–

pour TR, par Me F. Wittmaack, Rechtsanwalt,

–

pour le Land Hessen, par Mes M. Kottmann et G. Ziegenhorn, Rechtsanwälte,

–

pour le gouvernement autrichien, par Mmes J. Schmoll et M.-T. Rappersberger, en qualité d’agents,

–

pour le gouvernement portugais, par Mmes P. Barros da Costa, M. J. Ramos et C. Vieira Guerra, en qualité d’agents,

–

pour le gouvernement roumain, par Mmes L.-E. Baţagoi et E. Gane, en qualité d’agents,

–

pour le gouvernement norvégien, par M. S.-E. Jahr Dahl, Mmes L. M. Moen Jünge et M. Munthe Kaas, en qualité d’agents,

–

pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,

1

La demande de décision préjudicielle porte sur l’interprétation de l’article 57, paragraphe 1, sous a) et f), de l’article 58, paragraphe 2, ainsi que de l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2

Cette demande a été présentée dans le cadre d’un litige opposant TR au Land Hessen (Land de Hesse, Allemagne) au sujet de l’abstention du Hessischer Beauftragte für Datenschutz und Informationsfreiheit (commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne) (ci-après le « HBDI ») de prendre des mesures correctrices à l’égard de la Sparkasse X (Caisse d’épargne de X, ci-après la « Caisse d’épargne »).

3

Aux termes des considérants 6, 7, 10, 129 et 148 du RGPD :

[…]

[…]

[…]

4

L’article 5 de ce règlement est ainsi libellé :

« 1. Les données à caractère personnel doivent être :

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

5

L’article 24, paragraphe 1, dudit règlement prévoit :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

6

L’article 33 du même règlement dispose :

« 1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. […]

[…]

3. La notification visée au paragraphe 1 doit, à tout le moins :

[…] »

7

L’article 34, paragraphe 1, du RGPD énonce :

« Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. »

8

Le chapitre VI de ce règlement, intitulé « Autorités de contrôle indépendantes », comprend les articles 51 à 59 de celui-ci.

9

L’article 51, paragraphe 1, dudit règlement est ainsi libellé :

« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »

10

L’article 57 du RGPD, intitulé « Missions », prévoit, à son paragraphe 1 :

« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :

[…]

[…] »

11

L’article 58 de ce règlement, intitulé « Pouvoirs », dispose, à ses paragraphes 1 et 2 :

« 1. Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants :

[…]

2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :

[…]

[…] »

12

L’article 77 dudit règlement est ainsi libellé :

« 1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. »

13

L’article 83, paragraphes 1 et 2, du même règlement énonce :

« 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

14

La Caisse d’épargne est un établissement communal de droit public qui effectue, notamment, des opérations bancaires et de crédit. Le 15 novembre 2019, elle a notifié au HBDI, conformément à l’article 33 du RGPD, une violation de données à caractère personnel, constituée par le fait que l’une de ses employées avait consulté à plusieurs reprises, sans y être habilitée, des données à caractère personnel de TR, l’un de ses clients. La Caisse d’épargne s’est abstenue de communiquer à TR la violation de ses données à caractère personnel.

15

Après avoir pris incidemment connaissance du fait que ses données à caractère personnel avaient été indûment consultées, TR a, le 27 juillet 2020, introduit une réclamation auprès du HBDI sur le fondement de l’article 77 du RGPD. Dans cette réclamation, il dénonçait le fait que la violation de ses données à caractère personnel ne lui avait pas été communiquée, en méconnaissance de l’article 34 de ce règlement. Il critiquait également la durée de conservation du registre d’accès de la Caisse d’épargne, fixée à seulement trois mois, ainsi que les droits de consultation étendus dont jouissent les membres de son personnel.

