eWatchers.org

EDPB - Décision contraignante n° 01/2022 adoptée le 15 juin 2022 concernant la CNIL et la société ACCOR SA

Texte original extrait du site edpb.europa.eu.
151 lignes (8 917 mots)

Décision 01/2022 concernant le litige relatif au projet de décision de l’autorité de contrôle française concernant Accor SA en application de l’article 65, paragraphe 1, point a), du RGPD

Adoptée le 15 juin 2022

Le comité européen de la protection des données

vu l’article 63 et l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après le «RGPD»)[1],

vu l’accord EEE et, en particulier, son annexe XI et son protocole 37, tels que modifiés par la décision du Comité mixte de l’EEE nº 154/2018 du 6 juillet 2018[2],

vu l’article 11 et l’article 22 de son règlement intérieur[3],

considérant que:

(1) La mission principale du comité européen de la protection des données (ci-après l’«EDPB») est de veiller à l’application cohérente du RGPD dans l’ensemble de l’Espace économique européen (ci-après l’«EEE»). À cet effet, il résulte de l’article 60 du RGPD que l’autorité de contrôle chef de file (ci-après l’«ACCF») doit coopérer avec les autres autorités de contrôle concernées (ci-après les «ACC») dans le but de parvenir à un consensus, que l’ACCF et les ACC doivent échanger toutes les informations pertinentes, et que l’ACCF doit communiquer sans délai les informations pertinentes sur la question aux autres autorités de contrôle concernées. L’ACCF doit soumettre dans les meilleurs délais un projet de décision aux autres ACC en vue d’obtenir leur avis et doit tenir dûment compte de leur point de vue.

(2) Lorsqu’une des ACC émet une objection pertinente et motivée à l’égard du projet de décision conformément à l’article 4, paragraphe 24, et à l’article 60, paragraphe 4, du RGPD, l’ACCF, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, doit soumettre cette question au mécanisme de contrôle de la cohérence visé à l’article 63, du RGPD.

(3) Conformément à l’article 65, paragraphe 1, point a), du RGPD, l’EDPB doit rendre une décision contraignante concernant toutes les questions qui font l’objet des objections pertinentes et motivées, en particulier la question de savoir s’il y a violation du RGPD.

(4) La décision contraignante de l’EDPB doit être adoptée par la majorité des deux tiers de l’EDPB, conformément à l’article 65, paragraphe 2, du RGPD, en relation avec l’article 11, paragraphe 4, du règlement intérieur de l’EDPB, dans un délai d’un mois à compter de la date à laquelle la présidence et l’autorité de contrôle compétente ont décidé que le dossier était complet. Ce délai peut être prolongé d’un mois en fonction de la complexité de la question, sur décision de la présidence, de sa propre initiative ou à la demande d’au moins un tiers des membres de l’EDPB.

(5) Conformément à l’article 65, paragraphe 3, du RGPD, si, malgré une telle prorogation, l’EDPB n’a pas été en mesure d’adopter une décision dans le délai imparti, elle doit le faire dans les deux semaines suivant l’expiration de la prorogation, à la majorité simple de ses membres.

(6) Conformément à l’article 11, paragraphe 6, du règlement intérieur de l’EDPB, seul le texte anglais de la décision contraignante de l’EDPB fait foi, puisqu’il s’agit de la langue de la procédure d’adoption des décisions de l’EDPB.

