---
title: "Sanctions des organismes en cas de violations constatées, quelle est la marge d’appréciation dont disposent les autorités de protection des données ?"
id: "3177"
type: "post"
slug: "sanctions-des-organismes-en-cas-de-violations-constatees-quelle-est-la-marge-de-dappreciation-dont-disposent-les-autorites-de-protection-des-donnees"
published_at: "2025-01-10T14:46:56+00:00"
modified_at: "2026-03-03T09:56:24+00:00"
url: "https://augustdeboustg.wpenginepowered.com/article-juridique/sanctions-des-organismes-en-cas-de-violations-constatees-quelle-est-la-marge-de-dappreciation-dont-disposent-les-autorites-de-protection-des-donnees/"
markdown_url: "https://augustdeboustg.wpenginepowered.com/article-juridique/sanctions-des-organismes-en-cas-de-violations-constatees-quelle-est-la-marge-de-dappreciation-dont-disposent-les-autorites-de-protection-des-donnees.md"
taxonomy_category:
  - "Article"
taxonomy_language:
  - "Français"
taxonomy_tax_expertise:
  - "Données personnelles et cybersécurité"
---

Menu          Interagir avec notre IA

 Expertises (66) Transactionnel- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/)
- [Commande publique](https://augustdeboustg.wpenginepowered.com/expertise/commande-publique/)
- [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/)
- [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/)
- [Contrats commerciaux et internationaux](https://augustdeboustg.wpenginepowered.com/expertise/contrats-commerciaux-et-internationaux/)
- [Contrôle des investissements étrangers](https://augustdeboustg.wpenginepowered.com/expertise/controle-des-investissements-etrangers/)
- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/)
- [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/)
- [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/)
- [Financement](https://augustdeboustg.wpenginepowered.com/expertise/financement/)
- [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/)
- [Fusions-acquisitions](https://augustdeboustg.wpenginepowered.com/expertise/fusions-acquisitions/)
- [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/expertise/immobilier-et-construction/)
- [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/)
- [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/)
- [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/)
- [Marchés de capitaux](https://augustdeboustg.wpenginepowered.com/expertise/marches-de-capitaux/)
- [Private equity](https://augustdeboustg.wpenginepowered.com/expertise/private-equity/)
- [Projets et Infrastructure](https://augustdeboustg.wpenginepowered.com/expertise/projets-et-infrastructure-2/)
- [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/)
- [Restructuring](https://augustdeboustg.wpenginepowered.com/expertise/restructuring/)
- [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/)
- [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/)

Résolution des litiges- [Actions de groupe](https://augustdeboustg.wpenginepowered.com/expertise/actions-de-groupe/)
- [Arbitrage et MARD](https://augustdeboustg.wpenginepowered.com/expertise/arbitrage-et-mard/)
- [Contentieux administratifs et publics](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-administratifs-et-publics-2/)
- [Contentieux boursiers](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-boursiers/)
- [Contentieux brevets](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-brevets/)
- [Contentieux commercial et corporate](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-commercial-et-corporate-2/)
- [Contentieux constitutionnels](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-constitutionnels-2/)
- [Contentieux de la concurrence](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-concurrence-consommation-et-distribution/)
- [Contentieux du droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-du-droit-du-travail-et-de-la-securite-sociale-2/)
- [Contentieux environnementaux et ESG](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-environnementaux-et-esg-2/)
- [Contentieux européens](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-europeens/)
- [Contentieux fiscaux](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-fiscaux/)
- [Contentieux immobiliers, construction et urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-immobiliers-construction-et-urbanisme/)
- [Contentieux produits défectueux et assurance](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-produits-defectueux-et-assurance/)
- [Contentieux propriété intellectuelle, média et presse](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-propriete-intellectuelle-media-et-presse/)
- [Contentieux tech, digital et data](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-tech-digital-et-data/)
- [Droit pénal des affaires et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/droit-penal-des-affaires-et-enquetes/)
- [Procédures collectives](https://augustdeboustg.wpenginepowered.com/expertise/procedures-collectives/)

