| CJUE, Arrêt de la Cour, TR contre Land Hessen., 26/09/2024, C-768/21

 ARRÊT DE LA COUR (première chambre)

26 septembre 2024 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 57, paragraphe 1, sous a) et f) – Missions de l’autorité de contrôle – Article 58, paragraphe 2 – Mesures correctrices – Amende administrative – Marge d’appréciation de l’autorité de contrôle – Limites »

Dans l’affaire C‑768/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), par décision du 10 décembre 2021, parvenue à la Cour le 14 décembre 2021, dans la procédure

TR

contre

Land Hessen,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, MM. T. von Danwitz, P. G. Xuereb, A. Kumin (rapporteur) et Mme I. Ziemele, juges,

avocat général : M. P. Pikamäe,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour TR, par Me F. Wittmaack, Rechtsanwalt,

– pour le Land Hessen, par Mes M. Kottmann et G. Ziegenhorn, Rechtsanwälte,

– pour le gouvernement autrichien, par Mmes J. Schmoll et M.‑T. Rappersberger, en qualité d’agents,

– pour le gouvernement portugais, par Mmes P. Barros da Costa, M. J. Ramos et C. Vieira Guerra, en qualité d’agents,

– pour le gouvernement roumain, par Mmes L.-E. Baţagoi et E. Gane, en qualité d’agents,

– pour le gouvernement norvégien, par M. S.-E. Jahr Dahl, Mmes L. M. Moen Jünge et M. Munthe Kaas, en qualité d’agents,

– pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 11 avril 2024,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 57, paragraphe 1, sous a) et f), de l’article 58, paragraphe 2, ainsi que de l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO
2016, L 119, p. 1, ci-après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant TR au Land Hessen (Land de Hesse, Allemagne) au sujet de l’abstention du Hessischer Beauftragte für Datenschutz und Informationsfreiheit (commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne) (ci-après le « HBDI ») de prendre des mesures correctrices à l’égard de la Sparkasse X (Caisse d’épargne de X, ci-après la « Caisse d’épargne »).

Le cadre juridique

3 Aux termes des considérants 6, 7, 10, 129 et 148 du RGPD :

« (6) L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. [...]

(7) Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l’Union [européenne], assorti d’une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur. [...]

[...]

(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]

[...]

(129) [...] Les pouvoirs des autorités de contrôle devraient être exercés conformément aux garanties procédurales appropriées prévues par le droit de l’Union et le droit des États membres, d’une manière impartiale et équitable et dans un délai raisonnable. Toute mesure devrait notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, compte tenu des circonstances de l’espèce, respecter le droit de chacun à être entendu avant que soit prise toute
mesure individuelle susceptible de lui porter atteinte et éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées. [...]

[...]

(148) Afin de renforcer l’application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent règlement, en complément ou à la place des mesures appropriées imposées par l’autorité de contrôle en vertu du présent règlement. En cas de violation mineure ou si l’amende susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l’ordre peut être adressé plutôt qu’une
amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l’autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l’encontre du responsable du traitement ou du sous-traitant, de l’application d’un code de
conduite, et de toute autre circonstance aggravante ou atténuante. [...] »

4 L’article 5 de ce règlement est ainsi libellé :

« 1.   Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités [...] (limitation des finalités) ;

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

d) exactes et, si nécessaire, tenues à jour [...] (exactitude) ;

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées [...] (limitation de la conservation) ;

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel [...] (intégrité et confidentialité) ;

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

5 L’article 24, paragraphe 1, dudit règlement prévoit :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

6 L’article 33 du même règlement dispose :

« 1.   En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. [...]

[...]

3.   La notification visée au paragraphe 1 doit, à tout le moins :

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

c) décrire les conséquences probables de la violation de données à caractère personnel ;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

[...] »

7 L’article 34, paragraphe 1, du RGPD énonce :

« Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. »

8 Le chapitre VI de ce règlement, intitulé « Autorités de contrôle indépendantes », comprend les articles 51 à 59 de celui-ci.

