- Il n’est pas clair si les amendes prévues par l’article 83 du RGPD exigent toujours la preuve d’un comportement fautif d’un dirigeant particulier.
- Les tribunaux et les autorités allemandes sont divisés : le LG Bonn nie l’exigence de preuve, le LG Berlin et le BMI affirment l’applicabilité du §30 OWiG.
- La Cour administrative autrichienne exige que les dirigeants fautifs soient nommément désignés ; les règles de procédure nationales ont la priorité en matière de sanctions.
Comme on le sait, le RGPD prévoit un cadre d’amendes élevé contre les entreprises, jusqu’à 4% du chiffre d’affaires mondial de l’année précédente de l’entreprise. Dans certains cas, des amendes élevées ont été infligées, mais elles ont généralement été contestées en justice. Il n’est toutefois pas clair dans ce cas si les amendes des entreprises suppose qu’une violation fautive du RGPD par un dirigeant physique soit prouvée. qui est attribué à l’entreprise.
Cette discussion est menée entre autres en Allemagne et montre dans quelle mesure l’effet unificateur du RGPD dépend de la compréhension juridique des États membres. Elle montre en même temps que les entreprises peuvent fortement réduire leurs risques juridiques si elles choisissent, instruisent, forment et surveillent soigneusement leur personnel traitant des données.
Allemagne
En Allemagne, la loi fédérale sur la protection des données (BDSG) fait référence, § 41sur le Loi sur les infractions administratives (OWiG), mais seulement “par analogie”. Selon § 30 OWiG (loi sur les infractions) une amende à l’encontre d’une personne morale est soumise au principe de la proportionnalité. Preuve d’un manquement aux obligations d’un dirigeant est prévue. Il n’est pas encore clair si cette disposition s’applique aux violations de la protection des données, mais la tendance va dans ce sens.
Le site Tribunal de grande instance (LG) de Bonn a fait dans le Procédure 1&1 une amende de 9,55 millions d’euros à 900 000 euros. La base était avant tout le Concept d’amendes des autorités de surveillance allemandes. Il a tenu dans son Jugement 29 OWi 1/20 du 11.11.2020 Mais il a également constaté qu’une amende selon le RGPD pouvait être infligée sans preuve d’une violation des obligations d’une personne physique déterminée. Ce n’est pas le § 30 OWiG qui s’applique, mais – en raison du RGPD – la Principes du droit antitrust supranationalqui, en cas de violation des articles 101 et 102 du TFUE, a estimé qu’il s’agissait d’une violation du droit communautaire. la responsabilité directe des entreprises [voir par exemple CJCE, affaire C‑68/12, point 28], quelle que soit la personne physique qui a agi pour l’entreprise :
bb) Le rattachement de l’amende à un comportement fautif d’organes ou de personnes dirigeantes conformément à l’article 30 OWiG ne peut pas être conciliée de manière judicieuse avec le concept de responsabilité selon le modèle du droit européen des cartels et le principe du titulaire de fonction […]. L’application de l’article 30 OWiG conduirait, par rapport au modèle européen de responsabilité, à une limitation considérable de l’imposition d’amendes aux entreprises si, malgré la constatation d’une violation de la protection des données, les responsabilités internes devaient être élucidées. […]
En revanche, le tribunal de grande instance de Berlin a Décision 526 OWi LG du 18 février 2021 a décidé que l’article 30 OWiG était applicable, raison pour laquelle un de prouver la faute d’une personne dirigeante n’est pas respectée. Le RGPD ne contient pas de dispositions plus précises sur la responsabilité pénale des personnes morales. Le renvoi à la OWiG dans la BDSG est donc valable. L’imputation de l’infraction à une personne physique est également nécessaire, car la personne morale agit par l’intermédiaire de ses organes et représentants :
Dans cette mesure, la l’établissement d’un comportement répréhensible d’une personne physique est la condition de base nécessaire pour l’établissement de la responsabilité de l’entité potentiellement responsable.
L’allemand Ministère fédéral de l’Intérieur, de la Construction et de la Patrie (BMI) a, pour sa part, évalué la nouvelle LPD et a indiqué dans son rapport d’évaluation d’octobre 2021 qu’il avait été sciemment fait référence à la loi sur les infractions administratives et que le RGPD laissait une place à cet égard :
Il convient tout d’abord de rappeler que le législateur s’était à l’époque engagé à conscient – et en connaissance de la position juridique des autorités de contrôle de la protection des données55 sur ce sujet – a choisi de ne pas exclure les articles 30 et 130 de l’OWiG des dispositions de l’OWiG applicables en vertu de l’article 41, paragraphe 1, première phrase, de la BDSG.
