CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:950

ARRÊT DE LA COUR (grande chambre)

5 décembre 2023 (*)

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, point 7 – Notion de “responsable du traitement” – Article 58, paragraphe 2 – Pouvoirs des autorités de contrôle d’imposer des mesures correctrices – Article 83 – Imposition d’amendes administratives à une personne morale – Conditions – Marge de manœuvre des États membres – Exigence du caractère délibéré ou négligent de la violation »

Dans l’affaire C‑807/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Kammergericht Berlin (tribunal régional supérieur de Berlin, Allemagne), par décision du 6 décembre 2021, parvenue à la Cour le 21 décembre 2021, dans la procédure

Deutsche Wohnen SE

contre

Staatsanwaltschaft Berlin,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice–président, MM. A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, M^me O. Spineanu–Matei, présidents de chambre, MM. M. Ilešič, J.–C. Bonichot, M^me L. S. Rossi, MM. A. Kumin, N. Jääskinen (rapporteur), N. Wahl et M. Gavalec, juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : M. D. Dittert, chef d’unité,

vu la procédure écrite et à la suite de l’audience du 17 janvier 2023,

considérant les observations présentées :

– pour Deutsche Wohnen SE, par M^es O. Geiss, K. Mertens, N. Venn et T. Wybitul, Rechtsanwälte,

– pour le gouvernement allemand, par MM. J. Möller et P.-L. Krüger, en qualité d’agents,

– pour le gouvernement estonien, par M^me M. Kriisa, en qualité d’agent,

– pour le gouvernement néerlandais, par M^me C. S. Schillemans, en qualité d’agent,

– pour le gouvernement norvégien, par M^mes L.-M. Moen Jünge, M. Munthe-Kaas et T. Westhagen Edell, en qualité d’agents,

– pour le Parlement européen, par M^mes G. C. Bartram et P. López-Carceller, en qualité d’agents,

– pour le Conseil de l’Union européenne, par MM. J. Bauerschmidt et M. K. Pleśniak, en qualité d’agents,

– pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher, H. Kranenborg et G. Meessen, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 27 avril 2023,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 83, paragraphes 4 à 6, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant Deutsche Wohnen SE (ci-après « DW ») à la Staatsanwaltschaft Berlin (parquet de Berlin, Allemagne) au sujet d’une amende administrative imposée à DW, en application de l’article 83 du RGPD, au titre de la violation de l’article 5, paragraphe 1, sous a), c) et e), de l’article 6, ainsi que de l’article 25, paragraphe 1, de ce règlement.

Le cadre juridique

Le droit de l’Union

3 Les considérants 9, 10, 11, 13, 74, 129 et 150 du RGPD énoncent :

« (9) [...] Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union [européenne]. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. [...]

(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du présent règlement. [...] Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser [leurs] règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel [...]. À cet égard, le présent règlement n’exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.

(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations.

[...]

(13) Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. [...]

[...]

(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

[...]

(129) Afin de veiller à faire appliquer le présent règlement et à contrôler son application de manière cohérente dans l’ensemble de l’Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et les mêmes pouvoirs effectifs, y compris les pouvoirs d’enquête, le pouvoir d’adopter des mesures correctrices et d’infliger des sanctions [...] Toute mesure devrait notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, compte tenu des circonstances de l’espèce, respecter le droit de chacun à être entendu avant que soit prise toute mesure individuelle susceptible de lui porter atteinte et éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées. Les pouvoirs d’enquête en ce qui concerne l’accès aux installations devraient être exercés conformément aux exigences spécifiques du droit procédural des États membres, telle que l’obligation d’obtenir une autorisation judiciaire préalable. Toute mesure juridiquement contraignante prise par l’autorité de contrôle devrait être présentée par écrit, être claire et dénuée d’ambiguïté, indiquer quelle autorité de contrôle a pris la mesure et à quelle date, porter la signature du chef ou d’un membre de l’autorité de contrôle qu’il a autorisé, exposer les motifs qui sous-tendent la mesure et mentionner le droit à un recours effectif. Cela ne devrait pas exclure des exigences supplémentaires prévues par le droit procédural des États membres. [...]

[...]

(150) Afin de renforcer et d’harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d’imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés par l’autorité de contrôle compétente dans chaque cas d’espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 [TFUE]. [...] »

4 Aux termes de l’article 4 de ce règlement :

« Aux fins du présent règlement, on entend par :

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

8) “sous-traitant”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

[...]

18) “entreprise”, une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique ;

[...] »

5 L’article 58 dudit règlement, intitulé « Pouvoirs », prévoit, à ses paragraphes 2 et 4 :

« 2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :

a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;

b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;

[...]

d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;

[...]

f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;

[...]

i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;

[...]

4. L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la [charte des droits fondamentaux de l’Union européenne]. »

6 L’article 83 du même règlement, intitulé « Conditions générales pour imposer des amendes administratives », est libellé comme suit :

« 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;

b) le fait que la violation a été commise délibérément ou par négligence ;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;

f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;

g) les catégories de données à caractère personnel concernées par la violation ;

h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;

i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;

j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42 ; et

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

4. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 [euros] ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :

a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43 ;

[...]