9 L’article 51, paragraphe 1, dudit règlement est ainsi libellé :

« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »

10 L’article 57 du RGPD, intitulé « Missions », prévoit, à son paragraphe 1 :

« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :

a) contrôle l’application du présent règlement et veille au respect de celui-ci ;

[...]

f) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 80, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

[...] »

11 L’article 58 de ce règlement, intitulé « Pouvoirs », dispose, à ses paragraphes 1 et 2 :

« 1.   Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants :

a) ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous‑traitant, de lui communiquer toute information dont elle a besoin pour l’accomplissement de ses missions ;

[...]

2.   Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :

a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;

b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;

c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement ;

d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;

e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel ;

f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;

[...]

i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;

[...] »

12 L’article 77 dudit règlement est ainsi libellé :

« 1.   Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2.   L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. »

13 L’article 83, paragraphes 1 et 2, du même règlement énonce :

« 1.   Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2.   Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;

b) le fait que la violation a été commise délibérément ou par négligence ;

c) toute mesure prise par le responsable du traitement ou le sous‑traitant pour atténuer le dommage subi par les personnes concernées ;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;

f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;

g) les catégories de données à caractère personnel concernées par la violation ;

h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;

i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;

j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42 ; et

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation. »

Le litige au principal et la question préjudicielle

14 La Caisse d’épargne est un établissement communal de droit public qui effectue, notamment, des opérations bancaires et de crédit. Le 15 novembre 2019, elle a notifié au HBDI, conformément à l’article 33 du RGPD, une violation de données à caractère personnel, constituée par le fait que l’une de ses employées avait consulté à plusieurs reprises, sans y être habilitée, des données à caractère personnel de TR, l’un de ses clients. La Caisse d’épargne s’est abstenue de communiquer à TR la violation
de ses données à caractère personnel.

15 Après avoir pris incidemment connaissance du fait que ses données à caractère personnel avaient été indûment consultées, TR a, le 27 juillet 2020, introduit une réclamation auprès du HBDI sur le fondement de l’article 77 du RGPD. Dans cette réclamation, il dénonçait le fait que la violation de ses données à caractère personnel ne lui avait pas été communiquée, en méconnaissance de l’article 34 de ce règlement. Il critiquait également la durée de conservation du registre d’accès de la Caisse
d’épargne, fixée à seulement trois mois, ainsi que les droits de consultation étendus dont jouissent les membres de son personnel.

16 À la suite de la réclamation introduite par TR, le HBDI a entendu la Caisse d’épargne par écrit et oralement sur les reproches formulés à son égard. Au cours de l’audition, la Caisse d’épargne a indiqué qu’elle s’était abstenue de procéder à une communication au titre de l’article 34 du RGPD, car son délégué à la protection des données avait estimé qu’il n’y avait pas de risque élevé pour les droits et les libertés de TR. En effet, des mesures disciplinaires avaient été prises contre l’employée
concernée et celle-ci avait confirmé par écrit qu’elle n’avait ni copié ni conservé les données à caractère personnel, qu’elle ne les avait pas transmises à des tiers et qu’elle ne le ferait pas à l’avenir. Par ailleurs, le HBDI ayant critiqué la durée trop courte de conservation des registres d’accès, la Caisse d’épargne l’a informé que cette question ferait l’objet d’un réexamen.

