BAILII is celebrating 24 years of free online access to the law! Would you consider making a contribution?
No donation is too small. If every visitor before 31 December gives just £1, it will have a significant impact on BAILII's ability to continue providing free access to the law.
Thank you very much for your support!
[Home] [Databases] [World Law] [Multidatabase Search] [Help] [Feedback] | ||
Court of Justice of the European Communities (including Court of First Instance Decisions) |
||
You are here: BAILII >> Databases >> Court of Justice of the European Communities (including Court of First Instance Decisions) >> Nacionalinis visuomenės sveikatos centras (Protection of personal data - Concepts of 'processing' and 'controller' - Judgment) French Text [2023] EUECJ C-683/21 (05 December 2023) URL: http://www.bailii.org/eu/cases/EUECJ/2023/C68321.html Cite as: [2023] EUECJ C-683/21, EU:C:2023:949, ECLI:EU:C:2023:949 |
[New search] [Contents list] [Help]
ARRÊT DE LA COUR (grande chambre)
5 décembre 2023 (*)
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, points 2 et 7 – Notions de “traitement” et de “responsable du traitement” – Développement d’une application informatique mobile – Article 26 – Responsabilité conjointe du traitement – Article 83 – Imposition d’amendes administratives – Conditions – Exigence du caractère délibéré ou négligent de la violation – Responsabilité du responsable du traitement pour le traitement de données à caractère personnel effectué par un sous-traitant »
Dans l’affaire C‑683/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie), par décision du 22 octobre 2021, parvenue à la Cour le 12 novembre 2021, dans la procédure
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
contre
Valstybinė duomenų apsaugos inspekcija,
en présence de :
UAB « IT sprendimai sėkmei »,
Lietuvos Respublikos sveikatos apsaugos ministerija,
LA COUR (grande chambre),
composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice–président, MM. A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, Mme O. Spineanu–Matei, présidents de chambre, MM. M. Ilešič, J.–C. Bonichot, Mme L. S. Rossi, MM. A. Kumin, N. Jääskinen (rapporteur), N. Wahl et M. Gavalec , juges,
avocat général : M. N. Emiliou,
greffier : Mme C. Strömholm, administratrice,
vu la procédure écrite et à la suite de l’audience du 17 janvier 2023,
considérant les observations présentées :
– pour le Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, par Mme G. Aleksienė,
– pour la Valstybinė duomenų apsaugos inspekcija, par M. R. Andrijauskas,
– pour le gouvernement lituanien, par Mme V. Kazlauskaitė-Švenčionienė, en qualité d’agent,
– pour le gouvernement néerlandais, par Mme C. S. Schillemans, en qualité d’agent,
– pour le Conseil de l’Union européenne, par Mme R. Liudvinavičiūtė et M. K. Pleśniak, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar, H. Kranenborg et Mme A. Steiblytė, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 4 mai 2023,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 4, points 2 et 7, de l’article 26, paragraphe 1, ainsi que de l’article 83, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant le Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centre national de santé publique auprès du ministère de la Santé, Lituanie, ci-après le « CNSP ») à la Valstybinė duomenų apsaugos inspekcija (Inspection nationale de la protection des données, Lituanie, ci-après l’« INPD ») au sujet d’une décision par laquelle cette dernière a imposé au CNSP une amende administrative en application de l’article 83 du RGPD au titre de la violation des articles 5, 13, 24, 32 et 35 de ce règlement.
Le cadre juridique
Le droit de l’Union
3 Les considérants 9, 10, 11, 13, 26, 74, 79, 129 et 148 du RGPD énoncent :
« (9) [...] Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union [européenne]. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. [...]
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]
(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations.
[...]
(13) Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. [...]
[...]
(26) Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. [...] Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.
[...]
(79) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, [...] exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres responsables du traitement, ou lorsqu’une opération de traitement est effectuée pour le compte d’un responsable du traitement.
[...]
(129) Afin de veiller à faire appliquer le présent règlement et à contrôler son application de manière cohérente dans l’ensemble de l’Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et les mêmes pouvoirs effectifs, y compris les pouvoirs d’enquête, le pouvoir d’adopter des mesures correctrices et d’infliger des sanctions [...] Les pouvoirs des autorités de contrôle devraient être exercés conformément aux garanties procédurales appropriées prévues par le droit de l’Union et le droit des États membres, d’une manière impartiale et équitable et dans un délai raisonnable. Toute mesure devrait notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, compte tenu des circonstances de l’espèce, respecter le droit de chacun à être entendu avant que soit prise toute mesure individuelle susceptible de lui porter atteinte et éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées. Les pouvoirs d’enquête en ce qui concerne l’accès aux installations devraient être exercés conformément aux exigences spécifiques du droit procédural des États membres, telle que l’obligation d’obtenir une autorisation judiciaire préalable. Toute mesure juridiquement contraignante prise par l’autorité de contrôle devrait être présentée par écrit, être claire et dénuée d’ambiguïté, indiquer quelle autorité de contrôle a pris la mesure et à quelle date, porter la signature du chef ou d’un membre de l’autorité de contrôle qu’il a autorisé, exposer les motifs qui sous-tendent la mesure et mentionner le droit à un recours effectif. Cela ne devrait pas exclure des exigences supplémentaires prévues par le droit procédural des États membres. Si une décision juridiquement contraignante est adoptée, elle peut donner lieu à un contrôle juridictionnel dans l’État membre dont relève l’autorité de contrôle qui l’a adoptée.
