Affaire C-768/21

TR

contre

Land Hessen

(demande de décision préjudicielle, introduite par le Verwaltungsgericht Wiesbaden)

Arrêt de la Cour (première chambre) du 26 septembre 2024

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 57, paragraphe 1, sous a) et f) – Missions de l’autorité de contrôle – Article 58, paragraphe 2 – Mesures correctrices – Amende administrative – Marge d’appréciation de l’autorité de contrôle – Limites »

1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Autorités nationales de contrôle – Pouvoirs – Adoption de mesures correctrices, y compris d’amendes administratives – Marge d’appréciation – Limites

   [Règlement du Parlement européen et du Conseil 2016/679, considérants 129 et 148 et art. 57, § 1, a) et f), 58, § 1 et 2, 77, § 1, et 83]

   (voir points 33, 37-47, 50 et disp.)

2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Voies de recours – Recours juridictionnel contre une décision sur réclamation prise par une autorité de contrôle – Contrôle juridictionnel – Portée – Limites – Absence

   (Règlement du Parlement européen et du Conseil 2016/679, art. 58, § 2, et 78)

   (voir point 49)

Résumé

Saisie à titre préjudiciel par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), la Cour se prononce sur la marge d’appréciation dont une autorité de contrôle dispose aux fins de l’adoption, en cas de violation avérée des dispositions relatives à la protection des données à caractère personnel, de mesures correctrices, incluant, entre autres, une amende administrative.

Une employée de la Caisse d’épargne, établissement communal de droit public effectuant, notamment, des opérations bancaires et de crédit, avait consulté, à plusieurs reprises, sans y être habilitée, des données à caractère personnel de TR, l’un des clients de cet établissement. Après avoir pris incidemment connaissance de cette consultation, TR a introduit une réclamation auprès de l’autorité de contrôle compétente, à savoir le Hessischer Beauftragte für Datenschutz und Informationsfreiheit (commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne) (ci-après le « HBDI »). Dans cette réclamation, il dénonçait le fait que la Caisse d’épargne s’était abstenue de lui communiquer la violation de ses données.

Par décision du 3 septembre 2020, le HBDI a informé TR que, en ne lui communiquant pas la violation de ses données à caractère personnel, la Caisse d’épargne n’a pas méconnu le RGPD ( 1 ), puisque cette violation n’était pas susceptible d’engendrer un risque élevé pour les droits et les libertés de TR. Par ailleurs, le HBDI a considéré qu’il n’y avait pas lieu de prendre, à l’égard de cet établissement, des mesures correctrices.

TR a introduit un recours contre cette décision devant la juridiction de renvoi, en lui demandant d’enjoindre au HBDI d’intervenir contre la Caisse d’épargne. À l’appui de son recours, il a fait valoir, notamment, que le HBDI n’avait pas traité sa réclamation comme l’exigeait le RGPD et que le HBDI aurait dû infliger une amende à la Caisse d’épargne.

Nourrissant des doutes quant à l’obligation pour cette autorité de contrôle d’adopter des mesures correctrices en l’occurrence, la juridiction de renvoi a interrogé la Cour sur l’interprétation du RGPD ( 2 ).

Appréciation de la Cour

Tout d’abord, la Cour souligne que le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée, puisque ce règlement confère à cette autorité le pouvoir d’adopter diverses mesures correctrices ( 3 ). En effet, le choix du moyen approprié et nécessaire relève de l’autorité de contrôle, qui doit prendre en considération toutes les circonstances du cas concret et s’acquitter avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD ( 4 ). Cependant, cette marge d’appréciation est limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles.

Ensuite, s’agissant, plus particulièrement, des amendes administratives ( 5 ), la Cour relève que celles-ci sont imposées, selon les caractéristiques propres à chaque cas, en complément ou à la place des autres mesures correctrices. En outre, pour décider s’il y a lieu d’imposer une amende administrative et pour décider de son montant, l’autorité de contrôle doit dûment tenir compte, dans chaque cas d’espèce, de différents éléments, tels que la nature, la gravité et la durée de la violation ( 6 ).

Ainsi, le système de sanctions prévu par le législateur de l’Union permet aux autorités de contrôle d’imposer les sanctions les plus appropriées et justifiées selon les circonstances de chaque cas, en prenant en considération la nécessité de veiller au plein respect du RGPD, ainsi que de garantir un niveau cohérent et élevé de protection des données à caractère personnel. Dès lors, il ne saurait être déduit du RGPD l’existence d’une obligation à la charge de l’autorité de contrôle d’adopter, dans tous les cas, lorsqu’elle constate une violation de données à caractère personnel, une mesure correctrice, en particulier une amende administrative, son obligation étant, en pareilles circonstances, de réagir de manière appropriée afin de remédier à l’insuffisance constatée. Dans ces conditions, l’auteur d’une réclamation dont les droits ont été enfreints ne dispose pas d’un droit subjectif à voir l’autorité de contrôle imposer une amende administrative au responsable du traitement.

Enfin, la Cour précise que, toutefois, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD. À cet égard, il n’est pas exclu que, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, l’autorité de contrôle puisse s’abstenir d’adopter une mesure correctrice bien qu’une violation de données à caractère personnel ait été constatée. Tel pourrait être le cas, notamment, lorsque la violation constatée n’a pas persisté, par exemple lorsque le responsable du traitement, qui avait, en principe, mis en œuvre des mesures techniques et organisationnelles appropriées ( 7 ), a, dès qu’il a eu connaissance de cette violation, pris les mesures appropriées et nécessaires pour que ladite violation prenne fin et ne se reproduise pas, compte tenu des obligations lui incombant en vertu du RGPD ( 8 ).

Eu égard à ces considérations, la Cour conclut que, en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, y compris une amende administrative, lorsqu’une telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

( 1 ) En vertu de l’article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 2 ) Article 57, paragraphe 1, sous a) et f), article 58, paragraphe 2, et article 77, paragraphe 1, du RGPD.

( 3 ) En vertu de l’article 58, paragraphe 2, du RGPD.

( 4 ) Voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C-311/18, EU:C:2020:559, point 112).

( 5 ) Visées à l’article 58, paragraphe 2, sous i), et à l’article 83 du RGPD.

( 6 ) Selon l’article 83, paragraphe 2, du RGPD.

( 7 ) Au sens de l’article 24 du RGPD.

( 8 ) Notamment, au titre de l’article 5, paragraphe 2, et de l’article 24 du RGPD.