, point 7, et l’article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ni l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement.

47

Par sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 4, point 2, du RGPD doit être interprété en ce sens que constitue un « traitement », au sens de cette disposition, l’utilisation de données à caractère personnel aux fins d’essais informatiques d’une application mobile.

48

En l’occurrence, ainsi qu’il ressort du point 25 du présent arrêt, la société lituanienne gérante du système informatique de suivi et de contrôle des maladies transmissibles présentant un risque de propagation devait recevoir les copies des données à caractère personnel recueillies par l’application mobile en cause. À des fins d’essais informatiques, des données fictives ont été utilisées, à l’exception des numéros de téléphone des employés de ladite société.

49

À cet égard, en premier lieu, l’article 4, point 2, du RGPD définit la notion de « traitement » comme étant « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ». Dans une énumération non exhaustive, introduite par la locution « telles que », cette disposition mentionne comme exemples de traitement la collecte, la mise à disposition et l’utilisation de données à caractère personnel.

50

Il ressort donc du libellé de cette disposition, notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large [voir, en ce sens, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C-175/20, EU:C:2022:124, point 35] et que les raisons pour lesquelles une opération ou un ensemble d’opérations sont effectuées ne sauraient être prises en compte pour déterminer si cette opération ou cet ensemble d’opérations constitue un « traitement », au sens de l’article 4, point 2, du RGPD.

51

Dès lors, la question de savoir si des données à caractère personnel sont utilisées en vue d’essais informatiques ou à une autre fin est sans incidence sur la qualification de l’opération en cause de « traitement », au sens de l’article 4, point 2, du RGPD.

52

En second lieu, il importe néanmoins de préciser que seul un traitement qui vise des « données à caractère personnel » constitue un « traitement », au sens de l’article 4, point 2, du RGPD.

53

L’article 4, point 1, du RGPD précise à cet égard qu’il faut entendre par « données à caractère personnel »« toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire à « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

54

Or, la circonstance à laquelle se réfère la juridiction de renvoi dans sa quatrième question, qu’il s’agit de « copies de données à caractère personnel », n’est pas, en tant que telle, de nature à dénier à ces copies la qualification de données à caractère personnel, au sens de l’article 4, point 1, du RGPD, pourvu que de telles copies contiennent effectivement des informations se rapportant à une personne physique identifiée ou identifiable.

55

Il convient, toutefois, de constater que des données fictives, dès lors qu’elles se rapportent non pas à une personne physique identifiée ou identifiable mais à une personne qui, en réalité, n’existe pas, ne constituent pas des données à caractère personnel, au sens de l’article 4, point 1, du RGPD.

56

Il en va de même en ce qui concerne des données utilisées à des fins d’essais informatiques qui sont anonymes ou ont été anonymisées.

57

En effet, il découle du considérant 26 du RGPD ainsi que de la définition même de la notion de « données à caractère personnel », fournie par l’article 4, point 1, de ce règlement, que ne relèvent pas de cette notion les « informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable », ni les « données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable ».

58

En revanche, il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui ont seulement fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable, auxquelles s’appliquent les principes relatifs à la protection des données.

59

Eu égard aux motifs qui précédent, il y a lieu de répondre à la quatrième question que l’article 4, point 2, du RGPD doit être interprété en ce sens que constitue un « traitement », au sens de cette disposition, l’utilisation de données à caractère personnel aux fins d’essais informatiques d’une application mobile, à moins que de telles données n’aient été rendues anonymes de telle sorte que la personne concernée par ces données n’est pas ou n’est plus identifiable ou qu’il ne s’agisse de données fictives qui ne se rapportent pas à une personne physique existante.

60

Par sa sixième question, la juridiction de renvoi demande, en substance, si l’article 83 du RGPD doit être interprété en ce sens que, d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et, d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement effectuées par un sous-traitant pour le compte de celui-ci.

61

S’agissant, en premier lieu, du point de savoir si une amende administrative peut être imposée en application de l’article 83 du RGPD seulement dans la mesure où il est établi que le responsable du traitement ou le sous-traitant a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article, il ressort du paragraphe 1 dudit article que ces amendes doivent être effectives, proportionnées et dissuasives. En revanche, l’article 83 du RGPD ne précise pas expressément qu’une telle violation ne peut être sanctionnée par une telle amende que si elle a été commise délibérément ou, à tout le moins, par négligence.

62

Le gouvernement lituanien et le Conseil de l’Union européenne en déduisent que le législateur de l’Union a entendu laisser aux États membres une certaine marge d’appréciation dans la mise en œuvre de l’article 83 du RGPD, leur permettant de prévoir l’imposition d’amendes administratives en application de cette disposition, le cas échéant, sans qu’il soit établi que la violation du RGPD sanctionnée par cette amende a été commise délibérément ou par négligence.

63

Une telle interprétation de l’article 83 du RGPD ne saurait être retenue.