A ADOPTÉ LA PRÉSENTE DÉCISION CONTRAIGNANTE

1 RÉSUMÉ DU LITIGE

1. Le présent document contient une décision contraignante adoptée par l’EDPB conformément à l’article 65, paragraphe 1, point a), du RGPD. La décision concerne le litige né à la suite d’un projet de décision (ci-après le «projet de décision») émis par l’autorité de contrôle française (la «Commission Nationale de l’Informatique et des Libertés», ci-après l’«AC française», également désignée dans ce document l’«ACCF»), et des objections ultérieures formulées par une autorité de contrôle concernée («ACC»), à savoir l’autorité de contrôle polonaise («Urząd Ochrony Danych Osobowych», ci- après l’«AC polonaise»). Le projet de décision en cause fait suite à une enquête ouverte par l’AC française sur la base de réclamations (ci-après l’«enquête») et visant à déterminer si ACCOR SA (ci-après «ACCOR»), une société opérant dans le secteur de l’hôtellerie, se conforme aux obligations lui incombant en vertu du RGPD. Cette enquête avait été ouverte à la suite de plusieurs réclamations visant ACCOR, introduites auprès de l’AC française et des autorités de contrôle suivantes: l’AC polonaise, l’autorité de contrôle espagnole («Agencia Española de Protección de Datos», ci-après l’«AC espagnole»), l’autorité de contrôle allemande de la Basse-Saxe («Landesbeauftragte für den Datenschutz Niedersachen», ci-après l’«AC allemande de la Basse-Saxe»), l’autorité de contrôle allemande de la Sarre («Unabhängiges Datenschutzzentrum Saarland», ci-après l’«AC allemande de la Sarre») et l’autorité de contrôle britannique (Information Commissioner’s Office», ci-après l’«AC britannique»)[4].

2. Entre novembre 2018 et décembre 2019, l’AC française a reçu 11 réclamations visant ACCOR. Ces réclamations concernaient une absence de prise en compte du droit d’opposition à la réception de messages marketing par courrier électronique et/ou des difficultés rencontrées dans l’exercice du droit d’accès[5].

3. Dès réception de ces réclamations, l’AC française a qualifié les activités concernées par lesdites réclamations de traitement transfrontalier au sens de l’article 4, paragraphe 23, du RGPD. L’établissement principal d’ACCOR (au sens défini à l’article 4, paragraphe 16, du RGPD) ayant été localisé en France, l’AC française a été identifiée comme étant l’ACCF, au sens du RGPD, en ce qui concerne le traitement transfrontalier effectué par ACCOR[6][7].

4. Le tableau ci-dessous résume la chronologie des événements ayant conduit à la soumission de la question au mécanisme de contrôle de la cohérence:

Novembre 2018 - décembre 2019

L’AC française a reçu onze réclamations dirigées contre ACCOR, une société établie en France. Cinq de ces réclamations étaient transmises par les AC réceptrices suivantes: l’AC allemande de la Basse-Saxe, l’AC allemande de la Sarre, l’AC espagnole, l’AC britannique et l’AC polonaise.

23 décembre 2019

Après enquête, l’AC française, conformément à l’article 60, paragraphe 3, du RGPD, a soumis un premier projet de décision aux ACC. Plusieurs d’entre elles ont formulé des objections à l’égard de ce projet de décision. Suite à cela, l’AC française a décidé d’interrompre la procédure prévue à l’article 60 et d’approfondir l’enquête sur ce dossier[8].

11 et 24 février 2020

Dans le cadre de son enquête complémentaire, l’AC française a effectué une inspection dans les locaux d’ACCOR le 11 février 2020, ainsi qu’une inspection à distance le 24 février 2020[9].

Février - août 2020 À diverses dates, ACCOR a transmis par courrier des informations supplémentaires à l’AC française[10].

24 novembre 2020

La rapporteure désignée par l’AC française a remis son rapport[11], qui a été envoyé à ACCOR[12].

22 décembre 2020

ACCOR a transmis à l’AC française ses observations écrites sur le rapport de la rapporteure de l’AC française[13].

28 janvier 2021

ACCOR a présenté devant l’AC française des observations orales sur le rapport de la rapporteure[14].

30 avril 2021 L’AC française a communiqué un nouveau projet de décision aux ACC, conformément à l’article 60, paragraphe 3, du RGPD.

28 mai 2021

L’AC polonaise, conformément à l’article 60, paragraphe 4, du RGPD, a formulé trois objections (ci-après les «objections de l’AC polonaise»). 21 octobre 2021 Suite aux objections formulées par l’AC polonaise, la rapporteure désignée par l’AC française a présenté un addendum[15] à son rapport.

22 octobre 2021

L’AC française a communiqué à ACCOR les objections de l’AC polonaise et l’addendum de la rapporteure.