[...]
(148) Afin de renforcer l’application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent règlement, en complément ou à la place des mesures appropriées imposées par l’autorité de contrôle en vertu du présent règlement. En cas de violation mineure ou si l’amende susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l’ordre peut être adressé plutôt qu’une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l’autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l’encontre du responsable du traitement ou du sous-traitant, de l’application d’un code de conduite, et de toute autre circonstance aggravante ou atténuante. L’application de sanctions y compris d’amendes administratives devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et de la [charte des droits fondamentaux de l’Union européenne], y compris le droit à une protection juridictionnelle effective et à une procédure régulière. »
4 Aux termes de l’article 4 de ce règlement :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
[...]
5) “pseudonymisation”, le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;
8) “sous-traitant”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
[...] »
5 L’article 26 dudit règlement, intitulé « Responsables conjoints du traitement », énonce, à son paragraphe 1 :
« Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure où, leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord. »
6 L’article 28 du même règlement, intitulé « Sous-traitant », prévoit, à son paragraphe 10 :
« Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement. »
7 L’article 58 du RGPD, intitulé « Pouvoirs », dispose, à son paragraphe 2 :
« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;
b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;
[...]
d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;
[...]
f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;
[...]
i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;
[...] »
8 L’article 83 de ce règlement, intitulé « Conditions générales pour imposer des amendes administratives », est libellé comme suit :
« 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;
b) le fait que la violation a été commise délibérément ou par négligence ;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;
f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;
g) les catégories de données à caractère personnel concernées par la violation ;
h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;
i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;
j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42 ; et
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
4. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 [euros] ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ;
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43 ;
[...]
5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22[ ;]
[...]
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX ;
[...]
6. Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.
8. L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.
[...] »
9 L’article 84 dudit règlement, intitulé « Sanctions », dispose, à son paragraphe 1 :
« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »
Le droit lituanien
10 L’article 29, paragraphe 3, du Viešųjų pirkimų įstatymas (loi relative aux marchés publics) mentionne certaines circonstances dans lesquelles le pouvoir adjudicateur a soit le droit, soit l’obligation, de retirer les procédures d’appel d’offres ou de concours engagées à son initiative et à tout moment avant la conclusion du marché public (ou du contrat préliminaire) ou la détermination du lauréat du concours.
11 L’article 72, paragraphe 2, de la loi relative aux marchés publics prévoit les étapes des négociations que le pouvoir adjudicateur mène dans le cadre d’une procédure négociée de marché public sans publication préalable.
Le litige au principal et les questions préjudicielles
12 Dans le contexte de la pandémie provoquée par le virus de la COVID–19, le Lietuvos Respublikos sveikatos apsaugos ministras (ministre de la santé de la République de Lituanie) a, par une première décision du 24 mars 2020, chargé le directeur du CNSP d’organiser l’acquisition immédiate d’un système informatique aux fins de l’enregistrement et du suivi des données des personnes exposées à ce virus, à des fins de suivi épidémiologique.
13 Par courriel du 27 mars 2020, une personne, se présentant comme un représentant du CNSP (ci-après « A.S. »), a informé la société UAB « IT sprendimai sėkmei » (ci-après la « société ITSS ») que le CNSP l’avait sélectionnée pour créer une application mobile à cet effet. A.S. a par la suite envoyé des courriels à la société ITSS relatifs à divers aspects de la création de cette application, une copie de ces courriels étant adressée au directeur du CNSP.
14 Au cours des négociations entre la société ITSS et le CNSP, outre A.S., d’autres employés du CNSP ont également adressé des courriels à cette société au sujet de la rédaction des questions posées dans l’application mobile en cause.
15 Lors de la création de cette application mobile, une politique de protection de la vie privée a été élaborée, dans laquelle la société ITSS et le CNSP étaient désignés comme étant responsables du traitement.
16 L’application mobile en cause, mentionnant la société ITSS et le CNSP, était disponible aux fins du téléchargement dans la boutique en ligne Google Play Store à partir du 4 avril 2020 et dans la boutique en ligne Apple App Store à partir du 6 avril 2020. Elle était fonctionnelle jusqu’au 26 mai 2020.
17 Entre le 4 avril 2020 et le 26 mai 2020, 3 802 personnes ont fait usage de cette application et ont fourni les données les concernant demandées par ladite application, telles que le numéro d’identité, les coordonnées géographiques (latitude et longitude), le pays, la ville, la commune, le code postal, le nom de rue, le numéro de l’immeuble, le nom, le prénom, le code personnel, le numéro de téléphone et l’adresse.