64

À cet égard, il importe de rappeler que, en vertu de l’article 288 TFUE, les dispositions des règlements ont, en général, un effet immédiat dans les ordres juridiques nationaux, sans que les autorités nationales aient besoin de prendre des mesures d’application. Néanmoins, certaines dispositions des règlements peuvent nécessiter, pour leur mise en œuvre, l’adoption de mesures d’application par les États membres (voir, en ce sens, arrêt du 28 avril 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, point 58 et jurisprudence citée).

65

C’est notamment le cas du RGPD dont certaines dispositions ouvrent la possibilité aux États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, qui laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (arrêt du 28 avril 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, point 57).

66

De même, en l’absence de règles procédurales spécifiques dans le RGPD, il appartient à l’ordre juridique de chaque État membre de fixer, sous réserve du respect des principes d’équivalence et d’effectivité, les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent des dispositions de ce règlement [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, points 53 et 54 ainsi que jurisprudence citée].

67

Cependant, rien dans le libellé de l’article 83, paragraphes 1 à 6, du RGPD ne permet de considérer que le législateur de l’Union aurait entendu laisser une marge d’appréciation aux États membres en ce qui concerne les conditions de fond devant être respectées par une autorité de contrôle lorsque celle-ci décide d’imposer une amende administrative à un responsable du traitement pour une violation visée aux paragraphes 4 à 6 de cet article.

68

Certes, d’une part, l’article 83, paragraphe 7, du RGPD prévoit que chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire. D’autre part, il ressort de l’article 83, paragraphe 8, de ce règlement, lu à la lumière du considérant 129 de celui-ci, que l’exercice, par l’autorité de contrôle, des pouvoirs que lui confère cet article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

69

Toutefois, le fait que ledit règlement donne ainsi aux États membres la possibilité de prévoir des exceptions par rapport aux autorités publiques et aux organismes publics établis sur leur territoire ainsi que des exigences concernant la procédure à suivre par les autorités de contrôle pour imposer une amende administrative ne signifie nullement que ces États seraient également habilités à prévoir, au-delà de telles exceptions et exigences de nature procédurale, des conditions de fond devant être respectées pour engager la responsabilité du responsable du traitement et lui imposer une amende administrative en application dudit article 83. En outre, le fait que le législateur de l’Union a pris le soin de prévoir expressément cette possibilité mais non pas celle de prévoir de telles conditions de fond confirme qu’il n’a pas laissé aux États membres une marge d’appréciation à cet égard.

70

Cette constatation est également corroborée par une lecture conjointe des articles 83 et 84 du RGPD. En effet, l’article 84, paragraphe 1, de ce règlement admet que les États membres conservent la compétence pour déterminer le régime des « autres sanctions applicables » en cas de violations de ce règlement, « en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83 ». Il résulte ainsi d’une telle lecture conjointe de ces dispositions qu’échappe à cette compétence la détermination des conditions de fond permettant d’infliger de telles amendes administratives. Ces conditions relèvent dès lors uniquement du droit de l’Union.

71

En ce qui concerne lesdites conditions, il y a lieu de relever que l’article 83, paragraphe 2, du RGPD énumère les éléments au vu desquels l’autorité de contrôle impose une amende administrative au responsable du traitement. Parmi ces éléments figure, au point b) de cette disposition, « le fait que la violation a été commise délibérément ou par négligence ». En revanche, aucun des éléments énumérés à ladite disposition ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part.

72

En outre, il importe de lire l’article 83, paragraphe 2, du RGPD, en combinaison avec le paragraphe 3 de cet article dont l’objet est de prévoir les conséquences des cas de cumul de violations de ce règlement et aux termes duquel « si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave ».

73

Il découle ainsi du libellé de l’article 83, paragraphe 2, du RGPD que seules les violations des dispositions de ce règlement commises de manière fautive par le responsable du traitement, à savoir celles commises délibérément ou par négligence, peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de cet article.

74

L’économie générale et la finalité du RGPD corroborent cette lecture.

75

D’une part, le législateur de l’Union a prévu un système de sanctions permettant aux autorités de contrôle d’imposer les sanctions les plus appropriées selon les circonstances de chaque cas.

76

En effet, l’article 58 du RGPD, qui fixe les pouvoirs des autorités de contrôle, prévoit, à son paragraphe 2, sous i), que ces autorités peuvent imposer les amendes administratives, en application de l’article 83 de ce règlement, « en complément ou à la place » des autres mesures correctrices énumérées à cet article 58, paragraphe 2, telles que des avertissements, des rappels à l’ordre ou des injonctions. De même, le considérant 148 dudit règlement énonce notamment qu’il est permis aux autorités de contrôle, lorsqu’il s’agit d’une violation mineure ou si l’amende administrative susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, de s’abstenir d’imposer une amende administrative et, à sa place, de prononcer un rappel à l’ordre.

77

D’autre part, il ressort, en particulier, du considérant 10 du RGPD que les dispositions de celui–ci ont, notamment, pour objectifs d’assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union et, à cette fin, d’assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement de telles données dans l’ensemble de l’Union. Les considérants 11 et 129 du RGPD soulignent, par ailleurs, la nécessité d’assurer, afin de veiller à une application cohérente de ce règlement, que les autorités de contrôle disposent de pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et qu’elles puissent infliger des sanctions équivalentes en cas de violations dudit règlement.