27 octobre 2021

À la demande d’ACCOR, l’AC française lui a transmis le projet de décision.

29 novembre 2021

ACCOR a transmis à l’AC française ses observations écrites[16] sur les objections de l’AC polonaise.

13 janvier 2022

L’AC française a adopté la «délibération de la formation restreinte nº SAN-2022-001 concernant la société ACCOR», dans laquelle elle expose son point de vue sur les objections de l’AC polonaise et explique les motifs pour lesquels elle a décidé de ne pas suivre ces objections[17].

5. Le 18 février 2022, l’AC française a déclenché le processus de règlement des litiges au moyen du système d’information et de communication mentionné à l’article 17 du règlement intérieur de l’EDPB, à savoir le système d’information du marché intérieur (IMI). Après la soumission de la question à l’EDPB par l’ACCF conformément à l’article 60, paragraphe 4, du RGPD, le secrétariat de l’EDPB, au nom de la présidence, a vérifié si le dossier était complet, conformément à l’article 11, paragraphe 2, du règlement intérieur de l’EDPB. Le 22 février 2022, le secrétariat de l’EDPB a confirmé à l’AC française la réception du dossier.

6. Le même jour (22 février 2022), l’AC polonaise a informé l’AC française qu’elle retirait l’une de ses trois objections. L’AC française a communiqué cette information au secrétariat de l’EDPB le 23 mars 2022.

7. Le 15 mars 2022, le secrétariat de l’EDPB a contacté l’AC française pour demander des documents et informations supplémentaires. En réponse à cette demande, l’AC française a transmis des informations supplémentaires au secrétariat de l’EDPB les 22 et 23 mars 2022, en indiquant que d’autres informations allaient suivre.

8. Le 25 mars 2022, l’AC polonaise a confirmé au secrétariat de l’EDPB que le différend relatif à l’une de ses deux objections restantes était éteint.

9. Le 11 avril 2022, l’AC française a téléchargé 17 documents supplémentaires dans l’IMI.

10. Le 22 avril 2022, le secrétariat de l’EDPB a adressé à l’AC française quelques questions complémentaires concernant l’exhaustivité du dossier, questions auxquelles l’AC française a répondu le 26 avril 2022.

11. Le 27 avril 2022, l’exhaustivité du dossier ayant été confirmée par l’AC française et par la présidence de l’EDPB, le secrétariat de l’EDPB, au nom de la présidence, a transmis le dossier à tous les membres de l’EDPB.

12. Le respect du droit d’être entendu — tel que prescrit par l’article 41, paragraphe 2, point a), de la charte des droits fondamentaux — a spécifiquement été vérifié par le secrétariat de l’EDPB. Le 15 mars 2022, le secrétariat de l’EDPB a contacté l’AC française pour avoir, entre autres, la confirmation qu’ACCOR avait eu la possibilité d’exercer son droit d’être entendu au sujet des documents transmis à l’EDPB aux fins de sa décision. En outre, le 29 avril 2022, la présidence de l’EDPB a contacté ACCOR pour lui donner la possibilité d’exercer son droit d’être entendu au sujet du litige dont était saisi l’EDPB. ACCOR a fait connaître son point de vue le 13 mars 2022[18]. De plus amples informations à ce sujet sont fournies à la section 3 ci-dessous.

13. Compte tenu de la complexité de l’objet du litige, la présidence a décidé, conformément à l’article 65, paragraphe 3, du RGPD, lu conjointement avec l’article 11, paragraphe 4, du règlement intérieur de l’EDPB, de proroger d’un mois le délai fixé par défaut pour l’adoption d’une décision/

2 CONDITIONS D’ADOPTION D’UNE DÉCISION CONTRAIGNANTE

14. Les conditions générales d’adoption d’une décision contraignante par l’EDPB sont énoncées à l’article 60, paragraphe 4, et à l’article 65, paragraphe 1, point a), du RGPD[19].

2.1 Objection formulée par une ACC à l’égard d’un projet de décision

15. L’EDPB note que l’AC polonaise a formulé, et transmis via l’IMI, une objection à l’égard du projet de décision et que ladite objection concerne le montant de l’amende que l’AC française proposait d’infliger à ACCOR. L’objection a été formulée conformément à l’article 60, paragraphe 4, du RGPD et dans le délai prévu par cette disposition.