18 Par une seconde décision du 10 avril 2020, le ministre de la santé de la République de Lituanie a décidé de confier au directeur du CNSP la tâche d’organiser l’acquisition de l’application mobile en cause auprès de la société ITSS et, à cet effet, il a été envisagé de recourir à l’article 72, paragraphe 2, de la loi relative aux marchés publics. Toutefois, aucun marché public visant l’acquisition officielle de cette application par le CNSP n’a été attribué à cette société.
19 En effet, le 15 mai 2020, le CNSP a demandé à ladite société de ne le mentionner en aucune manière dans l’application mobile en cause. En outre, par lettre du 4 juin 2020, le CNSP a informé la même société que, en raison d’un défaut de financement pour l’acquisition de cette application, il avait mis fin, conformément à l’article 29, paragraphe 3, de la loi relative aux marchés publics, à la procédure visant une telle acquisition.
20 Dans le cadre d’une enquête relative au traitement des données à caractère personnel entamée le 18 mai 2020, l’INPD a établi que des données à caractère personnel avaient été collectées à l’aide de l’application mobile en cause. De plus, il a été constaté que les utilisateurs ayant choisi cette application comme méthode de suivi de l’isolement rendu obligatoire en raison de la pandémie de COVID-19 avaient répondu à des questions impliquant le traitement de données à caractère personnel. Ces données auraient été fournies dans les réponses aux questions posées au moyen de ladite application et portaient, notamment, sur l’état de santé de la personne concernée et le respect, par celle-ci, des conditions de l’isolement.
21 Par décision du 24 février 2021, l’INPD a imposé une amende administrative de 12 000 euros au CNSP en application de l’article 83 du RGPD, eu égard à la violation par celui-ci des articles 5, 13, 24, 32 et 35 de ce règlement. Par cette décision, une amende administrative de 3 000 euros a également été imposée à la société ITSS en tant que responsable conjoint du traitement.
22 Le CNSP a contesté cette décision devant le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie), qui est la juridiction de renvoi, en faisant valoir que c’est la société ITSS qui doit être considérée comme étant le seul responsable du traitement, au sens de l’article 4, point 7, du RGPD. Pour sa part, la société ITSS soutient qu’elle a agi en qualité de sous-traitant, au sens de l’article 4, point 8, du RGPD, sur l’instruction du CNSP qui est, selon elle, le seul responsable du traitement.
23 La juridiction de renvoi relève que la société ITSS a créé l’application mobile en cause et que le CNSP l’a conseillée sur le contenu des questions posées au moyen de cette application. Cependant, il n’existerait pas de contrat de marché public entre le CNSP et la société ITSS. En outre, le CNSP n’aurait pas consenti à, ni autorisé la mise à disposition de cette application au moyen de diverses boutiques en ligne.
24 Cette juridiction précise que la création de l’application mobile en cause visait à mettre en œuvre l’objectif assigné par le CNSP, à savoir la gestion de la pandémie de COVID-19 par la création d’un outil informatique, et qu’il était prévu de traiter des données à caractère personnel à cette fin. S’agissant du rôle de la société ITSS, il n’aurait pas été prévu que cette société poursuive d’autres objectifs que celui de percevoir une rémunération pour le produit informatique créé.
25 Ladite juridiction observe également que, lors de l’enquête de l’INPD, il a été établi que la société lituanienne Juvare Lithuania, gérante du système informatique de suivi et de contrôle des maladies transmissibles présentant un risque de propagation, devait recevoir les copies des données à caractère personnel recueillies par l’application mobile en cause. En outre, aux fins de tester celle-ci, des données fictives ont été utilisées, à l’exception des numéros de téléphone des employés de ladite société.
26 Dans ces conditions, le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Convient-il d’interpréter la notion de “responsable du traitement” prévue à l’article 4, point 7, du RGPD en ce sens qu’une personne qui prévoit d’acquérir au moyen d’un marché public un outil de collecte des données (une application mobile) doit être également considérée comme responsable du traitement, en dépit du fait que le contrat de marché public n’a pas été conclu et que le produit créé (l’application mobile), pour l’acquisition duquel la procédure de marché public a été utilisée, n’a pas été transféré ?
2) Convient-il d’interpréter la notion de “responsable du traitement” prévue à l’article 4, point 7, du RGPD en ce sens qu’un pouvoir adjudicateur, qui n’a pas acquis de droit de propriété sur le produit informatique créé et n’a pas repris sa gestion, doit également être considéré comme étant responsable du traitement lorsque des mentions de cette entité publique ou de liens vers celle-ci sont opérées dans la dernière version de l’application créée et (ou) lorsque cette entité publique est indiquée comme étant le responsable du traitement dans la politique de protection de la vie privée de l’application, qui n’a pas été officiellement confirmée ou reconnue par l’entité publique concernée ?
3) La notion de “responsable du traitement” prévue à l’article 4, point 7, du RGPD doit-elle être interprétée en ce sens qu’une personne, qui n’a pas réalisé des actions réelles de traitement des données, définies à l’article 4, point 2, du RGPD, et (ou) n’a pas donné une autorisation ou un consentement clairs à leur réalisation doit être également considérée responsable du traitement ? Est-ce que la circonstance que le produit informatique à l’aide duquel des données à caractère personnel ont été traitées a été créé selon une instruction formulée par le pouvoir adjudicateur serait importante pour l’interprétation de la notion de responsable du traitement ?
