- Le Tribunal administratif fédéral affirme que pour punir une personne morale, il faut une personne physique concrètement désignée et imputable (auteur de fait de l’infraction).
- L’applicabilité directe des principes du droit de la concurrence de la CJCE à l’article 83 du RGPD est rejetée ; les procédures administratives doivent garantir une concrétisation et des droits de défense suffisants.
L’autorité autrichienne de protection des données avait infligé une amende de 4 800 euros pour avoir omis d’effacer des enregistrements vidéo. Le responsable sanctionné avait contesté la décision d’amende devant le Tribunal administratif fédéral (TAF).
Le TAF a estimé dans son Décision du 19 août 2019 a constaté ce qui suit :
Le site Punition de la personne morale en vertu de la disposition en question suppose qu’une personne qui lui est redevable personne physique imputable (dirigeant) a commis un délit a. […]
La question était surtout de savoir si l’autorité de contrôle de la protection des données (APD) devait avoir une pouvait infliger une amende sans désigner concrètement le collaborateur responsable de l’acte incriminé. La CPD souhaitait y renoncer, en s’appuyant notamment sur les principes du droit des procédures de concurrence :
La CPD s’est penchée sur cette question dans un avis […], dans lequel elle a d’abord fait référence à un mémoire […] dans le cadre d’une autre procédure […]. Il y est dit en résumé que, sur la base du RGPD, tout acte accompli par des personnes agissant dans le cadre d’une personne morale est imputable à cette personne morale. Il n’est pas pertinent de savoir de quel collaborateur il s’agissait concrètement.. […] Dans son avis […], la CPD explique en outre que le contenu de l’article 83 du RGPD des règles de concurrence Il convient donc de se référer à la jurisprudence pertinente de la CJCE relative à l’article 15 du règlement no 17/1962 et à l’article 23 du règlement no 1/2003. Il en résulte – en résumé en l’espèce – qu’un la désignation concrète d’une personne physique qui aurait agi de manière fautive au sein de l’entreprise ou qui devrait être tenue pour responsable d’une organisation éventuellement défectueuse n’est pas nécessaire (voir à ce sujet l’arrêt de la CJCE du 18 septembre 2003, C‑338/00 P, et l’arrêt du Tribunal de première instance du 23 janvier 2014, T‑391/09, ainsi que les conclusions dans l’affaire C‑204/00 P et l’affaire C‑280/06).
Le TAF rejette ce point de vue – la désignation concrète du délinquant responsable de fait est bien plus nécessaire :
Les procédures citées dans l’avis se réfèrent à des procédures de droit de la concurrence menées par la Commission, c’est-à-dire au niveau du droit européen, en utilisant ses propres règles – y compris de procédure – de droit de la concurrence. Les dispositions des règlements cités ci-dessus. En revanche, l’article 83, paragraphe 8, du RGPD stipule que l’exercice des pouvoirs de l’autorité de contrôle doit être soumis à des garanties procédurales appropriées, conformément à la loi sur la protection des données. Droit de l’Union et le Droit des États membres y compris des recours juridictionnels effectifs et des procédures adéquates. De l’avis du Bundesverwaltungsgericht, l’applicabilité directe des principes jurisprudentiels des juridictions européennes en matière de droit de la concurrence est donc exclue. […] s’éteint. […] En conclusion, il faut donc retenir que en l’occurrence, il ne s’agit pas d’un reproche suffisamment concret dans la procédure administrative peut être supposé.
Il serait plutôt nécessaire de désigner concrètement la ou les personnes responsables de fait :
En outre, il ne faut pas perdre de vue dans ce contexte que la plainte de la LPD du XXXX 2018 indique déjà que la serveuse qui y travaillait à l’époque a déclaré aux fonctionnaires de police que le chef de l’entreprise était M. XXXX [et donc l’associé ou le gérant commercial]. Enfin, dans la procédure administrative menée jusqu’à présent, il s’est également avéré que la influence et contrôle effectifs des personnes impliquées en ce qui concerne la plaignante avec les informations du registre du commerce, ne sont pas suffisamment concrètes et ne sont pas présentées conformément à la réalité n’a pas été respecté. En conclusion, il faut donc partir du principe qu’en l’occurrence pas de concrétisation suffisante des faits reprochés a été effectuée dans le cadre de la procédure administrative, car il n’en ressort pas que le comportement aurait dû être imputé à telle ou telle personne de la plaignante. Or, cela ne semble plus garantir suffisamment l’exercice des droits essentiels de la défense du prévenu dans la procédure.
On trouve à ce sujet ici une contribution de Michael Suda, qui travaille à la DSB.