Affaire C-683/21, Nacionalinis visuomenės sveikatos centras: Arrêt de la Cour (Grande chambre) du 5 décembre 2023 (demande de décision préjudicielle du Vilniaus apygardos administracinis teismas — Lituanie) — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos / Valstybinė duomenų apsaugos inspekcija [Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, points 2 et 7 – Notions de «traitement» et de «responsable du traitement» – Développement d’une application informatique mobile – Article 26 – Responsabilité conjointe du traitement – Article 83 – Imposition d’amendes administratives – Conditions – Exigence du caractère délibéré ou négligent de la violation – Responsabilité du responsable du traitement pour le traitement de données à caractère personnel effectué par un sous-traitant]

1)

L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que:

peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.

2)

L’article 4, point 7, et l’article 26, paragraphe 1, du règlement 2016/679

doivent être interprétés en ce sens que:

la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ni l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement.

3)

L’article 4, point 2, du règlement 2016/679

doit être interprété en ce sens que:

constitue un «traitement», au sens de cette disposition, l’utilisation de données à caractère personnel aux fins d’essais informatiques d’une application mobile, à moins que de telles données n’aient été rendues anonymes de telle sorte que la personne concernée par ces données n’est pas ou n’est plus identifiable ou qu’il ne s’agisse de données fictives qui ne se rapportent pas à une personne physique existante.

4)

L’article 83 du règlement 2016/679

doit être interprété en ce sens que:

d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et,

d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données à caractère personnel effectuées par un sous-traitant pour le compte de celui-ci, sauf si, dans le cadre de ces opérations, ce sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti.