• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Pas d'amende RGPD en cas de bonne foi (seulement) de la part de celui qui a fauté

Francis Hayen et Charles Cuvelliez

Publié le 15 décembre 2023 à 09:41 - Mis à jour le 15 décembre 2023 à 09:52

Photo d'illustration

Photo d'illustration

Pixabay / CC

Le Quotidien Numérique

18 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Incendies : Positive Aviation franchit une étape décisive pour transformer un ATR en alternative au Canadair

  • 2

    Moyen-Orient : la guerre du détroit aura bien lieu

  • 3

    Pétrole : le Panama va prendre la main sur un oléoduc, « l'une des infrastructures stratégiques les plus importantes du pays »

  • 4

    Cyclisme : du changement dans la direction de l'équipe de Paul Seixas

  • 5

    Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

  • 6

    « L'effort concerne tout le monde » : David Amiel, ministre des Comptes publics, alerte sur le budget

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. C'est une clarification surprenante que la Cour Européenne de Justice a donnée sur la manière dont des amendes RGPD peuvent être imposées. Il faut une faute délibérée ou par négligence sinon, il n'y a aucune raison d'imposer une amende RGPD. En d'autres termes, si un contrevenant peut convaincre une autorité de sa bonne foi, il échappe à l'amende. Par Francis Hayen, Data Protection Officer, Belfius Banque et Assurance et Charles Cuvelliez, Chief Information Security Officer, Belfius et Université de Bruxelles (Ecole Polytechnique)

Ce sont deux jugements qui le confirment.

 Dans un premier cas, il s'agit d'une amende imposée au ministère lituanien de la santé qui avait confié à une entreprise le soin de concevoir une application mobile pour le Covid-19.

 Il s'agissait d'un suivi épidémiologique avec, à la clé, l'enregistrement et le suivi des données des personnes exposées au virus (numéro national, coordonnées, adresse, nom, prénom, téléphone, période d'auto-isolement ...).
Cette application développée entretemps fut mise à disposition du public entre avril et mai 2020 à travers Google Play et Apple Store. 

3.802

 personnes l'ont téléchargée et l'ont utilisée en y plaçant des données demandées par l'application... 
qui étaient celles convenues lors de discussions de travail entre le ministère et son sous-traitant.

 Suite à un problème de financement, le ministère n'a finalement pas pu attribuer à la société un marché public pour prendre possession officiellement de l'application qu'elle voulait acquérir avec une procédure négociée.

 Seul un accord de confidentialité entre le ministère et la société en charge de développer l'application existait :

 les deux partenaires y étaient mentionnés comme responsables du traitement.

 L'application est restée disponible alors que le marché n'avait pu avoir lieu.

 L'application était orpheline.

Le mal était fait puisque des données personnelles avaient été traitées en dehors de tout cadre et des amendes administratives furent imposées tant au ministère qu'à la société qui avait développé l'application.

 Tous les deux sont considérés comme contrôleurs des données, c'est-à-dire, ils avaient tous les deux le contrôle de données personnelles des utilisateurs qui les leur confiaient, même après la fin de toute coopération.

Responsable sans être propriétaire

La Cour Européenne de Justice a considéré que le ministère, parce qu'elle a donné des instructions à la société informatique, était donc devenue responsable du traitement des données même si après les utilisateurs avaient téléchargé l'application indépendamment du ministère, via un magasin d'application.

 Que le ministère n'ait finalement pas acheté cette application mobile, qu'elle n'ait pas donné son accord pour le traitement de données lorsque l'application a été mise à disposition du public ne change rien à sa responsabilité parce qu'il a été l'instigateur de ce traitement.

 Le ministère n'avait pas interdit explicitement la mise à disposition du public.

On lit aussi dans le jugement que les deux entités, le ministère de la Santé et l'entreprise qui a développé l'application sont 

devenues

 

corresponsables

 

du traitement du traitement

 des données sans qu'ils ne se soient mis d'accord entre eux de manière formelle (il n'y avait qu'un accord de confidentialité et des 

mails

)
.

 Le RGPD prévoit qu'un tel accord devrait exister, mais si le mal est fait, si le traitement des données a eu lieu, les entités ne peuvent échapper à leurs responsabilités.

 La Cour va plus loin :

 elle ne parle même pas de décision commune, mais de décision convergente, on a presque envie de dire tacite, qui se complètent.

 La cour vise aussi l'utilisation des données personnelles à des fins d'essai informatique :

 un essai constitue un traitement.

 Il n'est nullement question ici du concept de bac à sable où on échapperait à la régulation pour tester.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Enfin, le RGPD ne parle d'amende qu'en cas de conduite délibérée ou par négligence.

 Mais rien n'est dit si ce n'est pas le cas.