4) Si la détermination des actions réelles du traitement des données est importante pour l’interprétation de la notion de responsable du traitement, l’article 4, point 2, du RGPD (“traitement des données à caractère personnel”) doit-il être interprété comme couvrant aussi les situations dans lesquelles les copies de données à caractère personnel sont utilisées pour les essais des systèmes informatiques lors de la procédure d’acquisition de l’application mobile ?
5) La responsabilité conjointe des données en vertu de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD peut-elle être exclusivement interprétée comme impliquant une harmonisation volontaire des actions relatives à la fixation de l’objet du traitement des données et des mesures de traitement des données, ou peut-elle être interprétée également en ce sens que la responsabilité conjointe comprend aussi les situations dans lesquelles il n’existe pas d’“accord” clair relatif à l’objet du traitement des données à caractère personnel et des mesures de traitement de ces données et (ou) les actions ne sont pas coordonnées entre les entités ? Une circonstance relative à une étape de la création d’une mesure de traitement des données à caractère personnel (d’une application informatique), lors de laquelle les données à caractère personnel ont été traitées, ainsi qu’à l’objectif de la création de l’application est-elle juridiquement importante pour l’interprétation de la notion de responsabilité conjointe des données ? Un “accord” entre les responsables conjoints peut-il être interprété comme impliquant nécessairement la fixation claire et définie de conditions relatives à la responsabilité conjointe du traitement des données ?
6) Les dispositions de l’article 83, paragraphe 1, du RGPD, prévoyant que “les amendes administratives [sont] effectives, proportionnées et dissuasives” doivent-elles être interprétées en ce sens que celles-ci comprennent également les cas d’engagement de la responsabilité du “responsable du traitement”, lorsque le créateur réalise des actions de traitement des données à caractère personnel lors du processus de création du produit informatique, et les actions de traitement des données à caractère personnel inappropriées réalisées par le sous-traitant engagent-elles toujours automatiquement la responsabilité juridique du responsable du traitement ? Ces dispositions doivent-elles également être interprétées en ce sens qu’elles comprennent aussi les cas de responsabilité sans faute du responsable du traitement ? »
Sur les questions préjudicielles
Sur les première à troisième questions
27 Par ses première à troisième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 4, point 7, du RGPD doit être interprété en ce sens que peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité ayant chargé une entreprise de développer une application informatique mobile, alors que cette entité n’a pas procédé, elle-même, à des opérations de traitement de données à caractère personnel, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de cette application mobile et qu’elle n’a pas acquis ladite application mobile.
28 L’article 4, point 7, du RGPD définit de manière large la notion de « responsable du traitement » comme visant la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, « détermine les finalités et les moyens du traitement » de données à caractère personnel.
29 L’objectif de cette définition large consiste, en conformité avec celui du RGPD, à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques ainsi que, notamment, un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant (voir, en ce sens, arrêts du 29 juillet 2019, Fashion ID, C‑40/17, EU:C:2019:629, point 66, et du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 73 ainsi que jurisprudence citée).
30 La Cour a déjà jugé que toute personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de telles données et participe de ce fait à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable dudit traitement. À cet égard, il n’est pas nécessaire que les finalités et les moyens du traitement soient déterminés au moyen de lignes directrices écrites ou de consignes de la part du responsable du traitement (voir, en ce sens, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, points 67 et 68), ni que celui-ci ait été formellement désigné comme tel.
31 Dès lors, pour établir si une entité, telle que le CNSP, peut être considérée comme étant responsable du traitement au sens de l’article 4, point 7, du RGPD, il convient d’examiner si cette entité a effectivement influé, à des fins qui lui sont propres, sur la détermination des finalités et des moyens de ce traitement.
32 En l’occurrence, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il ressort du dossier dont dispose la Cour que la création de l’application mobile en cause a été commandée par le CNSP et visait à mettre en œuvre l’objectif assigné par celui-ci, à savoir la gestion de la pandémie de COVID-19 par le biais d’un outil informatique aux fins de l’enregistrement et du suivi des données des personnes exposées au virus de la COVID-19. Le CNSP avait prévu à cette fin que les données à caractère personnel des utilisateurs de l’application mobile en cause soient traitées. Il ressort en outre de la décision de renvoi que les paramètres de cette application, tels que les questions posées et leur formulation, ont été adaptés aux besoins du CNSP et que celui-ci a joué un rôle actif dans leur détermination.
33 Dans ces conditions, il doit, en principe, être considéré que le CNSP a effectivement participé à la détermination des finalités et des moyens du traitement.
34 En revanche, le simple fait que le CNSP a été mentionné en tant que responsable du traitement dans la politique de protection de la vie privée de l’application mobile en cause et que des liens vers cette entité ont été inclus dans cette application pourrait être considéré comme pertinent uniquement pour autant qu’il soit établi que le CNSP a consenti, de manière expresse ou implicite, à cette mention ou à ces liens.
