Le tribunal administratif de Wiesbaden (Allemagne) a demandé à la Cour de justice de l’Union européenne (CJUE) si les autorités de protection des données – la CNIL en France – devaient « intervenir » lorsqu’elles constataient un manquement au RGPD au cours de l’instruction d’une plainte.

« Les dispositions combinées de l’article 57, paragraphe 1, points a) et f), et de l’article 58, paragraphe 2, points a) à j), et de l’article 77, paragraphe 1, du règlement (UE) 2016/679 1 doivent-elles être interprétées en ce sens que l’autorité de contrôle est toujours tenue d’intervenir au titre de l’article 58, paragraphe 2, du RGPD lorsqu’elle constate un traitement de données qui empiète sur les droits de la personne concernée ? »

La Cour n’a pas encore statué. L’avocat général, Priit Pikamäe, a toutefois déjà rendu ses conclusions. Il a estimé qu’une « autorité de contrôle a l’obligation d’intervenir lorsqu’elle constate une violation de données à caractère personnel dans le cadre de l’examen d’une réclamation » et qu’elle est « tenue de définir la ou les mesures correctrices les plus adéquates pour remédier à la violation et faire respecter les droits de la personne concernée », l’objectif principal étant de « rétablir une situation conforme au droit de l’Union ».

« l’obligation liant l’autorité de contrôle porte avant tout sur le résultat à atteindre, à savoir remédier à la violation constatée, en adoptant la mesure « appropriée » à cette fin »

Les autorités disposent, à cette fin, du « pouvoir » d’adopter toutes les mesures proposées par le RGPD, et « jouissent d’une marge de manœuvre ». Les mesures prises devraient, dans tous les cas, être « appropriées, nécessaires et proportionnées ».

L’avocat général estime également que ce pouvoir « discrétionnaire », dont disposent les autorités, peut impliquer « le pouvoir de ne prendre aucune des mesures correctrices », par exemple « si le problème a entre-temps été résolu ou surmonté et l’infraction a cessé d’exister » et si « le niveau de caractère répréhensible du comportement du responsable du traitement ou du sous-traitant est manifestement faible ».

Enfin, l’avocat général considère « qu’il est également possible de remédier aux violations mineures par d’autres mesures prises par le responsable du traitement lui-même », dans le cas où « la responsabilité de l’infraction a été reconnue et où il a été assuré qu’une nouvelle violation de données ne se produira pas » par exemple.

L’adoption de ces mesures « autonomes » par le responsable de traitement doivent toutefois être associées à certaines « exigences » : l’autorité devrait donner son consentement à de telles mesures, après « un examen rigoureux de la situation », et l’autorité devrait pouvoir « intervenir si ses instructions ne sont pas respectées ».

La Cour n’est pas tenue de suivre les conclusions de l’avocat général.

L'avis d'eWatchers (par Morgan Schmiedt)

Ces conclusions sont du bon sens. Les autorités de protection des données ont la mission d’assurer le bon respect des règles en matière de protection des données. Elles sont même les seules à avoir cette mission. Elles ne peuvent donc pas simplement fermer les yeux quand elles le souhaitent.

Cela ne veut pas dire qu’une sanction administrative doit systématiquement être prononcée. Des mesures plus douces sont à la disposition des autorités pour inciter les organismes à se mettre en conformité et à respecter le droit à la protection des données des internautes.

Liens

Sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données
  • CJUE : Cour de justice de l'Union européenne
  • CNIL : Commission Nationale de l'Informatique et des Libertés