 La cour tranche et confirme même que sans conduite délibérée ou négligence, il ne peut pas y avoir d'amende.

 La cour explique que l'amende est là pour le caractère dissuasif de recommencer, mais s'il n'y a pas eu de comportement fautif négligent ou délibéré, que faut-il dissuader ?

Responsable pour ses employés

L'autre jugement est à l'encontre d'une personne morale ;

 une société immobilière, qui peut, dit la Cour, recevoir une amende pour le comportement de ses employés.

 Car la loi allemande dit qu'une infraction administrative ne peut être constatée qu'à l'encontre d'une personne physique et non-morale.

 Le RGPD lui ne fait pas de distinction entre personnes morales et physiques.

Les personnes morales sont responsables des violations commises par leurs représentants qui agissent dans le cadre l'activité commerciale des premières.

 Il ne faut même pas pouvoir arriver à imputer la faute à une personne physique pour pouvoir infliger l'amende.

 Pas besoin de chercher un coupable en chair et en os.

 C'est peut-être en contradiction avec la loi allemande, mais devoir passer par l'identification d'une personne physique pour l'amende serait contraire à l'effet dissuasif voulu :

 les entreprises se retrancheraient bien vite derrière l'impossibilité de retrouver le coupable pour échapper à l'amende.

Dans le cas allemand, l'amende était salée puisqu'il s'agissait de 14 millions de EUR :

 la société avait retenu des données personnelles plus longtemps que nécessaire.

 Il n'est pas indispensable non plus que l'infraction ait été commise par la direction et ni que la direction en ait eu connaissance.

Dans le RGPD, c'est souvent aussi par ignorance qu'on comment des infractions : cette ignorance est-elle un signe de bonne foi ou un signe de négligence.

 C'est probablement la prochaine question qui sera maintenant, au détour d'une affaire, posée à la Cour Européenne de Justice.

____

Pour en savoir plus

  • JUDGMENT OF THE COURT (Grand Chamber), 5 December 2023, Imposition of administrative fines - Conditions - Requirement that the infringement be intentional or negligent - Responsibility and liability of the controller for the processing of personal data carried out by a processor), C‑683/21,
  • JUDGMENT OF THE COURT (Grand Chamber), 5 December 2023,  (Reference for a preliminary ruling - Protection of personal data - Regulation (EU) 2016/679 - Article 4(7) - Concept of 'controller' - Article 58(2) - Powers of supervisory authorities to apply corrective powers - Article 83 - Imposition of administrative fines on a legal person - Conditions - Discretion of the Member States - Requirement that the infringement be intentional or negligent),  Case C‑807/21,

Francis Hayen et Charles Cuvelliez

Sur le même sujet

Sanjay Pulipaka

OPINION. « Souveraineté numérique : l'Europe ne peut plus se contenter de réagir aux ingérences »

Idées & Débats
Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION. « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats
Gabriel Gaspard

OPINION. « Présidentielle 2027 - dette publique : faut-il changer de paradigme ? »

Les signaux de la Cour des comptes sont tous alarmants. Le débat sur l'endettement de la France enflamme la présidentielle. La dette devient-elle hors de contrôle ? Faut-il des solutions douloureuses ou une vraie alternative à nos finances publiques ?

Idées & Débats
agir

OPINION. « Redonner aux jeunes le pouvoir d’agir : quand entreprendre remet en mouvement »

Par les 25 membres du collectif Entr&prends ton Avenir et 13 représentants de l’écosystème associatif de la jeunesse.

Idées & Débats
Julien Chaverou

OPINION. « Pour un pacte de soutien a l’ameublement français et europeen »

La France et l’Europe ont une histoire longue et remarquable dans le secteur de la décoration et de l’ameublement. Les trois dernières décennies ont changé radicalement les méthodes, les moyens et les habitudes. Aujourd’hui, comme dans la mode, il y a ce sentiment étourdissant que, soudain, tout s’écroule.

Idées & Débats
Amaury Goguel

OPINION. « Et si les grilles d’analyse des Institutions Financières Internationales alimentaient les polycrises ? »

La décision est passée presque inaperçue. Pourtant, en septembre 2025, Pékin a provoqué un véritable séisme silencieux dans la gouvernance mondiale en renonçant officiellement à son statut de « pays en développement » à l’Organisation mondiale du commerce.

Idées & Débats
Sarah Bagnon-Szkoda

OPINION. « CSRD : le reporting de durabilité entre dans son âge de raison »

La CSRD a d’abord été perçue comme une contrainte. Une norme de plus, venant s’ajouter à un environnement réglementaire déjà dense. Sa mise en œuvre a souvent été vécue comme un chantier lourd, technique, coûteux, déployé dans des délais serrés par des entreprises déjà saturées par les obligations de reporting.

Idées & Débats