16. L’autorité de contrôle portugaise («Comissão Nacional de Proteção de Dados») a formulé des observations sur le projet de décision. Ces observations n’étant pas, en soi, des objections au sens de l’article 4, paragraphe 24, du RGPD, elles ne peuvent déclencher le mécanisme de règlement des litiges prévu à l’article 65, paragraphe 1, point a), du RGPD, de sorte que la présente décision contraignante de l’EDPB ne porte pas sur ces observations[20].

2.2 L’ACCF ne suit pas l’objection pertinente et motivée formulée à l’égard du projet de décision

17. Dans sa délibération sur les objections de l’AC polonaise[21], l’AC française a décidé de ne pas suivre l’objection formulée par l’AC polonaise et de soumettre la question au mécanisme de règlement des litiges, conformément à l’article 65, paragraphe 1, point a), du RGPD.

2.3 Conclusions sur la compétence de l’EDPB

18. L’affaire en cause satisfait aux conditions énoncées à l’article 65, paragraphe 1, point a), du RGPD, étant donné que l’ACC a formulé une objection à l’égard du projet de décision de l’ACCF dans le délai prévu à l’article 60, paragraphe 4, du RGPD et que l’ACCF n’a pas suivi cette objection.

19. L’EDPB note que le projet de décision concerne des questions relevant du champ d’application du RGPD, mais aussi des questions relevant du champ d’application de la directive 2002/58/CE (ci-après la «directive vie privée et communications électroniques») et des mesures nationales de transposition de ladite directive. Plus précisément, le projet de décision envisage l’imposition d’une amende pour infractions au RGPD et l’imposition d’une amende pour infraction au code français des postes et des communications électroniques, portant transposition de la directive vie privée et communications électroniques en France. L’EDPB n’est pas compétent pour émettre une décision contraignante sur des questions qui relèvent exclusivement du champ d’application de la directive vie privée et communications électroniques. La présente décision contraignante ne porte donc pas sur les parties du projet de décision qui concernent la transposition en droit national de la directive vie privée et communications électroniques.

20. L’EDPB est dès lors compétent pour adopter une décision contraignante sur toutes les questions relevant du champ d’application du RGPD qui font l’objet de l’objection pertinente et motivée de l’AC polonaise, en particulier sur la question de savoir s’il y a violation du RGPD ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le RGPD.

21. Toutes les constatations figurant dans la présente décision sont sans préjudice de toute appréciation ou décision contraignante émise par l’EDPB dans d’autres cas, y compris à l’égard des mêmes parties, en fonction d’autres et/ou de nouvelles constatations.

3 DROIT À UNE BONNE ADMINISTRATION

22. L’EDPB est soumis à l’article 41 de la charte des droits fondamentaux de l’UE (droit à une bonne administration). L’obligation de respecter ce droit est également énoncée à l’article 11, paragraphe 1, du règlement intérieur de l’EDPB.

23. Conformément à l’article 65, paragraphe 2, du RGPD, la décision de l’EDPB doit être «motivée et […] adressée à l’autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et […] contraignante à leur égard». L’article 65, paragraphe 2, du RGPD reflète le fait que la décision contraignante de l’EDPB vise à résoudre un différend entre deux ou plusieurs autorités de contrôle nationales[22]. Elle n’a pas vocation à d’adresser directement à un tiers. Toutefois, étant donné que la décision adoptée par l’EDPB est contraignante pour les AC concernées, y compris l’ACCF, et peut être déterminante pour l’issue des procédures au niveau national, il convient d’évaluer si elle peut affecter les intérêts de personnes qui étaient parties à la procédure ayant donné lieu au projet de décision, telles que le responsable du traitement qui sera destinataire de la décision finale de l’ACCF[23].