5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :

a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ;

b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22[ ;]

[...]

d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX ;

e) le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.

6. Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

8. L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

[...] »

Le droit allemand

7 L’article 41, paragraphe 1, première phrase, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 30 juin 2017 (BGBl. 2017 I, p. 2097), prévoit que, sauf disposition contraire de cette loi, les dispositions du Gesetz über Ordnungswidrigkeiten (loi relative aux infractions administratives), du 24 mai 1968 (BGBl. 1968 I, p. 481), dans la version de la communication du 19 février 1987 (BGBl. 1987 I, p. 602), telle qu’adaptée par la loi du 19 juin 2020 (BGBl. 2020 I, p. 1350, ci–après l’« OWiG »), sont applicables aux infractions visées à l’article 83, paragraphes 4 à 6, du RGPD.

8 L’article 30 de l’OWiG, intitulé « Amendes prononcées contre des personnes morales et associations de personnes », dispose :

« (1) Lorsqu’une personne agissant

1. en qualité d’organe habilité à représenter une personne morale ou en qualité de membre d’un tel organe,

2. en qualité de président d’une association n’ayant pas la capacité juridique ou en qualité de membre de son bureau,

3. en qualité d’associé habilité à représenter une société de personnes ayant la capacité juridique,

4. en qualité de mandataire général ou dans l’exercice d’une fonction de direction en qualité de fondé de pouvoir ou de mandataire commercial d’une personne morale ou d’une association de personnes visé au point 2 ou au point 3, ou

5. en qualité de responsable à un autre titre de la direction de l’établissement ou de l’entreprise d’une personne morale ou d’une association de personnes visée au point 2 ou au point 3, ce qui inclut la surveillance de la gestion de l’activité ou tout autre exercice d’un pouvoir de contrôle dans une fonction de direction,

a commis une infraction pénale ou administrative, de sorte que des obligations incombant à la personne morale ou à l’association de personnes ont été violées ou que cette personne morale ou cette association de personnes s’est enrichie ou est censée s’être enrichie, une amende peut être infligée à cette personne morale ou à cette association de personnes.

[...]

(4) Si l’infraction pénale ou administrative ne donne pas lieu à l’ouverture d’une procédure pénale ou d’une procédure contraventionnelle administrative, ou si cette procédure est classée ou si l’on renonce à toute peine, l’amende peut être imposée de manière indépendante. La loi peut également prévoir la possibilité d’imposer l’amende de manière indépendante dans d’autres cas. Toutefois, il est exclu d’imposer une amende de manière indépendante à la personne morale ou l’association de personnes lorsque l’infraction pénale ou administrative ne peut pas être sanctionnée pour un motif juridique [...] »

9 L’article 130 de l’OWiG prévoit :

« (1) Quiconque, en qualité de propriétaire d’un établissement ou d’une entreprise, omet, volontairement ou par négligence, de prendre les mesures de surveillance nécessaires pour prévenir, au sein de l’établissement ou de l’entreprise, les manquements aux obligations qui incombent au propriétaire et dont la violation est passible d’une peine ou d’une amende, commet une infraction administrative lorsqu’un tel manquement est commis, alors qu’une surveillance adéquate aurait permis de l’empêcher ou de l’entraver sensiblement. Les mesures de surveillance nécessaires comportent également la désignation, la sélection minutieuse et le contrôle des personnes chargées de la surveillance.

[...]

(3) Lorsque le manquement à une obligation est passible d’une peine, l’infraction administrative peut être punie d’une amende d’un montant d’un million d’euros au maximum. L’article 30, paragraphe 2, troisième phrase, s’applique. Lorsque le manquement à l’obligation est passible d’une amende, le montant maximal de l’amende infligée pour le manquement au devoir de surveillance est déterminé en fonction du montant maximal de l’amende encourue pour ce manquement. [...] »

Le litige au principal et les questions préjudicielles

10 DW est une société immobilière, constituée sous la forme juridique de société européenne, cotée en bourse et dont le siège social est à Berlin (Allemagne). Elle détient indirectement, par le biais de participations dans différentes sociétés, environ 163 000 unités de logement et 3 000 unités commerciales.

11 Les propriétaires de ces unités sont des filiales de DW appelées « sociétés propriétaires », qui gèrent les activités opérationnelles, tandis que DW se concentre sur la direction générale du groupe qu’elle constitue notamment avec celles-ci. Les sociétés propriétaires louent les unités commerciales et de logement, dont la gestion est assurée par d’autres sociétés dudit groupe, dites « sociétés de services ».

12 Dans le cadre de leurs activités commerciales, DW et les sociétés du groupe qu’elle dirige traitent des données à caractère personnel des locataires des unités commerciales et de logement, comme, par exemple, des preuves d’identité, des données fiscales, sociales et d’assurance maladie de ces locataires, ainsi que des informations sur les contrats de location antérieurs.

13 Le 23 juin 2017, dans le cadre d’un contrôle sur place, le Berliner Beauftragte für den Datenschutz (autorité de contrôle de Berlin, Allemagne, ci-après l’« autorité de contrôle ») a attiré l’attention de DW sur la circonstance que les sociétés de son groupe sauvegardaient des documents contenant de données à caractère personnel des locataires dans un système d’archivage électronique qui ne permettait pas de vérifier si la sauvegarde était nécessaire et de garantir que les données qui n’étaient plus nécessaires étaient effacées.