35 En outre, les circonstances mentionnées par la juridiction de renvoi dans le cadre des considérations venant au soutien de ses trois premières questions préjudicielles, à savoir que le CNSP n’a pas lui-même traité de données à caractère personnel, qu’il n’existait pas de contrat entre le CNSP et la société ITSS, que le CNSP n’a pas acquis l’application mobile en cause ou encore que la diffusion de cette application par le biais de boutiques en ligne n’a pas fait l’objet d’une autorisation par le CNSP, n’excluent pas que celui-ci puisse être qualifié de « responsable du traitement », au sens de l’article 4, point 7, du RGPD.
36 En effet, il ressort de cette disposition, lue à la lumière du considérant 74 du RGPD, qu’une entité, dès lors qu’elle répond à la condition posée par ledit article 4, point 7, est responsable non seulement pour tout traitement de données à caractère personnel qu’elle effectue elle-même, mais également pour celui qui est réalisé pour son compte.
37 À cet égard, il importe néanmoins de préciser que le CNSP ne saurait être considéré comme le responsable du traitement des données à caractère personnel résultant de la mise à disposition de l’application mobile en cause au public si, avant cette mise à disposition, il s’est expressément opposé à celle-ci, ce qu’il incombe à la juridiction de renvoi de vérifier. En effet, dans une telle hypothèse, il ne saurait être considéré que le traitement en cause a été effectué pour le compte du CNSP.
38 Eu égard aux motifs qui précédent, il y a lieu de répondre aux première à troisième questions que l’article 4, point 7, du RGPD doit être interprété en ce sens que peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.
Sur la cinquième question
39 Par sa cinquième question, qu’il convient d’examiner en deuxième lieu, la juridiction de renvoi demande, en substance, si l’article 4, point 7, et l’article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que la qualification de deux entités comme étant responsables conjoints du traitement présuppose l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ou l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement.
40 Conformément à l’article 26, paragraphe 1, du RGPD, il existe des « responsables conjoints du traitement » lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement.
41 Ainsi que la Cour l’a jugé, pour pouvoir être considérée comme étant responsable conjoint du traitement, une personne physique ou morale doit donc répondre de manière indépendante à la définition de « responsable du traitement » donnée à l’article 4, point 7, du RGPD (voir, en ce sens, arrêt du 29 juillet 2019, Fashion ID, C‑40/17, EU:C:2019:629, point 74).
42 Cependant, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 43). Par ailleurs, la responsabilité conjointe de plusieurs acteurs pour un même traitement n’exige pas que chacun d’eux ait accès aux données à caractère personnel concernées (arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 69 et jurisprudence citée).
43 Ainsi que l’a relevé M. l’avocat général au point 38 de ses conclusions, la participation à la détermination des finalités et des moyens du traitement peut prendre différentes formes, cette participation pouvant résulter tant d’une décision commune prise par deux entités ou plus que de décisions convergentes de telles entités. Or, dans ce dernier cas, lesdites décisions doivent se compléter, de telle sorte que chacune d’elles ait un effet concret sur la détermination des finalités et des moyens du traitement.
44 En revanche, il ne saurait être exigé qu’il existe un accord formel entre ces responsables du traitement quant aux finalités et aux moyens du traitement.
45 Certes, en vertu de l’article 26, paragraphe 1, du RGPD, lu à la lumière du considérant 79 de celui-ci, les responsables conjoints du traitement doivent, par voie d’accord entre eux, définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences de ce règlement. Toutefois, l’existence d’un tel accord constitue non pas une condition préalable pour que deux entités ou plus soient qualifiées de responsables conjoints du traitement, mais une obligation que cet article 26, paragraphe 1, impose aux responsables conjoints du traitement, une fois qualifiés de tels, aux fins d’assurer le respect des exigences du RGPD pesant sur eux. Ainsi, cette qualification découle du seul fait que plusieurs entités ont participé à la détermination des finalités et des moyens du traitement.
46 Eu égard aux motifs qui précédent, il y a lieu de répondre à la cinquième question que l’article 4, point 7, et l’article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ni l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement.
Sur la quatrième question
47 Par sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 4, point 2, du RGPD doit être interprété en ce sens que constitue un « traitement », au sens de cette disposition, l’utilisation de données à caractère personnel aux fins d’essais informatiques d’une application mobile.
48 En l’occurrence, ainsi qu’il ressort du point 25 du présent arrêt, la société lituanienne gérante du système informatique de suivi et de contrôle des maladies transmissibles présentant un risque de propagation devait recevoir les copies des données à caractère personnel recueillies par l’application mobile en cause. À des fins d’essais informatiques, des données fictives ont été utilisées, à l’exception des numéros de téléphone des employés de ladite société.
49 À cet égard, en premier lieu, l’article 4, point 2, du RGPD définit la notion de « traitement » comme étant « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ». Dans une énumération non exhaustive, introduite par la locution « telles que », cette disposition mentionne comme exemples de traitement la collecte, la mise à disposition et l’utilisation de données à caractère personnel.
