Tribunal administratif N° 46401 du rôle du Grand-Duché de Luxembourg ECLI:LU:TADM:2024:46401 4e chambre Inscrit le 27 août 2021 Audience publique du 14 mai 2024 Recours formé par la société anonyme … SA, …, contre une décision de la Commission nationale pour la protection des données en matière de protection des données
___________________________________________________________________________
JUGEMENT
Vu la requête inscrite sous le numéro 46401 du rôle et déposée le 27 août 2021 au greffe du tribunal administratif par Maître Renaud Le Squeren, avocat à la Cour, inscrit au tableau de l’Ordre des avocats à Luxembourg, au nom de la société anonyme … SA, établie et ayant son siège social à L-…, inscrite au registre de commerce et des sociétés de Luxembourg sous le numéro …, représentée par son conseil d’administration actuellement en fonctions, tendant à la réformation, sinon à l’annulation d’une décision du 31 mai 2021 de la Commission nationale pour la protection des données (« CNPD »), établissement public, inscrit au registre de commerce et des sociétés de Luxembourg sous le numéro J52, établi et ayant son siège à L-
4370 Belvaux, 15, boulevard du Jazz, représentée par son collège des commissaires actuellement en fonctions, lui ayant infligé une amende administrative de 18.000 euros tout en lui ayant enjoint de se mettre en conformité avec les articles 38, paragraphe (1) et 39, paragraphe (1) a) du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, et abrogeant la directive 95/46/CE dans un délai de quatre mois suivant la notification de ladite décision ;
Vu l’exploit de l’huissier de justice suppléant Michèle Baustert, en remplacement de l’huissier de justice Cathérine Nilles, les deux demeurant à Luxembourg, du 31 août 2021, portant signification de la prédite requête à la CNPD, préqualifiée ;
Vu la constitution d’avocat à la Cour déposée au greffe du tribunal administratif en date du 27 septembre 2021 par Maître Elisabeth Guissart, avocat à la Cour, inscrite au tableau de l’Ordre des avocats à Luxembourg, pour la CNPD, préqualifiée ;
Vu le mémoire en réponse déposé au greffe du tribunal administratif le 10 décembre 2021 par Maître Elisabeth Guissart, préqualifiée, au nom et pour le compte de la CNPD, préqualifiée ;
Vu le mémoire en réplique déposé au greffe du tribunal administratif le 10 janvier 2022 par Maître Renaud Le Squeren, préqualifié, au nom et pour le compte de la société anonyme … SA, préqualifiée ;
Vu le mémoire en duplique déposé au greffe du tribunal administratif le 8 février 2022 par Maître Elisabeth Guissart, préqualifiée, au nom et pour le compte de la CNPD, préqualifiée;
1 Vu les pièces versées en cause et notamment la décision critiquée ;
Le juge-rapporteur entendu en son rapport à l’audience publique du 10 octobre 2023, les parties s’étant excusées.
__________________________________________________________________________
Par courrier du 17 septembre 2018, la Commission nationale pour la protection des données, dénommée ci-après « la CNPD », informa la société … SA, désignée ci-après par « la société … », de l’exercice, au sein de cette dernière, d’un contrôle sous la forme d'enquête thématique sur la fonction de délégué à la protection des données, ci-après désigné par « le DPD », dans le cadre d'une campagne plus large effectué auprès de grands responsables du traitement luxembourgeois dans tous les secteurs, en lui soumettant un questionnaire à renvoyer au plus tard pour le 8 octobre 2018.
Suite au renvoi du questionnaire le 5 octobre 2018 par la société … et suite à une visite sur place des agents de la CNPD le 21 janvier 2019, la CNPD soumit, par courrier électronique du 26 avril 2019, un projet de compte rendu de la visite sur site, projet de document par rapport auquel la société … prit position par courrier électronique du 13 mai 2019.
Par courrier électronique du 14 mai 2019, la CNPD envoya à la société … le compte-
rendu final de ladite visite sur place.
Le 7 août 2019, la CNPD transmit, par courrier électronique, un projet de rapport d’audit à la société …, laquelle fit parvenir sa prise position y relative par courrier électronique du 29 août 2019.
Le 31 octobre 2019, la CNPD communiqua les griefs au responsable du traitement de la société …, ainsi que le rapport d'audit n°1716/2019, la société … y répondant par courrier du 22 novembre 2019.
Le 24 août 2020, la CNPD envoya un courrier complémentaire à la communication des griefs à la société … en y indiquant les mesures correctrices et l'amende de 18.000 euros que le chef d'enquête proposa à la formation restreinte de la CNPD, ci-après désignée par « la Formation Restreinte », de prononcer à l’égard de la société ….
La société …, par le biais d’un courrier de son litismandataire du 30 septembre 2020, prit position par rapport au courrier complémentaire de la CNPD du 24 août 2020.
Suite à la séance de la Formation Restreinte du 26 janvier 2021, cette dernière décida, par décision du 31 mai 2021 référencée sous le n° 18FR/2021, d’infliger à la société … une amende de 18.000 euros, ainsi qu’une injonction de se conformer aux articles 38, paragraphe (1) et 39, paragraphe (1) a) du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, et abrogeant la directive 95/46/CE, ci-après désigné par « le RGPD », dans un délai de quatre mois à partir de la notification de ladite décision sur base de la motivation suivante :
« (…) La Commission nationale pour la protection des données siégeant en formation restreinte, composée de Madame …, présidente, et de Messieurs … et …, commissaires ;
2 Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, notamment son article 41 ;
Vu le règlement d'ordre intérieur de la Commission nationale pour la protection des données adopté par décision n°3AD/2020 en date du 22 janvier 2020, notamment son article 10.2 ;
Vu le règlement de la Commission nationale pour la protection des données relatif à la procédure d'enquête adopté par décision n°4AD/2020 en date du 22 janvier 2020, notamment son article 9 ;
Considérant ce qui suit :
I.
Faits et procédure 1. Vu l'impact du rôle du délégué à la protection des données (ci-après : le « DPD ») et l'importance de son intégration dans l'organisme, et considérant que les lignes directrices concernant les DPD sont disponibles depuis décembre 2016, soit 17 mois avant l'entrée en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (ci-après : le « RGPD »), la Commission nationale pour la protection des données (ci-après : la « Commission nationale » ou la « CNPD ») a décidé de lancer une campagne d'enquête thématique sur la fonction du DPD.
Ainsi, 25 procédures d'audit ont été ouvertes en 2018, concernant tant le secteur privé que le secteur public.
2. En particulier, la Commission nationale a décidé par délibération n°451/2018 du 14 septembre 2018 d'ouvrir une enquête sous la forme d'audit sur la protection des données auprès de la société anonyme … S.A., établie et ayant son siège social à L-…, inscrite au registre de commerce et des sociétés sous le numéro … (ci-après : le « contrôlé ») et de désigner Monsieur … comme chef d'enquête. Ladite délibération précise que l'enquête porte sur la conformité du contrôlé avec la section 4 du chapitre 4 du RGPD.
3. Le contrôlé a notamment pour objet l'exploitation, la gestion, la fourniture pour son propre compte ou pour le compte d'autrui de tous services de restauration et d'hôtellerie aux établissements réservés à des collectivités ou au public. Le contrôlé compte environ 2.100 employés répartis sur 70 sites ainsi que 25.000 consommateurs par jours.
4. Par courrier du 17 septembre 2018, le chef d'enquête a envoyé un questionnaire préliminaire au contrôlé auquel ce dernier a répondu par courrier du 5 octobre 2018. Une visite sur place a eu lieu le 21 janvier 2019. Suite à ces échanges, le chef d'enquête a établi le rapport d'audit n°1716/2019 (ci-après : le « rapport d'audit »).
35. Il ressort du rapport d'audit qu'afin de vérifier la conformité de l'organisme avec la section 4 du chapitre 4 du RGPD, le chef d'enquête a défini onze objectifs de contrôle, à savoir :
1) S'assurer que l'organisme soumis à l'obligation de désigner un DPD l'a bien fait ;
2) S'assurer que l'organisme a publié les coordonnées de son DPD ;
3) S'assurer que l'organisme a communiqué les coordonnées de son DPD à la CNPD ;
4) S'assurer que le DPD dispose d'une expertise et de compétences suffisantes pour s'acquitter efficacement de ses missions ;
5) S'assurer que les missions et les tâches du DPD n'entraînent pas de conflit d'intérêt ;
6) S'assurer que le DPD dispose de ressources suffisantes pour s'acquitter efficacement de ses missions ;
7) S'assurer que le DPD est en mesure d'exercer ses missions avec un degré suffisant d'autonomie au sein de son organisme ;
8) S'assurer que l'organisme a mis en place des mesures pour que le DPD soit associé à toutes les questions relatives à la protection des données ;
9) S'assurer que le DPD remplit sa mission d'information et de conseil auprès du responsable du traitement et des employés ;
10) S'assurer que le DPD exerce un contrôle adéquat du traitement des données au sein de son organisme ;
11) S'assurer que le DPD assiste le responsable du traitement dans la réalisation des analyses d'impact en cas de nouveaux traitements de données.
6. Par courrier du 31 octobre 2019 (ci-après : la « communication des griefs »), le chef d'enquête a informé le contrôlé des manquements aux obligations prévues par le RGPD qu'il a relevés lors de son enquête. Le rapport d'audit était joint audit courrier.
7. En particulier, le chef d'enquête a relevé dans la communication des griefs des manquements à :
- l'obligation d'associer le DPD à toutes les questions relatives à la protection des données à caractère personnel ;
- l'obligation de fournir les ressources nécessaires au DPD ;
- la mission d'information et de conseil du DPD.
8. Par courrier du 22 novembre 2019, le contrôlé a adressé au chef d'enquête sa prise de position quant aux manquements énumérés dans la communication des griefs.
9. Le 24 août 2020, le chef d'enquête a adressé au contrôlé un courrier complémentaire à la communication des griefs (ci-après : le « courrier complémentaire à la communication des griefs ») par lequel il informe le contrôlé des mesures correctrices et l'amende administrative qu'il propose à la Commission nationale siégeant en formation restreinte (ci-
après : la « formation restreinte ») d'adopter.
10. Par courrier du 30 septembre 2020, le contrôlé a fait parvenir au chef d'enquête ses observations quant au courrier complémentaire à la communication des griefs.
11. L'affaire a été à l'ordre du jour de la séance de la formation restreinte du 26 janvier 2021. Conformément à l'article 10.2. b) du règlement d'ordre intérieur de la Commission nationale, le chef d'enquête et le contrôlé ont exposé leurs observations orales à l'appui de leurs observations écrites. Plus particulièrement, Maître Renaud Le Squeren, mandataire du contrôlé, a donné lecture d'une note exposant les observations du contrôlé (ci-après : la « note 4de plaidoiries »). Le chef d'enquête et le contrôlé ont par la suite répondu aux questions posées par la formation restreinte. Le contrôlé a eu la parole en dernier.
12. Par courriel du 27 janvier 2021, le mandataire du contrôlé a transmis à la formation restreinte une copie de la note de plaidoiries, un extrait d'une présentation datée du 8 octobre 2018 présentant l'organigramme « Data Protection » avec indication du « GDPR Board » du contrôlé ainsi qu'un extrait du registre de commerce et des sociétés de la société anonyme … … S.A. gérant les « chèques … » à Luxembourg.
II.
En droit A. Quant aux exigences de précision de la communication des griefs et du courrier complémentaire à la communication des griefs 13. Dans sa note de plaidoiries, le mandataire du contrôlé invoque, à titre liminaire, que la communication des griefs et le courrier complémentaire à la communication des griefs manquent de précision :
« […] les Courriers de Grief manquent aux obligations légales applicables en matière administrative, notamment en ce qu'ils ne contiennent pas de référence précise à une norme juridique qui aurait été violée et qu'ils ne contiennent aucune indication précise des faits détaillés qui seraient constitutifs d'une violation d'une norme juridique par …. Par ce manque de précision, les principes généraux de droits applicables ont été violés et ma mandante a été privée de la possibilité de fournir des explications éclairées et détaillées susceptibles d'éclairer la Formation Restreinte. » 14. La formation restreinte constate que le chef d'enquête mentionne expressément, tant dans la communication des griefs que dans le courrier complémentaire à la communication des griefs, les dispositions du RGPD auxquelles le contrôlé aurait manqué, à savoir les articles 38.1, 38.2 et 39.1. a). Par ailleurs, les constats factuels faits lors de l'enquête et sur lesquels les manquements allégués sont basés sont indiqués dans la communication des griefs. De surplus, le rapport d'audit reprenant l'ensemble des constats et travaux effectués par le chef d'enquête dans le cadre de la mission d'audit était joint à la communication des griefs. En outre, la formation restreinte note que le mandataire du contrôlé fait référence aux « obligations légales applicables en matière administrative » ainsi qu'aux « principes généraux de droits applicables » sans pour autant préciser quelle règle de droit aurait été violée en l'espèce.