Conseil- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/)
- [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/)
- [Droit des assurances](https://augustdeboustg.wpenginepowered.com/expertise/droit-des-assurances/)
- [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/)
- [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/)
- [Gouvernance et Droit des sociétés](https://augustdeboustg.wpenginepowered.com/expertise/gouvernance-et-droit-des-societes-2/)
- [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/)
- [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/)
- [Private Clients](https://augustdeboustg.wpenginepowered.com/expertise/private-clients/)
- [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/)
- [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/)
- [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/)

Réglementaire- [Actifs numériques et cryptoactifs](https://augustdeboustg.wpenginepowered.com/expertise/actifs-numeriques-et-cryptoactifs/)
- [Compliance et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/compliance-et-enquetes/)
- [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/)
- [Conformité et sécurité des produits](https://augustdeboustg.wpenginepowered.com/expertise/conformite-et-securite-des-produits/)
- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/)
- [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/)
- [Droit de l’environnement et de l’urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/droit-de-lenvironnement-et-de-lurbanisme/)
- [Droit européen](https://augustdeboustg.wpenginepowered.com/expertise/droit-europeen-2/)
- [Droit public](https://augustdeboustg.wpenginepowered.com/expertise/droit-public/)
- [ESG](https://augustdeboustg.wpenginepowered.com/expertise/esg-2/)
- [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/)
- [Régulation numérique et technologique](https://augustdeboustg.wpenginepowered.com/expertise/regulation-numerique-et-technologique/)
- [Sanctions internationales et contrôle des exportations](https://augustdeboustg.wpenginepowered.com/expertise/sanctions-internationales-et-controle-des-exportations/)

  Secteurs (13) - [Aéronautique et Défense](https://augustdeboustg.wpenginepowered.com/secteur/aeronautique-et-defense/)
- [Banque et Finance](https://augustdeboustg.wpenginepowered.com/secteur/1704/)
- [Data Centers](https://augustdeboustg.wpenginepowered.com/secteur/data-centers/)
- [Energie](https://augustdeboustg.wpenginepowered.com/secteur/energie/)
- [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/secteur/immobilier-et-construction/)
- [Industrie](https://augustdeboustg.wpenginepowered.com/secteur/industrie/)
- [Infrastructures](https://augustdeboustg.wpenginepowered.com/secteur/infrastructures/)
- [Luxe – Retail](https://augustdeboustg.wpenginepowered.com/secteur/luxe-retail/)
- [Médias](https://augustdeboustg.wpenginepowered.com/secteur/medias/)
- [Santé et Sciences de la vie](https://augustdeboustg.wpenginepowered.com/secteur/sante-et-sciences-de-la-vie/)
- [Sport](https://augustdeboustg.wpenginepowered.com/secteur/sport/)
- [Tech & Digital](https://augustdeboustg.wpenginepowered.com/secteur/tech-digital/)
- [Télécoms](https://augustdeboustg.wpenginepowered.com/secteur/telecoms/)

Cet article résumé en une minute avec l’IA

Dans un arrêt en date du 26 septembre 2024[[1]](#_ftn1)
, la Cour de justice de l’Union européenne (« **CJUE** ») a indiqué que l’autorité de protection des données qui constate une violation avérée des dispositions relatives à la protection des données à caractère personnel, n’est pas tenue d’adopter dans tous les cas une mesure correctrice au titre de l’article 58, paragraphe 2, du Règlement général sur la protection des données (« **RGPD** »)[[2]](#_ftn2)
 en particulier une amende administrative.

*Résumé des faits*

Le 15 novembre 2019, un organisme notifie une violation de données à caractère personnel à l’autorité de protection des données compétente (Commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne) car une employée avait consulté à plusieurs reprises des données à caractère personnel d’un client de l’organisme.

L’organisme décide de ne pas communiquer la violation à la personne concernée.

La personne concernée prend incidemment connaissance du fait que ses données à caractère personnel ont été indûment consultées. Elle introduit une réclamation auprès de l’autorité de protection des données compétente notamment pour (i) manquement à l’obligation de communiquer la violation de données à caractère personnel[[3]](#_ftn3)
 et (ii) manquement à l’obligation d’assurer la sécurité des données[[4]](#_ftn4)
, en reprochant à l’organisme la durée de conservation des journaux (trois mois en l’espèce[[5]](#_ftn5)
) et la gestion des habilitations.