50 Il ressort donc du libellé de cette disposition, notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large [voir, en ce sens, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35] et que les raisons pour lesquelles une opération ou un ensemble d’opérations sont effectuées ne sauraient être prises en compte pour déterminer si cette opération ou cet ensemble d’opérations constitue un « traitement », au sens de l’article 4, point 2, du RGPD.
51 Dès lors, la question de savoir si des données à caractère personnel sont utilisées en vue d’essais informatiques ou à une autre fin est sans incidence sur la qualification de l’opération en cause de « traitement », au sens de l’article 4, point 2, du RGPD.
52 En second lieu, il importe néanmoins de préciser que seul un traitement qui vise des « données à caractère personnel » constitue un « traitement », au sens de l’article 4, point 2, du RGPD.
53 L’article 4, point 1, du RGPD précise à cet égard qu’il faut entendre par « données à caractère personnel » « toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire à « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
54 Or, la circonstance à laquelle se réfère la juridiction de renvoi dans sa quatrième question, qu’il s’agit de « copies de données à caractère personnel », n’est pas, en tant que telle, de nature à dénier à ces copies la qualification de données à caractère personnel, au sens de l’article 4, point 1, du RGPD, pourvu que de telles copies contiennent effectivement des informations se rapportant à une personne physique identifiée ou identifiable.
55 Il convient, toutefois, de constater que des données fictives, dès lors qu’elles se rapportent non pas à une personne physique identifiée ou identifiable mais à une personne qui, en réalité, n’existe pas, ne constituent pas des données à caractère personnel, au sens de l’article 4, point 1, du RGPD.
56 Il en va de même en ce qui concerne des données utilisées à des fins d’essais informatiques qui sont anonymes ou ont été anonymisées.
57 En effet, il découle du considérant 26 du RGPD ainsi que de la définition même de la notion de « données à caractère personnel », fournie par l’article 4, point 1, de ce règlement, que ne relèvent pas de cette notion les « informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable », ni les « données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable ».
58 En revanche, il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui ont seulement fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable, auxquelles s’appliquent les principes relatifs à la protection des données.
59 Eu égard aux motifs qui précédent, il y a lieu de répondre à la quatrième question que l’article 4, point 2, du RGPD doit être interprété en ce sens que constitue un « traitement », au sens de cette disposition, l’utilisation de données à caractère personnel aux fins d’essais informatiques d’une application mobile, à moins que de telles données n’aient été rendues anonymes de telle sorte que la personne concernée par ces données n’est pas ou n’est plus identifiable ou qu’il ne s’agisse de données fictives qui ne se rapportent pas à une personne physique existante.
Sur la sixième question
60 Par sa sixième question, la juridiction de renvoi demande, en substance, si l’article 83 du RGPD doit être interprété en ce sens que, d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et, d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement effectuées par un sous-traitant pour le compte de celui-ci.
61 S’agissant, en premier lieu, du point de savoir si une amende administrative peut être imposée en application de l’article 83 du RGPD seulement dans la mesure où il est établi que le responsable du traitement ou le sous-traitant a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article, il ressort du paragraphe 1 dudit article que ces amendes doivent être effectives, proportionnées et dissuasives. En revanche, l’article 83 du RGPD ne précise pas expressément qu’une telle violation ne peut être sanctionnée par une telle amende que si elle a été commise délibérément ou, à tout le moins, par négligence.
62 Le gouvernement lituanien et le Conseil de l’Union européenne en déduisent que le législateur de l’Union a entendu laisser aux États membres une certaine marge d’appréciation dans la mise en œuvre de l’article 83 du RGPD, leur permettant de prévoir l’imposition d’amendes administratives en application de cette disposition, le cas échéant, sans qu’il soit établi que la violation du RGPD sanctionnée par cette amende a été commise délibérément ou par négligence.
63 Une telle interprétation de l’article 83 du RGPD ne saurait être retenue.
64 À cet égard, il importe de rappeler que, en vertu de l’article 288 TFUE, les dispositions des règlements ont, en général, un effet immédiat dans les ordres juridiques nationaux, sans que les autorités nationales aient besoin de prendre des mesures d’application. Néanmoins, certaines dispositions des règlements peuvent nécessiter, pour leur mise en œuvre, l’adoption de mesures d’application par les États membres (voir, en ce sens, arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 58 et jurisprudence citée).
65 C’est notamment le cas du RGPD dont certaines dispositions ouvrent la possibilité aux États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, qui laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 57).
66 De même, en l’absence de règles procédurales spécifiques dans le RGPD, il appartient à l’ordre juridique de chaque État membre de fixer, sous réserve du respect des principes d’équivalence et d’effectivité, les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent des dispositions de ce règlement [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 53 et 54 ainsi que jurisprudence citée].
67 Cependant, rien dans le libellé de l’article 83, paragraphes 1 à 6, du RGPD ne permet de considérer que le législateur de l’Union aurait entendu laisser une marge d’appréciation aux États membres en ce qui concerne les conditions de fond devant être respectées par une autorité de contrôle lorsque celle-ci décide d’imposer une amende administrative à un responsable du traitement pour une violation visée aux paragraphes 4 à 6 de cet article.
