Une autorité de protection des données peut-elle sanctionner des faits déjà pénalement sanctionnés? La réponse varie, d’un Etat à l’autre.
Le 8 décembre 2022, l’APD espagnole n’avait pas hésité à prononcer une amende administrative à l’encontre d’un mineur déjà sanctionné au pénal. A l’inverse, son homologue finlandaise estimait (le lendemain!) qu’elle n’était pas compétente si l’infraction était pénalement réprimable. La nuance est de taille : réprimable ne veut pas nécessairement dire réprimée.
𝐔𝐧𝐞 𝐝𝐢𝐯𝐞𝐫𝐠𝐞𝐧𝐜𝐞 𝐝’𝐢𝐧𝐭𝐞𝐫𝐩𝐫𝐞́𝐭𝐚𝐭𝐢𝐨𝐧 𝐩𝐫𝐨𝐛𝐥𝐞́𝐦𝐚𝐭𝐢𝐪𝐮𝐞
La règle « non bis in idem », garantie en UE, interdit en effet de punir pénalement deux fois pour une même infraction. Et cet adverbe doit être entendu largement, les sanctions administratives pouvant être prises en compte, au regard notamment de leur sévérité et de leur but répressif (CJUE, 20 mars 2018, n° C-524/15). Partant, des faits pénalement sanctionnés ne pourraient donner lieu à une sanction par une APD.
𝐋𝐞 𝐜𝐮𝐦𝐮𝐥 𝐝’𝐢𝐧𝐟𝐫𝐚𝐜𝐭𝐢𝐨𝐧𝐬 𝐞𝐭 𝐥𝐞 𝐑𝐆𝐏𝐃
Allons un peu plus loin, cette fois-ci, à propos du « cumul d’infractions ». Les APD ne craignent pas de sanctionner des opérateurs pour des manquements proches, voire nécessairement liés:
➡ atteinte au principe d’intégrité et de confidentialité et obligation de #sécurité (AEPD, 13 septembre 2023, Vodafone Espana ; GPDP, 21 décembre 2023 ; APD belge, 22 avril 2024, n° 60-2024);
➡ Manquement au Privacy by design en l’absence de certaines mesures de sécurité (ANSPDCP, 21 août 2023, n° 21.08.2023);
➡ Absence de base juridique entraine automatiquement violation du droit à l’information (APD belge, 1er août 2023, n° 105-2023).
Et j’en passe.
Cette pratique interroge, au regard des règles de droit pénal en matière de cumul d’infractions. Ainsi, l’agent poursuivi pour vol ne peut-il être poursuivi simultanément pour recel. L’un inclut l’autre, quasiment. Pas de jurisprudence sur ce point, en matière RGPD, à ma connaissance.
𝐔𝐧𝐞 𝐣𝐮𝐫𝐢𝐬𝐩𝐫𝐮𝐝𝐞𝐧𝐜𝐞 𝐞𝐧 𝐝𝐞𝐯𝐞𝐧𝐢𝐫 ?
Ceci étant, l’annulation de la délibération CNIL n° SAN-2020-014 du 7 décembre 2020 pour avoir sanctionné un défaut de notification d’une violation de donnée révélée au responsable de traitement par la CNIL (CE, 22 juillet 2022, n° 449694) pourrait donner une orientation, non?