17 Par une décision du 3 septembre 2020, le HBDI a informé TR que la Caisse d’épargne n’avait pas enfreint l’article 34 du RGPD, puisque l’appréciation de la Caisse d’épargne selon laquelle la violation de données à caractère personnel commise n’était pas susceptible d’engendrer un risque élevé pour ses droits et ses libertés, au sens de cet article, n’était pas manifestement erronée. En effet, même si les données avaient été consultées par l’employée, rien n’indiquait que celle‑ci les avait
transmises à des tiers ou les avait utilisées au détriment de TR. En outre, le HBDI a indiqué qu’il avait invité la Caisse d’épargne à conserver désormais son registre d’accès pendant une période plus longue que trois mois. Enfin, s’agissant de la question de l’accès des employés de la Caisse d’épargne aux données à caractère personnel, le HBDI a rejeté la réclamation introduite par TR, en soulignant que des droits d’accès étendus peuvent, en principe, être accordés lorsque la certitude existe
que chaque utilisateur est informé des conditions dans lesquelles il peut accéder aux données. Ainsi, selon le HBDI, un contrôle de principe de chaque accès ne serait pas nécessaire.

18 TR a introduit un recours contre cette décision devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), la juridiction de renvoi, en lui demandant d’enjoindre au HBDI d’intervenir contre la Caisse d’épargne.

19 À l’appui de son recours, TR fait valoir que le HBDI n’a pas traité sa réclamation comme l’exige le RGPD, c’est-à-dire en ayant égard à l’ensemble des circonstances de fait, et ajoute que le HBDI aurait dû infliger une amende à la Caisse d’épargne compte tenu des différentes violations par celle-ci des dispositions de ce règlement, en particulier de l’article 5, de l’article 12, paragraphe 3, de l’article 15, paragraphe 1, sous c), de l’article 33, paragraphe 1, et de l’article 33, paragraphe 3,
de celui-ci. De l’avis de TR, en cas de violation avérée dudit règlement, comme en l’occurrence, le principe d’opportunité ne jouerait pas, de sorte qu’il serait loisible au HBDI non pas de décider d’agir ou non, mais, à la rigueur, de choisir les mesures à prendre.

20 À cet égard, la juridiction de renvoi s’interroge en substance sur le point de savoir si, en cas de violation avérée de dispositions relatives à la protection de données à caractère personnel, le RGPD doit être interprété en ce sens que l’autorité de contrôle est tenue d’adopter des mesures correctrices au titre de l’article 58, paragraphe 2, de ce règlement, telle une amende administrative, ou bien en ce sens que cette autorité dispose d’un pouvoir d’appréciation l’autorisant, selon les
circonstances, à s’abstenir de prendre de telles mesures.

21 La juridiction de renvoi expose que la première interprétation, qui est celle préconisée par TR ainsi que par une partie de la doctrine, est fondée sur le fait que les pouvoirs dont dispose une autorité de contrôle d’adopter des mesures correctrices visent à rétablir des situations conformes lorsque des citoyens voient un traitement de données empiéter sur leurs droits. L’article 58, paragraphe 2, du RGPD devrait ainsi se comprendre comme une source d’obligation qui fonde un droit du citoyen à
une action des autorités lorsqu’une entreprise ou une autorité a traité illégalement des données à caractère personnel du citoyen ou violé des droits d’une autre manière. En cas de violation avérée de la protection des données, l’autorité de contrôle serait donc tenue de prendre des mesures correctrices, le seul pouvoir discrétionnaire qui lui resterait étant celui de choisir laquelle des mesures prévues elle prend.

22 La juridiction de renvoi doute cependant du bien-fondé de cette interprétation, qu’elle juge trop extensive, et incline plutôt à reconnaître à l’autorité de contrôle une marge d’appréciation l’autorisant, dans certains cas, à s’abstenir de prendre une mesure correctrice, en particulier d’infliger une sanction, en cas de violation avérée. Quand bien même l’autorité de contrôle aurait, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, l’obligation de procéder à un examen au fond attentif
des réclamations et d’examiner chaque cas particulier, elle ne serait pas pour autant tenue d’adopter une mesure correctrice dans toute situation. Ainsi, elle ne serait pas soumise à pareille obligation lorsque des règles relatives à la protection des données à caractère personnel ont été violées dans le passé, mais que le responsable du traitement a pris des mesures qui ne laissent pas présager qu’une violation de la protection des données se reproduise.