68 Certes, d’une part, l’article 83, paragraphe 7, du RGPD prévoit que chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire. D’autre part, il ressort de l’article 83, paragraphe 8, de ce règlement, lu à la lumière du considérant 129 de celui-ci, que l’exercice, par l’autorité de contrôle, des pouvoirs que lui confère cet article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.
69 Toutefois, le fait que ledit règlement donne ainsi aux États membres la possibilité de prévoir des exceptions par rapport aux autorités publiques et aux organismes publics établis sur leur territoire ainsi que des exigences concernant la procédure à suivre par les autorités de contrôle pour imposer une amende administrative ne signifie nullement que ces États seraient également habilités à prévoir, au-delà de telles exceptions et exigences de nature procédurale, des conditions de fond devant être respectées pour engager la responsabilité du responsable du traitement et lui imposer une amende administrative en application dudit article 83. En outre, le fait que le législateur de l’Union a pris le soin de prévoir expressément cette possibilité mais non pas celle de prévoir de telles conditions de fond confirme qu’il n’a pas laissé aux États membres une marge d’appréciation à cet égard.
70 Cette constatation est également corroborée par une lecture conjointe des articles 83 et 84 du RGPD. En effet, l’article 84, paragraphe 1, de ce règlement admet que les États membres conservent la compétence pour déterminer le régime des « autres sanctions applicables » en cas de violations de ce règlement, « en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83 ». Il résulte ainsi d’une telle lecture conjointe de ces dispositions qu’échappe à cette compétence la détermination des conditions de fond permettant d’infliger de telles amendes administratives. Ces conditions relèvent dès lors uniquement du droit de l’Union.
71 En ce qui concerne lesdites conditions, il y a lieu de relever que l’article 83, paragraphe 2, du RGPD énumère les éléments au vu desquels l’autorité de contrôle impose une amende administrative au responsable du traitement. Parmi ces éléments figure, au point b) de cette disposition, « le fait que la violation a été commise délibérément ou par négligence ». En revanche, aucun des éléments énumérés à ladite disposition ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part.
72 En outre, il importe de lire l’article 83, paragraphe 2, du RGPD, en combinaison avec le paragraphe 3 de cet article dont l’objet est de prévoir les conséquences des cas de cumul de violations de ce règlement et aux termes duquel « si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave ».
73 Il découle ainsi du libellé de l’article 83, paragraphe 2, du RGPD que seules les violations des dispositions de ce règlement commises de manière fautive par le responsable du traitement, à savoir celles commises délibérément ou par négligence, peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de cet article.
74 L’économie générale et la finalité du RGPD corroborent cette lecture.
75 D’une part, le législateur de l’Union a prévu un système de sanctions permettant aux autorités de contrôle d’imposer les sanctions les plus appropriées selon les circonstances de chaque cas.
76 En effet, l’article 58 du RGPD, qui fixe les pouvoirs des autorités de contrôle, prévoit, à son paragraphe 2, sous i), que ces autorités peuvent imposer les amendes administratives, en application de l’article 83 de ce règlement, « en complément ou à la place » des autres mesures correctrices énumérées à cet article 58, paragraphe 2, telles que des avertissements, des rappels à l’ordre ou des injonctions. De même, le considérant 148 dudit règlement énonce notamment qu’il est permis aux autorités de contrôle, lorsqu’il s’agit d’une violation mineure ou si l’amende administrative susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, de s’abstenir d’imposer une amende administrative et, à sa place, de prononcer un rappel à l’ordre.
77 D’autre part, il ressort, en particulier, du considérant 10 du RGPD que les dispositions de celui–ci ont, notamment, pour objectifs d’assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union et, à cette fin, d’assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement de telles données dans l’ensemble de l’Union. Les considérants 11 et 129 du RGPD soulignent, par ailleurs, la nécessité d’assurer, afin de veiller à une application cohérente de ce règlement, que les autorités de contrôle disposent de pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et qu’elles puissent infliger des sanctions équivalentes en cas de violations dudit règlement.
78 L’existence d’un système de sanctions permettant d’imposer, lorsque les circonstances spécifiques de chaque cas d’espèce le justifient, une amende administrative en application de l’article 83 du RGPD crée, pour les responsables du traitement et les sous-traitants, une incitation à se conformer à ce règlement. Par leur effet dissuasif, les amendes administratives contribuent au renforcement de la protection des personnes physiques à l’égard du traitement des données à caractère personnel et constituent dès lors un élément clé pour garantir le respect des droits de ces personnes, conformément à la finalité de ce règlement d’assurer un niveau élevé de protection de telles personnes à l’égard du traitement des données à caractère personnel.
