L’affaire était montée jusqu’à la Cour de justice de l’Union européenne. Elle a débuté en Allemagne, quand une Caisse d’épargne « a constaté que l’une de ses employés avait consulté à plusieurs reprises, sans y être habilitée, des données à caractère personnel d’un client ».
La Caisse d’épargne avait alors échangé avec l’employée, qui « avait confirmé par écrit qu’elle n’avait ni copié ni conservé les données, qu’elle ne les avait pas transmises à des tiers et qu’elle ne le ferait pas à l’avenir ». Des mesures disciplinaires avaient été prises à son encontre, mais la Caisse avait décidé de ne pas informer le client, car elle estimait « qu’il n’y avait pas de risque élevé pour lui ».
L’incident a été notifié au commissaire à la protection des données du Land. Le client, qui a pris « incidemment connaissance de cet incident », a introduit une réclamation auprès de ce même commissaire pour que des sanctions soient prononcées. « Ayant entendu la Caisse d’épargne, le commissaire à la protection des données a informé le client qu’il n’estimait pas nécessaire de prendre des mesures correctrices à l’égard de la Caisse d’épargne ».
Le client n’était pas satisfait et s’est donc tourné vers une juridiction allemande, « en lui demandant d’enjoindre au commissaire à la protection des données d’intervenir contre la Caisse d’épargne et, en particulier, de lui infliger une amende ». La juridiction s’est tournée vers la Cour de justice en lui demandant d’interpréter le règlement général sur la protection des données dans ce cas précis.
La Cour répond « qu’en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas obligée de prendre une mesure correctrice, en particulier d’imposer une amende administrative, lorsque cela n’est pas nécessaire pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD ».
La Cour de justice de l’Union européenne ne fait que répondre à la juridiction allemande, elle ne tranche pas le litige national. La CJUE rappelle qu’il appartient maintenant « à la juridiction nationale de résoudre l’affaire conformément à la décision de la Cour ». Désormais, cette « décision lie, de la même manière, les autres juridictions nationales qui seraient saisies d’un problème similaire ».
Commentaires (2)
#1
#1.1
Or, dans cette logique de plusieurs décennie d'autorité de contrôle postiches, sans moyens, voire sans ambition, les magouilles privées ont les mains libres.
La réglementation semble pour une fois à peu près claire niveau européen, mais c'est l'autorité de contrôle nationale qui pêche, et ce depuis fort, fort longtemps.
Je n'aurais jamais envisagé une telle situation possible. Ma foi dans la mission du service public m'a toujours amené à penser que les seuls cas où une autorité de contrôle pourrait se retrouver impuissante, en-dehors du problème de moyens, serait faute de cadre réglementaire suffisamment clair.
La CNIL innove de manière constante dans l'impotence sur une somme d'année à plusieurs chiffres, et c'est tout bonnement incroyable. Le contrôle politique via la représentation nationale de cette autorité de contrôle est-il réalisé ? Il y a peut-être deux-trois petits fondamentaux que les députés devraient lui rappeler en convoquant ses responsables dans une commission appropriée.