Droit civil et commercial européen : comment aborder les conflits de lois et de juridictions ?
Consulter ici
L’avocat, la justice et l’environnement
Consulter le dernier numéro ICI
Nouvelle chronique européenne
Ecouter
Une autorité de protection des données personnelles n’est pas obligée d’imposer des sanctions contre un responsable de traitement en cas de violation du règlement (UE) 2016/679 (dit « RGPD ») lorsque celles-ci ne sont pas nécessaires (26 septembre)
Arrêt Land Hessen, aff. C-768/21
Saisie d’un renvoi préjudiciel par le tribunal administratif de Wiesbaden (Allemagne), la Cour de justice de l’Union européenne a clarifié les prérogatives des autorités de protection des données personnelles en vertu du RGPD. En l’espèce, une caisse d’épargne avait omis d’informer son client du fait que ses données à caractère personnel avaient été illégalement consultées par l’une de ses employées. Celle-ci s’est vu infligée des sanctions disciplinaires, et a confirmé par écrit qu’elle n’avait ni copié, ni conservé ces données, ni ne les avaient transmises à des tiers. Saisie par le client, l’autorité de contrôle a conclu qu’il n’était pas nécessaire de prendre des mesures correctrices à l’égard du responsable de traitement. La Cour confirme qu’en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle dispose de marges de manœuvres pour prendre des mesures correctrices destinées à remédier à l’insuffisance constatée, qui comprend la possibilité de ne pas en imposer lorsque celles-ci ne sont pas nécessaires à raison des dispositions prises volontairement par le responsable de traitement à cette fin. (LF)
