Chapitre VIII :
Voies de recours, responsabilité et sanctions
Article 77 :
Droit d'introduire une réclamation auprès d'une autorité de contrôle
§1 Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.
§2 L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78.
1) Concurrence de recours – Recours contre la décision de l’autorité administrative indépendante * Recours contre le RT devant la Cour – Garantie de l’effectivité * Droit à un recours effectif :
- « L’article 77, paragraphe 1, l’article 78, paragraphe 1, et l’article 79, paragraphe 1, du […] règlement général sur la protection des données […], lus à la lumière de l’article 47 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens que : ils permettent un exercice concurrent et indépendant des voies de recours prévues, d’une part, à cet article 77, paragraphe 1, et à cet article 78, paragraphe 1, ainsi que, d’autre part, à cet article 79, paragraphe 1. Il appartient aux États membres, en accord avec le principe de l’autonomie procédurale, de prévoir les modalités d’articulation de ces voies de recours afin que soient assurés l’effectivité de la protection des droits garantis par ce règlement, l’application cohérente et homogène des dispositions de ce dernier ainsi que le droit à un recours effectif devant un tribunal, visé à l’article 47 de la charte des droits fondamentaux. »
CJUE (première chambre), 12 janvier 2023, BE contre Nemzeti Adatvédelmi és Információszabadság Hatóság, Affaire C-132/21
Article 78 :
Droit à un recours juridictionnel effectif contre une autorité de contrôle
§1 Droit à un recours juridictionnel effectif contre une autorité de contrôle
§2 Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.
§3 Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.
§4 Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie. Dans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée.
1) Intérêt à agir – Associations :
- « L’article 80, paragraphe 2 … » du R.G.P.D. « …doit être interprété en ce sens que : la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de celles-ci. »
CJUE, (quatrième chambre), 11 juillet 2024, affaire C‑757/22, Meta Platforms Ireland Ltd
2) Contrôle juridictionnel entier d’une décision de réclamation :
- « 1) L’article 78, paragraphe 1, du […] règlement général sur la protection des données […], doit être interprété en ce sens que : une décision sur réclamation adoptée par une autorité de contrôle est soumise à un contrôle juridictionnel entier. »
3) Concurrence de recours – Recours contre la décision de l’autorité administrative indépendante * Recours contre le RT devant la Cour – Garantie de l’effectivité * Droit à un recours effectif :
- « L’article 77, paragraphe 1, l’article 78, paragraphe 1, et l’article 79, paragraphe 1, du […] règlement général sur la protection des données […], lus à la lumière de l’article 47 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens que : ils permettent un exercice concurrent et indépendant des voies de recours prévues, d’une part, à cet article 77, paragraphe 1, et à cet article 78, paragraphe 1, ainsi que, d’autre part, à cet article 79, paragraphe 1. Il appartient aux États membres, en accord avec le principe de l’autonomie procédurale, de prévoir les modalités d’articulation de ces voies de recours afin que soient assurés l’effectivité de la protection des droits garantis par ce règlement, l’application cohérente et homogène des dispositions de ce dernier ainsi que le droit à un recours effectif devant un tribunal, visé à l’article 47 de la charte des droits fondamentaux. »
CJUE (première chambre), 12 janvier 2023, BE contre Nemzeti Adatvédelmi és Információszabadság Hatóság, Affaire C-132/21
Article 79 :
Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant
§1 Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant
§2 Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.
§3 Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.
(1) Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).
Article 80 :
Représentation des personnes concernées
§1 La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit.
§2 Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement.
Article 81 :
Suspension d'une action
§1 Lorsqu’une juridiction compétente d’un État membre est informée qu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, elle contacte cette juridiction dans l’autre État membre pour confirmer l’existence d’une telle action.
§2 Lorsqu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, toute juridiction compétente autre que la juridiction saisie en premier lieu peut suspendre son action.
§3 Lorsque cette action est pendante devant des juridictions du premier degré, toute juridiction autre que la juridiction saisie en premier lieu peut également se dessaisir, à la demande de l’une des parties, à condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction.
Article 82 :
Droit à réparation et responsabilité
§1 Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
§2 Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
§3 Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
§4 Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.
§5 Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.
§6 Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2.