24. Tout d’abord, pour s’assurer du respect du droit d’être entendu d’ACCOR, l’EDPB a vérifié si ACCOR avait déjà eu la possibilité, en lien avec l’objet du différend devant être réglé par l’EDPB au niveau national, d’exercer son droit d’être entendu au sujet des documents reçus et utilisés par l’EDPB dans le cadre de la présente procédure pour prendre sa décision contraignante[24].

25. Par lettre du 29 avril 2022, la présidence de l’EDPB a informé ACCOR de la soumission du différend au mécanisme de règlement des litiges prévu à l’article 65, paragraphe 1, point a), du RGPD. Dans cette même lettre, la présidence de l’EDPB signalait à ACCOR que l’AC polonaise considérait le différend relatif à deux de ses trois objections initiales comme étant éteint et que, par conséquent, l’objet de la décision contraignante de l’EDPB serait l’objection restante concernant le montant de l’amende. Cette lettre avait également pour objet d’accorder à ACCOR le droit d’être entendue au sujet des documents du dossier sur lesquels elle n’avait pas encore eu la possibilité de faire connaître son point de vue. La présidence de l’EDPB a ainsi donné à ACCOR la possibilité de soumettre toute observation sur ces documents au plus tard le 13 mai 2022. Le 13 mai 2022, ACCOR a transmis ses observations (observations d’ACCOR de mai 2022) et la version originale française des observations d’ACCOR de novembre 2021. Après réception de ces observations, l’EDPB a estimé qu’ACCOR avait eu la possibilité de faire valoir utilement son point de vue au sujet de l’objet du litige devant être réglé par l’EDPB.

26. Compte tenu de la portée du différend soumis à l’EDPB et des circonstances de l’affaire, la présidence de l’EDPB a décidé de ne pas accorder aux auteurs des réclamations un droit d’être entendu avant l’adoption de la présente décision contraignante, car la décision de l’EDPB relative à une objection concernant le montant de l’amende n’est pas susceptible d’affecter leur situation juridique.

4 STRUCTURE DE LA DÉCISION CONTRAIGNANTE

27. En ce qui concerne l’objection formulée par l’ACC, l’EDPB doit d’abord examiner s’il y a lieu de la considérer comme une «objection pertinente et motivée» au sens de l’article 4, paragraphe 24, du RGPD, comme précisé dans les lignes directrices relatives à l’objection pertinente et motivée[25].

28. Lorsque l’EDPB constate qu’une objection (ou une partie de celle-ci) ne satisfait pas aux exigences de l’article 4, paragraphe 24, du RGPD, il ne prend pas position sur le bien-fondé des questions de fond soulevées par cette objection (ou par une partie de celle-ci) dans l’affaire en cause. Le bien-fondé des questions de fond soulevées par une objection ne doit être examiné par l’EDPB que si l’objection est jugée pertinente et motivée[26].

5 SUR LES MESURES CORRECTRICES - EN PARTICULIER, LE CALCUL DE L’AMENDE ADMINISTRATIVE

5.1 Analyse effectuée par l’ACCF dans le projet de décision

29. Le projet de décision énumère les critères que l’AC française a pris en considération pour décider s’il y avait lieu d’infliger une amende administrative et pour fixer le montant de l’amende[27].

30. L’AC française a indiqué dans le projet de décision qu’«[e]n 2019, la société [ACCOR] a généré un revenu de 1,2 milliard d’EUR et un bénéfice net de 208 millions d’EUR. Ce chiffre d’affaires a baissé de 54 % entre 2019 et 2020»[28].

31. En ce qui concerne la nature et la gravité de l’infraction, l’AC française a d’abord relevé le nombre d’infractions commises par ACCOR, à savoir: «[…] absence d’informations complètes et aisément accessibles sur le traitement effectué, difficultés rencontrées par les auteurs des réclamations dans l’exercice de leurs droits et lacunes en matière de sécurité des données»[29]. À cet égard, il était souligné dans le projet de décision que ces faits de non-respect du RGPD concernaient plusieurs principes fondamentaux de la législation applicable en matière de protection des données à caractère personnel et constituaient une «violation substantielle» des droits des personnes concernées[30]. L’AC française a également pris en considération le «nombre particulièrement élevé de personnes touchées par ces violations, sachant qu’en 2019, […] millions de personnes ont reçu au moins une des newsletters du groupe ACCOR à une adresse de courrier électronique valide»[31].

