Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

1 décision

sanction d'une personne morale

Juridiction
Toutes les juridictions

CJUE5 décembre 2023CJUE, grande chambre, 5 décembre 2023, Deutsche Wohnen, C-807/21, points 48, 60, 65, 75-77 Voir aussi: CJUE, grande chambre, 5 décembre 2023, Nacionalinis visuo menės sveikatos centras, C-683/21(source)

Principes 1) Amende imposée à l'encontre de personnes morales Illicéité d'une réglementation prévoyant qu'une amende administrative ne peut être infligée à une personne morale que pour autant que la violation a été imputée à une personne physique – 2) Sanction d'une personne morale – Conditions

1) Aucune disposition du RGPD ne permet de considérer que l'infliction d’une amende administrative à une personne morale en tant que responsable du traitement serait soumise à la constatation préalable que cette violation a été commise par une personne physique identifiée. En effet, si le règlement donne aux États membres la possibilité de prévoir des exigences concernant la procédure à suivre par les autorités de contrôle pour imposer une amende, il ne confère pas de marge d’appréciation aux États membres pour prévoir des conditions de fonds supplémentaires, relevant uniquement du droit de l’Union.

Une réglementation nationale ne peut donc prévoir qu’une amende administrative ne peut être infligée à une personne morale en sa qualité de responsable du traitement pour une violation visée aux paragraphes 4 à 6 de l’article 83 RGPD que pour autant que cette violation a été imputée préalablement à une personne physique identifiée.

2) La CJUE rappelle que les conditions de fond devant être respectées par une autorité de contrôle lorsqu’elle impose une amende administrative à un responsable du traitement relèvent uniquement du droit de l’Union, ces conditions étant fixées, de manière précise et sans laisser aux États membres de marge d’appréciation, à l’article 83, paragraphes 1 à 6, du RGPD. Or, l’article 83 du RGPD ne permet pas d’imposer une amende administrative pour une violation visée à ses paragraphes 4 à 6, sans qu’il soit établi que cette violation a été commise délibérément ou par négligence par le responsable du traitement, et que, partant, une violation fautive constitue une condition à l’imposition d’une telle amende.

Un responsable du traitement peut donc être sanctionné pour un comportement entrant dans le champ d’application du RGPD dès lors qu’il ne pouvait ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD. Lorsque le responsable du traitement est une personne morale, la CJUE rappelle que l’application de l’article 83 du RGPD ne suppose pas une action ou même une connaissance de l’organe de gestion de cette personne morale.