1) Responsabilité – Violation * Préjudice certain – Crainte éprouvée – Critère de fixation de la réparation – Prise en compte de la législation nationale sur la protection des données dans le cadre d’une réparation, si la norme nationale précise les points du règlement :
- « 1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 […], doit être interprété en ce sens que : une violation de ce règlement ne suffit pas, à elle seule, pour fonder un droit à réparation au titre de cette disposition. La personne concernée doit également établir l’existence d’un préjudice causé par cette violation, sans toutefois que ce préjudice doive atteindre un certain degré de gravité. »
- « 2) […] la crainte éprouvée par une personne que ses données à caractère personnel aient, du fait d’une violation de ce règlement, été divulguées à des tiers sans qu’il puisse être établi que tel a été effectivement le cas suffit à fonder un droit à réparation pour autant que cette crainte, avec ses conséquences négatives, soit dûment prouvée. »
- « 3) […] pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives prévus à l’article 83 de ce règlement et, d’autre part, de conférer à ce droit à réparation une fonction dissuasive. »
- « 4) […] pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu de tenir compte de violations simultanées de dispositions nationales portant sur la protection des données personnelles, mais n’ayant pas pour objet de préciser les règles de ce règlement. »
CJUE, 20 juin 2024 ,PS (Adresse erronée), Affaire C-590/22
2) Responsabilité – Incompatibilité du règlement avec un seuil minimis aux fins de caractériser un dommage moral – Obligation de démonstration d’un lien entre la violation du règlement et le préjudice subi :
- Points 15 et 17 : « […]15 Eu égard à l’absence de toute référence dans l’article 82, paragraphe 1, du RGPD au droit interne des États membres, la notion de « dommage moral », au sens de cette disposition, doit recevoir une définition autonome et uniforme, propre au droit de l’Union [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 30 et 44]; […] 17 Ainsi, il ne saurait être considéré que, en sus des trois conditions énoncées au point 14 du présent arrêt, d’autres conditions d’engagement de la responsabilité prévue à l’article 82, paragraphe 1, du RGPD, telles que le caractère tangible du dommage ou le caractère objectif de l’atteinte, puissent être ajoutées. »
Conclusion : « L’article 82, paragraphe 1, du règlement (UE) 2016/679 […], doit être interprété en ce sens que : il s’oppose à une réglementation nationale ou à une pratique nationale qui fixe un « seuil de minimis » afin de caractériser un dommage moral causé par une violation de ce règlement. La personne concernée est tenue de démontrer que les conséquences de cette violation qu’elle prétend avoir subies sont constitutives d’un préjudice qui se différencie de la simple violation des dispositions dudit règlement. »
CJUE (troisième chambre), 14 décembre 2023, Gemeinde Ummendorf, Affaire C-456/22
3) Responsabilité – Fonction exclusivement compensatoire – absence de gravité requise – équivalence entre dommage moral et dommage corporel – indemnité minime – distinction entre vol de données et usurpation d’identité :
- 1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 […], doit être interprété en ce sens que : le droit à réparation prévu à cette disposition remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice subi.
- 2) […] : il ne requiert pas que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.
- 3) […] : dans le cadre de la fixation du montant de dommages-intérêts dus au titre du droit à réparation d’un dommage moral, il convient de considérer qu’un tel dommage causé par une violation de données à caractère personnel n’est pas, par nature, moins important qu’un dommage corporel.
- 4) […] : lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de celui-ci, le compenser en accordant à la personne concernée une indemnité minime, pour autant que cette indemnité soit de nature à compenser intégralement le préjudice subi.
- 5) [voir considérants 75 et 85 du RGPD] […] : pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité.