32. Enfin, l’AC française a rappelé que les violations en question «[avaient] eu des conséquences directes pour les personnes concernées, comme en témoignait la réception par la CNIL de onze réclamations portant en particulier sur le droit de s’opposer à la réception de messages marketing»[32].

33. Sur la base des considérations qui précèdent, l’AC française a conclu dans son projet de décision qu’il y avait lieu d’imposer une amende à ACCOR[33].

34. En ce qui concerne la détermination du montant maximal de l’amende, l’AC française a indiqué que «l’article 83, paragraphe 3, du RGPD dispose qu’en cas de violations multiples […], le montant total de l’amende ne peut pas excéder le montant fixé pour la violation la plus grave»[34]. L’AC française a constaté qu’ACCOR avait violé l’article 12, paragraphe 1, l’article 12, paragraphe 3, l’article 13, l’article 15, paragraphe 1, l’article 21, paragraphe 2, et l’article 32 du RGPD et a indiqué dans le projet de décision: «L’amende maximale pouvant être infligée est de 20 millions d’EUR ou de 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu»[35].

35. En ce qui concerne l’appréciation de la proportionnalité de l’amende, l’AC française a considéré qu’ACCOR avait remédié à toutes les violations indiquées dans le projet de décision et que «certaines d’entre elles, liées à l’exercice des droits des personnes, n’étaient pas de nature structurelle»[36]. Il était en outre souligné dans le projet de décision qu’ACCOR avait pleinement coopéré avec l’AC française[37]. L’AC française a par ailleurs pris en considération la situation financière de la société ACCOR, laquelle avait fait état d’une «baisse du chiffre d’affaires de 54 % entre 2019 et 2020»[38].

36. Dans le projet de décision, il a été conclu que, compte tenu du «contexte économique engendré par la crise sanitaire de la COVID-19, de ses conséquences sur la situation financière [d’ACCOR]», ainsi que «des critères pertinents de l’article 83, paragraphe 2, du RGPD susmentionnés», l’AC française décidait d’infliger une amende de 100 000 EUR pour les infractions au RGPD constatées[39].

5.2 Résumé de l’objection formulée par l’AC polonaise

37. L’objection formulée par l’AC polonaise concerne le montant de l’amende fixé dans le projet de décision.

38. L’AC polonaise fait valoir que le montant proposé par l’ACCF pour l’amende administrative est trop faible pour un responsable du traitement tel qu’ACCOR et qu’il ne s’agit pas d’une amende effective, proportionnée et dissuasive comme l’exige l’article 83, paragraphe 1, du RGPD. L’AC polonaise conclut dès lors que «le projet de décision devrait être révisé en conséquence et qu’une sanction financière plus lourde devrait être proposée pour les infractions constatées en l’espèce, de façon à réunir les conditions d’une mesure proportionnée, effective et dissuasive»[40].

39. En ce qui concerne la gravité des violations, l’AC polonaise fait référence aux facteurs suivants de l’article 83, paragraphe 2, point a), du RGPD, qui devraient être pris en considération lors de l’évaluation du degré de gravité: «la nature, la portée ou la finalité du traitement, ainsi que le nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi»[41]. À cet égard, l’AC polonaise estime que les dispositions violées et le caractère transfrontalier du traitement indiquent une infraction d’un degré élevé de gravité et que, dès lors, l’amende proposée aurait dû être plus élevée[42].

40. En ce qui concerne l’évaluation de l’amende au regard de l’article 83, paragraphe 1, du RGPD, relatif à l’obligation d’imposer dans chaque cas des amendes effectives, proportionnées et dissuasives, l’AC polonaise exprime les préoccupations qui suivent.

41. Premièrement, l’AC polonaise estime que le projet de décision devrait contenir des informations supplémentaires concernant le chiffre d’affaires d’ACCOR. À cet égard, l’AC polonaise soutient que, dans la mesure où le chiffre d’affaires de la société n’est pas indiqué dans le projet de décision, l’information contenue dans le projet de décision «est insuffisante pour calculer le montant de l’amende proposée», sachant que le chiffre d’affaires annuel du responsable du traitement «peut être pris comme base pour le calcul du montant de l’amende»[43].

