Saisie dans le cadre de deux questions préjudicielles, la Grande chambre de la Cour de justice de l'Union européenne (CJUE) a apporté des précisions sur l'application du Règlement général sur la protection des données (RGPD). La première affaire opposait le Centre national de santé publique lituanien (CNSP) à l'autorité nationale de protection des données. Celle-ci lui avait infligé une amende, ainsi qu'à l'entreprise IT sprendimai sekmei, dans le cadre du développement d'une application de suivie épidémiologie pendant la pandémie de Covid-19 (l'équivalent lituanien de TousAntiCovid). Le CNSP avait contesté cette décision devant le tribunal administratif régional de Vilnius, lequel avait saisi la CJUE.
Dans le cadre de cette affaire, les juges européens ont apporté des précisions sur les notions de "responsable de traitement", de "responsables conjoints du traitement" et de "traitement". Ils se prononcent également sur la possibilité d'imposer une amende à un responsable de traitement "lorsque la violation des dispositions du RGPD n'a pas été commise délibérément ou par négligence".
Une définition large du responsable de traitement
Première précision : doit être considérée comme responsable de traitement "une entreprise [chargée] de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application" même si elle n'a pas "procédé elle-même à des opérations de traitement de telles données, qu'elle n'a pas donné explicitement son accord pour la réalisation des opérations concrètes d'un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu'elle n'a pas acquis cette même application mobile". La Cour opte donc pour une définition assez large du responsable de traitement, ce qui permet de s'assurer que tous les acteurs d'un même projet appliquent scrupuleusement le RGPD.
Les juges se sont ensuite penchés sur le lien entre les deux entités, le CNSP et l'entreprise informatique choisie pour développer l'application de tracking. Nul besoin d'avoir "un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données (...) ni l'existence d'un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement" pour qu'elles soient considérées comme "responsables conjoints du traitement".
Une violation commise délibérément
Cet arrêt porte également sur les conditions à respecter par une autorité de contrôle pour infliger une amende administrative à un responsable de traitement. A ce sujet, le RGPD prévoit que la violation doit avoir été commise "délibérément ou par négligence". Ainsi, "seules les violations des dispositions du RGPD commises par le responsable du traitement délibérément ou par négligence peuvent conduire à l’imposition d’une amende administrative à ce dernier". Pour justifier cette position, les juges se réfèrent à "l’économie générale et la finalité du RGPD" : "l'existence d'un système de sanctions (...) crée une incitation à se conformer à ce règlement et que, par leur effet dissuasif, les amendes administratives contribuent au renforcement de la protection des personnes concernées".
La même journée la Cour a rendu un second arrêt qui, cette fois-ci, oppose la société immobilière Deutsche Wohnen SE – qui détient différentes sociétés par le biais de participations – à l'autorité allemande de contrôle. A l'issue de deux contrôles, elle lui avait imposé des amendes administratives. Elles ont été contestées devant le tribunal régional de Berlin lequel a classé la procédure sans suite relevant qu'une infraction administrative ne pourrait être contestée qu'à l'encontre d'une personnelle physique. Le parquet de Berlin a introduit un recours contre cette décision devant le tribunal régional supérieur de Berlin. Il a saisi la CJUE afin d'obtenir des précisions sur le RGPD.
Pas d'exonération de responsabilité pour les personnes morales
Elle a ainsi conclu que les personnes morales pouvaient bien être responsables de violations du RGPD commises non seulement "par leurs représentants, directeurs ou gestionnaires, mais également par toute personne qui agit dans le cadre de l'activité commerciale de ces personnes morales et pour leur compte". Les amendes administratives peuvent donc directement leur être infligées "lorsque celles-ci peuvent être qualifiées de responsables du traitement".
Les juges ajoutent que le RGPD ne prévoit pas comme condition à "l'infliction d'une amende administrative à une personne morale" que la faute ait été commise par une personne physique. Ainsi, en prévoyant une telle disposition, la réglementation allemande est jugée contraire au texte européen, estiment-ils. Quant au quantum de l'amende, ils déclarent que le montant maximal de l'amende administrative est calculé sur la base d'un pourcentage du chiffre d'affaires annuel du groupe entier lorsque le contrevenant est l'une des filiales.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
