Aucune mise en œuvre individuelle de sanctions à l’encontre des autorités de contrôle de la protection des données – Contexte d’un arrêt récent de la CJUE
Par décision du 14 mars 2024 (aff. C-768/21), la Cour de justice de l’Union européenne (CJUE) a précisé que les personnes concernées ne disposent pas d’un droit exécutoire à l’encontre d’une autorité de contrôle de la protection des données pour exiger l’imposition d’une amende ou d’autres mesures correctives à l’encontre des responsables d’une violation des règles en matière de protection des données. Cette décision éclaire le rôle et la marge d’appréciation des autorités de contrôle et a des conséquences importantes pour la protection juridique des personnes concernées.
Cadre légal et mission des autorités de contrôle
La structure du Règlement général sur la protection des données
Le Règlement général sur la protection des données (RGPD), en tant que norme centrale du droit européen de la protection des données, prévoit un système gradué de sanctions et de mesures correctives en cas de manquements aux obligations en matière de protection des données. La compétence pour leur application incombe principalement aux autorités nationales de contrôle de la protection des données. Selon les art. 57 et suivants du RGPD, les autorités sont tenues d’instruire les plaintes, de clarifier les faits et de prendre, de leur propre initiative, des mesures appropriées en cas d’infractions établies.
Mission de « gardienne » du droit de la protection des données
Le rôle des autorités de contrôle ne se limite pas à la simple application du droit au cas par cas. Elles agissent plutôt en tant qu’instances indépendantes, jouant le rôle de médiateurs entre les personnes concernées et les responsables, et garantissant le respect du droit en matière de protection des données. Leur activité se caractérise par un pouvoir discrétionnaire procédural, permettant une réaction adaptée à chaque situation d’infraction.
Concernant : Absence de droit individuel à des sanctions ou mesures correctives
Contexte et décision de la CJUE
L’arrêt portait sur une affaire dans laquelle une personne concernée réclamait l’imposition d’une amende à l’encontre d’un responsable. L’autorité de contrôle a certes mené une enquête, mais n’a pas prononcé de sanction. Pour la CJUE, l’autorité n’est pas tenue par les demandes individuelles dans le choix et l’appréciation des mesures à prendre.
Le point central de la décision est que les personnes concernées ont certes droit à un traitement effectif de leur plainte et à être informées du résultat, mais ne peuvent pas revendiquer un droit spécifique à une mesure déterminée – telle qu’une amende. Le choix et l’intensité d’éventuelles sanctions relèvent de la seule appréciation de l’autorité.
Motivation de la Cour
Les juges ont souligné que les dispositions concernant les sanctions prévues par le RGPD visent avant tout à protéger l’intérêt public et non à régler prioritairement des droits individuels à réparation ou à satisfaction. Lorsqu’une violation de la protection des données est constatée, l’autorité est certes tenue de prendre des mesures appropriées dans le cadre de son pouvoir d’appréciation. La décision sur la nature et le montant d’une sanction se fait indépendamment de la requête de la personne concernée.
Conséquences pour la protection juridique des personnes concernées
Droits de la personne concernée
Les personnes concernées peuvent toujours déposer une plainte et demander la réalisation d’enquêtes approfondies. En cas de plainte, l’autorité de contrôle compétente est tenue d’examiner objectivement les faits et de notifier le résultat. Il n’existe cependant aucun droit exécutoire à l’imposition d’une sanction déterminée. Si la personne concernée souhaite agir davantage contre un responsable, elle dispose de la voie d’une action en dommages et intérêts de droit civil, qui doit toutefois être exercée séparément.
Portée pratique
Pour les entreprises, organismes publics et autres gestionnaires de données, la décision apporte une sécurité juridique accrue lors des demandes et plaintes des personnes concernées. Dans le domaine de la conformité interne et dans le cadre des procédures de contrôle, il convient de tenir compte du pouvoir d’appréciation des autorités. Les personnes concernées, en revanche, doivent prendre en compte qu’elles ne peuvent pas imposer une sanction à l’encontre du responsable, mais sont tributaires du pouvoir discrétionnaire de l’autorité.
Perspectives et évolutions en cours
L’arrêt met en lumière les limites de la protection individuelle dans le droit européen de la protection des données. Le rôle des autorités de contrôle s’en trouve renforcé, tandis que l’application des droits individuels à l’indemnisation ou à l’imposition d’amendes reste soumise à des règles spéciales et à des procédures judiciaires distinctes. Il reste à observer comment les tribunaux et autorités nationaux mettront en pratique la décision et dans quelle mesure des adaptations du processus de traitement des plaintes pourraient s’avérer nécessaires.
Pour toute question complémentaire relative à la protection des données, aux procédures administratives ou à la pratique des sanctions, les Rechtsanwälte de MTR Legal vous assistent volontiers avec des conseils juridiques avisés et une longue expérience dans le domaine du droit de la protection des données.
Source :
EuGH, Urteil vom 14.03.2024, C-768/21, https://curia.europa.eu/juris/document/document.jsf?docid=284844
