Dégagé dans les années 60 / 70, le principe de sécurité juridique est désormais une constante. Récemment, la Cour Européenne des Droits de l’Homme a considéré comme y portant atteinte l’absence de prescription des fautes disciplinaires (Volkov c/ Ukraine, 2013).
Qu’est-ce qui distingue les manquements au RGPD d’une faute disciplinaire? Pas grand chose, surtout pour les manquements les plus sévèrement sanctionnés qui relèvent de la « matière pénale ».
En ce domaine, aux contours plus ou moins flous, une constante XXX : passé un certain temps, la prescription est acquise et exclut toute poursuite.
Pourtant, Etats membres, juridictions et autorités de protection des données ne s’alignent pourtant pas sur cette position.
Alors que la CNIL et le Tribunal de l’UE concluent en faveur d’une imprescriptibilité des faits, sous réserve pour les poursuites administratives d’intervenir dans un délai raisonnable (TUE, ord, 12 décembre 2014, n° T-342/14 ; SAN-2020-018), l’Autriche a posé une règle de prescription des poursuites (BVwG, 7 juin 2024, n° W256 2246230-1) et de forclusion des plaintes (BVwG, 12 June 2023, n° W252 2246883-1). Même chose en Espagne (AEPD, 22 avril 2024, n° EXP202307483). En Croatie, une juridiction équivalent à nos tribunaux administratifs a, dans le silence des textes, retenu quant à elle l’application des délais de prescription légaux (Upravni sud u Zagrebu, 5 février 2024, n° Usl-4017/23-6).
Dans un tel contexte, et alors que l’objectif du RGPD est d’uniformiser les règles applicables aux responsables de traitement, indifféremment de leur Etat d’installation, cette différence de traitement ne porte-t-elle pas atteinte à la sécurité juridique des protagonistes?
En apparence, à tout le moins.
En droit, malheureusement, la solution pourrait être toute différente.
En effet, dans un arrêt Chambeau c/ France du 5 novembre 2024, la CEDH est revenu sur sa décision Volkov en considérant que l’imprescriptibilité de la faute disciplinaire de l’avocat était conforme à la convention européenne.
Qu’en conclure? Qu’en France, toute personne impliquée dans un traitement de données sera traitée avec autant de rigueur qu’un professionnel du droit? Que la faute disciplinaire de l’un ou l’autre est par nature plus grave que celle d’un médecin, prescrite après 30 ans, voire d’un fonctionnaire, impossible à sanctionner après 3 ans?
N’en demeure pas moins une certitude : la différence de traitement d’un Etat à l’autre peut constituer une inégalité de traitement. Au législateur de la traiter, me direz-vous.
Pas tout à fait. Cette inégalité de traitement peut suffire à faire tomber une procédure, même purement interne.
Avez-vous eu à gérer de telles situations? Qu’en pensez-vous? Partagez vos avis en commentaires.
Un différent en lien avec la protection des données ? besoin d’un accompagnement stratégique dans les suites d’un contrôle CNIL? N’hésitez pas à me contacter.