L’autorité de contrôle n’est pas obligée de prendre une mesure correctrice dans tous les cas de violation ni, en particulier, d’imposer une amende
Dans un arrêt du 26 septembre 2024, la CJUE a estimé qu’en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas obligée de prendre une mesure correctrice , en particulier d’imposer une amende administrative, lorsque cela n’est pas nécessaire pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD. Tel pourrait être le cas, notamment, lorsque le responsable du traitement a, dès qu’il en a eu connaissance, pris les mesures nécessaires pour que ladite violation prenne fin et ne se reproduise pas.
Elle précise que le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée. Cette marge est limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse du RGPD.
Dans cette affaire, après avoir pris incidemment connaissance d’un incident concernant ses données, un client de la Caisse d’épargne a introduit une réclamation auprès de l’autorité compétente. A la fin de l’enquête, celle-ci a estimé non nécessaire de prendre des mesures correctrices à l’égard de la Caisse d’épargne. Le client a alors introduit un recours devant une juridiction allemande, en lui demandant d’enjoindre au commissaire à la protection des données d’intervenir contre la Caisse d’épargne et, en particulier, de lui infliger une amende. La juridiction allemande a demandé à la Cour de justice d’interpréter le règlement général sur la protection des données (RGPD) à ce sujet.
Disponible sur: curia.europa.eu. Le dossier complet est également disponible.