Affaire C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
contre
Valstybinė duomenų apsaugos inspekcija
(demande de décision préjudicielle,
introduite par le Vilniaus apygardos administracinis teismas)
Arrêt de la Cour (grande chambre) du 5 décembre 2023
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, points 2 et 7 – Notions de “traitement” et de “responsable du traitement” – Développement d’une application informatique mobile – Article 26 – Responsabilité conjointe du traitement – Article 83 – Imposition d’amendes administratives – Conditions – Exigence du caractère délibéré ou négligent de la violation – Responsabilité du responsable du traitement pour le traitement de données à caractère personnel effectué par un sous-traitant »
1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de responsable du traitement – Entité ayant chargé une entreprise de développer une application informatique mobile, sans avoir procédé à des opérations de traitement, sans avoir donné son accord explicite pour les réaliser ou pour mettre cette application à disposition du public et sans l’avoir acquise – Inclusion – Condition – Participation effective à la détermination des finalités et des moyens du traitement – Exception
(Règlement du Parlement européen et du Conseil 2016/679, considérant 74 et art. 4, point 7)
(voir points 30-38, disp. 1)
2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Responsabilité conjointe du traitement – Condition – Détermination conjointe des finalités et des moyens du traitement – Exigence d’un accord entre les responsables conjoints du traitement sur la détermination des finalités et des moyens du traitement ou sur les conditions relatives à leur responsabilité conjointe – Absence
(Règlement du Parlement européen et du Conseil 2016/679, considérant 79 et art. 4, point 7, et 26, § 1)
(voir points 41-46, disp. 2)
3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de traitement – Utilisation des données à caractère personnel aux fins d’essais informatiques d’une application informatique mobile – Inclusion – Condition – Traitement visant des données à caractère personnel – Traitement des données anonymes ou fictives – Exclusion – Traitement des données ayant fait l’objet d’une pseudonymisation et pouvant être attribuées à une personne physique par le recours à des informations supplémentaires – Inclusion
(Règlement du Parlement européen et du Conseil 2016/679, considérant 26 et art. 4, points 1, 2 et 5)
(voir points 50-59, disp. 3)
4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Imposition d’amendes administratives – Conditions – Absence de marge de manœuvre des États membres pour prévoir les conditions de fond relatives à l’imposition d’une amende administrative à un responsable du traitement – Exigence d’une violation commise par le responsable du traitement délibérément ou par négligence
(Art. 288 TFUE ; règlement du Parlement européen et du Conseil 2016/679, considérants 10, 129 et 148 et art. 58, 83 et 84)
(voir points 64-82, 86, disp. 4)
5. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Imposition d’amendes administratives – Possibilité d’imposer une telle amende à un responsable du traitement pour le traitement des données à caractère personnel effectué par un sous-traitant – Exceptions
(Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 8, 28, § 10, et 83)
(voir points 83-86, disp. 4)
Résumé
En 2020, afin de mieux gérer la pandémie de COVID-19, les autorités lituaniennes ont décidé d’organiser l’acquisition d’une application informatique mobile. Cette application devait contribuer à un suivi épidémiologique, en permettant d’enregistrer et de suivre des données des personnes exposées au virus de la COVID-19.
À cette fin, le Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centre national de santé publique auprès du ministère de la Santé, Lituanie, ci-après le « CNSP »), chargé de cette acquisition, a contacté la société UAB « IT sprendimai sėkmei » (ci-après la « société ITSS »), lui demandant de procéder à la création d’une telle application mobile. Par la suite, des courriels portant notamment sur les questions qui devaient figurer dans cette application ont été adressés à cette société par les employés du CNSP.
Durant la période allant d’avril à mai 2020, l’application mobile créée par la société ITSS a été mise à la disposition du public. Par conséquent, 3 802 personnes en ont fait usage et ont fourni différentes données, demandées par cette application, les concernant. Cependant, en raison d’un défaut de financement, le CNSP n’a attribué à la société ITSS aucun marché public visant l’acquisition officielle de son application mobile et a mis fin à la procédure y relative.
Entre-temps, l’autorité nationale de contrôle a entamé une enquête portant sur le traitement des données personnelles résultant de l’utilisation de cette application. Par décision de cette autorité, adoptée à l’issue de l’enquête, les amendes administratives ont été imposées tant au CNSP qu’à la société ITSS considérée comme étant responsable conjoint du traitement.
Le CNSP a contesté cette décision devant le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie). Nourrissant des doutes sur l’interprétation de plusieurs dispositions du RGPD (1), cette juridiction a saisi la Cour à titre préjudiciel.
Dans son arrêt, la Cour, réunie en grande chambre, apporte des précisions sur les notions de « responsable du traitement », de « responsables conjoints du traitement » et de « traitement » (2), et se prononce sur la possibilité d’imposer une amende administrative à un responsable du traitement (3) lorsque la violation des dispositions du RGPD sanctionnée n’a pas été commise délibérément ou par négligence.