A la suite de la réclamation, l’autorité de protection des données compétente entend l’organisme qui a indiqué ne pas avoir procédé à une communication de la violation de données à caractère personnel car son délégué à la protection des données avait estimé qu’il n’y avait pas de risque élevé pour les droits et les libertés de la personne concernée. En effet, (i) des mesures disciplinaires avaient été prises contre l’employée, (ii) l’employée avait confirmé par écrit qu’elle n’avait ni copié ni conservé les données à caractère personnel, qu’elle ne les avait pas transmises à des tiers et qu’elle ne le ferait pas à l’avenir.

Par une décision du 3 septembre 2020, l’autorité de protection des données compétente considère que l’organisme n’a pas enfreint l’article 34 du RGPD puisque même si les données avaient été consultées par l’employée, rien n’indiquait que celle‑ci les avait transmises à des tiers ou les avait utilisées au détriment de la personne concernée. Elle précise également qu’un contrôle de principe de chaque accès aux documents n’est pas nécessaire puisque des droits d’accès étendus peuvent, en principe, être accordés à des salariés à condition qu’ils soient informés des conditions dans lesquelles ils peuvent accéder aux documents.

La personne concernée introduit un recours contre la décision prise par l’autorité de protection des données compétente devant le tribunal administratif compétent (Tribunal administratif de Wiesbaden, Allemagne). Elle considère qu’elle aurait dû infliger une amende administrative à l’organisme.

Le tribunal administratif allemand décide de poser la question préjudicielle suivante à la CJUE : « *Les dispositions combinées de l’article 57, paragraphe 1, sous a) et f), de l’article 58, paragraphe 2, sous a) à j), et de l’article 77, paragraphe 1, du [RGPD] doivent-elles être interprétées en ce sens que l’autorité de contrôle est toujours tenue d’intervenir au titre de l’article 58, paragraphe 2, [de ce règlement] lorsqu’elle constate un traitement de données qui empiète sur les droits de la personne concernée ?* ».

Autrement dit, le tribunal s’interroge sur le point de savoir si en cas de violation avérée de dispositions relatives à la protection de données à caractère personnel, le RGPD doit être interprété en ce sens que l’autorité de protection des données est tenue d’adopter des mesures correctrices telle une amende administrative, ou bien en ce sens que cette autorité dispose d’un pouvoir d’appréciation qui l’autorise, selon les circonstances, à s’abstenir de prendre de telles mesures.

*Appréciation de la CJUE*

La CJUE indique que le RGPD laisse à l’autorité de protection des données une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée et garantir le plein respect du RGPD.

En effet, l’article 58, paragraphe 2 du RGPD confère à l’autorité le pouvoir d’adopter diverses mesures correctrices. A cet égard, la Cour rappelle l’arrêt du 16 juillet 2020 (Facebook Ireland et Schrems, C‑311/18, point 112) dans lequel elle a considéré que le choix du moyen approprié et nécessaire relève de l’autorité de protection des données, qui doit opérer ce choix en prenant en considération toutes les circonstances du cas concret et en s’acquittant avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD.

La marge d’appréciation laissée à l’autorité est cependant limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles.

S’agissant, plus particulièrement, des amendes administratives, la Cour précise qu’elles sont imposées, selon les caractéristiques propres à chaque cas d’espèce, en complément ou à la place d’autres mesures correctrices. En outre, pour décider s’il y a lieu d’imposer une amende administrative et pour décider de son montant, l’autorité de protection des données doit dûment tenir compte de différents éléments, tels que la nature, la gravité et la durée de la violation.

Par conséquent, il ne saurait être déduit ni de l’article 58, paragraphe 2, du RGPD ni de l’article 83 du RGPD l’existence d’une obligation à la charge de l’autorité de protection des données d’adopter, dans tous les cas, lorsqu’elle constate une violation de données à caractère personnel, une mesure correctrice, en particulier une amende administrative.

