- Les autorités de contrôle doivent examiner attentivement les plaintes conformément à l’article 77 du RGPD et informer les plaignants en temps utile.
- Les autorités ont un pouvoir discrétionnaire dans le choix des mesures correctives appropriées, mais ce pouvoir n’est pas illimité.
- Le pouvoir discrétionnaire est limité par l’obligation de garantir un niveau uniformément élevé de protection des données grâce à un cadre juridique exécutoire.
- Une sanction n’est pas obligatoire ; les autorités peuvent renoncer à des mesures correctives dans des circonstances particulières.
La CJCE s’est prononcée dans son arrêt sur la Rs. C‑768/21 du 26 septembre 2024 s’est prononcé sur la question de la liberté dont disposent les autorités de contrôle lorsqu’elles constatent une violation de la protection des données.
Ils doivent certes agir lorsqu’ils reçoivent une plainte :
32 En particulier, toute autorité de contrôle visée à l’article 57, paragraphe 1, point f) du RGPD obligeLes États membres de l’Union européenne de traiter les plaintesL’autorité de contrôle est tenue de procéder à une enquête raisonnable sur l’objet de la réclamation et d’informer le plaignant, dans un délai raisonnable, de l’avancement et du résultat de l’enquête, conformément à l’article 77, paragraphe 1, du RGPD, lorsque toute personne estime qu’un traitement de données à caractère personnel la concernant viole le présent règlement. L’autorité de contrôle doit traiter une telle réclamation avec toute la diligence requise […].
Ils disposent d’un certain pouvoir discrétionnaire dans l’exercice de leurs compétences, mais pas d’un pouvoir illimité :
37 Il convient de souligner à cet égard que le RGPD confère à l’autorité de contrôle un pouvoir d’appréciation quant à la manière de remédier à la carence constatée […]. Ainsi, la Cour a déjà jugé qu’il incombe à l’autorité de contrôle, compte tenu de toutes les circonstances du cas d’espèce choisir le moyen approprié et nécessaireLa Commission est tenue d’assurer la protection des données à caractère personnel et de faire preuve de toute la diligence requise dans l’exercice de sa mission, qui consiste à veiller au plein respect du RGPD […].
38 Ce pouvoir discrétionnaire est toutefois limité par la nécessité d’assurer un niveau de protection uniforme et élevé des données à caractère personnel au moyen d’un cadre juridique clairement exécutoire […].
Mais cela ne signifie pas que l’autorité
41 […] serait tenue de prendre une mesure corrective, en particulier d’infliger une amende, dans chaque cas où elle constate une violation de la protection des données à caractère personnel […]. Par conséquent, […] le plaignant[…] n’a pas le droit d’exiger une amende. pas de droit subjectif que l’autorité de contrôle inflige une amende au responsable du traitement.
L’autorité peut également s’abstenir de prendre une mesure correctiveLes États membres peuvent décider de ne pas utiliser le système d’information de l’UE lorsqu’il n’est plus nécessaire :
43 À cet égard, il n’est pas exclu que l’autorité de contrôle puisse, à titre exceptionnel et compte tenu des circonstances particulières du cas d’espèce, s’abstenir de prendre une mesure corrective alors qu’une violation de la protection des données à caractère personnel a été constatée. Un tel cas pourrait notamment se présenter lorsque la violation constatée n’a pas perduré, par exemple lorsque le responsable, qui avait en principe mis en œuvre des mesures techniques et organisationnelles appropriées au sens de l’article 24 de ce règlement, a pris, compte tenu des obligations qui lui incombent notamment en vertu des articles 5, paragraphe 2, et 24 du RGPD, dès qu’il a eu connaissance de cette violation, les mesures appropriées et nécessaires pour que celle-ci cesse et ne se reproduise pas.
Il appartient à la présente juridiction (le tribunal administratif de Wiesbaden) de déterminer si cette disposition est applicable en l’espèce.