16

À la suite de la réclamation introduite par TR, le HBDI a entendu la Caisse d’épargne par écrit et oralement sur les reproches formulés à son égard. Au cours de l’audition, la Caisse d’épargne a indiqué qu’elle s’était abstenue de procéder à une communication au titre de l’article 34 du RGPD, car son délégué à la protection des données avait estimé qu’il n’y avait pas de risque élevé pour les droits et les libertés de TR. En effet, des mesures disciplinaires avaient été prises contre l’employée concernée et celle-ci avait confirmé par écrit qu’elle n’avait ni copié ni conservé les données à caractère personnel, qu’elle ne les avait pas transmises à des tiers et qu’elle ne le ferait pas à l’avenir. Par ailleurs, le HBDI ayant critiqué la durée trop courte de conservation des registres d’accès, la Caisse d’épargne l’a informé que cette question ferait l’objet d’un réexamen.

17

Par une décision du 3 septembre 2020, le HBDI a informé TR que la Caisse d’épargne n’avait pas enfreint l’article 34 du RGPD, puisque l’appréciation de la Caisse d’épargne selon laquelle la violation de données à caractère personnel commise n’était pas susceptible d’engendrer un risque élevé pour ses droits et ses libertés, au sens de cet article, n’était pas manifestement erronée. En effet, même si les données avaient été consultées par l’employée, rien n’indiquait que celle-ci les avait transmises à des tiers ou les avait utilisées au détriment de TR. En outre, le HBDI a indiqué qu’il avait invité la Caisse d’épargne à conserver désormais son registre d’accès pendant une période plus longue que trois mois. Enfin, s’agissant de la question de l’accès des employés de la Caisse d’épargne aux données à caractère personnel, le HBDI a rejeté la réclamation introduite par TR, en soulignant que des droits d’accès étendus peuvent, en principe, être accordés lorsque la certitude existe que chaque utilisateur est informé des conditions dans lesquelles il peut accéder aux données. Ainsi, selon le HBDI, un contrôle de principe de chaque accès ne serait pas nécessaire.

18

TR a introduit un recours contre cette décision devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), la juridiction de renvoi, en lui demandant d’enjoindre au HBDI d’intervenir contre la Caisse d’épargne.

19

À l’appui de son recours, TR fait valoir que le HBDI n’a pas traité sa réclamation comme l’exige le RGPD, c’est-à-dire en ayant égard à l’ensemble des circonstances de fait, et ajoute que le HBDI aurait dû infliger une amende à la Caisse d’épargne compte tenu des différentes violations par celle-ci des dispositions de ce règlement, en particulier de l’article 5, de l’article 12, paragraphe 3, de l’article 15, paragraphe 1, sous c), de l’article 33, paragraphe 1, et de l’article 33, paragraphe 3, de celui-ci. De l’avis de TR, en cas de violation avérée dudit règlement, comme en l’occurrence, le principe d’opportunité ne jouerait pas, de sorte qu’il serait loisible au HBDI non pas de décider d’agir ou non, mais, à la rigueur, de choisir les mesures à prendre.

20

À cet égard, la juridiction de renvoi s’interroge en substance sur le point de savoir si, en cas de violation avérée de dispositions relatives à la protection de données à caractère personnel, le RGPD doit être interprété en ce sens que l’autorité de contrôle est tenue d’adopter des mesures correctrices au titre de l’article 58, paragraphe 2, de ce règlement, telle une amende administrative, ou bien en ce sens que cette autorité dispose d’un pouvoir d’appréciation l’autorisant, selon les circonstances, à s’abstenir de prendre de telles mesures.

21

La juridiction de renvoi expose que la première interprétation, qui est celle préconisée par TR ainsi que par une partie de la doctrine, est fondée sur le fait que les pouvoirs dont dispose une autorité de contrôle d’adopter des mesures correctrices visent à rétablir des situations conformes lorsque des citoyens voient un traitement de données empiéter sur leurs droits. L’article 58, paragraphe 2, du RGPD devrait ainsi se comprendre comme une source d’obligation qui fonde un droit du citoyen à une action des autorités lorsqu’une entreprise ou une autorité a traité illégalement des données à caractère personnel du citoyen ou violé des droits d’une autre manière. En cas de violation avérée de la protection des données, l’autorité de contrôle serait donc tenue de prendre des mesures correctrices, le seul pouvoir discrétionnaire qui lui resterait étant celui de choisir laquelle des mesures prévues elle prend.

