RGPD : la Cour constitutionnelle valide l’inapplication des amendes administratives aux autorités publiques

Le 22 jan 2021Secteur public

Une autorité publique belge ne peut être sanctionnée financièrement si elle manque à ses obligations en matière de traitement de données à caractère personnel. Pour autant, elle demeure strictement tenue au respect du RGPD.

Contexte

Le Règlement Général sur la Protection des Données (« RGPD ») prévoit différentes sanctions à charge des organisations qui violent les dispositions du règlement (avertissement, rappel à l’ordre, limitation de traitement, etc.). 

Les autorités de contrôle sont en outre habilitées à appliquer des amendes administratives, qui peuvent être particulièrement lourdes (jusqu’à 20.000.000 EUR ou 4 % du chiffre d’affaires annuel mondial total).

Cependant, les États-membres ont reçu la possibilité de prévoir des règles dérogatoires envers les autorités publiques. En Belgique, la loi du 30 juillet 2018 dispose ainsi qu’aucune amende administrative ne peut être appliquée aux autorités publiques (ni à leur préposés ou mandataires), sauf s’il s’agit d’une personne morale de droit public qui offre des biens ou des services sur un marché. 

La Fédération des Entreprises de Belgique (« FEB ») avait introduit un recours en annulation contre cette disposition, constitutive, selon elle, d’une discrimination injustifiée envers les entreprises privées. 

L’arrêt de la Cour constitutionnelle

Selon la Cour constitutionnelle, les responsables de traitement relevant du secteur public et du secteur privé sont deux catégories de personnes comparables. 

Dès lors, aucune différence de traitement ne peut être admise entre ces catégories, sauf si celle-ci repose sur un critère objectif et si elle est raisonnablement justifiée. 

La Cour constate que la disposition attaquée exclut toute amende administrative à l’égard des autorités publiques, sauf exceptions. Ces exceptions reposent sur deux critères objectifs : la « qualité » de la personne (une personne morale de droit public) et l’activité qu’elle exerce (offrir des biens et services sur un marché).

En outre, la différence de traitement se justifie par la nécessité d’assurer la continuité du service public et de ne pas mettre en péril l’exercice d’une mission d’intérêt général. 

Enfin, cette différence de traitement est jugée proportionnée :

  • D’une part, elle évite d’ajouter un « poids financier » aux autorités publiques, pouvant porter atteinte à la continuité du service public ;
  • D’autre part, d’autres sanctions permettent, le cas échéant, de tenir les autorités responsables en cas de non-respect des dispositions applicables au traitement des données à caractère personnel. 

Par conséquent, la Cour constitutionnelle rejette le recours en annulation.

Que retenir ?

La loi du 30 juillet 2018 exonère les autorités publiques (à l’exclusion des personnes morales de droit public qui offrent des biens et des services sur un marché) de la sanction de l’amende administrative, en cas de non-respect des règles en matière de traitement des données à caractère personnel. 

Selon la Cour constitutionnelle, cette règle dérogatoire induit, certes, une différence de traitement entre les responsables de traitement privés et publics, mais qui repose sur des critères objectifs, justifiés et proportionnés. 

Il va de soi que les autorités publiques ne bénéficient d’aucune immunité et peuvent se voir appliquer les autres sanctions prévues par le RGPD, en cas de manquement à leurs obligations. 

Source : C. const., 14 janvier 2021, arrêt n°3/2021, https://www.const-court.be/