La personne concernée ne dispose pas d’un droit subjectif à voir l’autorité de protection des données imposer une amende administrative au responsable du traitement.

La Cour précise toutefois que l’autorité de protection des données est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices est, compte tenu de toutes les circonstances du cas d’espèce, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD. Cependant, l’adoption d’une mesure correctrice peut, à titre exceptionnel et compte tenu des circonstances particulières du cas d’espèce, ne pas s’imposer lorsque trois conditions cumulatives suivantes sont réunies :

- La situation de violation du RGPD a déjà été rétablie,
- La conformité des traitements de données à caractère personnel au RGPD est assurée, et
- L’abstention de prononcer une mesure correctrice n’est pas de nature à porter atteinte à l’exigence d’une application rigoureuse des règles prévues par le RGPD.

Tel pourrait être le cas, notamment, lorsque le responsable du traitement, qui avait, en principe, mis en œuvre des mesures techniques et organisationnelles appropriées, a, dès qu’il a eu connaissance de cette violation, pris les mesures appropriées et nécessaires pour remédier à la violation conformément aux obligations qui lui incombent en vertu du RGPD.

Le tribunal administratif allemand devra maintenant vérifier que l’autorité de protection des données a procédé au traitement de la réclamation concernée avec toute la diligence requise et si, en adoptant la décision en cause au principal, elle a respecté les limites de la marge d’appréciation que lui confère l’article 58, paragraphe 2, du RGPD.

[[1]](#_ftnref1)
 Arrêt de la CJUE (TR et Land Hessen, C‑768/20).

[[2]](#_ftnref2)
 Article relatif aux pouvoirs dont disposent les autorités de protection des données et notamment des pouvoirs d’enquêter et d’adopter des mesures correctives.

[[3]](#_ftnref3)
 Article 34 du RGPD.

[[4]](#_ftnref4)
 Article 32 du RGPD.

[[5]](#_ftnref5)
 La CNIL préconise dans son guide sur la sécurité des données personnelles de conserver les journaux sur une période glissante comprise entre six mois et un an (sauf, par exemple, en cas d’obligation légale portant sur cette durée de conservation, de besoin de gestion des contentieux, de contrôle interne ou encore d’un besoin identifié d’analyse post-incident).

Partager l’article

- Linkedin
- Copier le lien

Cet article résumé en une minute avec l’IA

### Auteurs

2

- [Florence Chafiol](https://augustdeboustg.wpenginepowered.com/collaborateur/florence-chafiol/)
- [Alexandra Antalis](https://augustdeboustg.wpenginepowered.com/collaborateur/alexandra-antalis/)

### Expertise

1

- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/tax-expertise/donnees-personnelles-et-cybersecurite/)

## Découvrir d’autres contenus *qui pourraient vous intéresser*

Actualités

[09/03/26 Article 13 min Le secret médical à l’épreuve des cyberattaques : réflexions autour du cas Cegedim Santé Découvrir](https://augustdeboustg.wpenginepowered.com/article-juridique/le-secret-medical-a-lepreuve-des-cyberattaques-reflexions-autour-du-cas-cegedim-sante/)
[19/02/26 Données personnelles et cybersécurité 0 min Groupe Énergétique – Stratégie mondiale de transferts de données Conseil à un leader du secteur de l'énergie dans la définition d'une stratégie internationale de transferts de données conforme au RGPD, incluant l’analyse des BCR et la structuration des responsabilités entre entités européennes. Découvrir](https://augustdeboustg.wpenginepowered.com/business-case/groupe-energetique-strategie-mondiale-de-transferts-de-donnees/)
[19/02/26 Données personnelles et cybersécurité 0 min Groupe de Services à l’Environnement – Gouvernance et conformité RGPD Conseil à un groupe de services à l'environnement sur la mise en œuvre de sa gouvernance RGPD : rédaction de modèles contractuels, gestion des droits d'accès, qualification des rôles et harmonisation des pratiques internes. Découvrir](https://augustdeboustg.wpenginepowered.com/business-case/groupe-de-services-a-lenvironnement-gouvernance-et-conformite-rgpd/)