Appréciation de la Cour
En premier lieu, la Cour relève qu’une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application peut être considérée comme étant responsable du traitement (4). Cette considération ne saurait être remise en cause par le fait que cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.
En deuxième lieu, la Cour note que la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel ni l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement. Certes, en vertu du RGPD (5), les responsables conjoints du traitement doivent, par voie d’accord entre eux, définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences de ce règlement. Toutefois, l’existence d’un tel accord constitue non pas une condition préalable pour que deux entités ou plus soient qualifiées de « responsables conjoints du traitement », mais une obligation que le RGPD impose aux responsables conjoints du traitement, une fois qualifiés de tels, aux fins d’assurer le respect des exigences de ce règlement pesant sur eux. Ainsi, cette qualification découle du seul fait que plusieurs entités ont participé à la détermination des finalités et des moyens du traitement.
Quant à la détermination conjointe, par les entités concernées, des finalités et des moyens du traitement, la Cour précise que leur participation à cette détermination peut prendre différentes formes et résulter tant de leur décision commune que de leurs décisions convergentes. Or, dans ce dernier cas, ces décisions doivent se compléter, de telle sorte que chacune d’elles ait un effet concret sur la détermination des finalités et des moyens du traitement.
En troisième lieu, la Cour indique que l’utilisation de données à caractère personnel à des fins d’essais informatiques d’une application mobile constitue un traitement (6). Cependant, il en va autrement si de telles données avaient été rendues anonymes de telle sorte que la personne concernée par ces données n’est pas ou n’est plus identifiable ou s’il s’agit de données fictives qui ne se rapportent pas à une personne physique existante.
En effet, d’une part, la question de savoir si des données à caractère personnel sont utilisées en vue d’essais informatiques ou à une autre fin est sans incidence sur la qualification de l’opération de « traitement ». D’autre part, seul un traitement qui vise des données à caractère personnel peut être qualifié de « traitement » au sens du RGPD. Or, les données fictives ou anonymes ne constituent pas des données à caractère personnel.
En quatrième et dernier lieu, la Cour constate que, en vertu de l’article 83 du RGPD, une amende administrative peut être imposée à un responsable du traitement uniquement s’il est établi qu’il a commis, délibérément ou par négligence, une violation des règles contenues dans ce règlement (7).
À cet égard, la Cour précise que le législateur de l’Union n’a pas laissé aux États membres une marge d’appréciation en ce qui concerne les conditions de fond devant être respectées par une autorité de contrôle lorsque celle-ci décide d’imposer une amende administrative à un responsable du traitement en vertu de cette disposition. Le fait que le RGPD donne aux États membres la possibilité de prévoir des exceptions par rapport aux autorités publiques et aux organismes publics établis sur leur territoire (8) ainsi que des exigences concernant la procédure à suivre par les autorités de contrôle pour imposer une amende administrative (9) ne signifie nullement qu’ils seraient également habilités à prévoir de telles conditions de fond.
En ce qui concerne ces conditions, la Cour note que parmi les éléments énumérés dans le RGPD au vu desquels l’autorité de contrôle impose au responsable du traitement une amende administrative figure « le fait que la violation a été commise délibérément ou par négligence » (10). En revanche, aucun de ces éléments ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part. Ainsi, seules les violations des dispositions du RGPD commises par le responsable du traitement délibérément ou par négligence peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de l’article 83 de ce règlement.
La Cour ajoute que cette interprétation est corroborée par l’économie générale et la finalité du RGPD. Dans ce contexte, elle précise que l’existence d’un système de sanctions en vertu du RGPD permettant d’imposer, lorsque les circonstances spécifiques de chaque cas d’espèce le justifient, une amende administrative crée, pour les responsables du traitement et les sous-traitants, une incitation à se conformer à ce règlement et que, par leur effet dissuasif, les amendes administratives contribuent au renforcement de la protection des personnes concernées. Cependant, le législateur de l’Union n’a pas jugé nécessaire de prévoir l’imposition d’amendes administratives en l’absence de faute. Compte tenu du fait que le RGPD vise un niveau de protection à la fois équivalent et homogène et qu’il doit, à cette fin, être appliqué de manière cohérente dans l’ensemble de l’Union, il serait contraire à cette finalité de permettre aux États membres de prévoir un tel régime pour l’imposition d’une amende.
En outre, la Cour conclut qu’une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données à caractère personnel effectuées par un sous-traitant pour le compte de celui-ci, sauf si, dans le cadre de ces opérations, ce sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti. Dans cette hypothèse, le sous-traitant doit être considéré comme étant responsable d’un tel traitement.