15. A toutes fins utiles, il y a lieu de constater que le contrôlé était en mesure de prendre position par rapport aux manquements lui reprochés, comme le démontre ses prises de position des 22 novembre 2019 et 30 septembre 2020 ainsi que les observations orales et la note de plaidoiries présentées à la séance de la formation restreinte du 26 janvier 2021.
16. C'est partant à tort que le mandataire du contrôlé soutient que la communication des griefs et le courrier complémentaire à la communication des griefs manquent de précision de sorte que sa mandante aurait été « privée de la possibilité de fournir des explications éclairées et détaillées susceptibles d'éclairer la Formation Restreinte ».
B. Quant aux griefs énumérés dans la communication des griefs 5a) Sur le manquement à l'obligation d'associer le DPD à toutes les questions relatives à la protection des données à caractère personnel 1. Sur les principes 17. Selon l'article 38.1 du RGPD, l'organisme doit veiller à ce que le DPD soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
18. Les lignes directrices concernant les DPD précisent qu' « [i]l est essentiel que le DPD, ou son équipe, soit associé dès le stade le plus précoce possible à toutes les questions relatives à la protection des données. […] L'information et la consultation du DPD dès le début permettront de faciliter le respect du RGPD et d'encourager une approche fondée sur la protection des données dès la conception; il devrait donc s'agir d'une procédure habituelle au sein de la gouvernante de l'organisme. En outre, il importe que le DPD soit considéré comme un interlocuteur au sein de l'organisme et qu'il soit membre des groupes de travail consacrés aux activités de traitement de données au sein de l'organisme ».
19. Les lignes directrices concernant les DPD fournissent des exemples sur la manière d'assurer cette association du DPD, tels que :
• inviter le DPD à participer régulièrement aux réunions de l'encadrement supérieur et intermédiaire ;
• recommander la présence du DPD lorsque des décisions ayant des implications en matière de protection des données sont prises ;
• prendre toujours dûment en considération l'avis du DPD ;
• consulter immédiatement le DPD lorsqu'une violation de données ou un autre incident se produit.
20. Selon les lignes directrices concernant les DPD, l'organisme pourrait, le cas échéant, élaborer des lignes directrices ou des programmes en matière de protection des données indiquant les cas dans lesquels le DPD doit être consulté.
2. En l'espèce 21. Il ressort du rapport d'audit que, pour que le chef d'enquête considère l'objectif 8 comme atteint par le contrôlé dans le cadre de cette campagne d'audit, le chef d'enquête s'attend à ce que le DPD participe de manière formalisée et sur base d'une fréquence définie au Comité de Direction, aux comités de coordination de projet, aux comités de nouveaux produits, aux comités sécurité ou tout autre comité jugé utile dans le cadre de la protection des données.
22. Selon la communication des griefs, page 3, « le DPD participe à de nombreuses réunions au niveau Groupe et […] organise régulièrement des réunions avec ses points de contacts locaux. Mais ces éléments ne suffisent pas à démontrer le caractère direct, formel et permanent de l'implication du DPD à Luxembourg ». Il résulte encore de la communication des griefs que « le DPD Groupe reçoit un rapport mensuel de la part du point de contact local suite au COMEX local ainsi qu'un reporting mensuel relatif aux problématiques de protection des données (nombre de demandes d'exercice de droits ou de réclamations, analyses d'impact éventuelles etc.). […] le DPD est informé et consulté systématiquement par le point de contact 6local en cas d'incident de sécurité étant susceptible d'impliquer des données à caractère personnel et de créer un risque pour les personnes concernées. » Le chef d'enquête estime toutefois que « ces éléments ne sauraient compenser l'absence d'une implication directe du DPD Groupe au sein de …, ce qui pourrait engendrer le risque que le DPD ne soit pas suffisamment impliqué au niveau opérationnel à Luxembourg. » Finalement, le chef d'enquête fait valoir qu'il « n'a pas eu connaissance d'éléments permettant d'adresser ce risque, comme par exemple la mise en place formelle de visites sur base d'une fréquence définie du DPD Groupe (ou d'un membre de son équipe Data Protection) à Luxembourg. Ces visites permettraient notamment au DPD de pouvoir discuter directement avec l'encadrement supérieur de … des problématiques liées à la protection des données et de pouvoir évaluer directement les problématiques opérationnelles. » 23. Dans sa prise de position du 22 novembre 2019, le contrôlé affirme que le DPD Groupe est associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel. Le contrôlé expose que « [t]outes les questions relatives à la protection des données personnelles initiées au Grand-Duché de Luxembourg sont réceptionnées et analysées dans un premier temps par notre point de contact dédié à la protection des données au Luxembourg » (ci-après : le « point de contact local ») et que ce dernier travaille en étroite collaboration avec le DPD Groupe pour toutes les questions nécessitant l'information, l'analyse, le conseil ou la consultation préalable du DPD Groupe.
Selon le contrôlé, le point de contact est chargé de la gestion de conformité des traitements de données à caractère personnel mis en oeuvre par le contrôlé, cela sous la supervision du DPD Groupe à qui le point de contact rapporte ses actions. Par ailleurs, le contrôlé mentionne dans sa prise de position du 22 novembre 2019 l'institution d'un comité dédié à la protection des données à Luxembourg (ci-après : le « GDPR Board ») qui définit la stratégie sur ces sujets et les plans d'actions associés. Le contrôlé expose la composition et le fonctionnement du GDPR Board pour soutenir que le DPD Groupe est impliqué dans la gestion de la conformité avec les dispositions du RGPD au Luxembourg.
24. Dans sa note de plaidoiries, le mandataire du contrôlé met en avant l'article 37.2 du RGPD, qui autorise un groupe d'entreprises à désigner un seul DPD à condition que ce dernier soit facilement joignable à partir de chaque lieu d'établissement, ainsi que les lignes directrices concernant les DPD pour soutenir que le fonctionnement du contrôlé est conforme au RGPD et affirme que « [i]l n'a été constaté aucune matérialité des faits reprochés, aucune indisponibilité du DPD de … que ce soit vis-à-vis de l'autorité de contrôle ou encore des personnes concernées et un risque éventuel et non caractérisé ne saurait permettre d'établir factuellement une violation. » 25. La formation restreinte prend note que le contrôlé est une filiale du groupe français … et que ce dernier avait décidé de désigner un seul DPD pour les différentes entités du groupe (ci-après : le « DPD Groupe »). Au niveau central, le groupe a mis en place un bureau de la protection des données (« Global Data Protection Office ») composé du DPD Groupe ainsi que de deux juristes spécialisés en matière de protection des données et d'un project manager.
Au niveau local, l'unique juriste du contrôlé a été désigné comme point de contact local du DPD Groupe.
26. A titre liminaire, la formation restreinte constate que le manquement allégué par le chef d'enquête a trait à l'article 38.1 du RGPD de sorte que les explications du mandataire du contrôlé concernant l'article 37.2 du RGPD ne sont pas pertinentes en l'espèce. En effet, même si le RGPD autorise un groupe d'entreprises à désigner un seul DPD, il n'en demeure pas 7moins que ce DPD doit être associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel, conformément à l'article 38.1 du RGPD. Il est ainsi loisible à un organisme de désigner un seul DPD au niveau du groupe dont les entités sont établies dans plusieurs Etats membres de l'Union européenne et de prévoir, au niveau local, des « points de contact » qui assistent le DPD notamment dans les questions relatives aux particularités locales telles que la législation nationale. Dans un tel cas de figure, il est toutefois d'autant plus important de définir clairement, entre autres, les modalités de collaboration entre le DPD et les « points de contact locaux » ainsi que la répartition des tâches et responsabilités.
En l'espèce, la formation restreinte note que toutes les questions relatives à la protection des données à caractère personnel qui se posaient au niveau du contrôlé étaient réceptionnées et analysées dans un premier temps par le point de contact local qui s'adressait au DPD Groupe lorsqu'il l'estimait nécessaire. La formation restreinte note encore que le DPD Groupe ne faisait pas partie du GDPR Board et n'était informé des sujets y discutés qu'à travers les procès-verbaux du GDPR Board et par l'intermédiaire des questions soulevées par le point de contact local lors de ces réunions.
27. Il ressort partant du dossier d'enquête que le DPD Groupe n'était associé qu'indirectement aux questions relatives à la protection des données à caractère personnel qui se posaient au niveau du contrôlé, cela par l'intermédiaire du point de contact local qui, dans les faits, agissait en tant qu'interlocuteur en matière de protection des données au sein de l'organisme. Or, le point de contact local était l'unique juriste du contrôlé et ne faisait pas partie de l'équipe du DPD Groupe à proprement parler, à savoir le bureau de la protection des données (« Global Data Protection Office »).
28. Par ailleurs, la formation restreinte estime que le fait de transmettre les procès-
verbaux du GDPR Board au DPD Groupe ne permet pas d'établir son association appropriée et en temps utile dans la mesure où le DPD Groupe est simplement informé des mesures que le GDPR Board propose aux différents organes décisionnels du contrôlé de mettre en œuvre.
Le DPD n'est donc pas informé et surtout pas consulté « dès le stade le plus précoce possible » de toutes les questions relatives à la protection des données.
29. En outre, le contrôlé indique dans sa prise de position du 30 septembre 2020 que le point de contact local a été désigné comme DPD pour l'entité … S.A., avec effet au 1er octobre 2020. La formation restreinte constate que la CNPD a reçu la déclaration modificative par courriel du 30 septembre 2020. Or, le contrôlé doit veiller à ce que le DPD nouvellement nommé soit effectivement associé à toutes les questions relatives à la protection des données à caractère personnel. Le fait d'avoir nommé le point de contact local comme DPD ne suffit pas à démontrer à suffisance une telle association de ce dernier à toutes les questions relatives à la protection des données à caractère personnel.
30. Au vu de ce qui précède, la formation restreinte se rallie au constat du chef d'enquête selon lequel la non-conformité à l'article 38.1 du RGPD était acquise au moment de l'enquête.
b) Sur le manquement à l'obligation de fournir les ressources nécessaires au DPD 1. Sur les principes 831. L'article 38.2 du RGPD exige que l'organisme aide son DPD « à exercer les missions visées à l'article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d'entretenir ses connaissances spécialisées. » 32. Il résulte des lignes directrices concernant les DPD que les aspects suivants doivent notamment être pris en considération :
- « temps suffisant pour que les DPD puissent accomplir leurs tâches. Cet aspect est particulièrement important lorsqu'un DPD interne est désigné à temps partiel ou lorsque le DPD externe est chargé de la protection des données en plus d'autres tâches. Autrement, des conflits de priorités pourraient conduire à ce que les tâches du DPD soient négligées. Il est primordial que le DPD puisse consacrer suffisamment de temps à ses missions. Il est de bonne pratique de fixer un pourcentage de temps consacré à la fonction de DPD lorsque cette fonction n'est pas occupée à temps plein. Il est également de bonne pratique de déterminer le temps nécessaire à l'exécution de la fonction et le niveau de priorité approprié pour les tâches du DPD, et que le DPD (ou l'organisme) établisse un plan de travail ;
- accès nécessaire à d'autres services, tels que les ressources humaines, le service juridique, l'informatique, la sécurité, etc., de manière à ce que les DPD puissent recevoir le soutien, les contributions et les informations essentiels de ces autres services ».
33. Les lignes directrices concernant les DPD précisent que « [d]’une manière générale, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPD devront être importantes. La fonction de protection des données doit être effective et dotée de ressources adéquates au regard du traitement de données réalisé. » 2. En l'espèce 34. Il ressort du rapport d'audit que, au vu de la taille des organismes sélectionnés, pour que le chef d'enquête considère l'objectif 6 comme atteint par le contrôlé dans le cadre de cette campagne d'audit, le chef d'enquête s'attend à ce que le contrôlé emploie au minimum un ETP (équivalent temps plein) pour l'équipe en charge de la protection des données. Le chef d'enquête s'attend également à ce que le DPD ait la possibilité de s'appuyer sur d'autres services, tels que le service juridique, l'informatique, la sécurité, etc.