14 L’autorité de contrôle a demandé à DW de supprimer ces documents de son système d’archivage électronique au plus tard à la fin de l’année 2017. En réponse à cette demande, DW a relevé que la suppression n’était pas possible pour des raisons techniques et juridiques.

15 À la suite d’échanges entre DW et l’autorité de contrôle au sujet de la possibilité de supprimer les documents en cause, DW a informé cette autorité de son intention de mettre en place un nouveau système de sauvegarde, visant à remplacer celui qui contenait lesdits documents.

16 Le 5 mars 2019, l’autorité de contrôle a effectué un contrôle au siège central du groupe dirigé par DW. Lors de ce contrôle, celle-ci a informé cette autorité que le système d’archivage électronique litigieux avait déjà été mis hors service et que la migration des données vers le nouveau système de sauvegarde était imminente.

17 Par décision du 30 octobre 2019, l’autorité de contrôle a imposé à DW une amende administrative de 14 385 000 euros, au titre de la violation délibérée de l’article 5, paragraphe 1, sous a), c) et e), ainsi que de l’article 25, paragraphe 1, du RGPD (ci-après la « décision en cause »). Par cette décision, cette autorité a également imposé à DW 15 autres amendes de montants compris entre 3 000 et 17 000 euros au titre de la violation de l’article 6, paragraphe 1, du RGPD.

18 Dans la décision en cause, l’autorité de contrôle considérait, plus particulièrement, que DW avait délibérément omis, entre le 25 mai 2018 et le 5 mars 2019, de prendre les mesures nécessaires pour permettre l’effacement régulier des données à caractère personnel relatives aux locataires qui n’étaient plus nécessaires ou qui avaient été, pour une autre raison, sauvegardées de manière erronée. Elle relevait également que DW avait continué à sauvegarder, sans qu’une telle démarche soit nécessaire, les données à caractère personnel d’au moins 15 locataires identifiés de façon plus précise.

19 DW a formé un recours contre cette décision devant le Landgericht Berlin (tribunal régional de Berlin, Allemagne). Cette juridiction a classé sans suite la procédure en estimant que la décision en cause était entachée de défauts tellement graves que celle-ci ne pouvait servir de base à l’imposition d’une amende.

20 Ladite juridiction a notamment relevé que l’imposition d’une amende à une personne morale est réglementée de manière exhaustive par l’article 30 de l’OWiG qui, en vertu de l’article 41, paragraphe 1, de la loi fédérale sur la protection des données, s’appliquerait aux violations visées à l’article 83, paragraphes 4 à 6, du RGPD. Or, selon cet article 30 de l’OWiG, une infraction administrative ne pourrait être constatée qu’à l’encontre d’une personne physique et non pas à l’encontre d’une personne morale. En outre, seuls les actes des membres des organes ou des représentants de la personne morale pourraient être imputés à celle-ci. Si le paragraphe 4 dudit article 30 permettait, sous certaines conditions, qu’une procédure contraventionnelle administrative indépendante soit engagée à l’encontre d’une personne morale, il n’en resterait pas moins que, également dans cette hypothèse, il serait requis qu’une infraction administrative puisse être constatée à l’encontre de membres des organes ou des représentants de la personne morale concernée.

21 La Staatsanwaltschaft Berlin (parquet de Berlin) a formé un recours contre cette décision devant le Kammergericht Berlin (tribunal régional supérieur de Berlin, Allemagne), qui est la juridiction de renvoi.

22 La juridiction de renvoi se demande, en premier lieu, si, en application de l’article 83 du RGPD, une amende administrative doit pouvoir être imposée à une personne morale sans que la violation de ce règlement soit imputée au préalable à une personne physique identifiée. Dans ce contexte, cette juridiction s’interroge notamment sur la pertinence de la notion d’« entreprise », au sens des articles 101 et 102 TFUE.

23 À cet égard, ladite juridiction explique que, selon une jurisprudence nationale, le régime de responsabilité limitée des personnes morales existant en droit national serait en contradiction avec le régime de responsabilité directe des entreprises prévu par l’article 83 du RGPD. Selon cette jurisprudence, il ressortirait notamment du libellé de l’article 83 du RGPD, qui, conformément au principe de primauté du droit de l’Union, prévaut sur le régime national, que des amendes administratives peuvent être infligées aux entreprises. Il ne serait donc pas nécessaire de rattacher l’imposition de telles amendes à un acte fautif des organes ou des dirigeants des personnes morales, contrairement à ce qui serait exigé par le droit national applicable.

24 En effet, selon ladite juridiction, cette jurisprudence, tout comme la majorité de la doctrine nationale, accorderait une importance particulière à la notion d’« entreprise », au sens des articles 101 et 102 TFUE, et donc à l’idée selon laquelle la responsabilité est imputée à l’entité économique au sein de laquelle le comportement indésirable, par exemple anticoncurrentiel, a été adopté. Selon cette conception « fonctionnelle », tous les actes de tous les employés habilités à agir au nom d’une entreprise seraient imputables à l’entreprise, également dans le cadre de poursuites administratives.

