Depuis septembre 2025, un cadre est posé permettant la mise en vente sur des sites en ligne de certains médicaments vétérinaires. Cependant, certaines conditions techniques relatives à la mise en place du site devaient toujours être précisées. C’est désormais chose...
La loi de finances pour 2024 a apporté son lot de nouveautés concernant les investissements productifs réalisés en Outre-Mer. Ces mesures, dont l’application était jusqu’à présent différée, deviennent désormais effectives. Mais depuis quand ?Investissements Outre-mer...
Pour répondre à la crise du logement, la loi de simplification de l’urbanisme et du logement, dite également loi « Huwart », créé de nouvelles dérogations à la réglementation et aux documents d’urbanisme. Objectif de ce texte : lever les contraintes réglementaires...
Après les accidents causés par les airbags Takata, les pouvoirs publics ont pris une série de mesures afin d’informer les conducteurs de véhicules concernés et de leur permettre de faire changer rapidement le dispositif défectueux. Dans ce même objectif, à partir du...
Le compte personnel de formation (« CPF ») peut être alimenté par plusieurs financeurs : droits inscrits sur le compte, versements spécifiques, abondements de l’employeur ou d’autres organismes… L’ordre dans lequel la Caisse des dépôts doit mobiliser ces ressources...
Pour rappel, depuis le 1er janvier 2023, un dispositif assurantiel spécifique pour les agriculteurs a été mis en place. Pour inciter ces derniers à souscrire des contrats d’assurance, il était prévu que les taux d’indemnisation de la solidarité nationale baissent...
La dermatose nodulaire contagieuse (DNC) touche de plus en plus d’élevages en France. C’est pourquoi les mesures déjà prises pour limiter la propagation de la maladie sont en partie renforcées et prolongées…DNC : nouvelles obligations de vaccinations et restrictions...
Le financement de l’apprentissage repose sur un niveau de prise en charge (NPEC) fixé par les branches et mis en œuvre par les OPCO. De nouvelles règles, en vigueur depuis le 10 décembre 2025, encadrent ce mécanisme quant à la durée minimale du NPEC, aux délais de...
Comme chaque début d’année, le montant du Smic est revalorisé à partir du 1er janvier. Il en va de même du minimum garanti. Voici les montants à retenir applicables à compter du 1er janvier 2026…SMIC : une augmentation de 1,18 % pour 2026Chaque début d’année est...
Le secteur agricole peut bénéficier d’un nombre important de différentes subventions. Les montants de plusieurs d’entre elles viennent d’être précisés...Les aides ÉcorégimeLes agriculteurs qui le souhaitent peuvent, sur la base du volontariat, participer au programme...
En cas de violation de données à caractère personnel, l’autorité de contrôle doit-elle intervenir systématiquement ou peut-elle estimer qu’une telle intervention n’est pas utile au bon respect du RGPD ? Cette question a été posée dans une affaire récente à la Cour de justice de l’Union européenne (CJUE) dans le cadre d’un « renvoi préjudiciel ».
Focus sur le renvoi préjudiciel
Lorsqu’un juge d’un État membre de l’UE est face à une incertitude sur l’application d’une règle du droit de l’UE dans une affaire, il a la possibilité de recourir à la procédure du renvoi préjudiciel.
Cette procédure lui permet d’interroger la CJUE sur la façon d’appliquer le droit de l’UE. Une fois que la CJUE s’est exprimée, il revient au juge national de trancher son cas en appliquant correctement la règle grâce à la réponse obtenue.
Notez que les réponses de la CJUE, au même titre que le droit de l’UE, valent pour tous les pays membres. Ainsi, peu importe de quel pays provient le renvoi préjudiciel, le juge français devra se servir de cette réponse dans son application des règles de l’UE.
L’affaire en question
Une banque allemande constate qu’une salariée a consulté plusieurs fois des données à caractère personnel d’un client… sans être habilitée pour une telle consultation !
Le délégué à la protection des données (DPO), c’est-à-dire la personne chargée d’accompagner la banque dans le respect du RGPD, conclut que cette violation des données n’est pas susceptible d’engendrer de risque élevé à l’égard du client.
La banque décide donc de ne pas prévenir ce dernier de cet incident. En revanche, elle prend plusieurs mesures :
elle obtient de la part de sa salariée un écrit indiquant qu’elle n’a ni copié, ni conservé, ni transmis les informations consultées et dans lequel elle s’engage à ne pas recommencer ; elle prend à l’encontre de cette salariée des mesures disciplinaires ; elle notifie l’incident à l’autorité de contrôle (qui correspondrait à la CNIL en France).
Sauf que le client apprend que ses données personnelles ont été consultées par une personne non habilitée. Ne voulant pas en rester là, le client se tourne vers l’autorité de contrôle et de protection des données.
L’autorité en question, au regard de la situation et des réponses déjà apportées par la banque, conclut que des mesures correctrices à l’égard de la banque ne sont pas nécessaires et clos le dossier.
« Insuffisant ! », selon le client, qui se tourne vers le juge et lui demande d’ordonner à l’autorité d’intervenir auprès de la banque via, notamment, une amende.
D’où la question préjudicielle du juge allemand : en cas de violation des données personnelles, l’autorité compétente doit-elle nécessairement intervenir et prendre des mesures correctrices ou dispose-t-elle d’une marge d’appréciation ?
La CJUE donne une réponse claire : l’autorité n’a pas l’obligation de prendre de mesure, et encore moins d’amende, si une telle intervention n’est pas nécessaire pour garantir le respect du RGPD.
Ainsi, le RGPD laisse la possibilité à l’autorité d’apprécier l’opportunité d’agir. Son action devient nécessaire uniquement si elle est utile pour appliquer correctement le RGPD.
En conclusion, le juge doit vérifier que l’autorité a bien respecté cet impératif. Si c’est le cas, il pourra valider son choix de ne pas ordonner de mesure correctrice.
Violation du RGDP = intervention automatique ? – © Copyright WebLex