Il résulte de la communication des griefs, page 3, que le DPD Groupe dispose au niveau central d'une équipe composée de deux juristes spécialisés en matière de protection des données ainsi que d'un project manager. Au niveau local, le DPD Groupe ne dispose toutefois que d'un point de contact local qui était par ailleurs l'unique juriste du contrôlé de sorte que le chef d'enquête relève « le risque que le DPD n'ait pas suffisamment de ressources au niveau local à Luxembourg, les ressources étant concentrées au niveau du groupe, mais ne semblant pas suffisamment déployées au niveau local » ainsi que « le risque qu'en cas de fort pic d'activité concernant les affaires juridiques à traiter au sein de …, le point de contact local ne puisse pas avoir les moyens de s'acquitter efficacement de ses missions relatives à la protection des données, ce qui engendrerait le risque que le DPD ne puisse pas exercer efficacement ses missions de DPD pour le Luxembourg ».
935. Dans sa prise de position du 22 novembre 2019, le contrôlé affirme que le DPD Groupe dispose au niveau local du soutien d'une équipe juridique composée du point de contact local et d'une « seconde ressource » et note que « la description de poste du Point de Contact Local et de la deuxième ressource dans l'équipe juridique locale en contrat à durée indéterminée doit être détaillée en termes de volume horaire et de description des tâches ».
36. Dans sa note de plaidoiries, le mandataire du contrôlé fait par ailleurs valoir que l'exigence de formaliser la répartition du temps de travail n'existe pas dans la réglementation applicable et que les lignes directrices concernant les DPD contiennent tout au plus une recommandation à titre de « bonne pratique » de « déterminer le temps nécessaire à l'exécution de la fonction et le niveau de priorité approprié pour les tâches du DPD, et que le DPD (ou l'organisme) établisse un plan de travail ». Finalement, le mandataire du contrôlé soutient qu' « [i]l n'a, ici non plus, été constaté aucune matérialité des faits reprochés, ni fourni aucune explication sur les critères examinés pour conclure à un manque de ressources, ni aucune analyse des ressources existantes. Un risque éventuel et non caractérisé ne saurait permettre d'établir factuellement que … manquerait de ressources pour faire face à ses obligations au titre de la protection des données. » 37. La formation restreinte prend note que le contrôlé a opté pour désigner le DPD Groupe qui dispose, au niveau central, d'une équipe composée de deux juristes spécialisés en matière de protection des données ainsi que d'un project manager. Au niveau de l'entité luxembourgeoise ayant fait l'objet de l'enquête, un point de contact local a été nommé, en la personne de l'unique juriste du contrôlé qui exerçait d'ailleurs encore d'autres missions. La formation restreinte estime qu'une telle organisation requiert que l'organisme détermine et documente le temps nécessaire au point de contact local pour exercer ses missions relatives à la protection des données afin de pouvoir lui attribuer les ressources nécessaires. Cette exigence résulte notamment des lignes directrices concernant les DPD ainsi que des articles 5.2. et 24 du RGPD qui énoncent le principe de responsabilité (« accountability »). Or, il ressort du dossier que le contrôlé n'a pas procédé à une quelconque formalisation ou documentation permettant de démontrer que le contrôlé a fourni à la fonction de DPD les ressources nécessaires à l'exercice de ses missions au moment de l'enquête.
38. Au vu de ce qui précède, la formation restreinte conclut que l'article 38.2 du RGPD n'a pas été respecté par le contrôlé.
c) Sur le manquement relatif à la mission d'information et de conseil du DPD 1. Sur les principes 39. En vertu de l'article 39.1. a) du RGPD, l'une des missions du DPD est d'« informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données ».
2. En l'espèce 40. Il ressort du rapport d'audit que, pour que le chef d'enquête considère l'objectif 9 comme atteint par le contrôlé dans le cadre de cette campagne d'audit, il s'attend à ce que 10« l'organisme dispose d'un reporting formel des activités du DPD vers le Comité de Direction sur base d'une fréquence définie. Concernant l'information aux employés, il est attendu que l'organisme ait mis en place un dispositif de formation adéquat du personnel en matière de protection des données ».
41. Selon la communication des griefs, page 4, il ressort de l'enquête qu'il n'y a pas de remontée directe d'information du DPD Groupe vers la direction locale du contrôlé. Le chef d'enquête prend note qu'« il y a plusieurs niveaux de reporting (du point de contact local vers le DPD, du DPD vers le PDG Groupe, du point de contact local vers le COMEX local) », mais estime que « ces éléments ne sont pas suffisants pour compenser l'absence de reporting direct du DPD vers le responsable de traitement à Luxembourg ».
42. Dans sa prise de position du 22 novembre 2019, le contrôlé renvoie à ces explications relatives au premier grief, à savoir le manquement à l'obligation d'associer le DPD à toutes les questions relatives à la protection des données à caractère personnel. Par ailleurs, le contrôlé soutient que le DPD Groupe « informe et conseille le responsable du traitement ainsi que les employés et a notamment mis en oeuvre :
• Une Formation en ligne Conduite Responsable des Affaires comprenant un module sur le RGPD, disponible en ligne à compter de mai 2018 • Une Campagne de sensibilisation avec vidéo et support sur la protection des données à caractère personnel le 16 mai 2018, ainsi que le 3 janvier 2019 • Une Campagne de sensibilisation avec vidéo, intranet et Toolbox comprenant les 10 règles d'or sur la protection des données à caractère personnel en date du 3 juin 2019 » Le contrôlé affirme encore que le DPD Groupe « a l'occasion d'échanger sur des sujets stratégiques et/ou plus opérationnels avec l'encadrement supérieur [du contrôlé], notamment à l'occasion de réunions ponctuelles regroupant les « seniors leaders » (Top 1600) de … ».
43. La formation restreinte prend note que le manquement relevé par le chef d'enquête ne concerne que la mission d'information et de conseil du DPD à l'égard du responsable de traitement, et non pas la mission d'information et de conseil du DPD à l'égard des employés.
44. La formation restreinte estime que la mission d'information et de conseil du DPD à l'égard du responsable du traitement est intimement liée à l'obligation, prévue à l'article 38.1 du RGPD, d'associer le DPD de manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel. Or, la formation restreinte a constaté que le DPD Groupe n'était pas associé de manière appropriée et en temps utile aux questions de protection des données se posant au niveau de l'entité luxembourgeoise ayant fait l'objet de l'enquête. En effet, le DPD Groupe n'était associé qu'indirectement, cela par l'intermédiaire du point de contact local. De plus, il était simplement informé des mesures que le GDPR Board propose aux différents organes décisionnels du contrôlé de mettre en œuvre.
45. Au vu de ce qui précède, la formation restreinte conclut que l'article 39.1. a) du RGPD n'a pas été respecté par le contrôlé.
III.
Sur les mesures correctrices et amendes A. Les principes 11 46. Conformément à l'article 12 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, la CNPD dispose des pouvoirs prévus à l'article 58.2 du RGPD :
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement;
b) rappeler à l'ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement;
c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits en application du présent règlement;
d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;
e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;
f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;
g) ordonner la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l'article 17, paragraphe 2, et de l'article 19;
h) retirer une certification ou ordonner à l'organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l'organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites;
i) imposer une amende administrative en application de l'article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas, j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale. » 47. Conformément à l'article 48 de la loi du 1er août 2018, la CNPD peut imposer des amendes administratives telles que prévues à l'article 83 du RGPD, sauf à l'encontre de l'État ou des communes.
48. L'article 83 du RGPD prévoit que chaque autorité de contrôle veille à ce que les amendes administratives imposées soient, dans chaque cas, effectives, proportionnées et dissuasives, avant de préciser les éléments qui doivent être pris en compte pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de cette amende :
12 « a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;
b) le fait que la violation a été commise délibérément ou par négligence ;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;
g) les catégories de données à caractère personnel concernées par la violation ;
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;
j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et k) toute autre circonstance aggravante, ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ».
49. La formation restreinte tient à préciser que les faits pris en compte dans le cadre de la présente décision sont ceux constatés au début de l'enquête. Les éventuelles modifications relatives à l'objet de l'enquête intervenues ultérieurement, même si elles permettent d'établir entièrement ou partiellement la conformité, ne permettent pas d'annuler rétroactivement un manquement constaté.
50. Néanmoins, les démarches effectuées par le contrôlé pour se mettre en conformité avec le RGPD en cours de la procédure d'enquête ou pour remédier aux manquements relevés par le chef d'enquête dans la communication des griefs, sont prises en compte par la formation restreinte dans le cadre des éventuelles mesures correctrices à prononcer.
B. En l'espèce 1. Quant à l'imposition d'une amende administrative 13 51. Dans le courrier complémentaire à la communication des griefs du 24 août 2020, le chef d'enquête propose à la formation restreinte de prononcer à l'encontre du contrôlé une amende administrative portant sur le montant de 18.000 euros.
52. Dans sa note de plaidoiries, le mandataire du contrôlé fait valoir qu'une amende administrative « doit répondre aux principes d'adéquation et de proportionnalité de l'article 83 du RGPD alors que notamment, aucun grief précis n'a été formulé, aucun préjudice n'a été constaté et … a collaboré dans la mesure du possible avec la CNPD pendant l'ensemble de la période de contrôle. » 53. Afin de décider s'il y a lieu d'imposer une amende administrative et pour décider, le cas échéant, du montant de cette amende, la formation restreinte analyse les critères posés par l'article 83.2 du RGPD :
- Quant à la nature et la gravité de la violation (article 83.2 a) du RGPD), en ce qui concerne les manquements aux articles 38.1, 38.2 et 39.1 a) du RGPD, la formation restreinte relève que la nomination d'un DPD par un organisme ne saurait être efficiente et efficace, à savoir faciliter le respect du RGPD par l'organisme, que dans le cas où le DPD est associé dès le stade le plus précoce possible à toutes les questions relatives à la protection des données, bénéficie des ressources et du temps nécessaires pour exercer ses missions relatives à la protection des données et exerce de façon effective ses missions dont la mission d'information et de conseil du responsable du traitement. Un manquement aux articles 38.1, 38.2 et 39.1 a) du RGPD revient à réduire l'intérêt, voire à vider de sa substance, l'obligation pour un organisme de nommer un DPD.
- Quant au critère de durée (article 83.2.a) du RGPD), la formation restreinte relève que le contrôlé a indiqué, dans sa prise de position du 30 septembre 2020, que le point de contact local a été désigné comme DPD avec effet au 1er octobre 2020 et que ce dernier consacre désormais 50% de son temps de travail aux questions de protection des données, avec l'assistance de deux autres juristes qui y consacrent également chacun 50% de leur temps de travail. En outre, la composition et le fonctionnement du GDPR Board ont été modifiés de façon à ce que le DPD puisse informer et conseiller le responsable du traitement. Les manquements aux articles 38.1, 38.2 et 39.1 a) ont donc duré dans le temps, à tout le moins entre le 25 mai 2018 et le 1er octobre 2020. La formation restreinte rappelle ici que deux ans ont séparé l'entrée en vigueur du RGPD de son entrée en application pour permettre aux responsables du traitement de se conformer aux obligations qui leur incombent.
- Quant au nombre de personnes concernées affectées par la violation et le niveau de dommage qu'elles ont subi (article 83.2 a) du RGPD), la formation restreinte relève que le contrôlé compte environ 2.100 employés répartis sur 70 sites ainsi que 25.000 consommateurs par jour. Le nombre de personnes concernées par la violation est donc potentiellement élevé.
- Quant au degré de coopération établi avec l'autorité de contrôle (article 83.2 f) du RGPD), la formation restreinte tient compte de l'affirmation du chef d'enquête selon laquelle le contrôlé a fait preuve d'une participation constructive tout au long de l'enquête.
14 54. La formation restreinte constate que les autres critères de l'article 83.2 du RGPD ne sont ni pertinents, ni susceptibles d'influer sur sa décision quant à l'imposition d'une amende administrative et son montant.
55. La formation restreinte relève que si plusieurs mesures ont été mises en place par le contrôlé afin de remédier en totalité ou en partie à certains manquements, celles-ci n'ont été adoptées qu'à la suite du lancement de l'enquête par les agents de la CNPD en date du 17 septembre 2018 (voir aussi le point 49 de la présente décision).
56. Dès lors, la formation restreinte considère que le prononcé d'une amende administrative est justifié au regard des critères posés par l'article 83.2 du RGPD pour manquement aux articles 38.1, 38.2 et 39.1 a) du RGPD.
57. S'agissant du montant de l'amende administrative, la formation restreinte rappelle que l'article 83.3 du RGPD prévoit qu'en cas de violations multiples, comme c'est le cas en l'espèce, le montant total de l'amende ne peut excéder le montant fixé pour la violation la plus grave. Dans la mesure où un manquement aux articles 38.1, 38.2 et 39.1 a) du RGPD est reproché au contrôlé, le montant maximum de l'amende pouvant être retenu s'élève à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
58. Au regard des critères pertinents de l'article 83.2 du RGPD évoqués ci-avant, la formation restreinte considère que le prononcé d'une amende de 18.000 euros apparaît à la fois effectif, proportionné et dissuasif, conformément aux exigences de l'article 83.1 du RGPD.
