- La CJUE confirme que les personnes morales sont responsables des infractions à la protection des données en vertu de l’article 83 du RGPD, même sans identification d’une personne physique concrète.
- Les amendes supposent une faute (intentionnelle ou par négligence), mais les exigences en matière de preuve de la faute sont plutôt faibles.
- Lors du calcul de la sanction, la notion d’entreprise en droit des cartels (art. 101, 102 TFUE) est déterminante pour le chiffre d’affaires de l’entreprise.
La CJCE a jugé dans Arrêt C‑807/21 dans l’affaire Deutsche Wohnen a décidé qu’en vertu du RGPD, les entreprises pouvaient également se voir infliger des amendes lorsque aucune personne physique déterminée a été identifié comme étant l’auteur de l’infraction, et qu’il a également été n’a pas d’importance si l’infraction a été commise par un organe ou un représentant. a été commise. Une critique pointue de cet arrêt a été rédigée – sur la base encore du communiqué de presse de la CJCE – par le Dr. Christian Franz a rédigé.
Mais au moins, il est supposé que le Infraction commise de manière fautive a été
73 Un système de sanctions permettant d’infliger une amende conformément à l’article 83 du RGPD lorsque les circonstances particulières du cas d’espèce le justifient incite les responsables du traitement et les sous-traitants à se conformer au RGPD. Les amendes contribuent, par leur effet dissuasif, à renforcer la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Elles constituent donc un élément clé pour garantir le respect des droits de ces personnes et sont conformes à l’objectif du RGPD consistant à assurer un niveau élevé de protection de ces personnes lors du traitement de données à caractère personnel.
74 Toutefois, le législateur de l’Union n’a pas jugé nécessaire, pour assurer un tel niveau élevé de protection, de prévoir que les amendes sont infligées indépendamment de la faute. Compte tenu du fait que le RGPD vise à assurer un niveau de protection équivalent et uniforme et doit, à cette fin, être appliqué de manière uniforme dans toute l’Union, il serait contraire à cet objectif de permettre aux États membres de prévoir un tel régime pour l’imposition d’une amende en vertu de l’article 83 du RGPD. Une telle liberté de choix serait en outre de nature à fausser la concurrence entre les opérateurs économiques au sein de l’Union, ce qui serait contraire aux objectifs exposés par le législateur de l’Union, notamment aux considérants 9 et 13 du RGPD.
75 Par conséquent, il convient de constater que l’article 83 RGPD permet non autorisé, une Amende pour une infraction visée à l’article 83, paragraphes 4 à 6, sans qu’il soit prouvé que cette infraction a été commise intentionnellement ou par négligence par le responsable du traitement. a été commise. Par conséquent, pour qu’une telle amende soit infligée, il faut que l’infraction ait été commise de manière fautive.
La preuve de la faute n’est toutefois pas soumise à des exigences élevées :
76 À cet égard, s’agissant de la question de savoir si une infraction a été commise intentionnellement ou par négligence et peut, en raison de celle-ci, être sanctionnée par une amende en vertu de l’article 83 du RGPD, il convient encore de préciser qu’un responsable de traitement doit être sanctionné pour un comportement relevant du champ d’application du RGPD, peut être sanctionné s’il ne pouvait pas ignorer le caractère illicite de son comportement, qu’il ait été conscient ou non de ce fait.que cela enfreint les dispositions du RGPD […].
Ce que les Imputation de la faute Deutsche Wohnen avait fait valoir (tout comme la juridiction de renvoi) qu’en vertu du droit allemand des infractions administratives, une amende ne pouvait être infligée que si l’infraction était imputable à un membre d’un organe ou à un représentant de l’entreprise.
La CJCE rejette cette idée dans une motivation extrêmement succincte :
42 Ainsi, il ressort du libellé et de la finalité de l’article 4, point 7, du RGPD que le législateur de l’Union n’a pas fait de distinction entre les personnes physiques et les personnes morales pour déterminer la responsabilité au titre du RGPD, la seule condition de cette responsabilité étant que ces personnes décident, seules ou conjointement avec d’autres, des finalités et des moyens du traitement des données à caractère personnel.
43 Sous réserve des dispositions de l’article 83, paragraphe 7, du RGPD concernant les autorités et les organismes publics, toute personne remplissant cette condition – qu’il s’agisse d’une personne physique ou morale, d’une autorité, d’un organisme ou d’un autre service – est donc responsable, entre autres, de toute violation visée à l’article 83, paragraphes 4 à 6, du RGPD, commise par elle-même ou en son nom.
44 En ce qui concerne les personnes morales, cela signifie d’une part […] que celles-ci ne sont pas seulement responsables des infractions commises par leurs représentants, dirigeants ou administrateurs, mais aussi pour les infractions commises par toute autre personne agissant dans le cadre de l’activité entrepreneuriale et au nom de ces personnes morales. […]
Le site Avocat général avait mis l’accent sur ce point dans ses requêtes, accompagné d’une affirmation
58 – En réalité, ces personnes physiques forment et définissent la volonté de la personne morale en l’exprimant par des actes individuels et concrets. Ces actes individuels comme l’expression concrète de cette volonté sont en fin de compte imputables à la personne morale elle-même.
