Arrêt de la Cour (grande chambre) du 5 décembre 2023.#Deutsche Wohnen SE contre Staatsanwaltschaft Berlin.#Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, point 7 – Notion de “responsable du traitement” – Article 58, paragraphe 2 – Pouvoirs des autorités de contrôle d’imposer des mesures correctrices – Article 83 – Imposition d’amendes administratives à une personne morale – Conditions – Marge de manœuvre des États membres – Exigence du caractère délibéré ou négligent de la violation.#Affaire C-807/21.

Affaire C‑807/21

Deutsche Wohnen SE

contre

Staatsanwaltschaft Berlin

(demande de décision préjudicielle, introduite par le Kammergericht Berlin)

Arrêt de la Cour (grande chambre) du 5 décembre 2023

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, point 7 – Notion de “responsable du traitement” – Article 58, paragraphe 2 – Pouvoirs des autorités de contrôle d’imposer des mesures correctrices – Article 83 – Imposition d’amendes administratives à une personne morale – Conditions – Marge de manœuvre des États membres – Exigence du caractère délibéré ou négligent de la violation »

1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Imposition d’amendes administratives – Conditions – Absence de marge de manœuvre des États membres pour prévoir les conditions de fond relatives à l’imposition d’une amende administrative à un responsable du traitement – Pertinence de la notion d’entreprise au sens des articles 101 et 102 TFUE limitée au calcul d’une amende – Réglementation nationale subordonnant la possibilité d’infliger une amende à une personne morale en sa qualité de responsable du traitement à la condition d’une imputation préalable de la violation en cause à une personne physique identifiée – Inadmissibilité

   (Art. 101, 102, 288, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2016/679, considérants 10, 11, 74, 129 et 150 et art. 4, point 7, 58, § 2 et 4, et 83)

   (voir points 38, 43-60, disp.1)

2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de responsable du traitement – Personne morale – Inclusion – Condition – Participation effective à la détermination des finalités et des moyens du traitement

   (Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 7)

   (voir points 39-42)

3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Imposition d’amendes administratives – Conditions – Absence de marge de manœuvre des États membres pour prévoir les conditions de fond relatives à l’imposition d’une amende administrative à un responsable du traitement – Exigence d’une violation commise par le responsable du traitement délibérément ou par négligence

   (Règlement du Parlement européen et du Conseil 2016/679, considérants 9, 13 et 148 et art. 58, § 2, et 83)

   (voir points 65-78, 86, disp. 2)

Résumé

Deutsche Wohnen SE (ci-après « DW ») est une société immobilière qui détient indirectement, par le biais de participations dans différentes sociétés, de nombreuses unités commerciales et de logement. Elle traite, dans le cadre de ses activités commerciales, des données à caractère personnel des locataires de ces unités.

À la suite de deux contrôles réalisés en 2017 et en 2019, le Berliner Beauftragte für den Datenschutz (autorité de contrôle de Berlin, Allemagne) a constaté une série de violations du RGPD ( 1 ) commises par DW. Par décision du 30 octobre 2019, cette autorité de contrôle lui a, à ce titre, imposé des amendes administratives.

DW a formé un recours contre cette décision devant le Landgericht Berlin (tribunal régional de Berlin, Allemagne), qui a classé la procédure sans suite. Ce tribunal a relevé que, en vertu de la loi allemande ( 2 ), une infraction administrative ne pourrait être constatée qu’à l’encontre d’une personne physique et non pas à l’encontre d’une personne morale. En outre, dans le cas d’un engagement de la responsabilité d’une personne morale, seuls les actes des membres de ses organes ou de ses représentants pourraient lui être imputés. La Staatsanwaltschaft Berlin (parquet de Berlin, Allemagne) a introduit un recours contre cette décision devant le Kammergericht Berlin (tribunal régional supérieur de Berlin, Allemagne). Dans ce contexte, cette juridiction a saisi la Cour à titre préjudiciel sur l’interprétation du RGPD ( 3 ).

Dans son arrêt, la Cour, réunie en grande chambre, se prononce sur les conditions d’imposition d’amendes administratives au titre du RGPD. En premier lieu, elle examine la question de savoir si les États membres peuvent soumettre l’imposition d’une amende administrative à une personne morale à la condition que la violation de ce règlement soit imputée au préalable à une personne physique identifiée. En second lieu, elle se penche sur la question de savoir si la violation sanctionnée des dispositions du RGPD doit être commise délibérément ou par négligence ( 4 ).

Appréciation de la Cour

En ce qui concerne l’imposition d’une amende administrative en vertu du RGPD à une personne morale, la Cour relève, tout d’abord, que les principes, interdictions et obligations prévus par le RGPD s’adressent, en particulier, aux « responsables du traitement », dont la responsabilité s’étend à tout traitement de données à caractère personnel qu’ils effectuent eux-mêmes ou qui est réalisé pour leur compte. C’est cette responsabilité qui constitue, en cas de violation des dispositions du RGPD, le fondement pour l’imposition d’une amende administrative au responsable du traitement en application de l’article 83 de ce règlement. Cependant, le législateur de l’Union n’a pas opéré, aux fins de la détermination d’une telle responsabilité, une distinction entre les personnes physiques et les personnes morales, cette responsabilité étant soumise à la seule condition que celles-ci, seules ou conjointement avec d’autres, déterminent les finalités et les moyens du traitement de données à caractère personnel ( 5 ). Partant, en principe, toute personne répondant à cette condition est notamment responsable pour toute violation du RGPD, commise par elle-même ou pour son compte. Cela implique, d’une part, que les personnes morales sont responsables non seulement des violations commises par leurs représentants, directeurs ou gestionnaires, mais également par toute autre personne qui agit dans le cadre de l’activité commerciale de ces personnes morales et pour leur compte. D’autre part, les amendes administratives prévues par le RGPD en cas de telles violations doivent pouvoir être infligées directement à des personnes morales lorsque celles-ci peuvent être qualifiées de responsables du traitement.