25 En second lieu, dans l’hypothèse où la Cour devrait considérer qu’une amende administrative doit pouvoir être imposée directement à une personne morale, la juridiction de renvoi s’interroge sur les critères devant être appliqués afin d’établir la responsabilité d’une personne morale, en tant qu’entreprise, pour une violation du RGPD. Elle souhaite notamment savoir si une amende administrative peut être imposée en application de l’article 83 de ce règlement à une personne morale sans qu’il soit établi que la violation dudit règlement imputée à celle-ci a été commise de manière fautive.

26 Dans ces conditions, le Kammergericht Berlin (tribunal régional supérieur de Berlin) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) L’article 83, paragraphes 4 à 6, du RGPD doit-il être interprété en ce sens qu’il incorpore dans le droit national la notion fonctionnelle d’entreprise et le principe de l’entité fonctionnelle (“Funktionsträgerprinzip”) attachés aux articles 101 et 102 [TFUE], avec pour conséquence que, en étendant le principe de l’entité juridique (“Rechtsträgerprinzip”) sur lequel repose l’article 30 [de l’OWiG], une procédure contraventionnelle administrative peut être menée directement à l’encontre d’une entreprise et l’imposition d’une amende ne nécessite pas la constatation d’une infraction administrative commise par une personne physique identifiée, remplissant, le cas échéant, tous les éléments constitutifs de l’infraction ?

2) En cas de réponse affirmative à la première question : [l]’article 83, paragraphes 4 à 6, du RGPD doit-il être interprété en ce sens que l’entreprise doit avoir commis de manière fautive l’infraction commise par l’entremise d’un collaborateur [voir article 23 du règlement (CE) n^o 1/2003 du Conseil, du 16 décembre 2002, relatif à la mise en œuvre des règles de concurrence prévues aux articles 81 et 82 du traité (JO 2003, L 1, p. 1)], ou, aux fins d’infliger une amende à l’entreprise, suffit-il en principe une violation objective d’une obligation qui lui est imputable (“responsabilité stricte”) ? »

Sur la demande de réouverture de la procédure orale

27 À la suite de l’audience de plaidoiries tenue le 17 janvier 2023, DW a, par acte déposé au greffe de la Cour le 23 mars 2023, demandé à ce que soit ordonnée la réouverture de la phase orale de la procédure, en application de l’article 83 du règlement de procédure de la Cour.

28 À l’appui de sa demande, DW soutient, en substance, que les réponses données par la juridiction de renvoi à la demande d’éclaircissements, adressée à celle-ci au titre de l’article 101 du règlement de procédure, fournissent à la Cour des informations inexactes concernant les dispositions applicables du droit national. Or, un débat exhaustif sur ce sujet lors de l’audience du 17 janvier 2023 n’aurait pas été possible, du fait que les parties avaient pris connaissance de ces réponses seulement trois jours ouvrables avant cette audience. En effet, un tel délai n’aurait pas permis de préparer l’audience de manière approfondie.

29 Certes, conformément à l’article 83 du règlement de procédure, la Cour peut, à tout moment, l’avocat général entendu, ordonner la réouverture de la phase orale de la procédure, notamment si elle considère qu’elle est insuffisamment éclairée, ou lorsqu’une partie a soumis, après la clôture de cette phase, un fait nouveau de nature à exercer une influence décisive sur la décision de la Cour, ou encore lorsque l’affaire doit être tranchée sur la base d’un argument qui n’a pas été débattu entre les intéressés.

30 Toutefois, en l’occurrence, la Cour dispose de tous les éléments nécessaires pour statuer et la présente affaire ne doit pas être tranchée sur la base d’arguments qui n’auraient pas été débattus entre les intéressés. En outre, la demande de réouverture de la phase orale de la procédure ne révèle aucun fait nouveau de nature à pouvoir exercer une influence décisive sur la décision que la Cour est appelée à rendre dans cette affaire.

31 Dans ces conditions, la Cour considère, l’avocat général entendu, qu’il n’y a pas lieu d’ordonner la réouverture de la phase orale de la procédure.

Sur les questions préjudicielles

Sur la première question

32 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 58, paragraphe 2, et l’article 83, paragraphes 1 à 6, du RGPD doivent être interprétés en ce sens qu’ils s’opposent à une réglementation nationale en vertu de laquelle une amende administrative ne peut être infligée à une personne morale en sa qualité de responsable du traitement pour une violation visée aux paragraphes 4 à 6 de cet article 83 que pour autant que cette violation a été imputée préalablement à une personne physique identifiée.

33 À titre liminaire, il y a lieu de relever que, dans ses observations écrites, le gouvernement allemand a exprimé des doutes quant à cette interprétation du droit national par la juridiction de renvoi, au motif que l’article 130 de l’OWiG permet d’imposer une amende à une personne morale également en dehors des cas visés par l’article 30 de l’OWiG. Par ailleurs, ces deux dispositions permettraient d’imposer une amende dite « anonyme » dans le cadre d’une procédure engagée contre l’entreprise, sans qu’il soit nécessaire d’identifier la personne physique auteur de la violation en question.

