La CJUE a rendu le 5 décembre 2023 un arrêt important qui devrait faciliter l’imposition d’amendes en cas de violation du RGPD. .
Cette décision fait suite au renvoi préjudiciel de deux tribunaux nationaux, l’un en Lituanie, l'autre en Allemagne par lequel les deux juridictions demandent à la CJUE d’interpréter l’article 83, paragraphes 4 à 6 du RGPD, à savoir les conditions dans lesquelles les autorités de contrôle nationales peuvent infliger une amende aux responsables du traitement des données en cas de violation du RGPD par ces derniers.
Cet arrêt permet dorénavant aux autorités de contrôle nationales compétentes en matière de protection des données personnelles de sanctionner plus facilement les violations du RGPD.
Trois enseignements importants sont à retenir de cet arrêt :
Le premier est que l’imposition d’une amende administrative sur le fondement du RGPD suppose au préalable un comportement fautif, à savoir une violation du texte commise de manière délibérée ou par négligence. Il ne peut y avoir de sanction automatique sur simple constat d’un manquement au RGPD.
Le deuxième est que quand le destinataire de l’amende fait partie d’un groupe de sociétés, le montant maximal de l’amende se calcule en fonction du chiffre d'affaires annuel mondial total de l’exercice précédent du groupe. Ce qui dans les faits devrait se traduire par des amendes plus élevées.
Le troisième est que les amendes prononcées par les autorités de contrôle nationales affectent bien évidemment les organismes situés dans des États membres de l’Union européenne mais également les organismes situés hors de l'Union européenne dès lors qu'ils sont assujettis à l’application territoriale du RGPD en vertu de son article 3.
La décision rendue par la CJUE est disponible à la lecture ici.