Une entité peut être considérée comme responsable de traitement et voir sa responsabilité engagée en cas de violation fautive du règlement (UE) 2016/679 (dit « RGPD ») commise par un sous-traitant (5 décembre)
Arrêt Nacionalinis visuomenės sveikatos centras (Grande chambre), aff. C-683/21
Saisie d’un renvoi préjudiciel par le Vilniaus apygardos administracinis teismas (Lituanie), la Cour de justice de l’Union européenne est invitée à se prononcer sur l’interprétation de la qualité de responsable de traitement dans le cadre du RGPD. En l’espèce, le Centre national de santé publique conteste une amende qu’il s’est vu infliger du fait de multiples violations du RGPD induites par la création, grâce à l’assistance d’une entreprise privée, d’une application mobile aux fins de suivi des données des personnes exposées au Covid-19. Dans un 1er temps, la Cour estime qu’au regard du RGPD, une entité qui a chargé une entreprise de développer une application informatique mobile, et qui a participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, peut être considérée comme responsable de traitement. Dans un 2ème temps, elle ajoute que cette entité reste responsable du traitement même si elle n’y a pas procédé elle-même, ou qu’elle n’y a pas donné explicitement son accord, ou même si elle n’a pas acquis cette même application mobile. Dans un 3ème temps, la Cour juge que 2 entités peuvent être qualifiées de responsables conjoints du traitement même si elles ne se sont pas accordées sur cela ou sur les finalités et les moyens du traitement des données à caractère personnel en cause. (CZ)