22

La juridiction de renvoi doute cependant du bien-fondé de cette interprétation, qu’elle juge trop extensive, et incline plutôt à reconnaître à l’autorité de contrôle une marge d’appréciation l’autorisant, dans certains cas, à s’abstenir de prendre une mesure correctrice, en particulier d’infliger une sanction, en cas de violation avérée. Quand bien même l’autorité de contrôle aurait, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, l’obligation de procéder à un examen au fond attentif des réclamations et d’examiner chaque cas particulier, elle ne serait pas pour autant tenue d’adopter une mesure correctrice dans toute situation. Ainsi, elle ne serait pas soumise à pareille obligation lorsque des règles relatives à la protection des données à caractère personnel ont été violées dans le passé, mais que le responsable du traitement a pris des mesures qui ne laissent pas présager qu’une violation de la protection des données se reproduise.

23

Dans ces conditions, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« Les dispositions combinées de l’article 57, paragraphe 1, sous a) et f), de l’article 58, paragraphe 2, sous a) à j), et de l’article 77, paragraphe 1, du [RGPD] doivent-elles être interprétées en ce sens que l’autorité de contrôle est toujours tenue d’intervenir au titre de l’article 58, paragraphe 2, [de ce règlement] lorsqu’elle constate un traitement de données qui empiète sur les droits de la personne concernée ? »

24

Sans contester expressément la recevabilité de la demande de décision préjudicielle, TR fait valoir qu’une réponse à la question posée n’est pas nécessaire pour trancher le litige au principal. Son recours viserait seulement à ce que la juridiction de renvoi condamne le HBDI à se prononcer sur les griefs soulevés dans la réclamation, conformément à l’article 57, paragraphe 1, sous f), du RGPD, et non pas à ce qu’elle le condamne à faire usage des pouvoirs qui lui sont conférés par l’article 58, paragraphe 2, de ce règlement.

25

À cet égard, il y a lieu de rappeler que, dans le cadre de la coopération entre la Cour et les juridictions nationales instituée à l’article 267 TFUE, il appartient au seul juge national, qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. Par conséquent, dès lors que les questions posées portent sur l’interprétation du droit de l’Union, la Cour est, en principe, tenue de statuer (arrêt du 30 novembre 2023, Ministero dell’Istruzione et INPS, C-270/22, EU:C:2023:933, point 33 ainsi que jurisprudence citée).

26

Il s’ensuit que les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une demande formée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (arrêt du 30 novembre 2023, Ministero dell’Istruzione et INPS, C-270/22, EU:C:2023:933, point 34 ainsi que jurisprudence citée).

27

En l’occurrence, la juridiction de renvoi souligne que TR a fait valoir un droit à l’intervention du HBDI et affirmé que celui-ci était tenu d’infliger une amende à la Caisse d’épargne.

28

Dès lors, il n’apparaît pas de manière manifeste que l’interprétation sollicitée du droit de l’Union n’ait aucun rapport avec la réalité ou l’objet du litige au principal.

29

Partant, la demande de décision préjudicielle est recevable.

30

Afin de répondre à la question posée, il convient de rappeler, à titre liminaire, que l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C-26/22 et C-64/22, EU:C:2023:958, point 48 ainsi que jurisprudence citée].

31

Il y a lieu également de rappeler que, conformément à l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne ainsi qu’à l’article 51, paragraphe 1, et à l’article 57, paragraphe 1, sous a), du RGPD, les autorités nationales de contrôle sont chargées de contrôler le respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C-26/22 et C-64/22, EU:C:2023:958, point 55 ainsi que jurisprudence citée].

32

En particulier, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, d’en examiner l’objet, dans la mesure nécessaire, et d’informer l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable. L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise [voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C-26/22 et C-64/22, EU:C:2023:958, point 56 ainsi que jurisprudence citée].

33

Afin de traiter les réclamations ainsi introduites, l’article 58, paragraphe 1, du RGPD investit chaque autorité de contrôle d’importants pouvoirs d’enquête. Lorsqu’une telle autorité constate, à l’issue de son enquête, une violation des dispositions de ce règlement, elle est tenue de réagir de manière appropriée afin de remédier à l’insuffisance constatée, toute mesure devant, comme le précise le considérant 129 dudit règlement, notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect dudit règlement, compte tenu des circonstances de l’espèce. À cet effet, l’article 58, paragraphe 2, du même règlement énumère les différentes mesures correctrices que l’autorité de contrôle peut adopter [voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C-26/22 et C-64/22, EU:C:2023:958, point 57 ainsi que jurisprudence citée].

