Violation de données personnelles : une mesure correctrice ou une amende n’est pas obligatoire

Violation de données personnelles : une mesure correctrice ou une amende n’est pas obligatoire

Violation de données personnelles : une mesure correctrice ou une amende n’est pas obligatoire

L’affaire était montée jusqu’à la Cour de justice de l’Union européenne. Elle a débuté en Allemagne, quand une Caisse d’épargne « a constaté que l’une de ses employés avait consulté à plusieurs reprises, sans y être habilitée, des données à caractère personnel d’un client ».

La Caisse d’épargne avait alors échangé avec l’employée, qui « avait confirmé par écrit qu’elle n’avait ni copié ni conservé les données, qu’elle ne les avait pas transmises à des tiers et qu’elle ne le ferait pas à l’avenir ». Des mesures disciplinaires avaient été prises à son encontre, mais la Caisse avait décidé de ne pas informer le client, car elle estimait « qu’il n’y avait pas de risque élevé pour lui ».

L’incident a été notifié au commissaire à la protection des données du Land. Le client, qui a pris « incidemment connaissance de cet incident », a introduit une réclamation auprès de ce même commissaire pour que des sanctions soient prononcées. « Ayant entendu la Caisse d’épargne, le commissaire à la protection des données a informé le client qu’il n’estimait pas nécessaire de prendre des mesures correctrices à l’égard de la Caisse d’épargne ».

Le client n’était pas satisfait et s’est donc tourné vers une juridiction allemande, « en lui demandant d’enjoindre au commissaire à la protection des données d’intervenir contre la Caisse d’épargne et, en particulier, de lui infliger une amende ». La juridiction s’est tournée vers la Cour de justice en lui demandant d’interpréter le règlement général sur la protection des données dans ce cas précis.

La Cour répond « qu’en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas obligée de prendre une mesure correctrice, en particulier d’imposer une amende administrative, lorsque cela n’est pas nécessaire pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD ».

La Cour de justice de l’Union européenne ne fait que répondre à la juridiction allemande, elle ne tranche pas le litige national. La CJUE rappelle qu’il appartient maintenant « à la juridiction nationale de résoudre l’affaire conformément à la décision de la Cour ». Désormais, cette « décision lie, de la même manière, les autres juridictions nationales qui seraient saisies d’un problème similaire ».

Commentaires (3)


Perso j'attends toujours la "sanction" contre Qwant de la part de la CNIL française.
Dans tout ce système, le postulat implicite que tout le monde sous-entend est une autorité de contrôle effective.

Or, dans cette logique de plusieurs décennie d'autorité de contrôle postiches, sans moyens, voire sans ambition, les magouilles privées ont les mains libres.

La réglementation semble pour une fois à peu près claire niveau européen, mais c'est l'autorité de contrôle nationale qui pêche, et ce depuis fort, fort longtemps.

Je n'aurais jamais envisagé une telle situation possible. Ma foi dans la mission du service public m'a toujours amené à penser que les seuls cas où une autorité de contrôle pourrait se retrouver impuissante, en-dehors du problème de moyens, serait faute de cadre réglementaire suffisamment clair.
La CNIL innove de manière constante dans l'impotence sur une somme d'année à plusieurs chiffres, et c'est tout bonnement incroyable. Le contrôle politique via la représentation nationale de cette autorité de contrôle est-il réalisé ? Il y a peut-être deux-trois petits fondamentaux que les députés devraient lui rappeler en convoquant ses responsables dans une commission appropriée.

Berbe

Dans tout ce système, le postulat implicite que tout le monde sous-entend est une autorité de contrôle effective.

Or, dans cette logique de plusieurs décennie d'autorité de contrôle postiches, sans moyens, voire sans ambition, les magouilles privées ont les mains libres.

La réglementation semble pour une fois à peu près claire niveau européen, mais c'est l'autorité de contrôle nationale qui pêche, et ce depuis fort, fort longtemps.

Je n'aurais jamais envisagé une telle situation possible. Ma foi dans la mission du service public m'a toujours amené à penser que les seuls cas où une autorité de contrôle pourrait se retrouver impuissante, en-dehors du problème de moyens, serait faute de cadre réglementaire suffisamment clair.
La CNIL innove de manière constante dans l'impotence sur une somme d'année à plusieurs chiffres, et c'est tout bonnement incroyable. Le contrôle politique via la représentation nationale de cette autorité de contrôle est-il réalisé ? Il y a peut-être deux-trois petits fondamentaux que les députés devraient lui rappeler en convoquant ses responsables dans une commission appropriée.
Le contrôle politique via la représentation nationale de cette autorité de contrôle est-il réalisé ?


Article 8 de la loi du 6 janvier 1978 :
I A. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante.


Le parlement n'a donc aucun droit de la contrôler. Par contre, le Conseil d'État est compétent pour annuler une décision de la CNIL.

Mais rassure toi, les parlementaires connaissent bien le fonctionnement de la CNIL puisque 2 députés et 2 sénateurs sont membres de la CNIL. (article 9)

La CNIL a perdu beaucoup de pouvoir au cours du temps, en particulier quand ses possibilités d'action contre l'État ont été fortement diminuées par exemple, ces avis ne sont que consultatifs. Le RGPD lui a aussi limité ses pouvoir pour les sociétés établies hors de France parce que c'est au pays où elles sont établies de se prononcer.

Je pense que le plus gros problème de la CNIL est quand même un problème de budget et ça, c'est de la responsabilité du Parlement.

Et quand je vois qu'on veut lui ajouter un rôle pour l'AI act, j'espère que l'on va augmenter son budget en conséquence.
Fermer