23 Dans ces conditions, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« Les dispositions combinées de l’article 57, paragraphe 1, sous a) et f), de l’article 58, paragraphe 2, sous a) à j), et de l’article 77, paragraphe 1, du [RGPD] doivent-elles être interprétées en ce sens que l’autorité de contrôle est toujours tenue d’intervenir au titre de l’article 58, paragraphe 2, [de ce règlement] lorsqu’elle constate un traitement de données qui empiète sur les droits de la personne concernée ? »

Sur la recevabilité de la demande de décision préjudicielle

24 Sans contester expressément la recevabilité de la demande de décision préjudicielle, TR fait valoir qu’une réponse à la question posée n’est pas nécessaire pour trancher le litige au principal. Son recours viserait seulement à ce que la juridiction de renvoi condamne le HBDI à se prononcer sur les griefs soulevés dans la réclamation, conformément à l’article 57, paragraphe 1, sous f), du RGPD, et non pas à ce qu’elle le condamne à faire usage des pouvoirs qui lui sont conférés par l’article 58,
paragraphe 2, de ce règlement.

25 À cet égard, il y a lieu de rappeler que, dans le cadre de la coopération entre la Cour et les juridictions nationales instituée à l’article 267 TFUE, il appartient au seul juge national, qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. Par
conséquent, dès lors que les questions posées portent sur l’interprétation du droit de l’Union, la Cour est, en principe, tenue de statuer (arrêt du 30 novembre 2023, Ministero dell’Istruzione et INPS, C‑270/22, EU:C:2023:933, point 33 ainsi que jurisprudence citée).

26 Il s’ensuit que les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une demande formée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport
avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (arrêt du 30 novembre 2023, Ministero dell’Istruzione et INPS, C‑270/22, EU:C:2023:933, point 34 ainsi que jurisprudence citée).

27 En l’occurrence, la juridiction de renvoi souligne que TR a fait valoir un droit à l’intervention du HBDI et affirmé que celui-ci était tenu d’infliger une amende à la Caisse d’épargne.

28 Dès lors, il n’apparaît pas de manière manifeste que l’interprétation sollicitée du droit de l’Union n’ait aucun rapport avec la réalité ou l’objet du litige au principal.

29 Partant, la demande de décision préjudicielle est recevable.

Sur la question préjudicielle

30 Afin de répondre à la question posée, il convient de rappeler, à titre liminaire, que l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 48 ainsi que jurisprudence citée].

31 Il y a lieu également de rappeler que, conformément à l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne ainsi qu’à l’article 51, paragraphe 1, et à l’article 57, paragraphe 1, sous a), du RGPD, les autorités nationales de contrôle sont chargées de contrôler le respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat
de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 55 ainsi que jurisprudence citée].

32 En particulier, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, d’en examiner l’objet, dans la mesure nécessaire, et d’informer l’auteur de la réclamation de l’état
d’avancement et de l’issue de l’enquête dans un délai raisonnable. L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise [voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 56 ainsi que jurisprudence citée].

33 Afin de traiter les réclamations ainsi introduites, l’article 58, paragraphe 1, du RGPD investit chaque autorité de contrôle d’importants pouvoirs d’enquête. Lorsqu’une telle autorité constate, à l’issue de son enquête, une violation des dispositions de ce règlement, elle est tenue de réagir de manière appropriée afin de remédier à l’insuffisance constatée, toute mesure devant, comme le précise le considérant 129 dudit règlement, notamment être appropriée, nécessaire et proportionnée en vue de
garantir le respect dudit règlement, compte tenu des circonstances de l’espèce. À cet effet, l’article 58, paragraphe 2, du même règlement énumère les différentes mesures correctrices que l’autorité de contrôle peut adopter [voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 57 ainsi que jurisprudence citée].

