La Cour de justice de l’Union européenne a rendu, le 26 septembre 2024, une décision fondamentale concernant l’application du règlement général sur la protection des données. L’affaire trouve son origine dans la consultation non autorisée de données personnelles d’un client par l’employée d’un établissement de crédit. Le responsable du traitement a notifié l’incident à l’autorité de contrôle compétente mais a choisi de ne pas informer la personne physique concernée. Le client, ayant appris l’existence de cette violation, a déposé une réclamation devant l’autorité de contrôle pour contester l’absence de communication directe.
L’autorité de contrôle a rejeté la réclamation après avoir entendu l’organisme financier et estimé que le risque pour les droits n’était pas élevé. Elle a relevé que des mesures disciplinaires avaient été prises contre l’agent et que les données n’avaient pas été transmises à des tiers. Le requérant a alors saisi le tribunal administratif de Wiesbaden pour demander l’annulation de cette décision et l’imposition d’une amende au responsable. La juridiction allemande a décidé d’interroger la Cour de justice sur l’existence d’une obligation d’intervention systématique de l’autorité en cas de violation.
Le problème de droit soumis à la Cour consiste à déterminer si le règlement européen impose à l’autorité d’adopter systématiquement une mesure correctrice. La juridiction européenne répond que l’autorité n’est pas tenue d’intervenir si cela n’est pas approprié ou proportionné pour garantir le respect de la légalité. L’analyse de cette solution nécessite d’étudier la marge de manœuvre reconnue aux autorités de contrôle avant d’examiner les conditions de son exercice équilibré.
I. La reconnaissance d’une marge d’appréciation au profit de l’autorité de contrôle
A. Le caractère facultatif de l’exercice des mesures correctrices
Le règlement laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée par l’enquête. L’autorité dispose de larges pouvoirs d’enquête et de mesures correctrices dont le choix dépend de la diligence requise par sa mission de surveillance. La Cour souligne que le choix du moyen approprié relève de l’autorité qui doit prendre en considération toutes les circonstances du cas concret. Cette souplesse administrative permet d’adapter la réponse aux faits reprochés sans imposer de mesures automatiques qui ignoreraient la réalité des comportements du responsable.
B. L’exclusion d’un droit subjectif du réclamant à la sanction pécunaire
La juridiction affirme qu’il « ne saurait être déduit » du texte l’existence d’une obligation d’adopter « dans tous les cas » une mesure correctrice. L’auteur d’une réclamation ne dispose donc pas d’un « droit subjectif à voir l’autorité de contrôle imposer une amende administrative au responsable ». Cette position évite de transformer l’autorité en un organe de sanction automatique sans égard pour les mesures correctrices déjà prises par l’entité. Toutefois, cette liberté d’appréciation demeure strictement encadrée par les objectifs de conformité et de protection efficace des droits fondamentaux des citoyens européens.
II. L’encadrement de l’action de l’autorité par les principes de nécessité et de conformité
A. Le contrôle juridictionnel de l’opportunité de l’intervention administrative
L’autorité reste tenue d’intervenir lorsque l’adoption d’une mesure est nécessaire pour remédier à l’insuffisance constatée et garantir le plein respect du règlement. Toute mesure doit être « appropriée, nécessaire et proportionnée » pour assurer la protection des données conformément aux exigences de la charte des droits fondamentaux. Le juge doit vérifier si l’autorité a traité la réclamation avec diligence et respecté les limites de sa marge de manœuvre administrative. Cette surveillance garantit que l’absence de réaction ne résulte pas d’une négligence de l’autorité mais d’une décision motivée par les circonstances d’espèce.
B. La finalité de rétablissement de la légalité comme limite de la sanction
L’autorité peut s’abstenir de prendre une mesure lorsque la violation « a déjà été rétablie » par les initiatives propres du responsable du traitement. Une intervention ne s’impose pas si la conformité est assurée et que l’abstention ne porte pas atteinte à l’application rigoureuse des règles. L’objectif premier du règlement est de « renforcer l’application des règles » tout en évitant des coûts superflus pour les acteurs économiques déjà conformes. L’arrêt confirme une vision pragmatique privilégiant le retour effectif à la légalité sur la simple punition des manquements passés sans risque futur.