2. Quant à la prise de mesures correctrices 59. Dans son courrier complémentaire à la communication des griefs, le chef d'enquête propose à la formation restreinte de prendre les mesures correctrices suivantes :
« a) Ordonner la mise en place de mesures assurant une association formelle et effective du DPD à toutes les questions relatives à la protection des données, conformément aux exigences de l'article 38 paragraphe 1 du RGPD. Bien que plusieurs manières puissent être envisagées pour parvenir à ce résultat, une des possibilités consisterait à analyser, avec le DPD, tous les comités/groupes de travail pertinents au regard de la protection des données et de formaliser les modalités de son intervention (information antérieure de l'agenda des réunions, invitation, fréquence, statut de membre permanent etc.).
b) Ordonner la mise à disposition des ressources nécessaires au DPD conformément aux exigences de l'article 38 paragraphe 2 du RGPD. Bien que plusieurs manières puissent être envisagées pour parvenir à ce résultat, une des possibilités consisterait à décharger le DPD et/ou les membres locales de son équipe de tout ou partie de ses autres missions/fonctions ou de lui fournir un support formel, en interne ou en externe, quant à l'exercice de ses missions de DPD.
c) Ordonner la mise en place de mesures permettant au DPD d'informer et de conseiller formellement le responsable de traitement sur ses obligations en matière de protection des données, conformément à l'article 39 paragraphe 1 a) du RGPD. Bien que plusieurs manières puissent être envisagées pour parvenir à ce résultat, une des possibilités serait de mettre en 15place un reporting formel des activités du DPD vers la Direction sur base d'une fréquence définie. » 60. Quant aux mesures correctrices proposées par le chef d'enquête et par référence au point 50 de la présente décision, la formation restreinte prend en compte les démarches effectuées par le contrôlé, suite à la visite des agents de la CNPD, afin de se conformer aux dispositions des articles 38.1, 38.2 et 39.1 a) du RGPD, comme détaillées dans ces courriers des 21 novembre 2019 et 30 septembre 2020. Plus particulièrement, elle prend note des faits suivants :
- Quant à la violation de l'article 38.1 du RGPD prévoyant l'obligation d'associer le DPD à toutes les questions relatives à la protection des données à caractère personnel, la formation restreinte prend note que le point de contact local a été désigné DPD de l'organisme contrôlé avec effet au 1er octobre 2020.
Cependant, la formation restreinte comprend des documents fournis par le contrôlé que ce DPD nouvellement désigné exerce ses fonctions sous la supervision du DPD de … Group. La formation restreinte se demande donc si le DPD nouvellement désigné est effectivement associé à toutes les questions relatives à la protection des données à caractère personnel, et ceci en toute indépendance. Par conséquent, la CNPD est d'avis que le contrôlé n'a pas démontré avec suffisance sa mise en conformité avec l'article 38.1 du RGPD et considère qu'il y a lieu de prononcer une mesure de mise en conformité à cet égard.
- En ce qui concerne la violation de l'article 38.2 du RGPD prévoyant l'obligation de fournir les ressources nécessaires au DPD, le contrôlé affirme dans sa prise de position du 30 septembre 2020 que le DPD nouvellement désigné par … S.A.
consacre 50% de son temps de travail aux questions de protection des données et qu'il est assisté de deux juristes qui y consacrent chacun 50% de leur temps de travail de sorte qu'il y aura 1,5 ETP consacrés à la protection des données à caractère personnel.
Au regard de ces éléments, la formation restreinte est d'avis que l'attente du chef d'enquête de 1 ETP ou plus est atteinte suite aux mesures prises par le contrôlé au cours de l'enquête. Par conséquent, la formation restreinte considère qu'il n'y a pas lieu de prononcer une mesure de mise en conformité à cet égard.
- Quant à la violation de l'article 39.1 a) du RGPD relatif à la mission d'information et de conseil du DPD envers le responsable du traitement, le contrôlé expose dans sa prise de position du 30 septembre 2020 la composition et le fonctionnement du GDPR Board qui permettra au DPD nouvellement désigné d'informer et de conseiller le responsable du traitement.
Cependant, au regard des documents fournis par le contrôlé, la formation restreinte comprend que le DPD (auparavant point de contact local, sans avoir exercé la fonction de DPD) nouvellement désigné par le contrôlé exerce ses missions sous la supervision du DPD de … Group, de telle sorte qu'il n'est pas démontré avec suffisance par le contrôlé que le DPD nouvellement désigné puisse effectivement remplir sa mission d'information et de conseil envers le responsable du traitement 16contrôlé (…), et ceci en toute indépendance. Par conséquent, la formation restreinte estime qu'il y a lieu de prononcer une mesure de mise en conformité à cet égard.
Compte tenu des développements qui précèdent, la Commission nationale siégeant en formation restreinte et délibérant à l'unanimité des voix décide :
- de prononcer à l'encontre de la société « … S.A. » une amende administrative d'un montant de dix-huit mille euros (18.000 euros) au regard de la violation des articles 38.1, 38.2 et 39.1. a) du RGPD ;
- de prononcer à l'encontre de la société « … S.A. » une injonction de se mettre en conformité avec l'article 38.1 du RGPD, dans un délai de quatre mois suivant la notification de la décision de la formation restreinte, les justificatifs de la mise en conformité devant être adressés à la formation restreinte au plus tard dans ce délai, en particulier :
s'assurer que le DPD soit effectivement associé à toutes les questions relatives à la protection des données à caractère personnel, et ceci en toute indépendance ;
- de prononcer à l'encontre de la société « … S.A. » une injonction de se mettre en conformité avec l'article 39.1 a) du RGPD dans un délai de quatre mois suivant la notification de la décision de la formation restreinte, les justificatifs de la mise en conformité devant être adressés à la formation restreinte au plus tard dans ce délai, en particulier :
s'assurer que le DPD puisse effectivement remplir sa mission d'information et de conseil envers le responsable du traitement contrôlé. (…) ».
Par requête déposée au greffe du tribunal administratif le 27 août 2021, inscrite sous le numéro 46401 du rôle, la société … a fait introduire un recours tendant à la réformation, sinon à l’annulation de la décision précitée de la CNPD du 31 mai 2021.
Etant donné qu’aux termes de l’article 55 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, ci-après désignée par « la loi du 1er août 2018 », « Un recours contre les décisions de la CNPD prises en application de la présente loi est ouvert devant le Tribunal administratif qui statue comme juge du fond. », le tribunal est compétent pour connaître du recours principal en réformation dirigé contre la décision précitée du 31 mai 2021.
Il s’en suit qu’il n’y a pas lieu de statuer sur le recours subsidiaire en annulation figurant dans la requête introductive d’instance.
Dans son mémoire en réponse, la CNPD tout en se rapportant à prudence de justice quant à la recevabilité du recours, conclut à déclarer le recours recevable en la forme.
Force est de relever, pour autant que de besoin, que si le fait de se rapporter à prudence de justice équivaut à une contestation, une contestation non autrement développée est cependant à écarter, étant donné qu’il n’appartient pas au tribunal de suppléer la carence des parties dans la présentation de leurs moyens, étant encore relevé que le tribunal n’entrevoit pas de moyen d’irrecevabilité qui serait à soulever d’office.
17 Le recours principal en réformation ayant, par ailleurs, été introduit dans les formes et délai de la loi, est partant recevable.
A l’appui de son recours et en fait, la partie demanderesse, tout en relevant les rétroactes passés en revue ci-avant, explique appartenir au groupe …, dont la société-mère, établie en France, aurait, pour le groupe, désigné le 22 janvier 2018 un de ses employés en tant que délégué à la protection des données, ci-après désigné par « le DPD du groupe », conformément à la possibilité lui offerte à travers l’article 37, paragraphe (2) du RGPD. La demanderesse donne encore à considérer qu’elle aurait, de son côté, désigné un DPD propre avec effet au 1er octobre 2020, ce dont elle aurait informé la CNPD le 30 septembre 2020, ladite nomination étant intervenue afin de se conformer aux exigences posées par la CNPD dans son courrier du 24 août 2020.
En droit, la partie demanderesse conclut, tout d’abord, à la réformation de la décision déférée du 31 mai 2021, laquelle aurait, à tort, retenu dans son chef une violation de l’article 38, paragraphe (1) du RGPD du fait d’avoir considéré que le DPD du groupe n’aurait été associé qu'indirectement aux questions relatives à la protection des données à caractère personnel se posant au niveau local et ce au motif que, d’une part, le point de contact local, l’unique juriste de la demanderesse n’aurait pas fait partie de l’équipe du DPD du groupe, et, d’autre part, le DPD du groupe aurait uniquement été informé des mesures proposées par le comité dédié à la protection des données, ci-après désigné par « le GDPR Board » - un organe institué au sein de la demanderesse dont la mission aurait été la définition, au Luxembourg, des stratégies en matière de protection des données et des plans d’actions y relatifs -, qui aurait agi en tant qu'interlocuteur en matière de protection des données au sein de la demanderesse, sans avoir été consulté dès le stade le plus précoce possible.
La demanderesse fait valoir, dans ce cadre, qu’au cours de l’audit par la CNPD du 17 septembre 2018 au 31 mai 2021, son organisation interne aurait évolué en ce sens que le point de contact local du DPD du groupe aurait été nommé DPD Luxembourg avec effet au 1er octobre 2020. Elle relève encore sur base des lignes directrices concernant les délégués à la protection des données du Groupe de Travail « Article 29 » sur la protection des données du 13 décembre 2016, ci-après désignées par « les lignes directrices », ainsi que des considérations du rapport d’audit du 31 octobre 2019 - selon lesquelles l’association du DPD à toutes les questions relatives à la protection des données à caractère personnel devrait se faire le plus précocement possible, que le DPD devrait être considéré comme un interlocuteur au sein de l’organisme en question, afin de donner son avis et d’être consulté en cas de violations de données ou en cas d’autres incidents, et qu’il y devrait être membre des groupes de travail consacrés aux activités de traitement de données, - que ces critères auraient été respectés en l’espèce.
Ainsi, tant le DPD du groupe que son point de contact local, devenu, par après, le DPD Luxembourg, auraient participé à de nombreuses réunions au niveau du groupe …, respectivement au niveau local, la demanderesse expliquant encore que toutes les questions relatives à la protection des données personnelles initiées au Luxembourg auraient d’abord été réceptionnées et analysées par le point de contact local pour ensuite être communiquées au DPD du groupe pour avis et support, ces deux personnes ayant travaillé en étroite collaboration par téléphone, respectivement par le biais de moyens de communication informatique principalement en cas d'incident de sécurité, mais aussi sur des questions touchant aux opérations de traitement mis en œuvre localement.
18 Par ailleurs le DPD du groupe se ferait adresser un rapport mensuel de la part du point de contact local suite au comité exécutif local, ainsi qu'un reporting mensuel relatif aux problématiques de protection des données.
Sur base de ces éléments, la demanderesse considère que, contrairement à ce qui serait soutenu par la décision déférée, le DPD du groupe aurait été informé en temps réel par le point de contact local, de sorte à se trouver ainsi en position de réagir immédiatement en conformité avec ses obligations, et d’être en mesure de fournir toutes les recommandations requises dans le cadre du RGPD, fonction reprise par le point de contact local, suite à sa nomination de DPD Luxembourg, lequel continuerait encore d’informer le DPD du groupe, ainsi que la direction de la demanderesse.
Après avoir expliqué la mission, ainsi que la composition du GDPR Board, un organe consultatif interne de la demanderesse composé de ses différents services traitants des données personnelles, tels que le point de contact local devenu le DPD Luxembourg, la direction des ressources humaines, les responsables de l’audit interne et informatique, ainsi qu’en cas de besoin l’administrateur-délégué de la société …, la demanderesse explique avoir, lors de l’enquête, souhaité modifier son organisation interne en nommant le point de contact local du DPD du groupe directement DPD Luxembourg, ce dernier assistant personnellement aux réunions tant du GDPR Board, ainsi qu’en cas de besoin, aux réunions du comité exécutif et du conseil d’administration de la société …. Elle conteste en conséquence la conclusion de la CNPD selon laquelle le DPD du Groupe ne serait pas suffisamment directement impliqué au niveau opérationnel au Luxembourg, tout en faisant valoir que ledit reproche ne serait pas suffisamment précisé.