59) Enfin, il s’agit de personnes physiques qui, sans être elles-mêmes des représentants d’une personne morale, agissent sous l’autorité de ceux qui sont des représentants de la personne morale et qui ont exercé une surveillance ou un contrôle insuffisant sur les premières personnes mentionnées. En fin de compte, l’imputabilité conduit à la personne morale elle-même, dans la mesure où l’infraction commise par le membre du personnel agissant sous l’autorité de leurs organes de direction résulte d’une défaillance du système de contrôle et de surveillanceLa responsabilité des organes directeurs est directement engagée.
Le fait que la personne physique est identifiéeest également pas nécessaire:
46 Ainsi, il résulte de la combinaison des articles 4, point 7, 83 et 58, paragraphe 2, sous i), du RGPD qu’une amende peut également être infligée à une personne morale pour une infraction visée à l’article 83, paragraphes 4 à 6, du RGPD, dès lors qu’elle a la qualité de responsable. En revanche, le RGPD ne contient aucune disposition qui subordonne l’imposition d’une amende à une personne morale en tant que responsable à la condition qu’il soit préalablement établi que cette violation a été commise par une personne physique identifiée.
Ce faisant, la CJCE introduit en fait une la responsabilité causale des entreprises englobe le comportement de tous les employés, et probablement pas seulement de ceux-ci, mais aussi de toutes les personnes qui agissent “en leur nom”.Il n’est pas nécessaire de prouver que la faute a été commise. La CJCE n’a pas exigé la preuve d’un manque de diligence dans l’organisation de l’entreprise et du contrôle interne ; elle a plutôt supposé implicitement qu’une infraction ne pouvait pas se produire dans l’entreprise autrement que par un manque d’organisation, qui est ainsi présumé.
Selon cette logique, le responsable devrait alors également pour tout sous-traitant Celui-ci et ses collaborateurs agissent également au nom du responsable, tant que le sous-traitant ne devient pas son propre responsable par excès de tâches, et là encore, on peut affirmer qu’une infraction est le résultat d’un système de contrôle et de surveillance insuffisant. On peut se demander si la propre responsabilité en matière d’amendes du responsable du traitement sur mandat s’y oppose, mais sans doute pas : le responsable du traitement sur mandat n’est responsable que des infractions aux dispositions qui le concernent précisément, mais le responsable l’est également pour tous les autres. Si le responsable n’était pas responsable du comportement du sous-traitant et de tous ses collaborateurs, la CJCE pourrait sans problème voir là aussi une lacune dans la protection juridique.
On pourrait tout de même voir une issue à cette responsabilité trop stricte en matière d’amendes dans le fait que la CJCE exige que les personnes physiques fautives – même si elles ne peuvent pas être identifiées – agissent au nom de l’entreprise. Cela ne devrait plus être le cas si ces dernières ont Violation délibérée de la protection des donnéesDans ce cas, l’employé concerné agit de sa propre initiative et non plus au nom de l’entreprise, ce qui fait de lui le responsable. La CJCE laisse toutefois entendre qu’elle est sujette à la conclusion erronée qu’une infraction au sein de l’entreprise prouve en soi un défaut dans l’organisation, ce qui est évidemment faux.
Peuvent déroger à ces règles les États membres ne dérogent pas non plus, bien entendu:
48 Le fait que le RGPD donne ainsi aux États membres la possibilité de prévoir des exigences relatives à la procédure à suivre par les autorités de contrôle lors de l’imposition d’une amende ne signifie toutefois nullement qu’ils sont également habilités à prévoir, outre ces exigences procédurales, des conditions de fond qui s’ajoutent à celles prévues à l’article 83, paragraphes 1 à 6, du RGPD. En outre, le fait que le législateur de l’Union ait spécifiquement et expressément prévu cette possibilité, mais pas celle de fixer de telles conditions matérielles supplémentaires, confirme qu’il n’a pas laissé de marge d’appréciation aux États membres à cet égard. Par conséquent, seul le droit de l’Union s’applique à ces conditions matérielles.
Enfin, la CJCE confirme que le chiffre d’affaires de l’entreprise utilisé pour déterminer le montant de la sanction doit être calculé à partir du chiffre d’affaires de l’entreprise. la notion d’entreprise en droit des cartels de l’entreprise :
59 Par conséquent, si une autorité de contrôle, en raison de sa Pouvoirs décide, conformément à l’article 58, paragraphe 2, du RGPD, d’engager une action à l’encontre d’un responsable qui est une entreprise au sens des articles 101 et 102 du TFUE ou qui appartient à une telle entreprise. Amende en vertu de l’article 83 du RGPD, est tenu, à la lumière du considérant 150 du RGPD, de prendre en compte, dans le calcul des amendes pour les infractions visées à l’article 83, paragraphes 4 à 6, du RGPD, le fait que la personne concernée n’a pas respecté les obligations qui lui incombent en vertu du RGPD.de se fonder sur la notion d’ ”entreprise” au sens des articles 101 et 102 du TFUE.