34

Ainsi, en vertu de l’article 58, paragraphe 2, du RGPD, l’autorité de contrôle dispose du pouvoir, notamment, de rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions de ce règlement [point b)], d’ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application dudit règlement [point c)], d’ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du même règlement, le cas échéant, de manière spécifique et dans un délai déterminé [point d)], ou encore d’imposer une amende administrative en application de l’article 83 du RGPD, en complément ou à la place des mesures visées à cet article 58, paragraphe 2, en fonction des caractéristiques propres à chaque cas [point i)].

35

Dès lors, la procédure de réclamation est conçue comme un mécanisme apte à sauvegarder de manière efficace les droits et les intérêts des personnes concernées [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C-26/22 et C-64/22, EU:C:2023:958, point 58].

36

En l’occurrence, il ressort de la demande de décision préjudicielle que le HBDI a examiné sur le fond la réclamation dont l’avait saisi le requérant au principal et a informé celui-ci de l’issue de l’enquête. Plus spécifiquement, le HBDI a confirmé qu’une violation des données à caractère personnel de ce dernier s’était produite au sein de la Caisse d’épargne, consistant en l’accès non autorisé à celles-ci par une de ses employées. Toutefois, s’agissant des droits de consultation des membres du personnel de la Caisse d’épargne, le HBDI a rejeté la réclamation introduite par le requérant au principal. En outre, il a conclu qu’il n’y avait pas lieu d’intervenir contre la Caisse d’épargne au titre de l’article 58, paragraphe 2, du RGPD.

37

À cet égard, il convient de relever que le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée puisque l’article 58, paragraphe 2, de celui-ci confère à cette autorité le pouvoir d’adopter diverses mesures correctrices. Ainsi, la Cour a déjà jugé que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle, qui doit opérer ce choix en prenant en considération toutes les circonstances du cas concret et en s’acquittant avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C-311/18, EU:C:2020:559, point 112).

38

Cette marge d’appréciation est cependant limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles, ainsi qu’il ressort des considérants 7 et 10 du RGPD.

39

S’agissant, plus particulièrement, des amendes administratives visées à l’article 58, paragraphe 2, sous i), du RGPD, il ressort de l’article 83, paragraphe 2, de ce règlement que celles-ci sont imposées, selon les caractéristiques propres à chaque cas, en complément ou à la place des autres mesures visées à cet article 58, paragraphe 2. En outre, cet article 83, paragraphe 2, précise que, pour décider s’il y a lieu d’imposer une amende administrative et pour décider de son montant, l’autorité de contrôle doit dûment tenir compte, dans chaque cas d’espèce, des éléments figurant aux points a) à k) de cette disposition, tels que la nature, la gravité et la durée de la violation.

40

Ainsi, le système de sanctions prévu par le législateur de l’Union permet aux autorités de contrôle d’imposer les sanctions les plus appropriées et justifiées selon les circonstances de chaque cas (voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, points 75 et 78), en prenant en considération, comme il a été rappelé aux points 37 et 38 du présent arrêt, la nécessité de veiller au plein respect du RGPD ainsi que de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles.

41

Dès lors, il ne saurait être déduit ni de l’article 58, paragraphe 2, du RGPD ni de l’article 83 de celui-ci l’existence d’une obligation à la charge de l’autorité de contrôle d’adopter, dans tous les cas, lorsqu’elle constate une violation de données à caractère personnel, une mesure correctrice, en particulier une amende administrative, son obligation étant, en pareilles circonstances, de réagir de manière appropriée afin de remédier à l’insuffisance constatée. Dans ces conditions, ainsi que M. l’avocat général l’a relevé au point 81 de ses conclusions, l’auteur d’une réclamation dont les droits ont été enfreints ne dispose pas d’un droit subjectif à voir l’autorité de contrôle imposer une amende administrative au responsable du traitement.

