En cas de violation de données à caractère personnel, l’autorité de contrôle doit-elle intervenir systématiquement ou peut-elle estimer qu’une telle intervention n’est pas utile au bon respect du RGPD ? Cette question a été posée dans une affaire récente à la Cour de justice de l’Union européenne (CJUE) dans le cadre d’un « renvoi préjudiciel ».
Autorité de contrôle : quelle marge d’appréciation ?
Lorsqu’un juge d’un État membre de l’UE est face à une incertitude sur l’application d’une règle du droit de l’UE dans une affaire, il a la possibilité de recourir à la procédure du renvoi préjudiciel.
Cette procédure lui permet d’interroger la CJUE sur la façon d’appliquer le droit de l’UE. Une fois que la CJUE s’est exprimée, il revient au juge national de trancher son cas en appliquant correctement la règle grâce à la réponse obtenue.
Notez que les réponses de la CJUE, au même titre que le droit de l’UE, valent pour tous les pays membres. Ainsi, peu importe de quel pays provient le renvoi préjudiciel, le juge français devra se servir de cette réponse dans son application des règles de l’UE.
Une banque allemande constate qu’une salariée a consulté plusieurs fois des données à caractère personnel d’un client… sans être habilitée pour une telle consultation !
Le délégué à la protection des données (DPO), c’est-à-dire la personne chargée d’accompagner la banque dans le respect du RGPD, conclut que cette violation des données n’est pas susceptible d’engendrer de risque élevé à l’égard du client.
La banque décide donc de ne pas prévenir ce dernier de cet incident. En revanche, elle prend plusieurs mesures :
- elle obtient de la part de sa salariée un écrit indiquant qu’elle n’a ni copié, ni conservé, ni transmis les informations consultées et dans lequel elle s’engage à ne pas recommencer ;
- elle prend à l’encontre de cette salariée des mesures disciplinaires ;
- elle notifie l’incident à l’autorité de contrôle (qui correspondrait à la CNIL en France).
Sauf que le client apprend que ses données personnelles ont été consultées par une personne non habilitée. Ne voulant pas en rester là, le client se tourne vers l’autorité de contrôle et de protection des données.
L’autorité en question, au regard de la situation et des réponses déjà apportées par la banque, conclut que des mesures correctrices à l’égard de la banque ne sont pas nécessaires et clos le dossier.
« Insuffisant ! », selon le client, qui se tourne vers le juge et lui demande d’ordonner à l’autorité d’intervenir auprès de la banque via, notamment, une amende.
D’où la question préjudicielle du juge allemand : en cas de violation des données personnelles, l’autorité compétente doit-elle nécessairement intervenir et prendre des mesures correctrices ou dispose-t-elle d’une marge d’appréciation ?
La CJUE donne une réponse claire : l’autorité n’a pas l’obligation de prendre de mesure, et encore moins d’amende, si une telle intervention n’est pas nécessaire pour garantir le respect du RGPD.
Ainsi, le RGPD laisse la possibilité à l’autorité d’apprécier l’opportunité d’agir. Son action devient nécessaire uniquement si elle est utile pour appliquer correctement le RGPD.
En conclusion, le juge doit vérifier que l’autorité a bien respecté cet impératif. Si c’est le cas, il pourra valider son choix de ne pas ordonner de mesure correctrice.
Violation du RGDP = intervention automatique ? - © Copyright WebLex
