Ce sont deux jugements qui le confirment. Dans un premier cas, il s'agit d'une amende imposée au ministère lituanien de la santé qui avait confié à une entreprise le soin de concevoir une application mobile pour le Covid-19. Il s'agissait d'un suivi épidémiologique avec, à la clé, l'enregistrement et le suivi des données des personnes exposées au virus (numéro national, coordonnées, adresse, nom, prénom, téléphone, période d'auto-isolement ...).

Cette application développée entretemps fut mise à disposition du public entre avril et mai 2020 à travers Google Play et Apple Store. 3.802 personnes l'ont téléchargée et l'ont utilisée en y plaçant des données demandées par l'application... qui étaient celles convenues lors de discussions de travail entre le ministère et son sous-traitant. Suite à un problème de financement, le ministère n'a finalement pas pu attribuer à la société un marché public pour prendre possession officiellement de l'application qu'elle voulait acquérir avec une procédure négociée. Seul un accord de confidentialité entre le ministère et la société en charge de développer l'application existait : les deux partenaires y étaient mentionnés comme responsables du traitement. L'application est restée disponible alors que le marché n'avait pu avoir lieu. L'application était orpheline.

Le mal était fait puisque des données personnelles avaient été traitées en dehors de tout cadre et des amendes administratives furent imposées tant au ministère qu'à la société qui avait développé l'application. Tous les deux sont considérés comme contrôleurs des données, c'est-à-dire, ils avaient tous les deux le contrôle de données personnelles des utilisateurs qui les leur confiaient, même après la fin de toute coopération.

Responsable sans être propriétaire

La Cour Européenne de Justice a considéré que le ministère, parce qu'elle a donné des instructions à la société informatique, était donc devenue responsable du traitement des données même si après les utilisateurs avaient téléchargé l'application indépendamment du ministère, via un magasin d'application. Que le ministère n'ait finalement pas acheté cette application mobile, qu'elle n'ait pas donné son accord pour le traitement de données lorsque l'application a été mise à disposition du public ne change rien à sa responsabilité parce qu'il a été l'instigateur de ce traitement. Le ministère n'avait pas interdit explicitement la mise à disposition du public.

On lit aussi dans le jugement que les deux entités, le ministère de la Santé et l'entreprise qui a développé l'application sont devenues corresponsables du traitement du traitement des données sans qu'ils ne se soient mis d'accord entre eux de manière formelle (il n'y avait qu'un accord de confidentialité et des mails). Le RGPD prévoit qu'un tel accord devrait exister, mais si le mal est fait, si le traitement des données a eu lieu, les entités ne peuvent échapper à leurs responsabilités. La Cour va plus loin : elle ne parle même pas de décision commune, mais de décision convergente, on a presque envie de dire tacite, qui se complètent. La cour vise aussi l'utilisation des données personnelles à des fins d'essai informatique : un essai constitue un traitement. Il n'est nullement question ici du concept de bac à sable où on échapperait à la régulation pour tester.

Enfin, le RGPD ne parle d'amende qu'en cas de conduite délibérée ou par négligence. Mais rien n'est dit si ce n'est pas le cas. La cour tranche et confirme même que sans conduite délibérée ou négligence, il ne peut pas y avoir d'amende. La cour explique que l'amende est là pour le caractère dissuasif de recommencer, mais s'il n'y a pas eu de comportement fautif négligent ou délibéré, que faut-il dissuader ?

Responsable pour ses employés

L'autre jugement est à l'encontre d'une personne morale ; une société immobilière, qui peut, dit la Cour, recevoir une amende pour le comportement de ses employés. Car la loi allemande dit qu'une infraction administrative ne peut être constatée qu'à l'encontre d'une personne physique et non-morale. Le RGPD lui ne fait pas de distinction entre personnes morales et physiques.

Les personnes morales sont responsables des violations commises par leurs représentants qui agissent dans le cadre l'activité commerciale des premières. Il ne faut même pas pouvoir arriver à imputer la faute à une personne physique pour pouvoir infliger l'amende. Pas besoin de chercher un coupable en chair et en os. C'est peut-être en contradiction avec la loi allemande, mais devoir passer par l'identification d'une personne physique pour l'amende serait contraire à l'effet dissuasif voulu : les entreprises se retrancheraient bien vite derrière l'impossibilité de retrouver le coupable pour échapper à l'amende.

Dans le cas allemand, l'amende était salée puisqu'il s'agissait de 14 millions de EUR : la société avait retenu des données personnelles plus longtemps que nécessaire. Il n'est pas indispensable non plus que l'infraction ait été commise par la direction et ni que la direction en ait eu connaissance.

Dans le RGPD, c'est souvent aussi par ignorance qu'on comment des infractions : cette ignorance est-elle un signe de bonne foi ou un signe de négligence. C'est probablement la prochaine question qui sera maintenant, au détour d'une affaire, posée à la Cour Européenne de Justice.

____

Pour en savoir plus

• JUDGMENT OF THE COURT (Grand Chamber), 5 December 2023, Imposition of administrative fines - Conditions - Requirement that the infringement be intentional or negligent - Responsibility and liability of the controller for the processing of personal data carried out by a processor), C‑683/21,
• JUDGMENT OF THE COURT (Grand Chamber), 5 December 2023,  (Reference for a preliminary ruling - Protection of personal data - Regulation (EU) 2016/679 - Article 4(7) - Concept of 'controller' - Article 58(2) - Powers of supervisory authorities to apply corrective powers - Article 83 - Imposition of administrative fines on a legal person - Conditions - Discretion of the Member States - Requirement that the infringement be intentional or negligent),  Case C‑807/21,