La Cour de justice européenne a condamné le groupe immobilier Deutsche Wohnen à une amende, partageant ainsi l'avis des défenseurs de la protection des données dans un débat juridique de fond. Le problème était que la personne morale qui se trouve derrière le groupe devait être tenue responsable, sans qu'il soit possible de prouver qu'un dirigeant a manqué à ses obligations en matière de protection des données.
Vous trouverez ici tout ce que vous devez savoir à ce sujet.
Autorité de protection des données : Amende contre un groupe
Le 30 novembre 2023, l'autorité de surveillance compétente en matière de protection des données avait déjà infligé au groupe une amende de 14,5 millions d'euros. La raison en était une violation du règlement général sur la protection des données (RGPD). Le groupe aurait enregistré de manière excessive les données des locataires.
Les autorités ont infligé l'amende à la personne morale qui gère l'entreprise.
Tribunal de grande instance : la procédure doit être abandonnée
L'entreprise a alors fait appel auprès du tribunal régional de Berlin.
Pour justifier sa décision, le tribunal régional a expliqué que les infractions à la protection des données sont considérées comme des infractions administratives en droit allemand. Selon le droit allemand, ces infractions ne peuvent être commises que par des personnes physiques, et non par des personnes morales.
En outre, le tribunal régional a critiqué les "graves défauts" de l'avis de contravention.
CJCE : une entreprise peut être sanctionnée
En fin de compte, la Cour de justice des Communautés européennes (CJCE) a dû se pencher sur la question de principe de savoir dans quelle mesure une personne morale exploitant une entreprise en Allemagne pouvait se voir infliger une amende au titre de la législation sur la protection des données sans qu'il soit possible de constater une infraction administrative commise par une personne physique.
La CJCE a statué comme suit : Pour que l'entreprise soit directement sanctionnée, il suffirait qu'il soit établi que des collaborateurs de l'entreprise ont commis une infraction à la législation sur la protection des données. Il n'est pas nécessaire d'identifier la personne qui a concrètement agi. Il n'est pas non plus nécessaire d'établir qu'une personne dirigeante a agi. En fin de compte, la CJUE considère que toute infraction commise par un employé constitue en fait une défaillance de la surveillance interne de l'entreprise.
Cette décision fondamentale sera également pertinente dans les futures procédures d'amendes et montre une fois de plus l'importance du respect des règles de protection des données pour les entreprises dans tous les domaines.
Vous avez besoin d'aide dans le domaine du droit de la protection des données ? Notre équipe d'experts se fera un plaisir de vous aider. Contactez-nous ici!
Français 
Deutsch 
English 
Español 
Polski