La demanderesse se prévaut encore, dans ce cadre, de l’article 37, paragraphe (2) du RGPD, pour soutenir que le DPD du groupe aurait toujours été facilement joignable et se serait, de surcroît, appuyé sur le contact local, lui aussi facilement joignable par la CNPD, par les personnes concernées, ainsi que par le responsable du traitement, tout en mettant en exergue la circonstance que, d’une part, la CNPD serait restée en défaut de faire état d’une quelconque carence concrète à ce sujet, et, d’autre part, ni le RGPD ni les lignes directrices n’imposeraient une présence physique du DPD d’un groupe.
Ainsi, en rejetant ses explications fournies en relation avec l’article 37, paragraphe (2) du RGPD comme n’étant pas pertinentes et en retenant que le DPD du groupe ne pourrait pas être considéré comme ayant été impliqué directement, formellement et de manière permanente au Luxembourg, la CNPD aurait, selon la demanderesse, exigé une présence physique et permanente du DPD du groupe sur place, obligation ne ressortant pourtant pas des textes légaux en vigueur et laquelle aurait, pour le surplus, été respectée en l’espèce à travers le point de contact local ayant été nommé par après, par pure diligence et afin de satisfaire les exigences injustifiées de la CNPD, DPD Luxembourg avec effet au 1er octobre 2020.
La demanderesse se fonde ensuite sur ses schémas de transmission des informations et de prise de décision, ainsi que sur la liste des missions du DPD pour réfuter la conclusion de la CNPD selon laquelle le DPD du groupe serait simplement informé des mesures proposées par le GDPR Board aux différents organes décisionnels, de sorte à ne pas être consulté dès le stade le plus précoce possible de toutes les questions relatives à la protection des données. Or, l'ensemble des problématiques de nature opérationnelle et stratégique liées à la protection des 19données seraient identifiées, évaluées par le DPD Luxembourg et son équipe de manière systématique et communiquées à sa direction pour prise de décision.
Sur base de l’ensemble de ces éléments, la demanderesse conclut à la réformation de la décision déférée pour violation, par la CNPD, de l’article 38, paragraphe (1) du RGPD.
Dans son mémoire en réplique, la demanderesse insiste sur la structure organisationnelle interne du groupe … au moment de l’audit opéré par la CNPD, matérialisée par la nomination d’un DPD du groupe, responsable pour toutes les entités dudit groupe, lequel aurait été assisté par des points de contact locaux, tel que cela aurait été le cas au Luxembourg, où le prédit DPD du groupe aurait été secondé par son point de contact local, juriste, par un collaborateur stagiaire devenu salarié, ainsi que par l’équipe informatique locale, une pratique autorisée par l’article 37, paragraphe (2) du RGPD. Le point de contact local aurait été désigné au regard de ses compétences et de son expérience en matière de protection des données et aurait agi, dans le cadre d’un mandat au sens du Code civil, pour le compte du DPD du groupe auprès des tiers, tout en reportant à ce dernier, et plus particulièrement au sujet des réunions du comité exécutif, du GDPR Board et de toutes les réunions de travail au sujet de la protection des données au Luxembourg.
Dans ce contexte, la demanderesse se focalise sur le fait que le DPD du groupe aurait été présenté, ensemble avec son équipe de protection des données locale à Luxembourg, comme l'interlocuteur principal pour les personnes concernées, tant en interne, qu'en externe, pour les questions relatives à la protection des données. Ainsi, les points de contact locaux, d’une part, travailleraient de concert avec le DPD du groupe afin de définir une politique harmonisée pour le groupe tout en l’adaptant, le cas échéant, aux spécificités locales et, d’autre part, feraient le rapport des comptes-rendus des réunions avec le DPD du groupe et l'ensemble du réseau protection des données, tout en organisant en interne la mise en place des politiques de protection des données après information, respectivement explication et validation du responsable du traitement local concerné.
Elle fait encore valoir que dès l’entrée en vigueur du RGPD, elle aurait communiqué une note interne à l’attention de son personnel afin d’informer ce dernier sur les modalités de la protection des données personnelles mises en œuvre.
Sur base de ces éléments, la demanderesse conteste l’approche de la CNPD consistant à séparer, selon elle, artificiellement le DPD du groupe de son point de contact local, respectivement à dénier le rôle et les missions de l’équipe locale, la demanderesse argumentant, dans ce cadre, que la CNPD aurait opéré une interprétation trop restrictive, voire erronée des lignes directrices et n’aurait pas pris en compte les fonctions de conseil, d’information et de consultation conférées au point de contact local, en tant qu’un des membres de l’équipe de protection des données du groupe …. Ainsi, selon la demanderesse, le DPD du groupe et son équipe constitueraient un ensemble unique et toute action menée par un membre de l'équipe du DPD du groupe, au nom celui-ci, devrait être considérée comme menée personnellement par le DPD du groupe, au même titre que l'action d'un mandataire serait prise au nom de son mandant.
Tout en réitérant ses explications quant au fonctionnement du point de contact local, ainsi que quant à la participation de ce dernier au du GDPR Board, ainsi qu’aux groupes de travail locaux et aux réunions du comité exécutif, la demanderesse remet en cause la conclusion de la CNPD selon laquelle le DPD du groupe ne pourrait pas être considéré comme ayant été 20consulté dès le stade le plus précoce possible en ce qui concerne les questions relatives à la protection des données, alors que la CNPD se contredirait à ce sujet en retenant, d’une part, les modalités de traitement et de l'analyse au premier niveau des avis et recommandations du DPD du groupe et des remontées du point de contact local au GDPR Board, et, d’autre part, que le DPD du groupe se serait simplement vu notifier les procès-verbaux desdites réunions, donc après que les décisions auraient été prises.
En ce qui concerne le reproche de la CNPD, dans le cadre du moyen basé sur un manquement à l’article 38, paragraphe (1) du RGPD, selon lequel la fonction de contact local n’aurait été qu’une activité accessoire à la fonction de responsable juridique de la personne concernée, la demanderesse conteste ladite analyse de la CNPD en donnant à considérer que tant le DPD du groupe que son point de contact local au Luxembourg seraient d’anciens avocats et des juristes expérimentés, de sorte à être parfaitement à même de mener à bien leur mission, tout en précisant encore que le DPD du groupe serait en relation quotidienne avec les postes opérationnels au Luxembourg afin de gérer les questions de protection des données personnelles.
Par ailleurs, le DPD du groupe serait immédiatement consulté en cas d’incident, respectivement en cas de violation de données personnelles. Ainsi, l’implication de ce dernier, ensemble avec le point de contact local concerné, conformément aux procédures de gouvernance habituelle du groupe …, aurait dû amener la CNPD à retenir que le DPD du groupe remplirait ses fonctions de conseil et d’information de manière appropriée et en temps utile.
La demanderesse conteste finalement les affirmations de la CNPD selon lesquelles le DPD du groupe, d’une part, ne participerait pas aux réunions au Luxembourg, et, d’autre part, ne ferait pas partie du GDPR Board, en mettant en avant la circonstance que ledit DPD s’y ferait représenter par son point de contact local, lequel remplirait ses obligations de conseil et d’information du responsable du traitement de manière appropriée et en temps utile en effectuant un reporting tant auprès de la direction de la demanderesse qu’auprès du DPD du groupe. Elle précise encore, dans ce cadre, que, contrairement à ce qu’affirmerait la CNPD, l’existence du GDPR Board aurait été portée à la connaissance de celle-ci lors de l’audit sur place.
La demanderesse conclut de l’ensemble de ces éléments que la décision déférée de la CNPD serait à réformer pour avoir, à tort, retenue à sa charge un manquement à l’article 38, paragraphe (1) du RGPD.
En deuxième lieu, la demanderesse conclut à la réformation de la décision déférée du 31 mai 2021 pour violation, sinon mauvaise application de l’article 38, paragraphe (2) du RGPD, au motif que la CNPD aurait, à tort, retenu qu’elle n’aurait pas alloué les ressources nécessaires au DPD du groupe, et plus particulièrement à son point de contact local, lequel aurait été l’unique juriste de l’entité luxembourgeoise ayant, par ailleurs, eu d’autres missions, pour exercer efficacement ses missions relatives à la protection des données personnelles.
Dans ce cadre, la demanderesse relève, tout d’abord, que le rapport d’audit aurait retenu que le respect des conditions posées par l’article 38, paragraphe (2) du RGPD impliquerait l’occupation au minimum d’un emploi temps plein, ci-après désigné par « ETP », pour l’équipe locale en charge de la protection des données. Elle détaille ensuite les modalités d’organisation de ses équipes dédiées à la protection des données, tant au niveau central, où le DPD du groupe disposerait d’une équipe nommée le « Bureau central de la protection des données » ou « Global 21Data Protection Office », composée de deux juristes spécialisés en matière de protection des données, d'un réseau de points de contact locaux dédiés à la protection des données, ainsi que d'un project manager, qu’au niveau local, où, à la date de la décision litigieuse, le point de contact local du DPD du groupe, aurait été nommé en tant que DPD Luxembourg et aurait été secondé par un juriste, les deux pouvant, de plus, s’appuyer sur l’expertise internationale du groupe … par le biais du DPD du groupe.
Quant au volume des données personnelles traitées, la demanderesse fait valoir que la CNPD aurait commis une erreur en retenant qu’elle compterait 2.100 employés répartis sur 70 sites et couvrirait environ 25.000 consommateurs par jour, alors que, bien qu’elle-même aurait indiqué lesdits chiffres dans sa présentation générale du groupe … à Luxembourg adressée à la CNPD, elle aurait précisé, dans le questionnaire rempli à l’ouverture de l’audit litigieux, que les données personnelles traitées ne concerneraient que 5.000 personnes, dont 1.600 salariés.
Elle critique encore la décision déférée, en ce qui concerne le manquement lui reproché par rapport à l’article 38, paragraphe (2) du RGPD, alors que l’exigence de formaliser la répartition du temps de travail du DPD et des autres ressources en personnel que l’assistent ne ressortirait d’aucun texte légal contraignant, mais tout au plus des lignes directrices. Par ailleurs, au moment de l’audit, la CNPD n’aurait pas publié de guidance formelle à ce sujet, ce qui amène la demanderesse à soutenir qu’au regard de l’absence de précisions et d’explications y relatives de la part de la CNPD, aucun manque de ressources, ni l’absence d’analyse des ressources existantes ne sauraient lui être reprochés. Elle aurait néanmoins, sans cependant reconnaître la moindre violation du RGPD dans son chef, d’une part, fourni, par courrier du 30 septembre 2020, des précisions à la CNPD quant au fonctionnement de son personnel dédié à la protection des données personnelles, et, d’autre part, renforcé le temps effectif exclusivement consacré à ce domaine par le DPD Luxembourg en le fixant à 50% de son temps de travail, tout en lui ayant affecté une équipe de deux juristes travaillant également, pour 50% de leur temps de travail, sur les questions relatives à la protection des données personnelles.
Tout en réitérant ses conclusions quant à l’absence de base légale lui imposant la formalisation du temps de travail consacré par son personnel aux questions relatives à la protection des données personnelles, formalisation qui ne reposerait que sur une interprétation extrêmement extensive, erronée et subjective du RGPD par la CNPD, la demanderesse reproche encore à la décision déférée, d’une part, de ne pas avoir pris en considération ses outils informatiques utilisés dans le cadre de son activité quotidienne de gestion de la conformité avec les règles du RGPD, outils venant compléter les ressources humaines nécessaires au traitement des données personnelles, et, d’autre part, de ne pas avoir fourni de critères objectifs susceptibles de justifier le volume d'ETP exigé par la CNPD. Elle relève finalement que la CNPD serait restée en défaut de faire état d’une quelconque carence, absence de réponse, voire délai de réponse inapproprié, en ce qui concerne la question du traitement des données personnelles, ayant pu amener à la conclusion que son organisation interne n’aurait pas été suffisante en termes de ressources allouées audit domaine.
Dans son mémoire en réplique, la demanderesse, en réexposant son organisation interne au Luxembourg en matière de protection des données marquée initialement par un point de contact local du DPD du groupe, devenu, par après le DPD Luxembourg, lequel serait assisté par un juriste, ainsi que, le cas échéant, par un project manager déployé par le groupe … pour la région Benelux, par la directrice des ressources humaines, ainsi que par le responsable du département informatique, chacun pour son domaine de compétence, fait valoir que la CNPD serait restée en défaut de prendre ces éléments en considération.