34 En réponse à une demande d’éclaircissements adressée à la juridiction de renvoi, visée au point 28 du présent arrêt, celle-ci a indiqué que l’article 130 de l’OWiG n’a pas d’incidence sur la première question posée.

35 En effet, cette disposition vise, selon cette juridiction, le propriétaire d’une exploitation ou d’une entreprise, qui doit avoir manqué de manière fautive à une obligation de surveillance. La preuve d’un tel manquement à des obligations imputables au propriétaire de l’entreprise serait toutefois extrêmement complexe et souvent impossible à apporter, et la question de savoir si un groupe d’entreprises peut être qualifié d’« entreprise » ou de « propriétaire d’entreprises », au sens de ladite disposition, serait discutée de manière controversée au niveau national. En tout cas, la première question préjudicielle serait également pertinente dans ce contexte.

36 Il importe de rappeler que, en ce qui concerne l’interprétation des dispositions de l’ordre juridique national, la Cour est en principe tenue de se fonder sur les qualifications résultant de la décision de renvoi. En effet, selon une jurisprudence constante, la Cour n’est pas compétente pour interpréter le droit interne d’un État membre (arrêt du 26 janvier 2021, Hessischer Rundfunk, C‑422/19 et C‑423/19, EU:C:2021:63, point 31 et jurisprudence citée).

37 Partant, il y a lieu de répondre à la première question préjudicielle en partant de la prémisse selon laquelle, en vertu du droit national applicable, une amende administrative ne peut être infligée à une personne morale en sa qualité de responsable du traitement pour une violation visée à l’article 83, paragraphes 4 à 6, du RGPD qu’aux conditions prévues par l’article 30 de l’OWiG, telles qu’exposées par la juridiction de renvoi.

38 Afin de répondre à cette première question, il y a lieu de relever, tout d’abord, que les principes, interdictions et obligations prévus par le RGPD s’adressent, en particulier, aux « responsables du traitement » dont la responsabilité s’étend, ainsi que le souligne le considérant 74 du RGPD, à tout traitement de données à caractère personnel qu’ils effectuent eux-mêmes ou qui est réalisé pour leur compte, et qui sont tenus, à ce titre, non seulement de mettre en œuvre des mesures appropriées et effectives, mais également d’être à même de démontrer la conformité de leurs activités de traitement avec le RGPD, y compris l’efficacité des mesures adoptées pour assurer une telle conformité. C’est cette responsabilité qui constitue, en cas d’une des violations visées à l’article 83, paragraphes 4 à 6, de ce règlement, le fondement pour l’imposition d’une amende administrative au responsable du traitement en application de cet article 83.

39 L’article 4, point 7, du RGPD définit de manière large la notion de « responsable du traitement » comme visant la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

40 L’objectif de cette définition large de l’article 4, point 7, du RGPD – qui inclut expressément les personnes morales – consiste, en conformité avec celui du RGPD, à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques ainsi que, notamment, un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant (voir, en ce sens, arrêts du 29 juillet 2019, Fashion ID, C‑40/17, EU:C:2019:629, point 66, et du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 73 ainsi que jurisprudence citée).

41 Par ailleurs, la Cour a déjà jugé que toute personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement (voir, en ce sens, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 68).

42 Il résulte ainsi du libellé et de la finalité de l’article 4, point 7, du RGPD que le législateur de l’Union n’a pas opéré, aux fins de la détermination de la responsabilité au titre de ce règlement, une distinction entre les personnes physiques et les personnes morales, cette responsabilité étant soumise à la seule condition que celles-ci, seules ou conjointement avec d’autres, déterminent les finalités et les moyens du traitement de données à caractère personnel.

43 Partant, sous réserve de ce qui est prévu à l’article 83, paragraphe 7, du RGPD concernant les autorités et organismes publics, toute personne répondant à cette condition – indépendamment du fait qu’il s’agisse d’une personne physique, d’une personne morale, d’une autorité publique, d’un service ou d’un autre organisme – est notamment responsable pour toute violation visée à cet article 83, paragraphes 4 à 6, commise par elle-même ou pour son compte.

44 En ce qui concerne les personnes morales, cela implique, d’une part, ainsi que l’a relevé, en substance, M. l’avocat général aux points 57 à 59 de ses conclusions, que celles-ci sont responsables non seulement des violations commises par leurs représentants, directeurs ou gestionnaires, mais également par toute autre personne qui agit dans le cadre de l’activité commerciale de ces personnes morales et pour leur compte. D’autre part, les amendes administratives prévues par l’article 83 du RGPD en cas de telles violations doivent pouvoir être infligées directement à des personnes morales lorsque celles-ci peuvent être qualifiées de responsables du traitement en cause.