34 Ainsi, en vertu de l’article 58, paragraphe 2, du RGPD, l’autorité de contrôle dispose du pouvoir, notamment, de rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions de ce règlement [point b)], d’ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application dudit règlement [point c)], d’ordonner au
responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du même règlement, le cas échéant, de manière spécifique et dans un délai déterminé [point d)], ou encore d’imposer une amende administrative en application de l’article 83 du RGPD, en complément ou à la place des mesures visées à cet article 58, paragraphe 2, en fonction des caractéristiques propres à chaque cas [point i)].

35 Dès lors, la procédure de réclamation est conçue comme un mécanisme apte à sauvegarder de manière efficace les droits et les intérêts des personnes concernées [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 58].

36 En l’occurrence, il ressort de la demande de décision préjudicielle que le HBDI a examiné sur le fond la réclamation dont l’avait saisi le requérant au principal et a informé celui-ci de l’issue de l’enquête. Plus spécifiquement, le HBDI a confirmé qu’une violation des données à caractère personnel de ce dernier s’était produite au sein de la Caisse d’épargne, consistant en l’accès non autorisé à celles-ci par une de ses employées. Toutefois, s’agissant des droits de consultation des membres du
personnel de la Caisse d’épargne, le HBDI a rejeté la réclamation introduite par le requérant au principal. En outre, il a conclu qu’il n’y avait pas lieu d’intervenir contre la Caisse d’épargne au titre de l’article 58, paragraphe 2, du RGPD.

37 À cet égard, il convient de relever que le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée puisque l’article 58, paragraphe 2, de celui-ci confère à cette autorité le pouvoir d’adopter diverses mesures correctrices. Ainsi, la Cour a déjà jugé que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle, qui doit opérer ce choix en prenant en considération toutes les circonstances du cas concret
et en s’acquittant avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 112).

38 Cette marge d’appréciation est cependant limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles, ainsi qu’il ressort des considérants 7 et 10 du RGPD.

39 S’agissant, plus particulièrement, des amendes administratives visées à l’article 58, paragraphe 2, sous i), du RGPD, il ressort de l’article 83, paragraphe 2, de ce règlement que celles-ci sont imposées, selon les caractéristiques propres à chaque cas, en complément ou à la place des autres mesures visées à cet article 58, paragraphe 2. En outre, cet article 83, paragraphe 2, précise que, pour décider s’il y a lieu d’imposer une amende administrative et pour décider de son montant, l’autorité de
contrôle doit dûment tenir compte, dans chaque cas d’espèce, des éléments figurant aux points a) à k) de cette disposition, tels que la nature, la gravité et la durée de la violation.

40 Ainsi, le système de sanctions prévu par le législateur de l’Union permet aux autorités de contrôle d’imposer les sanctions les plus appropriées et justifiées selon les circonstances de chaque cas (voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, points 75 et 78), en prenant en considération, comme il a été rappelé aux points 37 et 38 du présent arrêt, la nécessité de veiller au plein respect du RGPD ainsi que de garantir un niveau
cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles.

41 Dès lors, il ne saurait être déduit ni de l’article 58, paragraphe 2, du RGPD ni de l’article 83 de celui-ci l’existence d’une obligation à la charge de l’autorité de contrôle d’adopter, dans tous les cas, lorsqu’elle constate une violation de données à caractère personnel, une mesure correctrice, en particulier une amende administrative, son obligation étant, en pareilles circonstances, de réagir de manière appropriée afin de remédier à l’insuffisance constatée. Dans ces conditions, ainsi que
M. l’avocat général l’a relevé au point 81 de ses conclusions, l’auteur d’une réclamation dont les droits ont été enfreints ne dispose pas d’un droit subjectif à voir l’autorité de contrôle imposer une amende administrative au responsable du traitement.