22 En ce qui concerne la détermination du temps de travail approprié à consacrer aux questions relatives à la protection des données personnelles, durée fixée en l’espèce par la CNPD à l’occupation d’un ETP, la demanderesse soutient, tout d’abord, qu’une telle fixation ne serait pas une obligation, contrairement à l’approche de la CNPD dans la décision litigieuse, mais une bonne pratique, conformément aux lignes directrices, lesquelles ne feraient que fournir une liste non-exhaustive d’éléments pouvant être pris en compte.
Dans ce contexte, la demanderesse critique encore la décision litigieuse pour ne pas avoir considéré, dans son analyse relative à l’allocation du temps de travail suffisant, les autres éléments mis en avant par les lignes directrices et clairement documentés durant l’audit, tel que plus particulièrement la circonstance que l'équipe locale du DPD du groupe (i) aurait un contact direct et régulier avec sa direction, (ii) disposerait de toutes les ressources financières et des infrastructures nécessaires au bon accomplissement de ses missions, (iii) aurait procédé à toutes les communications nécessaires en relation avec la désignation du DPD du groupe et du point de contact local auprès des employés et des tiers, (iv) aurait un accès nécessaire à d'autres services, (v) suivrait régulièrement des formations afin de maintenir les connaissances en matière de protection des données et (vi) aurait mis en place toute une équipe de protection des données.
Par ailleurs, la demanderesse remet en cause l’argumentation de la CNPD selon laquelle le temps à consacrer par un DPD aux tâches et missions lui revenant, lesquelles engloberaient notamment la mise en place et la tenue du registre des activités de traitement, la rédaction de procédures internes en matière de protection des données, l'émission d'avis quant à la nécessité d'une analyse d'impact et la vérification de la réalisation effective de cette dernière, le maintien de la documentation sur place, serait multiplié de façon exponentielle en fonction de l'envergure des sociétés choisies pour le contrôle et en fonction de l'importance consécutives des traitements effectués par lesdites sociétés, alors que la CNPD n’aurait pas eu égard, en l’espèce, à l’organisation du groupe … et à ses outils techniques, lesquelles auraient dû amener cette dernière à la conclusion que les ressources allouées à la protection des données personnelles seraient suffisantes.
La demanderesse insiste finalement encore sur le manque de visibilité dans les critères utilisés par la CNPD afin de déterminer sa conformité ou non quant aux ressources allouées au DPD, la méthode du calcul de l'ETP n’ayant pas été claire, du fait de ne pas avoir pris en compte ni toutes les personnes participant localement à la gestion des données ni les autres critères des lignes directrices.
La demanderesse conclut de l’ensemble de ces éléments que la décision déférée de la CNPD serait à réformer pour avoir, à tort, retenue à sa charge un manquement à l’article 38, paragraphe (2) du RGPD.
En dernier lieu, la demanderesse considère que la décision déférée devrait encourir la réformation pour violation de l’article 39, paragraphe (1), a) du RGPD pour avoir retenu que le DPD du groupe, du fait de ne pas avoir été associé de manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel se posant au niveau de l’entité luxembourgeoise du groupe …, n’aurait pas respecté son obligation d’information et de conseil du responsable du traitement, du sous-traitant respectivement des employés procédant au traitement de données personnelles.
23 En se basant sur le considérant n° 97 du RGPD selon lequel le DPD devrait aider le responsable du traitement à vérifier le respect, au niveau interne, du RGPD, ainsi que sur les lignes directrices, la demanderesse fait valoir que les conclusions de la CNPD ne reposeraient sur aucun élément textuel contraignant ni sur aucun élément factuel valable. Ainsi, selon la demanderesse, ses modalités de fonctionnement au moment de l’audit, en ce qui concerne la remontée directe des informations, entre le point de contact local vers le DPD du groupe, de ce dernier vers la direction du groupe, ainsi que du point de contact local vers le comité exécutif, n'auraient pas dû amener la CNPD à retenir, en l’espèce, une violation de l’article 39, paragraphe (1), a) du RGPD.
Elle fait encore valoir, dans ce cadre, que si la conclusion de la CNPD selon laquelle la circonstance que le point de contact local reporte à la direction de la société luxembourgeoise constituerait une violation du RGPD au motif que le DPD du groupe ne serait qu’indirectement associé, devrait être validée, cela empêcherait tout groupe international d'ampleur de nommer un DPD pour ledit groupe et de mettre en place une organisation structurée pour la protection des données, alors même qu’une telle faculté serait expressément admise par l’article 37, paragraphe (2) du RGPD. Sans reconnaître la moindre violation dans son chef, la demanderesse précise finalement qu’à l’heure actuelle le point de contact local, devenu le DPD Luxembourg, rapporterait directement au responsable du traitement au Luxembourg.
Dans son mémoire en réplique, la demanderesse, tout en relevant que la CNPD, d’une part, aurait à juste titre retenu que les obligations d'information et de conseil du responsable du traitement visé à l'article 39, paragraphe (1), a) du RGPD seraient nécessairement imbriquées dans celles visées à l'article 38, paragraphe (1) du RGPD, et, d’autre part, aurait reconnu l’existence d’une transmission d’informations au sein du groupe … du point de contact local vers le DPD du Groupe, de ce dernier vers le président directeur général du groupe, ainsi que du point de contact local vers le comité exécutif local, réitère son argumentation relative à une violation, par la CNPD, de l’article 39, paragraphe (1), a) du RGPD, du fait d’avoir retenu l’absence d’une transmission d’informations directe entre le point de contact local et le DPD du groupe.
Elle relève encore, dans ce contexte, une contradiction dans l’argumentation juridique de la CNPD en ce que cette dernière ferait valoir, d’un côté, qu’un groupe de sociétés pourrait prévoir une transmission directe d’informations entre le DPD du groupe et le responsable du traitement local pour, d’un autre côté, admettre qu’il serait pratiquement impossible, dans des groupes de sociétés d’une importance telle que le groupe …, d’organiser des réunions régulières entre le DPD du groupe et le point de contact local des différentes entités. Selon la demanderesse, le fait, pour la CNPD, de considérer qu’elle ne respecterait pas l’article 39, paragraphe (1), a) du RGPD en raison de la transmission d’informations de la part du contact local, représentant du DPD du groupe, directement au responsable du traitement local, constituerait une erreur de fait et de droit et devrait conduire à la réformation de la décision sous examen. La demanderesse insiste, dans ce cadre, sur le fait qu’un tel reporting, en plus d’être parfaitement en ligne avec les dispositions applicables en matière de protection des données, présenterait l’avantage d'être plus précis et adapté aux spécificités locales du fait de provenir d'une personne que les dirigeants et employés côtoieraient au quotidien. La position de la CNPD conduirait, par ailleurs, in fine à interdire la pratique d'un DPD mutualisé pour un groupe de sociétés assisté d'équipes locales, pratique cependant expressément autorisée par l’article 37, paragraphe (2) du RGPD.
24La demanderesse réfute finalement l’argumentation de la CNPD consistant à nier, en l’espèce, tout élément d’extranéité ayant dû amener cette dernière à prendre contact avec une autorité de contrôle d’un autre Etat membre, conformément à l’article 57, paragraphe (1), g) du RGPD, tel qu’en l’occurrence la Commission nationale de l’Informatique et des Libertés, ci-après désignée par la « CNIL », alors même que le DPD du groupe serait établi en France, tout en disposant, dans chaque entité du groupe, d’une équipe de protection des données locales.
A titre subsidiaire, la demanderesse conclut à l’annulation de la décision déférée en reprochant à la CNPD d’avoir commis un excès, sinon un détournement de pouvoir manifeste en retenant une violation des articles 38, paragraphes (1) et (2), respectivement 39, paragraphe (1), a) du RGPD. Elle argumente, dans ce cadre, que les exigences de la CNPD correspondraient davantage à une ingérence illégale dans sa gouvernance interne qu’à l’exercice de son pouvoir d’appréciation par rapport à l’opportunité de prendre des décisions reposant sur des textes légaux et réglementaires applicables.
La demanderesse relève encore que sa société-mère, ainsi que ses filiales françaises auraient également fait l’objet d’une enquête, similaire à celle de la CNPD, par la CNIL, laquelle, d’une part, n’aurait retenu aucune anomalie, voire non-conformité au RGPD, et, d’autre part, n’aurait pas formulé de remarques particulières lors de la désignation du DPD du groupe le 3 avril 2018. Au regard de la circonstance qu’à travers le courrier de son litismandataire du 26 janvier 2021, la CNPD aurait été informée de la prédite enquête de la CNIL, il lui aurait appartenu, dans un souci de cohérence, de prendre contact avec cette dernière, en sa qualité d'autorité de contrôle chef de file conformément à l’article 60 du RGPD, afin de discuter de la gouvernance de protection des données définie par sa société-mère pour le groupe ….
La demanderesse argumente finalement, dans le contexte de son moyen tiré d’un excès, sinon d’un détournement de pouvoir manifeste dans le chef de la CNPD, que la sanction retenue à sa charge manquerait aux principes d’adéquation et de proportionnalité de l’article 83 du RGPD au motif qu’aucun manquement précis en droit, sinon en fait ne lui aurait été reproché, qu’aucun préjudice n'aurait été constaté par la CNPD et qu’elle aurait toujours collaboré dans toute la mesure du possible avec la CNPD pendant l'ensemble de la période de contrôle.
La CNPD conclut au rejet de tous les moyens invoqués par la demanderesse pour être dépourvus de fondement.
Le tribunal doit, tout d’abord, rappeler qu’il n’est pas tenu par l’ordre des moyens, tels que présentés par les parties, mais détient la faculté de les toiser suivant une bonne administration de la justice et l’effet utile s’en dégageant, de sorte qu’il y a lieu d’analyser, dans un premier temps, les moyens tirés d’une violation des articles 38, paragraphe (1) et 39, paragraphe (1), a) du RGPD en raison du caractère complémentaire desdites dispositions.
Aux termes de l’article 38, paragraphe (1) du RGPD « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. », étant précisé qu’il ressort des lignes directrices qu’ « [i]l est essentiel que le DPD, ou son équipe, soit associé dès le stade le plus précoce possible à toutes les questions relatives à la protection des données. En ce qui concerne les analyses d'impact relatives à la protection des données, le RGPD prévoit expressément la participation du DPD 25à un stade précoce et précise que le responsable du traitement doit demander conseil au DPD lorsqu'il effectue une analyse de ce type. L'information et la consultation du DPD dès le début permettront de faciliter le respect du RGPD et d'encourager une approche fondée sur la protection des données dès la conception; il devrait donc s'agir d'une procédure habituelle au sein de la gouvernance de l'organisme. En outre, il importe que le DPD soit considéré comme un interlocuteur au sein de l'organisme et qu'il soit membre des groupes de travail consacrés aux activités de traitement de données au sein de l'organisme.
Par conséquent, l'organisme devrait veiller, par exemple, à ce que:
- le DPD soit invité à participer régulièrement aux réunions de l'encadrement supérieur et intermédiaire ;
- sa présence soit recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Toutes les informations pertinentes doivent être transmises au DPD en temps utile afin de lui permettre de fournir un avis adéquat ;
- l'avis du DPD soit toujours dûment pris en considération. En cas de désaccord, le G29 recommande, à titre de bonne pratique, de consigner les raisons pour lesquelles l'avis du DPD n'a pas été suivi ;
- le DPD soit immédiatement consulté lorsqu'une violation de données ou un autre incident se produit. (…) ».
Par ailleurs, en vertu de l’article 39, paragraphe (1), a) du RGPD, une des missions du DPD est notamment d’« (…) informer et conseiller le responsable du traitement ou le sous-
traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données ; (…) ».
Il ressort des dispositions communautaires qui précèdent que, tel que relevé à juste titre par la CNPD, pour que l’obligation de l’article 39, paragraphe (1), a) du RGPD, exigeant l’information et le conseil du responsable du traitement de la part du DPD, puisse être accomplie de manière efficace, il faut nécessairement et impérativement que ledit DPD soit, conformément à l’article 38, paragraphe (1) du RGPD, associé, au sein de l’entité en question, aux questions et projets impliquant des questions relatives à la protection des données personnelles au stade le plus précoce possible.
Dans ce contexte, il y a, en l’espèce, lieu de distinguer, en ce qui concerne l’organisation matérielle litigieuse de la demanderesse relative au domaine de la protection des données, entre plusieurs phases, (i) la première ayant été marquée par la désignation du DPD du groupe, lequel disposait, dans toutes les entités du groupe, d’un point de contact local, organisation qui était en place au moment de l’ouverture de l’enquête de la CNPD le 17 septembre 2018, organisation ayant été modifiée, en cours d’enquête, (ii) par l’ajout, au niveau de la demanderesse, du GDPR Board, étant précisé que la date exacte d’institution dudit Board ne ressort pas des documents soumis à l’analyse du tribunal, la demanderesse en ayant fait état dans sa présentation du 21 janvier 2019 et (iii) par la circonstance qu’à partir du 1er octobre 2020, le groupe … dispose, d’une part, d’un DPD du groupe, et, d’autre part, en ce qui concerne la demanderesse, d’un DPD au Luxembourg, lequel a été, auparavant le point de contact local du DPD du groupe.