CJUE (troisième chambre), 20 juin 2024, Scalable Capital GmbH, affaires jointes C‑182/22 et C‑189/22
4) Responsabilité – Excuses * Compensation :
- « 1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 […], lu à lumière de l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que : une violation de dispositions de ce règlement ne suffit pas, à elle seule, pour constituer un « dommage », au sens de cet article 82, paragraphe 1. »
- « 2) L’article 82, paragraphe 1, du règlement 2016/679 […] doit être interprété en ce sens que : la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée. »
- « 3) […] : il s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi. »
CJUE (huitième chambre), 4 octobre 2024, A contre Patērētāju tiesību aizsardzības centrs, C-507/23
5) Responsabilité – démonstration de la réalité du préjudice – exonération
- « 5) L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires. »
- « 6) L’article 82, paragraphe 3, du règlement 2016/679 doit être interprété en ce sens que : un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement. »
CJUE (première chambre), 4 octobre 2024, Agentsia po vpisvaniyata contre OL, Affaire C-200/23
6) Responsabilité – Dommage moral – Responsabilité * Faute du sous-traitant – Quantum * Dommages-intérêts :
- 1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 […], doit être interprété en ce sens que : une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée ne suffit pas, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne.
- 2) L’article 82 règlement 2016/679 doit être interprété en ce sens que : il ne saurait suffire au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 dudit article, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité, au sens de l’article 29 de ce règlement.
- 3) […] : pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.
CJUE (troisième chambre), 11 avril 2024, GP contre juris GmbH, affaire C‑741/21
7) Responsabilité remise de documents – Violation des données * Gravité de la faute – fonction compensatoire * compensation intégrale – conditions d’engagement – crainte :
- « 1) Les articles 5, 24, 32 et 82 du règlement (UE) 2016/679 […] doivent être interprétés en ce sens que : dans le cadre d’une action en réparation fondée sur cet article 82, le fait que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel ne suffit pas, à lui seul, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32. »
- « 2) L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive. »
- « 3) L’article 82 du règlement 2016/679 doit être interprété en ce sens que : cet article ne requiert pas que le degré de gravité de la violation commise par le responsable du traitement soit pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition. »
- « 4) L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la personne demandant réparation au titre de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral. »
- « 5) L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : dans l’hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu’il n’a pas pris connaissance de celles-ci, un « dommage moral », au sens de cette disposition, n’est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possible la réalisation d’une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur ».
8) Responsabilité – Fonction compensatoire –Responsabilité présumée :
- points 1), 2), 3) sous article 9, Jurisprudence CJUE n°1.
- « 4) L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive. »
- « 5) L’article 82 du règlement 2016/679 doit être interprété en ce sens que : d’une part, l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui‑ci, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition. »
CJUE (troisième chambre), 21 décembre 2023, ZQ, affaire C‑667/21
- voir points 1), 2), 3) et 4) sous article 32, Jurisprudence CJUE n°1.
- « 5) L’article 82, paragraphe 3, du règlement 2016/679 doit être interprété en ce sens que : le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne, au titre de l’article 82, paragraphes 1 et 2, de ce règlement, du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, dudit règlement, ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable.«
- « 6) L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.«
CJUE (troisième chambre), 14 décembre 2023, VB c. NAZP, affaire C‑340/21
Article 83 :
Conditions générales pour imposer des amendes administratives
§1 Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
§2 Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi;
b) le fait que la violation a été commise délibérément ou par négligence;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;
g) les catégories de données à caractère personnel concernées par la violation;
h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42; et
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
§3 Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
§4 Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;
b) les obligations incombant à l’organisme de certification en vertu des articles 42 et 43;
c) les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.
§5 Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
e) le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.
§6 Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
§7 Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.
§8 L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.
§9 Si le système juridique d’un État membre ne prévoit pas d’amendes administratives, le présent article peut être appliqué de telle sorte que l’amende est déterminée par l’autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu’ils adoptent en vertu du présent paragraphe au plus tard le 25 mai 2018 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.
Amende Administrative
- « […] 4) L’article 83 du règlement 2016/679 doit être interprété en ce sens que : d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et, d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données à caractère personnel effectuées par un sous-traitant pour le compte de celui-ci, sauf si, dans le cadre de ces opérations, ce sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti.«
CJUE Grande Chambre, 5 décembre 2023, UAB « IT sprendimai sėkmei », affaire C‑683/21
- voir point 1) sous article 58 ;
- « 2) L’article 83 du règlement 2016/679 doit être interprété en ce sens que : une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement, qui est à la fois une personne morale et une entreprise, a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article. »
CJUE Grande Chambre, 5 décembre 2023, Deutsche Wohnen SE, affaire C‑807/2
Article 84 :
Sanctions
§1 Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives.
§2 Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.