Une personne morale peut être tenue responsable d’une violation fautive du règlement (UE) 2016/679 (dit « RGPD ») commise par toute personne agissant pour son compte dans le cadre de son activité commerciale (5 décembre)
Arrêt Deutsche Wohnen (Grande chambre), aff. C-807/21
Saisie d’un renvoi préjudiciel par le Kammergericht Berlin (Allemagne), la Cour de justice de l’Union européenne a précisé le régime de responsabilité des personnes morales dans le cadre du RGPD. En l’espèce, une société immobilière allemande conteste une amende qui lui a été infligée pour avoir sauvegardé, plus longtemps que nécessaire, les données à caractère personnel de ses locataires. Elle estime que selon le droit national, elle ne peut être tenue pour responsable de la ladite violation car celle-ci n’a pas été imputée au préalable à une personne physique identifiée. Dans un 1er temps la Cour estime que lorsque le responsable du traitement est une personne morale, il engage sa responsabilité en vertu du RGPD sans qu’il soit nécessaire que la violation ait été commise par son organe de gestion ou que cet organe en ait eu connaissance. La responsabilité de la personne morale est engagée dès lors que ladite violation a été commise par toute autre personne qui agit dans le cadre de son activité commerciale et pour son compte. Dans un 2nd temps, elle rappelle que pour établir la responsabilité d’une personne morale du fait d’une violation du RGPD, il faut prouver que celle-ci a été commise de manière fautive, c’est-à-dire de façon délibérée ou par négligence. (CZ)