Le tribunal doit, à ce stade, d’emblée relever que l’argumentation de la demanderesse consistant à reprocher à la CNPD de ne pas avoir pris en considération, dans sa décision du 31 26mai 2021, les mesures prises au cours de l’enquête et préalablement à la prise de ladite décision est à rejeter pour manquer de fondement.
Il ressort en effet explicitement de la prédite décision, position encore confirmée par la CNPD dans le cadre de ses mémoires en réponse et en duplique, que cette dernière a retenu que pour établir les manquements de la demanderesse au RGPD, elle n’a eu égard qu’aux faits tels qu’ils ont existé au jour de l’ouverture de l’enquête et que les éventuelles modifications effectuées par la demanderesse au cours de l’enquête et avant la prise de la décision litigieuse ne permettent pas de faire disparaître un manquement constaté, le tribunal adoptant, en l’espèce, la même approche quant aux manquements reprochés et quant au principe de l’amende à retenir, le cas échéant, à charge de la demanderesse.
Ainsi, préalablement à la désignation d’un DPD spécifique pour la demanderesse en date du 1er octobre 2020, le groupe … disposait d’un DPD pour l’ensemble du groupe, conformément à la possibilité lui offerte par l’article 37, paragraphe (2) du RGPD aux termes duquel « Un groupe d'entreprises peut désigner un seul délégué à la protection des données à condition qu'un délégué à la protection des données soit facilement joignable à partir de chaque lieu d'établissement. ».
Quant à l’organisation concrètement mise en place entre le DPD du groupe et son point de contact local au Luxembourg, force est de relever que quand bien même une telle situation est a priori envisageable aux termes de l’article37, paragraphe (2) du RGPD, il ressort, tout d’abord, du questionnaire préliminaire rempli par la demanderesse et envoyé à la CNPD le 5 octobre 2018, en ce qui concerne la composition et le fonctionnement de l’équipe dédié au sein du groupe … à la protection des données, que « (…) le DPD [du groupe] a constitué :
- Un Bureau Central de la Protection des Données (« Global Data Protection Office ») composé de deux juristes spécialisés en matière de protection des données à caractère personnel. Cette équipe travaille de manière transversale sur les problématiques liées à la protection des données à caractère personnel pour l’ensemble des activités du Groupe …. Cette équipe accompagne également les points de contact locaux dédiés à la protection des données à caractère personnel afin d’assurer une cohérence dans la gestion de la conformité au sein du groupe.
- Un réseau de points de contact locaux dédiés à la protection des données à caractère personnel qui sont en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle compétentes dans la langue utilisée par les autorités de contrôle et les personnes concernées en question. (…) ».
La demanderesse précise encore, dans ledit questionnaire, que le DPD du groupe « (…) organise des réunions hebdomadaires avec son équipe en central et des réunions mensuelles ou trimestrielles avec les points de contact locaux dédiés à la protection des données à caractère personnel. (…) ».
Le tribunal doit encore relever que dans la prise de position de la demanderesse du 22 novembre 2019, suite à la communication du rapport d’audit final en date du 31 octobre 2019, celle-ci explique que « [t]outes les questions relatives à la protection des données personnelles initiées au Grand-Duché de Luxembourg sont réceptionnées et analysées dans un 27premier temps par notre point de contact dédié à la protection des données au Luxembourg (le « Point de Contact Local »), (…).
Le Point de Contact Local travaille en étroite collaboration avec la DPD Globale -
notamment par téléphone, réunions Skype ou courriels autant que nécessaire - pour toutes les questions nécessitant l'information, l'analyse, le conseil ou la consultation préalable de la DPD Globale, notamment en cas d'incident de sécurité mais aussi sur des questions touchant aux opérations de traitement mis en œuvre localement. Le Point de Contact Local est ainsi chargé de la gestion de conformité des traitements de données à caractère personnel mis en œuvre par … S.A. sous la supervision de la DPD Globale à qui [il] rapporte ses actions.
… S.A. a également institué un comité dédié à la protection des données à Luxembourg (le « GDPR Board »), qui définit la stratégie sur ces sujets et les plans d'actions associés de … S.A.
Le GDPR Board est composé aujourd'hui comme suit :
- Le Point de Contact Local - La Directrice des ressources humaines de … S.A.
- Le Responsable de l'audit interne de … S.A.
- Le Responsable informatique de … S.A.
- Lorsque cela est nécessaire et sur la base des avis et recommandations [du DPD du groupe], l'administrateur-délégué de … S.A. est invité à participer à ce Comité GDPR.
Le GDPR Board se réunit aujourd'hui au minimum 8 à 10 fois par an (les « Réunions du GDPR Board »).
Lors de ces réunions, le GDPR Board traite et analyse au premier niveau des avis et recommandations de la DPD Globale et des remontées du Point de Contact Local, et gère de manière opérationnelle les problématiques et demandes en matière de protection des données personnelles émanant du Luxembourg (personnes concernées, autorité de contrôle, etc.).
A l'issue de chaque Réunion du GDPR Board, un procès-verbal est établi pour acter les mesures à mettre en oeuvre sur les sujets de protection des données discutés.
Les propositions du GDPR Board sont ensuite communiquées aux différents organes décisionnels de … S.A., en fonction de la grille suivante :
Décisions en matière de protection des Organe de décision données personnelles Urgence et décisions opérationnelles Administrateur-délégué de … S.A. ou (relations contractuelles BtoB et questions Directeur Général et administrateur de … générales) S.A. en délégation de l’Administrateur-
délégué.
Urgence et décisions stratégiques COMEX (comité de direction au immédiates en lien avec les droits des Luxembourg) composé du Directeur général personnes concernées (data breach, et administrateur, la Directrice des mesures réglementaires urgentes, etc.) opérations entreprises, administrations, sports & loisirs, le Directeur des opérations 28scolaires et santé, le Directeur des activités seniors, le Directeur de projets, le Directeur administratif et financier, la Directrice des ressources humaines, le « Service operations Director », la Directrice marketing et communication et la Directrice commerciale de … S.A.
Décisions stratégiques pour l’entreprise à Conseil d’Administration de … S.A. ou terme (politiques globales, politiques de Directeur Général et administrateur de … sécurité, etc.) S.A. en délégation dudit conseil.
Les propositions transcrites dans le procès-verbal de la Réunion du GDPR Board, selon leur nature, seront validées et mises en oeuvre par l'Administrateur-délégué, sinon par le COMEX sinon par le Conseil d'Administration ou le Directeur Général et administrateur de … S.A. en délégation de l'Administrateur-délégué ou du Conseil d'Administration.
A ce jour, la DPD Globale reçoit les procès-verbaux du GDPR Board et est donc impliquée, dans la gestion de la conformité avec les dispositions du RGPD au Luxembourg, y compris sur des sujets purement opérationnels, par l'intermédiaire des questions soulevées par le Point de Contact Local et des actions de conformité qui s'en suivent.
Sur la base des éléments présentés ci-dessus, l'ensemble des problématiques de nature opérationnelle et stratégique liées à la protection des données sont identifiées, évaluées et adressées par la DPD Globale et ses équipes dédiées à Luxembourg de manière systématique et, communiquées à la direction de … S.A. pour prise de décision. Ces décisions relatives à la protection sont formalisées dans un fichier récapitulatif tenu par année fiscale.
Néanmoins, … S.A. a bien noté l'exigence renforcée de la CNPD d'assurer une plus grande proximité de la DPD Globale avec l'encadrement supérieur de l'entité.
Par conséquent, … S.A. et la DPD Globale s'engagent, pour renforcer sa conformité à l'article 38 (1) du RGPD à la mise en place des actions suivantes :
- La participation personnelle de la DPD Globale aux Réunions du GDPR Board au moins deux fois par an ;
- La participation personnelle de la DPD Globale en cas de besoin au COMEX ou au Conseil d'Administration pour tout sujet qui pourrait nécessiter des clarifications sur ses avis et recommandations ou un échange sur une problématique particulière ;
- L'organisation de deux rencontres physiques annuelles entre l'encadrement de … S.A. et la DPD Globale. (…) ».
Il ressort, par ailleurs, de la charte d’information sur le traitement des données à caractère personnel des collaborateurs de …, et plus particulièrement de son annexe 1 intitulée « Politique globale de gestion des réclamations/demandes de gestion des réclamations/demandes portant sur les droits en matière de protection des données à caractère personnel » que la procédure de gestion des réclamations s’effectue, dans un premier temps, exclusivement auprès du point de contact local et ce n’est que si la solution proposée par ce 29dernier ne satisfait pas le réclamation, que le DPD du groupe se voit transmettre le dossier afin de trouver une autre solution que celle initialement proposée par le point de contact local1.
Sur base de ces éléments, le tribunal doit constater qu’il ne ressort pas des éléments lui soumis, que l’intervention du DPD du groupe, en ce qui concerne les questions relatives à la protection des données à caractère personnel se posant au niveau de la demanderesse, se fasse à un stade conforme aux articles 38, paragraphe (1) et 39, paragraphe (1), a) du RGPD, alors que ledit DPD, selon l’organisation initialement mise en place au début du contrôle de la CNPD, ainsi que suite à l’instauration du GDPR Board, ne peut effectuer qu’un contrôle a posteriori des décisions d’ores-et-déjà prises par le point de contact, respectivement par le GDPR Board.
Le tribunal doit plus particulièrement relever dans ce contexte, que la demanderesse est restée en défaut de lui soumettre un quelconque élément établissant notamment la mise en place d’une politique commune au sein du groupe … pour ses différents points de contact locaux quant à la position à adopter au sujet de différents traitements de données à caractère personnelle, respectivement au sujet d’incidents y relatifs.
Par ailleurs, bien que la demanderesse fait valoir qu’il existerait une communication régulière entre le DPD du groupe et son point de contact local au Luxembourg, par le biais d’appels téléphoniques, de visioconférences et de courriers électroniques, afin de s’échanger sur la position à adopter par ce dernier par rapport aux questions relatives à la protection des données à caractère personnel auxquelles il est confronté, aucune pièce documentant de tels échanges n’a été versée dans le cadre du litige sous examen, tels que notamment la communication de l’ordre du jour des réunions du GDPR Board préalablement à la tenue desdites réunions, ensemble avec une proposition de prise de position du point de contact local à avaliser par le DPD du groupe antérieurement à la prise de décision.
Le tribunal doit ainsi retenir que le DPD du groupe n’a pas été associé en temps utile aux questions relatives à la protection des données à caractère personnel se posant au niveau de la demanderesse, ni n’a dès lors pas pu utilement informer et conseiller le responsable du traitement, son sous-traitant, respectivement les employés concernés, alors que l’organisation mise en place au début du contrôle opéré par la CNPD, ainsi qu’avec la mise en place du GDPR Board se focalisait exclusivement sur le point de contact local qui devait, d’une part, traiter, dans un premier temps, tant les incidents, conformément à l’annexe 1 de la charte d’information sur le traitement des données à caractère personnel des collaborateurs de …, et, d’autre part, prendre position quant aux questions relatives à la protection des données à caractère personnel se posant au niveau de la demanderesse, sans qu’il n’est établi en cause que le DPD du groupe ait préalablement été consulté, respectivement fourni des indications quant à la marche à suivre.
1 L’article 4 intitulé « procédure de gestion des réclamations » de l’annexe 1 intitulée « Politique globale de gestion des réclamations/demandes de gestion des réclamations/demandes portant sur les droits en matière de protection des données à caractère personnel » de la charte d’information sur le traitement des données à caractère personnel des collaborateurs de … Luxembourg précise, en ce qui concerne la 4e étape de ladite procédure, que « (…) Si vous acceptez la solution proposée par votre Contact local dédié à la protection des données à caractère personnel, nous travaillerons de concert avec vous afin de répondre à vos attentes. Si la solution résout votre Réclamation, votre Contact local clôturera le dossier. En cas de désaccord, votre Réclamation sera transmise au Group Data Protection Officer de … (…) ».
30Il suit des considérations qui précèdent que les moyens de la demanderesse basés sur une violation, par la CNPD, des articles 38, paragraphe (1) et 39, paragraphe (1), a) du RGPD doivent encourir le rejet pour manquer de fondement.
