La Cour de justice de l’Union européenne (CJUE) a récemment rendu un arrêt crucial qui clarifie et renforce les conditions d’imposition des amendes en vertu du Règlement Général sur la Protection des Données (RGPD). Cette décision, attendue depuis longtemps, marque un tournant significatif dans l’application du RGPD, intensifiant la pression sur les entreprises pour qu’elles se conforment strictement à la réglementation en matière de protection des données.
Contexte de la Décision
La CJUE a répondu à des requêtes de précisions venant de tribunaux nationaux en Lituanie et en Allemagne. L’un des cas les plus marquants implique la société immobilière allemande Deutsche Wohnen, qui a été condamnée en 2020 à une amende de 14,5 millions d’euros par le commissaire à la Protection des Données de Berlin. De même, le Centre national de santé publique en Lituanie a été sanctionné pour l’utilisation d’une application mobile liée au suivi des données des personnes exposées à la Covid-19.
Principes Clés de l’Arrêt
- Faute et Responsabilité : La CJUE établit que les amendes peuvent être imposées en cas de violation commise de manière fautive, soit délibérément, soit par négligence. Si une entreprise peut objectivement reconnaître l’illégalité de ses actes, elle peut être tenue responsable.
- Sous-traitants et Responsabilité Étendue : Les entreprises peuvent également être sanctionnées pour des actions effectuées par leurs sous-traitants, soulignant l’importance d’une gestion rigoureuse de la chaîne de sous-traitance.
- Ignorance Non Excusable : Déclarer ne pas être au courant de l’infraction ne constitue pas une défense valable. La responsabilité s’étend aux actes commis par des personnes agissant au nom de l’entreprise.
- Amendes Basées sur le Chiffre d’Affaires Global : Pour les groupes de sociétés, l’amende sera calculée sur la base du chiffre d’affaires mondial, augmentant potentiellement le montant des sanctions.
Implications et Recommandations
Cette décision de la CJUE ouvre la voie à des amendes plus élevées et plus fréquentes pour non-conformité au RGPD. Les entreprises, en particulier celles opérant à l’échelle internationale, doivent désormais être plus vigilantes et proactives dans la gestion de leurs données.
Les experts, tels que Stefan Hessel et Jan Spittka, soulignent l’importance d’une formation renforcée des employés en matière de protection des données et d’un contrôle rigoureux des processus internes pour minimiser les risques de non-conformité.