Ensuite, la Cour observe qu’aucune disposition du RGPD ne permet de considérer que l’infliction d’une amende administrative à une personne morale en tant que responsable du traitement serait soumise à la constatation préalable que cette violation a été commise par une personne physique identifiée. En outre, le législateur de l’Union n’a pas laissé aux États membres une marge d’appréciation à cet égard. Le fait que le RGPD donne à ceux-ci la possibilité de prévoir des exigences concernant la procédure à suivre par les autorités de contrôle pour imposer une amende administrative ( 6 ) ne signifie nullement qu’ils seraient également habilités à prévoir des conditions de fond supplémentaires à celles fixées par le RGPD.

Dans ce contexte, la Cour précise que permettre aux États membres d’exiger, de manière unilatérale et en tant que condition nécessaire à l’imposition d’une amende administrative en application de l’article 83 du RGPD à un responsable du traitement qui est une personne morale, que la violation en cause soit imputée ou imputable, au préalable, à une personne physique identifiée serait contraire à la finalité du RGPD. En outre, une telle exigence supplémentaire risquerait, en définitive, d’affaiblir l’effectivité et l’effet dissuasif des amendes administratives imposées à des personnes morales en tant que responsables du traitement.

Enfin, la Cour souligne que la notion d’« entreprise », au sens des articles 101 et 102 TFUE ( 7 ), n’a pas d’incidence sur le point de savoir si et dans quelles conditions une amende administrative peut être imposée en vertu du RGPD à un responsable du traitement qui est une personne morale et n’est pertinente que pour déterminer le montant d’une telle amende.

Ainsi, la Cour conclut que le RGPD ( 8 ) s’oppose à une réglementation nationale en vertu de laquelle une amende administrative ne peut être infligée à une personne morale en sa qualité de responsable du traitement pour une violation de ce règlement ( 9 ) que pour autant que cette violation a été imputée préalablement à une personne physique identifiée.

S’agissant de la question de savoir si les États membres peuvent prévoir l’imposition d’une amende administrative même lorsque la violation sanctionnée n’a pas été commise délibérément ou par négligence, la Cour rappelle, tout d’abord, que les conditions de fond qu’une autorité de contrôle doit respecter lorsqu’elle impose une telle amende à un responsable du traitement relèvent uniquement du droit de l’Union et que les États membres ne disposent d’aucune marge de manœuvre à cet égard.

En ce qui concerne ces conditions, la Cour note que parmi les éléments énumérés dans le RGPD au vu desquels l’autorité de contrôle procède à l’imposition d’une telle amende figure « le fait que la violation a été commise délibérément ou par négligence » ( 10 ). En revanche, aucun de ces éléments ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part. Ainsi, seules les violations des dispositions du RGPD commises par le responsable du traitement délibérément ou par négligence peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de l’article 83 de ce règlement.

La Cour ajoute que cette interprétation est corroborée par l’économie générale et la finalité du RGPD. Dans ce contexte, elle précise que l’existence d’un système de sanctions en vertu du RGPD permettant d’imposer, lorsque les circonstances spécifiques de chaque cas d’espèce le justifient, une amende administrative crée, pour les responsables du traitement et les sous-traitants, une incitation à se conformer à ce règlement et que, par leur effet dissuasif, les amendes administratives contribuent au renforcement de la protection des personnes concernées. Cependant, le législateur de l’Union n’a pas jugé nécessaire de prévoir l’imposition d’amendes administratives en l’absence de faute. Compte tenu du fait que le RGPD vise un niveau de protection à la fois équivalent et homogène et qu’il doit, à cette fin, être appliqué de manière cohérente dans l’ensemble de l’Union, il serait contraire à cette finalité de permettre aux États membres de prévoir un tel régime pour l’imposition d’une amende.

Par conséquent, la Cour constate que, en vertu de l’article 83 du RGPD, une amende administrative ne peut être imposée que s’il est établi que le responsable du traitement, qui est à la fois une personne morale et une entreprise, a commis, délibérément ou par négligence, une violation des règles contenues dans ce règlement.

( 1 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 2 ) Gesetz über Ordnungswidrigkeiten (loi relative aux infractions administratives), du 24 mai 1968 (BGBl. 1968 I, p. 481), dans la version de la communication du 19 février 1987 (BGBl. 1987 I, p. 602), telle qu’adaptée par la loi du 19 juin 2020 (BGBl. 2020 I, p. 1350).

( 3 ) Article 58, paragraphe 2, et article 83 du RGPD.

( 4 ) Sur cet aspect, voir également arrêt Nacionalinis visuomenės sveikatos centras (C‑683/21), rendu le même jour.

( 5 ) Selon l’article 4, point 7, du RGPD.

( 6 ) Comme cela ressort de l’article 58, paragraphe 4, et de l’article 83, paragraphe 8, du RGPD, lus à la lumière de son considérant 129.

( 7 ) À laquelle le renvoi est effectué au considérant 150 du RGPD.

( 8 ) Article 58, paragraphe 2, sous i), et article 83, paragraphes 1 à 6, du RGPD.

( 9 ) Visée à l’article 83, paragraphes 4 à 6, du RGPD.

( 10 ) Article 83, paragraphe 2, sous b), du RGPD.