Lettre de la DAJ – En matière de protection des données personnelles, l’autorité de contrôle n’est pas obligée de prendre une mesure correctrice dans tous les cas de violation

La Cour de justice de l’Union européenne (CJUE) a jugé que dans le cas d’une violation avérée du règlement général sur la protection des données (RGPD), l’autorité de contrôle peut s’abstenir de prendre une mesure correctrice lorsque le responsable de traitement a déjà pris les mesures nécessaires.

En Allemagne, un employé d’une banque publique avait consulté à plusieurs reprises, et sans y être habilité, des données à caractère personnel d’un client. Ce dernier ayant eu connaissance de la consultation de ses données personnelles, a introduit une réclamation auprès de l’autorité de contrôle compétente : le commissaire à la protection des données et à la liberté d’information pour le Land de Hesse. L’autorité de contrôle a informé le client de la banque qu’il ne lui semblait pas nécessaire de prendre des mesures correctrices à l’égard de la caisse d’épargne publique allemande.

Le client a ensuite formé un recours devant une juridiction allemande, demandant au commissaire à la protection des données d’agir contre la banque. Pour le requérant, le commissaire à la protection des données n’a pas agi conformément au RGPD suite à la violation de ses données personnelles et aurait dû infliger une amende à la banque.

Saisie à titre préjudicielle par un tribunal administratif allemand, la Cour de justice de l’Union européenne s’est prononcée sur la marge d’appréciation dont dispose l’autorité de contrôle en cas de violation du RGPD.

Dans sa décision C-768/21, la CJUE précise que selon le RGPD, le commissaire à la protection des données dispose d’une « marge d’appréciation l’autorisant, dans certains cas, à s’abstenir de prendre une mesure correctrice, en particulier d’infliger une sanction, en cas de violation avérée ». Si l’autorité de contrôle a bien une obligation de procéder à un examen au fond des réclamations elle n’est pas tenue d’adopter une mesure correctrice dans toutes les situations. L’autorité de contrôle peut s’abstenir d’adopter une mesure correctrice en cas de violation de données à caractère personnel lorsque le responsable de traitement a pris les mesures nécessaires pour mettre fin à la violation et faire en sorte qu’elle ne se reproduise pas.

La Cour ajoute que les amendes administratives ne sont pas obligatoires et doivent être imposées par l’autorité de contrôle en prenant compte dans chaque cas d’espèce d’éléments tels que la nature, la gravité et la durée de la violation.

Cette marge d’appréciation dont dispose l’autorité de contrôle est cependant limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par l’application du RGPD.