42 En revanche, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

43 À cet égard, il n’est pas exclu que, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, l’autorité de contrôle puisse s’abstenir d’adopter une mesure correctrice bien qu’une violation de données à caractère personnel ait été constatée. Tel pourrait être le cas, notamment, lorsque la violation constatée n’a pas persisté, par exemple lorsque le responsable du traitement, qui avait, en principe, mis en œuvre des mesures techniques et organisationnelles appropriées au
sens de l’article 24 du RGPD, a, dès qu’il a eu connaissance de cette violation, pris les mesures appropriées et nécessaires pour que ladite violation prenne fin et ne se reproduise pas, compte tenu des obligations lui incombant, notamment, au titre de l’article 5, paragraphe 2, et de l’article 24 de ce règlement.

44 L’interprétation selon laquelle l’autorité de contrôle, lorsqu’elle constate une violation de données à caractère personnel, n’est pas tenue d’adopter dans tous les cas une mesure correctrice au titre de l’article 58, paragraphe 2, du RGPD est corroborée par les objectifs poursuivis respectivement par cet article 58, paragraphe 2, ainsi que par l’article 83 de ce règlement.

45 En ce qui concerne l’objectif poursuivi par l’article 58, paragraphe 2, du RGPD, il ressort du considérant 129 de celui-ci que cette disposition vise à assurer la conformité du traitement de données à caractère personnel à ce règlement ainsi que le rétablissement de situations de violation de ce dernier pour les rendre conformes au droit de l’Union, grâce à l’intervention des autorités nationales de contrôle (arrêt du 14 mars 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, point 40).

46 Il s’ensuit que l’adoption d’une mesure correctrice peut, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, ne pas s’imposer, pourvu que la situation de violation du RGPD ait déjà été rétablie et que la conformité des traitements de données à caractère personnel à ce règlement par leur responsable soit assurée, et qu’une telle abstention de l’autorité de contrôle ne soit pas de nature à porter atteinte à l’exigence d’une application rigoureuse des règles, telle
que rappelée au point 38 du présent arrêt.

47 Quant à l’objectif poursuivi par l’article 83 du RGPD, relatif à l’imposition d’amendes administratives, celui-ci consiste, aux termes du considérant 148 de ce règlement, à renforcer l’application des règles de ce dernier. Toutefois, ce même considérant énonce que, en cas de violation mineure dudit règlement ou si l’amende administrative susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, il est permis aux autorités de contrôle de s’abstenir d’imposer une
amende administrative et, à sa place, de prononcer un rappel à l’ordre (voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 76).

48 En l’occurrence, il ressort de la demande de décision préjudicielle que la Caisse d’épargne a notifié au HBDI, conformément à l’article 33 du RGPD, la violation des données à caractère personnel du requérant au principal, résultant de l’accès non autorisé à celles-ci par l’une de ses employées. En outre, elle a indiqué que des mesures disciplinaires avaient été prises contre cette employée et que la durée de conservation du registre d’accès ferait l’objet d’un réexamen. C’est dans ces conditions
que le HBDI s’est abstenu d’adopter une mesure correctrice au titre de l’article 58, paragraphe 2, du RGPD, et notamment d’imposer une amende administrative.

49 Les décisions sur réclamation adoptées par une autorité de contrôle étant soumises à un contrôle juridictionnel entier [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 70], il incombe à la juridiction de renvoi de vérifier si le HBDI a procédé au traitement de la réclamation concernée avec toute la diligence requise et si, en adoptant la décision en cause au principal, le HBDI a respecté les limites de la marge d’appréciation
que lui confère l’article 58, paragraphe 2, du RGPD [voir, par analogie, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, points 68 et 69 ainsi que jurisprudence citée].

50 Compte tenu de l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 57, paragraphe 1, sous a) et f), l’article 58, paragraphe 2, et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, au titre de cet article 58, paragraphe 2, lorsqu’une
telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

Sur les dépens

51 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

  Par ces motifs, la Cour (première chambre) dit pour droit :

  L’article 57, paragraphe 1, sous a) et f), l’article 58, paragraphe 2, et l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

  doivent être interprétés en ce sens que :

  en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, au titre de cet article 58, paragraphe 2, lorsqu’une telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

  Signatures

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

( *1 ) Langue de procédure : l’allemand.