45 Ensuite, il convient de relever que l’article 58, paragraphe 2, du RGPD fixe de manière précise les pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices, sans renvoyer au droit des États membres ni laisser de marge d’appréciation à ces États. Or, d’une part, ces pouvoirs, parmi lesquels figure, en vertu du paragraphe 2, sous i), de cet article 58, celui d’infliger une amende administrative, visent le responsable du traitement et, d’autre part, un tel responsable peut, ainsi qu’il ressort du point 39 du présent arrêt, être tant une personne physique qu’une personne morale. Les conditions de fond devant être respectées par une autorité de contrôle lors de l’imposition d’une telle amende sont, quant à elles, énoncées aux paragraphes 1 à 6 de cet article 83, de manière précise et sans laisser aux États membres de marge d’appréciation.

46 Il résulte ainsi de la lecture conjointe de l’article 4, point 7, de l’article 83 et de l’article 58, paragraphe 2, sous i), du RGPD qu’une amende administrative pour une violation visée à cet article 83, paragraphes 4 à 6, peut également être imposée à l’encontre de personnes morales dès lors qu’elles ont la qualité de responsables du traitement. En revanche, aucune disposition du RGPD ne permet de considérer que l’infliction d’une amende administrative à une personne morale en tant que responsable du traitement serait soumise à la constatation préalable que cette violation a été commise par une personne physique identifiée.

47 Certes, il ressort de l’article 58, paragraphe 4, et de l’article 83, paragraphe 8, du RGPD, lus à la lumière du considérant 129 de ce règlement, que l’exercice, par l’autorité de contrôle, des pouvoirs que lui confèrent ces articles est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

48 Toutefois, le fait que ledit règlement donne ainsi aux États membres la possibilité de prévoir des exigences concernant la procédure à suivre par les autorités de contrôle pour imposer une amende administrative ne signifie nullement qu’ils seraient également habilités à prévoir, au-delà de telles exigences de nature procédurale, des conditions de fond supplémentaires à celles fixées à cet article 83, paragraphes 1 à 6. En outre, le fait que le législateur de l’Union a pris le soin de prévoir expressément cette possibilité mais non pas celle de prévoir de telles conditions de fond supplémentaires confirme qu’il n’a pas laissé aux États membres une marge d’appréciation à cet égard. Lesdites conditions de fond relèvent dès lors uniquement du droit de l’Union.

49 L’interprétation littérale de l’article 58, paragraphe 2, et de l’article 83, paragraphes 1 à 6, du RGPD qui précède est corroborée par la finalité de ce règlement.

50 Il ressort, en particulier, du considérant 10 du RGPD que les dispositions de celui–ci ont, notamment, pour objectifs d’assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union et, à cette fin, d’assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement de telles données dans l’ensemble de l’Union. Les considérants 11 et 129 du RGPD soulignent, par ailleurs, la nécessité d’assurer, afin de veiller à une application cohérente de ce règlement, que les autorités de contrôle disposent de pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et qu’elles puissent infliger des sanctions équivalentes en cas de violations dudit règlement.

51 Or, permettre aux États membres d’exiger de manière unilatérale et en tant que condition nécessaire à l’imposition d’une amende administrative en application de l’article 83 du RGPD à un responsable du traitement qui est une personne morale, que la violation en cause soit imputée ou imputable, au préalable, à une personne physique identifiée serait contraire à cette finalité du RGPD. En outre, une telle exigence supplémentaire risquerait, en définitive, d’affaiblir l’effectivité et l’effet dissuasif des amendes administratives imposées à des personnes morales en tant que responsables du traitement, en méconnaissance de l’article 83, paragraphe 1, du RGPD.

52 À cet égard, il convient de rappeler que l’article 288, deuxième alinéa, TFUE prévoit qu’un règlement de l’Union est obligatoire dans tous ses éléments et directement applicable dans tout État membre, ce qui exclut, sauf disposition contraire, que les États membres prennent des dispositions internes affectant la portée d’un tel règlement. En outre, les États membres sont tenus, en vertu des obligations qui découlent du traité FUE de ne pas entraver l’applicabilité directe propre aux règlements. En particulier, ils ne sauraient adopter un acte par lequel la nature de droit de l’Union d’une règle juridique et les effets qui en découlent seraient dissimulés aux justiciables (arrêt du 15 novembre 2012, Al-Aqsa/Conseil et Pays-Bas/Al-Aqsa, C‑539/10 P et C‑550/10 P, EU:C:2012:711, points 86 et 87 ainsi que jurisprudence citée).

53 Enfin, compte tenu des interrogations de la juridiction de renvoi, il convient de relever que la notion d’« entreprise », au sens des articles 101 et 102 TFUE, n’a pas d’incidence sur le point de savoir si et dans quelles conditions une amende administrative peut être imposée en application de l’article 83 du RGPD à un responsable du traitement qui est une personne morale, cette question étant réglementée de manière exhaustive par l’article 58, paragraphe 2, et l’article 83, paragraphes 1 à 6, de ce règlement.

54 Cette notion n’est en effet pertinente que pour déterminer le montant de l’amende administrative imposée au titre de l’article 83, paragraphes 4 à 6, du RGPD à un responsable du traitement.

55 Ainsi que l’a relevé M. l’avocat général au point 45 de ses conclusions, c’est dans ce contexte spécifique du calcul des amendes administratives imposées pour des violations visées à l’article 83, paragraphes 4 à 6, du RGPD qu’il y a lieu d’appréhender le renvoi, effectué au considérant 150 de ce règlement, à la notion d’« entreprise », au sens des articles 101 et 102 TFUE.