42

En revanche, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

43

À cet égard, il n’est pas exclu que, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, l’autorité de contrôle puisse s’abstenir d’adopter une mesure correctrice bien qu’une violation de données à caractère personnel ait été constatée. Tel pourrait être le cas, notamment, lorsque la violation constatée n’a pas persisté, par exemple lorsque le responsable du traitement, qui avait, en principe, mis en œuvre des mesures techniques et organisationnelles appropriées au sens de l’article 24 du RGPD, a, dès qu’il a eu connaissance de cette violation, pris les mesures appropriées et nécessaires pour que ladite violation prenne fin et ne se reproduise pas, compte tenu des obligations lui incombant, notamment, au titre de l’article 5, paragraphe 2, et de l’article 24 de ce règlement.

44

L’interprétation selon laquelle l’autorité de contrôle, lorsqu’elle constate une violation de données à caractère personnel, n’est pas tenue d’adopter dans tous les cas une mesure correctrice au titre de l’article 58, paragraphe 2, du RGPD est corroborée par les objectifs poursuivis respectivement par cet article 58, paragraphe 2, ainsi que par l’article 83 de ce règlement.

45

En ce qui concerne l’objectif poursuivi par l’article 58, paragraphe 2, du RGPD, il ressort du considérant 129 de celui-ci que cette disposition vise à assurer la conformité du traitement de données à caractère personnel à ce règlement ainsi que le rétablissement de situations de violation de ce dernier pour les rendre conformes au droit de l’Union, grâce à l’intervention des autorités nationales de contrôle (arrêt du 14 mars 2024, Újpesti Polgármesteri Hivatal, C-46/23, EU:C:2024:239, point 40).

46

Il s’ensuit que l’adoption d’une mesure correctrice peut, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, ne pas s’imposer, pourvu que la situation de violation du RGPD ait déjà été rétablie et que la conformité des traitements de données à caractère personnel à ce règlement par leur responsable soit assurée, et qu’une telle abstention de l’autorité de contrôle ne soit pas de nature à porter atteinte à l’exigence d’une application rigoureuse des règles, telle que rappelée au point 38 du présent arrêt.

47

Quant à l’objectif poursuivi par l’article 83 du RGPD, relatif à l’imposition d’amendes administratives, celui-ci consiste, aux termes du considérant 148 de ce règlement, à renforcer l’application des règles de ce dernier. Toutefois, ce même considérant énonce que, en cas de violation mineure dudit règlement ou si l’amende administrative susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, il est permis aux autorités de contrôle de s’abstenir d’imposer une amende administrative et, à sa place, de prononcer un rappel à l’ordre (voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, point 76).

48

En l’occurrence, il ressort de la demande de décision préjudicielle que la Caisse d’épargne a notifié au HBDI, conformément à l’article 33 du RGPD, la violation des données à caractère personnel du requérant au principal, résultant de l’accès non autorisé à celles-ci par l’une de ses employées. En outre, elle a indiqué que des mesures disciplinaires avaient été prises contre cette employée et que la durée de conservation du registre d’accès ferait l’objet d’un réexamen. C’est dans ces conditions que le HBDI s’est abstenu d’adopter une mesure correctrice au titre de l’article 58, paragraphe 2, du RGPD, et notamment d’imposer une amende administrative.

49

Les décisions sur réclamation adoptées par une autorité de contrôle étant soumises à un contrôle juridictionnel entier [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C-26/22 et C-64/22, EU:C:2023:958, point 70], il incombe à la juridiction de renvoi de vérifier si le HBDI a procédé au traitement de la réclamation concernée avec toute la diligence requise et si, en adoptant la décision en cause au principal, le HBDI a respecté les limites de la marge d’appréciation que lui confère l’article 58, paragraphe 2, du RGPD [voir, par analogie, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C-26/22 et C-64/22, EU:C:2023:958, points 68 et 69 ainsi que jurisprudence citée].

50

Compte tenu de l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 57, paragraphe 1, sous a) et f), l’article 58, paragraphe 2, et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, au titre de cet article 58, paragraphe 2, lorsqu’une telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

51

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 57, paragraphe 1, sous a) et f), l’article 58, paragraphe 2, et l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, au titre de cet article 58, paragraphe 2, lorsqu’une telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

Signatures