La Cour de justice de l'Union européenne juge qu'en présence d'une violation de données à caractère personnel, l’autorité de contrôle n’est pas systématiquement tenue de prendre une mesure correctrice ni, en particulier, d’imposer une amende.Dans le cadre d'un litige né de la consultation, sans y être habilitée, par l'employée d'une banque allemande de données personnelles d'un client, une juridiction allemande a demandé à la Cour de justice de l'Union européenne (CJUE) d’interpréter le RGPD (Règlement 2016/679 du 27 avril 2016 - règlement général sur la protection des données) afin de savoir si le commissaire à la protection des données devait impérativement prendre des mesures correctrices à l’égard de la banque.
Dans un arrêt du 26 septembre 2024 (affaire C-768/21), la CJUE répond qu’en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas obligée de prendre une mesure correctrice, en particulier d’imposer une amende administrative, lorsque cela n’est pas nécessaire pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD.Tel pourrait être le cas, notamment, lorsque le responsable du traitement a, dès qu’il en a eu connaissance, pris les mesures nécessaires pour que ladite violation prenne fin et ne se reproduise pas. Le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée.
SUR LE MEME SUJET :
CJUE : intervention obligatoire de l'autorité de contrôle en présence d'une violation lors de l'examen d'une réclamation - Legalnews,12 avril 2024