56 À cet égard, il convient de souligner que, aux fins de l’application des règles de la concurrence, visées par les articles 101 et 102 TFUE, cette notion comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement. Elle désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Cette unité économique consiste en une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé (arrêt du 6 octobre 2021, Sumal, C‑882/19, EU:C:2021:800, point 41 et jurisprudence citée).

57 Ainsi, il ressort de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives pour les violations énumérées dans ces paragraphes, que, dans le cas où le destinataire de l’amende administrative est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise concernée.

58 En définitive, ainsi que M. l’avocat général l’a relevé au point 47 de ses conclusions, seule une amende administrative dont le montant est déterminé en fonction de la capacité économique réelle ou matérielle de son destinataire, et donc imposée par l’autorité de contrôle en se fondant, en ce qui concerne le montant de celle-ci, sur la notion d’unité économique au sens de la jurisprudence citée au point 56 du présent arrêt, est susceptible de réunir les trois conditions énoncées à l’article 83, paragraphe 1, du RGPD, à savoir d’être à la fois effective, proportionnée et dissuasive.

59 Dès lors, lorsqu’une autorité de contrôle décide, au titre des pouvoirs qu’elle détient en vertu de l’article 58, paragraphe 2, du RGPD, d’imposer à un responsable du traitement, qui est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, une amende administrative en application de l’article 83 dudit règlement, cette autorité est tenue de se fonder, en vertu de cette dernière disposition, lue à la lumière du considérant 150 du même règlement, lors du calcul des amendes administratives pour les violations visées aux paragraphes 4 à 6 de cet article 83, sur la notion d’« entreprise », au sens de ces articles 101 et 102 TFUE.

60 Eu égard aux motifs qui précédent, il y a lieu de répondre à la première question que l’article 58, paragraphe 2, sous i), et l’article 83, paragraphes 1 à 6, du RGPD doivent être interprétés en ce sens qu’ils s’opposent à une réglementation nationale en vertu de laquelle une amende administrative ne peut être infligée à une personne morale en sa qualité de responsable du traitement pour une violation visée aux paragraphes 4 à 6 de cet article 83 que pour autant que cette violation a été imputée préalablement à une personne physique identifiée.

Sur la seconde question

61 Par sa seconde question, qui est posée dans l’hypothèse d’une réponse affirmative à la première question, la juridiction de renvoi demande, en substance, si l’article 83 du RGPD doit être interprété en ce sens qu’une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement, qui est à la fois une personne morale et une entreprise, a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article.

62 À cet égard, il y a lieu de rappeler qu’il ressort de l’article 83, paragraphe 1, du RGPD que les amendes administratives doivent être effectives, proportionnées et dissuasives. En revanche, l’article 83 du RGPD ne précise pas expressément que les violations visées aux paragraphes 4 à 6 de cet article ne peuvent être sanctionnées par une telle amende que si elles ont été commises délibérément ou, à tout le moins, par négligence.

63 Les gouvernements allemand, estonien et norvégien ainsi que le Conseil de l’Union européenne en déduisent notamment que le législateur de l’Union a entendu laisser aux États membres une certaine marge d’appréciation dans la mise en œuvre de l’article 83 du RGPD, leur permettant de prévoir l’imposition d’amendes administratives en application de cette disposition, le cas échéant, sans qu’il soit établi que la violation du RGPD sanctionnée par cette amende a été commise délibérément ou par négligence.

64 Une telle interprétation de l’article 83 du RGPD ne saurait être retenue.

65 À cet égard, ainsi qu’il a été constaté aux points 45 et 48 du présent arrêt, les conditions de fond devant être respectées par une autorité de contrôle lorsqu’elle impose une amende administrative à un responsable du traitement relèvent uniquement du droit de l’Union, ces conditions étant fixées, de manière précise et sans laisser aux États membres de marge d’appréciation, à l’article 83, paragraphes 1 à 6, du RGPD (voir, également, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C–683/21, EU:C:2023:XXX, points 64 à 70).

66 En ce qui concerne lesdites conditions, il y a lieu de relever que l’article 83, paragraphe 2, du RGPD énumère les éléments au vu desquels l’autorité de contrôle impose une amende administrative au responsable du traitement. Parmi ces éléments figure, au point b) de cette disposition, « le fait que la violation a été commise délibérément ou par négligence ». En revanche, aucun des éléments énumérés à ladite disposition ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part.

67 En outre, il importe de lire l’article 83, paragraphe 2, du RGPD, en combinaison avec le paragraphe 3 de cet article dont l’objet est de prévoir les conséquences des cas de cumul de violations de ce règlement et aux termes duquel « si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave ».

68 Il découle ainsi du libellé de l’article 83, paragraphe 2, du RGPD que seules les violations des dispositions de ce règlement commises de manière fautive par le responsable du traitement, à savoir celles commises délibérément ou par négligence, peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de cet article.

69 L’économie générale et la finalité du RGPD corroborent cette lecture.

70 D’une part, le législateur de l’Union a prévu un système de sanctions permettant aux autorités de contrôle d’imposer les sanctions les plus appropriées selon les circonstances de chaque cas.

