Selon l’avocat général Pikamäe, l’autorité de contrôle pour la protection des données est obligée d’intervenir lorsqu’elle constate une violation dans le cadre de l’examen d’une réclamation.Dans ses conclusions du 11 avril 2024 (affaire C-768/21), l’avocat général Priit Pikamäe estime que l’autorité de contrôle a l’obligation d’intervenir lorsqu’elle constate une violation de données à caractère personnel dans le cadre de l’examen d’une réclamation.
En particulier, elle serait tenue de définir la ou les mesures correctrices les plus adéquates pour remédier à la violation et faire respecter les droits de la personne concernée.
A cet égard, le RGPD (Règlement 2016/679 du 27 avril 2016 - règlement général sur la protection des données) exigerait, tout en laissant un certain pouvoir discrétionnaire à l’autorité de contrôle, que ces mesures soient appropriées, nécessaires et proportionnées. Il en résulterait, d’un côté, que le pouvoir discrétionnaire dans le choix des moyens est limité lorsque la protection requise ne peut être assurée qu’en prenant des mesures précises et, de l’autre côté, que l’autorité de contrôle pourrait, sous certaines conditions, renoncer aux mesures énumérées dans le RGPD lorsque c’est justifié par les circonstances spécifiques du cas particulier. Il pourrait en être ainsi notamment lorsque le responsable du traitement a pris certaines mesures de sa propre initiative. En tout état de cause, la personne concernée n’aurait pas le droit d’exiger qu’une mesure déterminée soit prise.Ces principes s’appliqueraient également au régime des amendes administratives.
