Pour les baux d’habitation, le congé donné par le bailleur au locataire est soumis à de strictes conditions et des conditions supplémentaires s’ajoutent lorsque le locataire a plus de 65 ans : en plus de l’âge, les revenus du locataire rentrent dans l’équation…Congé...
Le Règlement général pour la protection des données (RGPD) donne des droits aux personnes concernées afin qu’elles puissent rester maitresses des données les concernant. Ces droits font néanmoins l’objet d’exceptions, dont certaines doivent être précisées…Droit à...
Les associations et les fondations reconnues d’utilité publique ont l’obligation de rédiger un règlement intérieur pour préciser l’application de leurs statuts. À ce sujet, des précisions viennent d’être apportées quant au contenu de ce document obligatoire pour...
Lorsqu’un consommateur ou un non-professionnel signe un prêt bancaire, un certain nombre de règles protectrices s’appliquent. Mais qu’en est-il lorsque le débiteur est une association qui contracte un prêt pour son activité ? Est-elle professionnelle ou...
Lors du développement d’un médicament ou d’une nouvelle méthode de soins, différentes phases se succèdent. Proches de la fin de la phase du développement, on retrouve les essais cliniques, c’est-à-dire les essais sur les humains. Depuis 2022, les règles...
Le licenciement d’une salariée enceinte en méconnaissance de son statut de protection dédié est nul. Dans ce cas, quelles sont les indemnités auxquelles la salariée peut prétendre ? Réponse du juge.Brefs rappels autour du licenciement nul d’une salariée enceintePour...
Les filières bovine, ovine, caprine, porcine, avicole, apicole et équine sont soumises à des visites sanitaires obligatoires qui permettent, notamment, de collecter des données utiles pour leur protection. Afin d’aller plus loin, une expérimentation est menée depuis...
Les services de soins infirmiers à domicile (SSIAD) font partie des dispositifs mis en place pour maintenir le plus longtemps et dans les meilleures conditions possibles les personnes âgées, malades ou handicapées à leur domicile. Les forfaits rémunérant les SSIAD,...
À l’occasion de la vente de titres de société, le vendeur peut, toutes conditions remplies, bénéficier d’un abattement pour durée de détention ou pour départ à la retraite, les 2 abattements n’étant pas cumulables. Mais ce principe de non-cumul s’applique-t-il pour...
Moderniser et renforcer la profession de commissaire aux comptes, tels sont les enjeux de 11 nouvelles normes professionnelles dont la révision vient d’être homologuée. En quoi consistent ces normes pour les commissaires aux comptes ? Revue de détails… Commissaires...
En cas de violation de données à caractère personnel, l’autorité de contrôle doit-elle intervenir systématiquement ou peut-elle estimer qu’une telle intervention n’est pas utile au bon respect du RGPD ? Cette question a été posée dans une affaire récente à la Cour de justice de l’Union européenne (CJUE) dans le cadre d’un « renvoi préjudiciel ».
Focus sur le renvoi préjudiciel
Lorsqu’un juge d’un État membre de l’UE est face à une incertitude sur l’application d’une règle du droit de l’UE dans une affaire, il a la possibilité de recourir à la procédure du renvoi préjudiciel.
Cette procédure lui permet d’interroger la CJUE sur la façon d’appliquer le droit de l’UE. Une fois que la CJUE s’est exprimée, il revient au juge national de trancher son cas en appliquant correctement la règle grâce à la réponse obtenue.
Notez que les réponses de la CJUE, au même titre que le droit de l’UE, valent pour tous les pays membres. Ainsi, peu importe de quel pays provient le renvoi préjudiciel, le juge français devra se servir de cette réponse dans son application des règles de l’UE.
L’affaire en question
Une banque allemande constate qu’une salariée a consulté plusieurs fois des données à caractère personnel d’un client… sans être habilitée pour une telle consultation !
Le délégué à la protection des données (DPO), c’est-à-dire la personne chargée d’accompagner la banque dans le respect du RGPD, conclut que cette violation des données n’est pas susceptible d’engendrer de risque élevé à l’égard du client.
La banque décide donc de ne pas prévenir ce dernier de cet incident. En revanche, elle prend plusieurs mesures :
elle obtient de la part de sa salariée un écrit indiquant qu’elle n’a ni copié, ni conservé, ni transmis les informations consultées et dans lequel elle s’engage à ne pas recommencer ; elle prend à l’encontre de cette salariée des mesures disciplinaires ; elle notifie l’incident à l’autorité de contrôle (qui correspondrait à la CNIL en France).
Sauf que le client apprend que ses données personnelles ont été consultées par une personne non habilitée. Ne voulant pas en rester là, le client se tourne vers l’autorité de contrôle et de protection des données.
L’autorité en question, au regard de la situation et des réponses déjà apportées par la banque, conclut que des mesures correctrices à l’égard de la banque ne sont pas nécessaires et clos le dossier.
« Insuffisant ! », selon le client, qui se tourne vers le juge et lui demande d’ordonner à l’autorité d’intervenir auprès de la banque via, notamment, une amende.
D’où la question préjudicielle du juge allemand : en cas de violation des données personnelles, l’autorité compétente doit-elle nécessairement intervenir et prendre des mesures correctrices ou dispose-t-elle d’une marge d’appréciation ?
La CJUE donne une réponse claire : l’autorité n’a pas l’obligation de prendre de mesure, et encore moins d’amende, si une telle intervention n’est pas nécessaire pour garantir le respect du RGPD.
Ainsi, le RGPD laisse la possibilité à l’autorité d’apprécier l’opportunité d’agir. Son action devient nécessaire uniquement si elle est utile pour appliquer correctement le RGPD.
En conclusion, le juge doit vérifier que l’autorité a bien respecté cet impératif. Si c’est le cas, il pourra valider son choix de ne pas ordonner de mesure correctrice.
Violation du RGDP = intervention automatique ? – © Copyright WebLex