79 Cependant, le législateur de l’Union n’a pas jugé nécessaire, pour assurer un tel niveau élevé de protection, de prévoir l’imposition d’amendes administratives en l’absence de faute. Compte tenu du fait que le RGPD vise un niveau de protection à la fois équivalent et homogène et qu’il doit, à cette fin, être appliqué de manière cohérente dans l’ensemble de l’Union, il serait contraire à cette finalité de permettre aux États membres de prévoir un tel régime pour l’imposition d’une amende en application de l’article 83 de ce règlement. Une telle liberté de choix serait, en outre, de nature à fausser la concurrence entre les opérateurs économiques au sein de l’Union, ce qui irait à l’encontre des objectifs exprimés par le législateur de l’Union, notamment, aux considérants 9 et 13 dudit règlement.
80 En conséquence, il y a lieu de constater que l’article 83 du RGPD ne permet pas d’imposer une amende administrative pour une violation visée à ses paragraphes 4 à 6, sans qu’il soit établi que cette violation a été commise délibérément ou par négligence par le responsable du traitement, et que, partant, une violation fautive constitue une condition à l’imposition d’une telle amende.
81 À cet égard, il importe encore de préciser, s’agissant de la question de savoir si une violation a été commise délibérément ou par négligence et est, de ce fait, susceptible d’être sanctionnée par une amende administrative au titre de l’article 83 du RGPD, qu’un responsable du traitement peut être sanctionné pour un comportement entrant dans le champ d’application du RGPD dès lors que ce responsable du traitement ne pouvait ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD (voir, par analogie, arrêts du 18 juin 2013, Schenker & Co. e.a., C‑681/11, EU:C:2013:404, point 37 ainsi que jurisprudence citée ; du 25 mars 2021, Lundbeck/Commission, C‑591/16 P, EU:C:2021:243, point 156, et du 25 mars 2021, Arrow Group et Arrow Generics/Commission, C‑601/16 P, EU:C:2021:244, point 97).
82 Lorsque le responsable du traitement est une personne morale, il convient encore de préciser que l’application de l’article 83 du RGPD ne suppose pas une action ou même une connaissance de l’organe de gestion de cette personne morale (voir, par analogie, arrêts du 7 juin 1983, Musique Diffusion française e.a./Commission, 100/80 à 103/80, EU:C:1983:158, point 97, ainsi que du 16 février 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commission, C‑94/15 P, EU:C:2017:124, point 28 et jurisprudence citée).
83 S’agissant, en second lieu, de la question de savoir si une amende administrative peut être imposée en application de l’article 83 du RGPD à un responsable du traitement au regard des opérations de traitement effectuées par un sous-traitant, il importe de rappeler que, selon la définition figurant à l’article 4, point 8, du RGPD, est un sous-traitant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
84 Dès lors que, ainsi qu’il a été indiqué au point 36 du présent arrêt, un responsable du traitement est responsable non seulement pour tout traitement de données à caractère personnel qu’il effectue lui-même, mais également pour les traitements réalisés pour son compte, ce responsable peut se voir imposer une amende administrative en application de l’article 83 du RGPD dans une situation où des données à caractère personnel font l’objet d’un traitement illicite et où ce n’est pas un tel responsable, mais un sous–traitant auquel celui-ci a fait appel, qui a effectué ledit traitement pour le compte de ce dernier.
85 Toutefois, la responsabilité du responsable du traitement pour le comportement d’un sous-traitant ne saurait s’étendre aux situations dans lesquelles le sous-traitant a traité des données à caractère personnel pour des finalités qui lui sont propres ou dans lesquelles ce dernier a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti. En effet, conformément à l’article 28, paragraphe 10, du RGPD, le sous-traitant doit, dans une telle hypothèse, être considéré comme étant responsable du traitement en ce qui concerne un tel traitement.
86 Eu égard aux considérations qui précédent, il y a lieu de répondre à la sixième question que l’article 83 du RGPD doit être interprété en ce sens que, d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et, d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données à caractère personnel effectuées par un sous-traitant pour le compte de celui-ci, sauf si, dans le cadre de ces opérations, ce sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti.
Sur les dépens
87 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (grande chambre) dit pour droit :
1) L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.
2) L’article 4, point 7, et l’article 26, paragraphe 1, du règlement 2016/679
doivent être interprétés en ce sens que :
la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ni l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement.
3) L’article 4, point 2, du règlement 2016/679
doit être interprété en ce sens que :
constitue un « traitement », au sens de cette disposition, l’utilisation de données à caractère personnel aux fins d’essais informatiques d’une application mobile, à moins que de telles données n’aient été rendues anonymes de telle sorte que la personne concernée par ces données n’est pas ou n’est plus identifiable ou qu’il ne s’agisse de données fictives qui ne se rapportent pas à une personne physique existante.
4) L’article 83 du règlement 2016/679
doit être interprété en ce sens que :
d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et,
d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données à caractère personnel effectuées par un sous-traitant pour le compte de celui-ci, sauf si, dans le cadre de ces opérations, ce sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti.
Signatures
* Langue de procédure : le lituanien.
© European Union
The source of this judgment is the Europa web site. The information on this site is subject to a information found here: Important legal notice. This electronic version is not authentic and is subject to amendment.
BAILII: Copyright Policy | Disclaimers | Privacy Policy | Feedback | Donate to BAILII
URL: http://www.bailii.org/eu/cases/EUECJ/2023/C68321.html