Cette conclusion n’est pas remise en cause par l’argumentation de la demanderesse relative à la joignabilité du DPD du groupe, respectivement du point de contact local, ainsi que sur le fait qu’il n’a pas été établi de carences, respectivement de retard dans le traitement des questions relatives à la protection des données à caractère personnel, alors que ces éléments sont étrangers à la question de l’implication du DPD du groupe dans le processus décisionnel et consultatif au sein de la demanderesse.
En ce qui concerne le moyen de la demanderesse tiré d’une violation de l’article 38, paragraphe (2) du RGPD aux termes duquel « Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l'article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d'entretenir ses connaissances spécialisées. », il y a lieu de relever que les lignes directrices précisent, en ce qui concerne les ressources à mettre à disposition d’un DPD, que « (…) les aspects suivants, en particulier, doivent être pris en considération :
- soutien actif de la fonction du DPD par l'encadrement supérieur (par exemple, au niveau du conseil d'administration) ;
- temps suffisant pour que les DPD puissent accomplir leurs tâches. Cet aspect est particulièrement important lorsqu'un DPD interne est désigné à temps partiel ou lorsque le DPD externe est chargé de la protection des données en plus d'autres tâches. Autrement, des conflits de priorités pourraient conduire à ce que les tâches du DPD soient négligées. Il est primordial que le DPD puisse consacrer suffisamment de temps à ses missions. Il est de bonne pratique de fixer un pourcentage de temps consacré à la fonction de DPD lorsque cette fonction n'est pas occupée à temps plein. Il est également de bonne pratique de déterminer le temps nécessaire à l'exécution de la fonction et le niveau de priorité approprié pour les tâches du DPD, et que le DPD (ou l'organisme) établisse un plan de travail ;
- soutien adéquat du point de vue des ressources financières, des infrastructures (locaux, installations, équipements) et du personnel, le cas échéant ;
- communication officielle de la désignation du DPD à l'ensemble du personnel afin de veiller à ce que l'existence et la fonction de celui-ci soient connues au sein de l'organisme ;
- accès nécessaire à d'autres services, tels que les ressources humaines, le service juridique, l'informatique, la sécurité, etc., de manière à ce que les DPDs puissent recevoir le soutien, les contributions et les informations essentiels de ces autres services ;
- formation continue. Les DPD doivent avoir la possibilité de maintenir leurs connaissances à jour en ce qui concerne les évolutions dans le domaine de la protection des données. L'objectif devrait être d'augmenter constamment le niveau d'expertise des DPD et ceux-ci devraient être encouragés à participer à des cours de formation sur la protection des données ainsi qu'a d'autres formes de développement professionnel, telles que la participation à des forums sur la protection de la vie privée, des ateliers, etc. ;
31- compte tenu de la taille et de la structure de l'organisme, il est possible qu'il faille mettre en place une équipe de DPD (un DPD et son personnel). En pareils cas, la structure interne de l'équipe ainsi que les tâches et responsabilités de chacun de ses membres doivent être clairement établies. De même, lorsque la fonction du DPD est exercée par un prestataire de services externe, une équipe de personnes travaillant pour le compte de cette entité peut exercer, dans les faits, les missions du DPD en tant que groupe, sous la responsabilité d'une personne de contact principale désignée pour le client.
D'une manière générale, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPD devront être importantes. La fonction de protection des données doit être effective et dotée de ressources adéquates au regard du traitement de données réalisé. ».
Il y a lieu de relever que la fourniture au DPD de ressources suffisantes afin de pouvoir correctement exercer le nombre important de missions lui confiées implique nécessairement l’allocation suffisante de temps de travail de la personne, respectivement des personnes en charge des questions relatives à la protection des données à caractère personnel, temps de travail et ressources qu’il appartient à la demanderesse de quantifier et de formaliser au risque sinon de rendre tout contrôle de la part de la CNPD illusoire.
Dans ce contexte, le tribunal doit relever qu’il est constant en cause que la demanderesse, au début de l’enquête de la CNPD et jusqu’à la nomination du point de contact au Luxembourg en tant que DPD Luxembourg, n’avait pas autrement formalisé la durée du temps de travail que celui-ci avait à consacrer aux questions relatives à la protection des données personnelles, étant encore relevé que ledit point de contact était, par ailleurs, suivant les propres déclarations de la demanderesse, son seul juriste.
Ce seul constat suffit déjà à établir une violation de l’article 38, paragraphe (2) du RGPD, dans la mesure où l’organisation mise en place par la demanderesse au niveau de son personnel dédié à la protection des données personnelles rendait tout contrôle de l’adéquation des ressources en personnel y consacrées impossible.
Force est encore de constater que l’activité de la demanderesse a une envergure certaine au Luxembourg pour englober, selon les informations fournies par la demanderesse, 70 sites, entre 1.600 et 2.100 salariés et quotidiennement 25.000 consommateurs2, de sorte que, d’une part, l’exigence de la CNPD que la demanderesse aurait dû, au moins, charger une personne travaillant à temps plein sur les questions relatives à la protection des données à caractère personnel ne peut pas être mise en cause, et, d’autre part, que le temps de travail consacré initialement par le point de contact local à ladite tâche - lequel avait en plus, tel que retenu ci-
avant, à assumer directement le travail y relatif, alors que l’intervention du DPD du groupe ne se faisait qu’a posteriori – durée que la demanderesse a quantifiée comme correspondant à un travail à mi-temps, a, à juste titre, été retenue par la CNPD comme étant insuffisant.
Il résulte de toutes les considérations qui précèdent que c’est à bon droit que la CNPD a retenu, dans le chef de la partie demanderesse, une violation des articles 38, paragraphes (1) 2 Dans son questionnaire préliminaire soumis à la CNPD le 5 octobre 2018, … indique que 5.000 personnes, dont 1.600 salariés, seraient concernées par ses traitements de données à caractère personnel, indications factuelles qui doivent cependant être considérés comme erronées, dans la mesure où le questionnaire exigeait, sur ce point, le nombre de clients annuel.
32et (2), ainsi que 39 du RGPD, sans commettre un excès, sinon un détournement de pouvoir manifeste et que l’ensemble des moyens de la demanderesse y relatifs sont à rejeter pour manquer de fondement.
Le tribunal doit encore réfuter, dans ce contexte, l’argumentation de la demanderesse consistant à soutenir que la CNIL serait arrivée à une autre conclusion lors de son contrôle de la société-mère du groupe …, ainsi que des autres entités dudit groupe situées en France, alors qu’outre le fait que ni le tribunal ni la CNPD, ne sont liés par des décisions, respectivement des jurisprudences émanant d’autorités administratives ou de juridictions d’autres pays, ledit contrôle opéré par la CNIL ne concerne a priori pas la structure de la demanderesse au Luxembourg, de sorte que les conclusions afférentes non autrement circonstanciées ne sont pas pertinentes en l’espèce. Dans ce cadre, il y a lieu de rappeler qu’un acte d’administratif individuel, et plus particulièrement celui qui est de nature à faire grief soit à son destinataire soit à des tierces personnes, bénéficie de la présomption de légalité ainsi que de conformité par rapport aux objectifs de la loi sur base de laquelle il a été pris, de sorte qu’il appartient à celui qui prétend subir un préjudice ou des inconvénients non justifiés du fait de l’acte administratif en question, et qui souhaite partant le voir réformer ou annuler en vue d’obtenir une situation de fait qui lui est plus favorable, d’établir concrètement en quoi l’acte administratif en question viole une règle fixée par une loi ou un règlement grand-ducal d’application3.
En outre, un acte administratif fait a priori foi d’après le contenu qu’il revêt et il appartient à l’administré d’établir que ce contenu est contraire à la réalité en fait, sinon à telle règle de droit applicable4, ce que la demanderesse est restée en défaut de faire.
Quant à la violation du principe de proportionnalité mise en avant par la demanderesse, il y a lieu de relever qu’aux termes de l’article 48 de la loi du 1er août 2016, « (1) La CNPD peut imposer les amendes administratives telles que prévues à l’article 83 du règlement (UE) 2016/679, sauf à l’encontre de l’État ou des communes. (…) ».
Suivant l'article 83 du RGPD, « 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants:
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;
b) le fait que la violation a été commise délibérément ou par négligence;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
3 Trib. adm., 16 juillet 2003, n°15207 du rôle, Pas adm. 2023, V° Actes administratifs, n°158, 1er volet et les autres références y citées.
4 Cour adm., 11 janvier 2007, n°21679C du rôle, Pas adm. 2023, V° Actes administratifs, n°158, 2ème volet et les autres références y citées.
33d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;
g) les catégories de données à caractère personnel concernées par la violation;
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42; et k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43 ;
b) les obligations incombant à l'organisme de certification en vertu des articles 42 et 43 ;
c) les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4. (…) ».
Il ressort du paragraphe (4) de l’article 83 précité du RGPD que les violations du RGPD retenues à l’encontre de la partie demanderesse sont a priori sanctionnées par des amendes administratives pouvant s'élever jusqu'à 10.000.000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, étant relevé que les manquements reprochés à la demanderesse ont bien été relevés au moment du contrôle, constat qui ne saurait être remis en cause par les mesures de mise en conformité implémentées par la suite, en l’occurrence par la désignation du point de contact local en tant que DPD au Luxembourg, respectivement par la formalisation du temps de travail de ce dernier, ainsi que par la mise à disposition de deux autres personnes l’assistant désormais.
En ce qui concerne ensuite le montant de l’amende retenue, lequel s’élève à 18.000 euros, c’est à bon droit que la partie défenderesse a relevé qu’il ressort de la décision déférée que ledit montant a été justifié par le fait que les manquements constatés sont d’une certaine gravité (i) pour avoir été de nature à réduire l’intérêt de l’obligation pour un organisme 34de nommer un DPD, (ii) pour concerner un nombre de personnes potentiellement élevé, et (iii) pour avoir perduré au moins du 25 mai 2018 au 1er octobre 2020, tout en retenant que la demanderesse avait fait preuve d’une bonne collaboration avec les autorités de contrôle et que plusieurs mesures avaient été mises en place afin de remédier aux manquements dès avant le prononcé de la sanction.
Il s’ensuit que l'amende litigieuse est à considérer comme étant parfaitement adéquate et proportionnée compte tenu des critères de l’article 83, paragraphe (2) du RGPD, de sorte que le moyen afférent de la partie demanderesse est également à rejeter.
Ce constat n’est pas remis en cause par l’argumentation de la demanderesse selon laquelle aucun manquement précis n’aurait pu lui être reproché, affirmation à rejeter au regard de la conclusion ci-avant retenue par le tribunal quant à une violation, dans le chef de la demanderesse, des articles 38, paragraphes (1) et (2), ainsi que 39 du RGPD. Il en est de même des développements de la demanderesse quant à l’absence d’un quelconque préjudice ayant résulté des violations des obligations du RGPD retenues dans son chef, alors qu’il ne s’agit pas nécessairement d’un critère à prendre en compte pour la détermination de la sanction à prononcer.
Au vu des considérations qui précèdent et en l’absence de conclusions spécifiques à l’égard des mesures de mise en conformité ordonnées par la décision déférée, le recours est encore à rejeter quant à ce volet de l’affaire.
Au vu de l’issue du litige, il n’y a pas lieu de faire droit à la demande de la société … en allocation d’une indemnité de procédure de 2.500 euros sollicitée sur base des dispositions de l'article 33 de la loi modifiée du 21 juin 1999 portant règlement de procédure devant les juridictions administratives.
La CNPD omettant de justifier en quelle mesure il serait inéquitable qu’elle supporte seule les frais non inclus dans les dépens, elle est également à débouter de sa demande en allocation d’une indemnité de procédure d’un montant de 5.000 euros.
Par ces motifs, le tribunal administratif, quatrième chambre, statuant contradictoirement ;
se déclare compétent pour connaître du recours principal en réformation ;
le déclare recevable en la forme ;
quant au fond, le non justifié et en déboute ;
dit qu’il n’y a pas lieu de statuer sur le recours subsidiaire en annulation ;
rejette les demandes respectives en allocation d’une indemnité de procédure formulées par les parties ;
condamne la partie demanderesse aux frais et dépens de l’instance.
35Ainsi jugé et prononcé à l’audience publique du 14 mai 2024 par :
Paul Nourissier, vice-président, Olivier Poos, vice-président, Emilie Da Cruz De Sousa, premier juge, en présence du greffier Marc Warken.
s.Marc Warken s.Paul Nourissier Reproduction certifiée conforme à l’original Luxembourg, le 14 mai 2024 Le greffier du tribunal administratif 36