78

L’existence d’un système de sanctions permettant d’imposer, lorsque les circonstances spécifiques de chaque cas d’espèce le justifient, une amende administrative en application de l’article 83 du RGPD crée, pour les responsables du traitement et les sous-traitants, une incitation à se conformer à ce règlement. Par leur effet dissuasif, les amendes administratives contribuent au renforcement de la protection des personnes physiques à l’égard du traitement des données à caractère personnel et constituent dès lors un élément clé pour garantir le respect des droits de ces personnes, conformément à la finalité de ce règlement d’assurer un niveau élevé de protection de telles personnes à l’égard du traitement des données à caractère personnel.

79

Cependant, le législateur de l’Union n’a pas jugé nécessaire, pour assurer un tel niveau élevé de protection, de prévoir l’imposition d’amendes administratives en l’absence de faute. Compte tenu du fait que le RGPD vise un niveau de protection à la fois équivalent et homogène et qu’il doit, à cette fin, être appliqué de manière cohérente dans l’ensemble de l’Union, il serait contraire à cette finalité de permettre aux États membres de prévoir un tel régime pour l’imposition d’une amende en application de l’article 83 de ce règlement. Une telle liberté de choix serait, en outre, de nature à fausser la concurrence entre les opérateurs économiques au sein de l’Union, ce qui irait à l’encontre des objectifs exprimés par le législateur de l’Union, notamment, aux considérants 9 et 13 dudit règlement.

80

En conséquence, il y a lieu de constater que l’article 83 du RGPD ne permet pas d’imposer une amende administrative pour une violation visée à ses paragraphes 4 à 6, sans qu’il soit établi que cette violation a été commise délibérément ou par négligence par le responsable du traitement, et que, partant, une violation fautive constitue une condition à l’imposition d’une telle amende.

81

À cet égard, il importe encore de préciser, s’agissant de la question de savoir si une violation a été commise délibérément ou par négligence et est, de ce fait, susceptible d’être sanctionnée par une amende administrative au titre de l’article 83 du RGPD, qu’un responsable du traitement peut être sanctionné pour un comportement entrant dans le champ d’application du RGPD dès lors que ce responsable du traitement ne pouvait ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD (voir, par analogie, arrêts du 18 juin 2013, Schenker & Co. e.a., C-681/11, EU:C:2013:404, point 37 ainsi que jurisprudence citée ; du 25 mars 2021, Lundbeck/Commission, C-591/16 P, EU:C:2021:243, point 156, et du 25 mars 2021, Arrow Group et Arrow Generics/Commission, C-601/16 P, EU:C:2021:244, point 97).

82

Lorsque le responsable du traitement est une personne morale, il convient encore de préciser que l’application de l’article 83 du RGPD ne suppose pas une action ou même une connaissance de l’organe de gestion de cette personne morale (voir, par analogie, arrêts du 7 juin 1983, Musique Diffusion française e.a./Commission, 100/80 à 103/80, EU:C:1983:158, point 97, ainsi que du 16 février 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commission, C-94/15 P, EU:C:2017:124, point 28 et jurisprudence citée).

83

S’agissant, en second lieu, de la question de savoir si une amende administrative peut être imposée en application de l’article 83 du RGPD à un responsable du traitement au regard des opérations de traitement effectuées par un sous-traitant, il importe de rappeler que, selon la définition figurant à l’article 4, point 8, du RGPD, est un sous-traitant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

84

Dès lors que, ainsi qu’il a été indiqué au point 36 du présent arrêt, un responsable du traitement est responsable non seulement pour tout traitement de données à caractère personnel qu’il effectue lui-même, mais également pour les traitements réalisés pour son compte, ce responsable peut se voir imposer une amende administrative en application de l’article 83 du RGPD dans une situation où des données à caractère personnel font l’objet d’un traitement illicite et où ce n’est pas un tel responsable, mais un sous–traitant auquel celui-ci a fait appel, qui a effectué ledit traitement pour le compte de ce dernier.

85

Toutefois, la responsabilité du responsable du traitement pour le comportement d’un sous-traitant ne saurait s’étendre aux situations dans lesquelles le sous-traitant a traité des données à caractère personnel pour des finalités qui lui sont propres ou dans lesquelles ce dernier a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti. En effet, conformément à l’article 28, paragraphe 10, du RGPD, le sous-traitant doit, dans une telle hypothèse, être considéré comme étant responsable du traitement en ce qui concerne un tel traitement.

86

Eu égard aux considérations qui précédent, il y a lieu de répondre à la sixième question que l’article 83 du RGPD doit être interprété en ce sens que, d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et, d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données à caractère personnel effectuées par un sous-traitant pour le compte de celui-ci, sauf si, dans le cadre de ces opérations, ce sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti.

87

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (grande chambre) dit pour droit :

Signatures