Une autorité de protection des données personnelles n’est pas obligée d’imposer des sanctions contre un responsable de traitement en cas de violation du règlement (UE) 2016/679 (dit « RGPD ») lorsque celles-ci ne sont pas nécessaires (26 septembre)
Arrêt Land Hessen, aff. C-768/21
Saisie d’un renvoi préjudiciel par le tribunal administratif de Wiesbaden (Allemagne), la Cour de justice de l’Union européenne a clarifié les prérogatives des autorités de protection des données personnelles en vertu du RGPD. En l’espèce, une caisse d’épargne avait omis d’informer son client du fait que ses données à caractère personnel avaient été illégalement consultées par l’une de ses employées. Celle-ci s’est vu infligée des sanctions disciplinaires, et a confirmé par écrit qu’elle n’avait ni copié, ni conservé ces données, ni ne les avaient transmises à des tiers. Saisie par le client, l’autorité de contrôle a conclu qu’il n’était pas nécessaire de prendre des mesures correctrices à l’égard du responsable de traitement. La Cour confirme qu’en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle dispose de marges de manœuvres pour prendre des mesures correctrices destinées à remédier à l’insuffisance constatée, qui comprend la possibilité de ne pas en imposer lorsque celles-ci ne sont pas nécessaires à raison des dispositions prises volontairement par le responsable de traitement à cette fin. (LF)
