Vie des affaires

Responsabilités des entreprises

Violation du RGPD : pas d'amende en l'absence de faute délibérée ou de négligence

La Cour de justice de l'Union européenne est venue préciser qu'une sanction administrative pour violation du RGPD ne peut être appliquée qu'en cas de comportement fautif, c'est-à-dire, d’une violation délibérée ou par négligence.

Les amendes administratives encourues

Le règlement général sur la protection des données personnelles (RGPD) instaure, en cas de manquement, de lourdes sanctions financières pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires global, le montant le plus élevé étant retenu (RGPD, art. 83).

L'autorité administrative (en France, la CNIL) décide d’appliquer ces sanctions et en détermine le montant, en tenant compte de plusieurs paramètres, parmi lesquels figurent notamment (RGPD, art. 83) :

La loi française a repris ces dispositions (loi 78-17, art. 20, 7°).

A noter. En France, outre les amendes administratives, des sanctions pénales (c. pén. art. 226-16 à 226-26) ou civiles (dommages et intérêts dans le cadre d’une action en responsabilité) peuvent également être prononcées.

Deux affaires soulevant une problématique commune

Dans une première affaire lituanienne, un centre national de santé dépendant du ministère de la Santé contestait le montant d’une amende de 12 000 € infligée dans le contexte de la création d’une application, réalisée grâce à l’assistance d’une société privée, assurant l’enregistrement et le suivi des données des personnes exposées au covid-19.

Dans une seconde affaire allemande, une société détenant 163 000 logements et 3 000 locaux commerciaux contestait une amende de plus de 14 M d’€ infligée pour avoir sauvegardé les données personnelles des locataires plus longtemps que nécessaire.

À l’occasion ces instances, les juridictions ont été confrontées à une problématique commune, soumise à la Cour de justice de l’Union européenne (CJUE) : les autorités administratives de ces états pouvaient-elles infliger une sanction administrative en l’absence de violation fautive du RGPD ?

Pas d’amende administrative sans violation fautive du RGPD

La CJUE répond par la négative et fonde son raisonnement sur les arguments suivants :

- d’une part, rien dans les dispositions de l’article 83 du RGPD ne laisse de marge d’appréciation aux états-membres qui ne peuvent donc aménager à leur guise les conditions requises pour appliquer des sanctions administratives ;

- d’autre part, il serait contraire à la finalité du RGPD - qui vise un niveau de protection homogène tous les états-membres de l’Union européenne - de leur laisser le choix d’appliquer des conditions différentes en exigeant ou non l’existence d’une faute pour appliquer des sanctions administratives. Cela fausserait en outre la concurrence entre les opérateurs économiques au sein de l’Union européenne.

Pour ces raisons, la CJUE estime qu’une amende administrative ne peut être infligée que si la violation du RGPD a été commise de façon fautive, c’est-à-dire, de façon délibérée ou par négligence.

CJUE, arrêts C-683/21 et C-807/21 ; communiqué de presse de la Cour de justice de l'Union européenne n° 184/23 du 5 décembre 2023