Violation du RGDP = intervention automatique ?

En cas de violation de données à caractère personnel, l’autorité de contrôle doit-elle intervenir systématiquement ou peut-elle estimer qu’une telle intervention n’est pas utile au bon respect du RGPD ? Cette question a été posée dans une affaire récente à la Cour de justice de l’Union européenne (CJUE) dans le cadre d’un « renvoi préjudiciel ».

Autorité de contrôle : quelle marge d’appréciation ?

Focus sur le renvoi préjudiciel

Lorsqu’un juge d’un État membre de l’UE est face à une incertitude sur l’application d’une règle du droit de l’UE dans une affaire, il a la possibilité de recourir à la procédure du renvoi préjudiciel.

Cette procédure lui permet d’interroger la CJUE sur la façon d’appliquer le droit de l’UE. Une fois que la CJUE s’est exprimée, il revient au juge national de trancher son cas en appliquant correctement la règle grâce à la réponse obtenue.

Notez que les réponses de la CJUE, au même titre que le droit de l’UE, valent pour tous les pays membres. Ainsi, peu importe de quel pays provient le renvoi préjudiciel, le juge français devra se servir de cette réponse dans son application des règles de l’UE.

L’affaire en question

Une banque allemande constate qu’une salariée a consulté plusieurs fois des données à caractère personnel d’un client… sans être habilitée pour une telle consultation !

Le délégué à la protection des données (DPO), c’est-à-dire la personne chargée d’accompagner la banque dans le respect du RGPD, conclut que cette violation des données n’est pas susceptible d’engendrer de risque élevé à l’égard du client.

La banque décide donc de ne pas prévenir ce dernier de cet incident. En revanche, elle prend plusieurs mesures :

  • elle obtient de la part de sa salariée un écrit indiquant qu’elle n’a ni copié, ni conservé, ni transmis les informations consultées et dans lequel elle s’engage à ne pas recommencer ;
  • elle prend à l’encontre de cette salariée des mesures disciplinaires ;
  • elle notifie l’incident à l’autorité de contrôle (qui correspondrait à la CNIL en France).

Sauf que le client apprend que ses données personnelles ont été consultées par une personne non habilitée. Ne voulant pas en rester là, le client se tourne vers l’autorité de contrôle et de protection des données.

L’autorité en question, au regard de la situation et des réponses déjà apportées par la banque, conclut que des mesures correctrices à l’égard de la banque ne sont pas nécessaires et clos le dossier.

« Insuffisant ! », selon le client, qui se tourne vers le juge et lui demande d’ordonner à l’autorité d’intervenir auprès de la banque via, notamment, une amende.

D’où la question préjudicielle du juge allemand : en cas de violation des données personnelles, l’autorité compétente doit-elle nécessairement intervenir et prendre des mesures correctrices ou dispose-t-elle d’une marge d’appréciation ?

La CJUE donne une réponse claire : l’autorité n’a pas l’obligation de prendre de mesure, et encore moins d’amende, si une telle intervention n’est pas nécessaire pour garantir le respect du RGPD.

Ainsi, le RGPD laisse la possibilité à l’autorité d’apprécier l’opportunité d’agir. Son action devient nécessaire uniquement si elle est utile pour appliquer correctement le RGPD.

En conclusion, le juge doit vérifier que l’autorité a bien respecté cet impératif. Si c’est le cas, il pourra valider son choix de ne pas ordonner de mesure correctrice.

Violation du RGDP = intervention automatique ? - © Copyright WebLex


Articles similaires

Derniers articles

Fraude sociale : de nouveaux moyens de détection

Fraude sociale : de nouveaux moyens de détection

17 Juil 2026

La lutte contre la fraude sociale se renforce aussi en amont, avec de nouveaux outils pour mieux détecter les situations suspectes. Tour d’horizon des principales mesures destinées à faciliter les contrôles, améliorer l’accès aux informations utiles et renforcer les moyens d’action des organismes concernés.

C’est l’histoire d’un entrepreneur pour qui, avant l’heure, ce n’est pas l’heure…

C’est l’histoire d’un entrepreneur pour qui, avant l’heure, ce n’est pas l’heure…

17 Juil 2026

C’est l’histoire d’un entrepreneur pour qui, avant l’heure, ce n’est pas l’heure…

Vétérinaire sanitaire : une meilleure prise en charge de l’État

Vétérinaire sanitaire : une meilleure prise en charge de l’État

17 Juil 2026

Les vétérinaires sanitaires sont des professionnels habilités par les préfets pour mener à bien des missions de santé publique vétérinaire. Un dispositif permettant de mieux rémunérer les vétérinaires à l’occasion de l’exercice de ces missions est mis en place…