Deux arrêts de la CJUE (communiqué de presse) :
- C-807/21 : une APD peut infliger une amende uniquement en cas de comportement fautif (négligence ou violation délibérée). Est pris en compte le caractère infractionnel du comportement, pas la conscience de l'entité d'enfreindre le RGPD. Pas de responsabilité stricte / violation objective (dédommagement en dehors de toute faute). J'ai du mal à comprendre les conséquences concrètes éventuelles. Le reste du jugement, spécifique à l'Allemagne, rappelle qu'une personne morale peut être sanctionnée même si l'organe dirigeant n'était pas au courant ou que la faute est imputable à un salarié ou à tout personne qui agit pour son compte dans le cadre de son activité commerciale ;
- C‑683/21 : un responsable de traitement peut être sanctionné par une amende pour les actions de son sous-traitant sauf si ce dernier a fait des choses dans son dos ou a opéré avec des modalités incompatibles de celles données. La coresponsabilité se déduit d'une détermination des finalités et des moyens d'un traitement, pas besoin d'un accord formel, une décision commune ou des décisions convergentes suffisent. Rien de neuf.