Cette décision se fonde sur la considération que l’article 83, paragraphe 8, du RGPD vise précisément à garantir la protection des données à caractère personnel. laisse aux États membres le soin de régler les détails de la procédure d’imposition des amendes. Il ne ressort pas non plus du considérant 150 du RGPD qu’il en soit autrement ; celui-ci doit être lu dans son ensemble et dans son contexte systématique. Il se réfère à l’article 83 du RGPD et concrètement aux règles qui y sont énoncées concernant le montant des amendes, mais ne contient pas de directives sur les conditions dans lesquelles les infractions commises par des personnes physiques engagent la responsabilité d’une personne morale ou d’une association de personnes en matière d’amendes.
Autriche
En Autriche, la Cour administrative (Verwaltungsgerichtshof – VwGH) a décidé le 12 mai 2020 (Ro 2019÷04÷0229) a également décidé qu’une amende au titre de l’article 83 du RGPD pouvait être infligée à une personne morale. suppose la preuve du comportement fautif d’une personne dirigeante. Il s’est basé sur la situation juridique prévue par la loi bancaire autrichienne (BWG) :
29 Étant donné que la personne morale ne peut pas agir elle-même, sa responsabilité pénale est, conformément à l’article 99d de la loi fédérale relative à la lutte contre le blanchiment d’argent, une conséquence du comportement illicite et fautif d’une personne dirigeante. Par conséquent, pour que l’acte de poursuite dirigé contre la personne morale soit efficace, il est nécessaire de décrire précisément l’acte de la personne physique. […]
Ces principes sont transposables au domaine du RGPD. La loi sur les sanctions administratives (VStG) est applicable :
18 Au contraire, l’imposition d’amendes en vertu de l’article 83 du RGPD est soumise à la loi sur la protection des données. LIA s’applique dans la mesure oùLe RGPD ne prévoit pas de règles plus spécifiques dans le cadre de la primauté d’application. […] […]
20 L’autorité requérante objecte à l’exigence […] de désigner nommément la personne physique dont le comportement illicite et fautif est imputable à la personne morale que l’article 83 Le contenu du RGPD est calqué sur les dispositions du droit de la concurrence de l’Union européenne. […]. […] […]
23 Contrairement à l’imposition d’amendes pour violation des règles de concurrence du droit de l’Union, les amendes infligées par l’autorité de contrôle d’un État membre pour violation du RGPD en vertu de l’article 83, paragraphes 4 à 6, du RGPD sont des sanctions pénales. (voir le considérant 150 du RGPD). En outre, conformément à l’article 83, paragraphe 8, du RGPD, contrairement au pouvoir de la Commission européenne d’infliger des amendes pour des infractions au droit de la concurrence de l’Union européenne, l’exercice du pouvoir de sanction de l’autorité de contrôle de chaque État membre doit être soumis non seulement à des garanties procédurales appropriées du droit de l’Union (telles que la CCR), mais également à celles du droit des États membres. En ce sens, l’imposition d’amendes par la Commission européenne pour des infractions au droit de la concurrence […] n’est pas comparable […].
24 Partant de ce constat, la thèse exposée dans la révision Jurisprudence de la CJCE concernant l’absence d’obligation de désigner les personnes ayant commis une faute au sein d’une entreprise sanctionnée pour avoir enfreint le droit de la concurrence de l’Union, ne s’applique pas aux procédures relatives à l’imposition d’amendes par l’autorité de contrôle d’un État membre conformément à l’article 83 du RGPD. […]
25 Selon l’article 44a Z 1 VStG, il est juridiquement nécessaire de décrire l’infraction de manière suffisamment précise en ce qui concerne l’auteur et les circonstances de l’infraction, afin de permettre l’attribution du comportement de l’infraction à la disposition administrative qui a été violée par l’infraction, en ce qui concerne tous les éléments constitutifs de l’infraction […].
26 En l’espèce, dans l’invitation à justifier adressée à la partie codétenue à l’attention de son gérant de droit commercial, l’autorité requérante a identifié les personnes physiques dont le comportement, considéré comme constitutif d’une infraction, illégal et fautif, est imputable à la partie codétenue, non nomméemais simplement décrits comme des “organes ou collaborateurs” de la partie co-prenante. Dans le dispositif de la décision pénale de l’autorité requérante, il n’est pas démontré que le comportement d’une personne physique, constitutif d’une infraction, illégal et fautif, est imputable à la partie codétenue. Même dans l’exposé des motifs, l’autorité requérante n’a pas révélé quelle personne physique a concrètement adopté le comportement constitutif, illégal et fautif imputable à la partie codétenue en ce qui concerne les différents faits reprochés. […]