CJUE – Nacionalinis visuomenės sveikatos centras – C-683/21

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-683/21

Nom:

Nacionalinis visuomenės sveikatos centras

Date:

5 décembre 2023

Pays:

Lituanie

Lien:

Cliquer ici

Contexte

Dans le contexte de la pandémie provoquée par le virus de la COVID–19, le Lietuvos Respublikos sveikatos apsaugos ministras (ministre de la santé de la République de Lituanie) a, par une première décision du 24 mars 2020, chargé le directeur du CNSP d’organiser l’acquisition immédiate d’un système informatique aux fins de l’enregistrement et du suivi des données des personnes exposées à ce virus, à des fins de suivi épidémiologique. Lors de la création de cette application mobile par ITSS, une politique de protection de la vie privée a été élaborée, dans laquelle la société ITSS et le CNSP étaient désignés comme étant responsables du traitement.

Par lettre du 4 juin 2020, le CNSP a informé la même société que, en raison d’un défaut de financement pour l’acquisition de cette application, il avait mis fin, conformément à l’article 29, paragraphe 3, de la loi relative aux marchés publics, à la procédure visant une telle acquisition. Dans le cadre d’une enquête relative au traitement des données à caractère personnel entamée le 18 mai 2020, l’INPD (autorité de contrôle, Lituanie) a imposé une amende administrative de 12 000 euros au CNSP en application de l’article 83 du RGPD, eu égard à la violation par celui-ci des articles 5, 13, 24, 32 et 35 de ce règlement.

Le CNSP a contesté cette décision devant le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie), qui est la juridiction de renvoi.

Apport(s)
Responsable de traitement - Obligation que le responsable ait accès et/ou traite lui-même des données et/ou donne son accord pour la réalisation des opérations du traitement - Absence Extrait(s) pertinent(s)38. Eu égard aux motifs qui précédent, il y a lieu de répondre aux première à troisième questions que l’article 4, point 7, du RGPD doit être interprété en ce sens que peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté. Article(s) du RGPD Article 4 – Définitions Fait référence à > CJUE – Meta Platforms Ireland – C-319/20 > CJUE – Jehovan todistajat – C-25/17 > CJUE – Fashion ID – C-40/17 Autres informations
Responsabilité conjointe - Conditionnée à l'existence d'un accord - Absence Extrait(s) pertinent(s)46. Eu égard aux motifs qui précédent, il y a lieu de répondre à la cinquième question que l’article 4, point 7, et l’article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ni l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement. Article(s) du RGPD Article 4 – Définitions Fait référence à > CJUE – Jehovan todistajat – C-25/17 > CJUE – Fashion ID – C-40/17 > CJUE – Wirtschaftsakademie Schleswig-Holstein – C-210/16 Autres informations
Traitement de données à caractère personnel - Utilisation de données pseudonymisées dans le cadre d'essais - Inclusion Extrait(s) pertinent(s)58. En revanche, il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui ont seulement fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable, auxquelles s’appliquent les principes relatifs à la protection des données. 59. Eu égard aux motifs qui précédent, il y a lieu de répondre à la quatrième question que l’article 4, point 2, du RGPD doit être interprété en ce sens que constitue un « traitement », au sens de cette disposition, l’utilisation de données à caractère personnel aux fins d’essais informatiques d’une application mobile, à moins que de telles données n’aient été rendues anonymes de telle sorte que la personne concernée par ces données n’est pas ou n’est plus identifiable ou qu’il ne s’agisse de données fictives qui ne se rapportent pas à une personne physique existante. Article(s) du RGPD Article 4 – Définitions Fait référence à Autres informations
Prononcé d'une amende - Responsabilité pour faute (intentionnelle ou par négligence) Extrait(s) pertinent(s)71. En ce qui concerne lesdites conditions, il y a lieu de relever que l’article 83, paragraphe 2, du RGPD énumère les éléments au vu desquels l’autorité de contrôle impose une amende administrative au responsable du traitement. Parmi ces éléments figure, au point b) de cette disposition, « le fait que la violation a été commise délibérément ou par négligence ». En revanche, aucun des éléments énumérés à ladite disposition ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part. 73. Il découle ainsi du libellé de l’article 83, paragraphe 2, du RGPD que seules les violations des dispositions de ce règlement commises de manière fautive par le responsable du traitement, à savoir celles commises délibérément ou par négligence, peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de cet article. Article(s) du RGPD Article 83 – Conditions générales pour imposer des amendes administratives Fait référence à > CJUE – Österreichische Post AG – C-300/21 > CJUE – Meta Platforms Ireland – C-319/20 Autres informations
Prononcé d'une amende - Imposition au responsable du traitement pour les opérations réalisées par le sous-traitant - Admission Extrait(s) pertinent(s)86. Eu égard aux considérations qui précédent, il y a lieu de répondre à la sixième question que l’article 83 du RGPD doit être interprété en ce sens que, d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et, d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données à caractère personnel effectuées par un sous-traitant pour le compte de celui-ci, sauf si, dans le cadre de ces opérations, ce sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti. Article(s) du RGPD Article 83 – Conditions générales pour imposer des amendes administratives Fait référence à > CJUE – Österreichische Post AG – C-300/21 > CJUE – Meta Platforms Ireland – C-319/20 Autres informations