71 En effet, l’article 58 du RGPD prévoit, à son paragraphe 2, sous i), que ces autorités peuvent imposer les amendes administratives, en application de l’article 83 de ce règlement, « en complément ou à la place » des autres mesures correctrices énumérées à cet article 58, paragraphe 2, telles que des avertissements, des rappels à l’ordre ou des injonctions. De même, le considérant 148 dudit règlement énonce notamment qu’il est permis aux autorités de contrôle, lorsqu’il s’agit d’une violation mineure ou si l’amende administrative susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, de s’abstenir d’imposer une amende administrative et, à sa place, de prononcer un rappel à l’ordre.

72 D’autre part, ainsi qu’il a été relevé au point 50 du présent arrêt, les dispositions du RGPD ont, notamment, pour objectifs d’assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union et, à cette fin, d’assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement de telles données dans l’ensemble de l’Union. En outre, afin de veiller à une application cohérente de ce règlement, les autorités de contrôle doivent disposer de pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel, de sorte qu’elles puissent infliger des sanctions équivalentes en cas de violations dudit règlement.

73 L’existence d’un système de sanctions permettant d’imposer, lorsque les circonstances spécifiques de chaque cas d’espèce le justifient, une amende administrative en application de l’article 83 du RGPD crée, pour les responsables du traitement et les sous-traitants, une incitation à se conformer à ce règlement. Par leur effet dissuasif, les amendes administratives contribuent au renforcement de la protection des personnes physiques à l’égard du traitement des données à caractère personnel et constituent dès lors un élément clé pour garantir le respect des droits de ces personnes, conformément à la finalité de ce règlement d’assurer un niveau élevé de protection de telles personnes à l’égard du traitement des données à caractère personnel.

74 Cependant, le législateur de l’Union n’a pas jugé nécessaire, pour assurer un tel niveau élevé de protection, de prévoir l’imposition d’amendes administratives en l’absence de faute. Compte tenu du fait que le RGPD vise un niveau de protection à la fois équivalent et homogène et qu’il doit, à cette fin, être appliqué de manière cohérente dans l’ensemble de l’Union, il serait contraire à cette finalité de permettre aux États membres de prévoir un tel régime pour l’imposition d’une amende en application de l’article 83 de ce règlement. Une telle liberté de choix serait, en outre, de nature à fausser la concurrence entre les opérateurs économiques au sein de l’Union, ce qui irait à l’encontre des objectifs exprimés par le législateur de l’Union, notamment, aux considérants 9 et 13 dudit règlement.

75 En conséquence, il y a lieu de constater que l’article 83 du RGPD ne permet pas d’imposer une amende administrative pour une violation visée à ses paragraphes 4 à 6, sans qu’il soit établi que cette violation a été commise délibérément ou par négligence par le responsable du traitement, et que, partant, une violation fautive constitue une condition à l’imposition d’une telle amende.

76 À cet égard, il importe encore de préciser, s’agissant de la question de savoir si une violation a été commise délibérément ou par négligence et est, de ce fait, susceptible d’être sanctionnée par une amende administrative au titre de l’article 83 du RGPD, qu’un responsable du traitement peut être sanctionné pour un comportement entrant dans le champ d’application du RGPD dès lors que ce responsable du traitement ne pouvait ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD (voir, par analogie, arrêts du 18 juin 2013, Schenker & Co. e.a., C‑681/11, EU:C:2013:404, point 37 ainsi que jurisprudence citée ; du 25 mars 2021, Lundbeck/Commission, C‑591/16 P, EU:C:2021:243, point 156, et du 25 mars 2021, Arrow Group et Arrow Generics/Commission, C‑601/16 P, EU:C:2021:244, point 97).

77 Lorsque le responsable du traitement est une personne morale, il convient encore de préciser que l’application de l’article 83 du RGPD ne suppose pas une action ou même une connaissance de l’organe de gestion de cette personne morale (voir, par analogie, arrêts du 7 juin 1983, Musique Diffusion française e.a./Commission, 100/80 à 103/80, EU:C:1983:158, point 97, ainsi que du 16 février 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commission, C‑94/15 P, EU:C:2017:124, point 28 et jurisprudence citée).

78 Eu égard aux considérations qui précédent, il y a lieu de répondre à la seconde question que l’article 83 du RGPD doit être interprété en ce sens qu’une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement, qui est à la fois une personne morale et une entreprise, a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article.

Sur les dépens

79 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (grande chambre) dit pour droit :

1) L’article 58, paragraphe 2, sous i), et l’article 83, paragraphes 1 à 6, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

ils s’opposent à une réglementation nationale en vertu de laquelle une amende administrative ne peut être infligée à une personne morale en sa qualité de responsable du traitement pour une violation visée aux paragraphes 4 à 6 de cet article 83 que pour autant que cette violation a été imputée préalablement à une personne physique identifiée.

2) L’article 83 du règlement 2016/679

doit être interprété en ce sens que :

une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement, qui est à la fois une personne morale et une entreprise, a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article.

Signatures

* Langue de procédure : l’allemand.