42. En outre, en ce qui concerne la proportionnalité, l’AC polonaise observe que le projet de décision ne démontre pas qu’une amende plus élevée pourrait mettre irrémédiablement en péril la viabilité d’ACCOR. Selon l’AC polonaise, la proportionnalité de l’amende «s’applique à la solvabilité de l’entité sanctionnée. Toutefois, pour réduire le montant de l’amende pour cette raison, il doit y avoir des preuves objectivess que l’imposition de l’amende mettrait irrémédiablement en danger la viabilité de l’entreprise concernée et conduirait à priver ses actifs de toute valeur»[44]. Par conséquent, l’AC polonaise conclut que, «compte tenu du revenu de 1 621 000 000 EUR généré [par ACCOR] en 2020, […], il est très peu probable que la solvabilité [d’ACCOR] se trouverait menacée par une sanction d’un montant même plusieurs fois supérieur à celui proposé, malgré les pertes enregistrées durant la pandémie de COVID-19»[45].

43. En ce qui concerne le caractère dissuasif de l’amende, l’AC polonaise considère que pour une entreprise ayant un chiffre d’affaires aussi élevé que celui d’ACCOR, le montant de l’amende est trop faible pour dissuader effectivement cette entreprise de commettre des infractions similaires à l’avenir. En outre, de l’avis de l’AC polonaise, l’amende proposée ne serait pas une sanction suffisamment dissuasive pour d’autres sociétés ayant un chiffre d’affaires similaire à celui d’ACCOR. À cet égard, l’AC polonaise affirme que le montant de l’amende proposé par l’ACCF enverrait à d’autres entreprises le message clair qu’elles pourraient s’abstenir d’investir beaucoup aux fins de respecter les règles en matière de protection des données, vu que l’investissement financier requis à cet effet pourrait être supérieur au montant d’une éventuelle amende[46].

44. De l’avis de l’AC polonaise, si le projet de décision n’est pas modifié, il en résultera un risque d’atteinte aux libertés et droits fondamentaux des personnes concernées, et en particulier un risque de violation de l’article 8 de la charte des droits fondamentaux. À cet égard, l’AC polonaise explique que l’objectif de mesures correctrices est de décourager les infractions à la législation en vigueur et que, dès lors, infliger une sanction qui n’est pas proportionnée, dissuasive et effective ne remplira pas cet objectif, «mettant ainsi en lumière l’importance du risque de violation des droits ou libertés des personnes concernées, parmi lesquels figurent la protection de leurs données à caractère personnel, qui est un droit fondamental en vertu de l’article 8 de la charte des droits fondamentaux de l’Union européenne»[47].

5.3 Position de l’ACCF sur l’objection de l’AC polonaise

45. Dans sa délibération sur les objections de l’AC polonaise, l’AC française a estimé que l’objection de l’AC polonaise était formulée en termes généraux, que l’AC polonaise ne proposait pas une fourchette de montants qu’elle jugerait appropriée pour une amende et qu’elle ne faisait pas non plus référence à un quelconque précédent pertinent. Selon l’AC française, l’AC polonaise invoque essentiellement la solvabilité et le chiffre d’affaires d’ACCOR pour justifier la nécessité d’augmenter le montant de l’amende. L’AC française estime cependant que même si le chiffre d’affaires est un élément important à prendre en considération pour déterminer le niveau de l’amende, les autres critères énoncés à l’article 83, paragraphe 2, du RGPD — dont la gravité des infractions commises — doivent également être pris en considération[48].

46. L’AC française a en outre expliqué que, pour déterminer le niveau de l’amende infligée à ACCOR, elle avait pris en considération le fait que les infractions en question n’avaient pas été de nature structurelle, ainsi que le fait qu’à la suite de l’enquête de l’AC française, ACCOR avait pris des mesures pour remédier aux violations constatées[49]. L’AC française a également précisé qu’elle avait retenu la baisse significative du chiffre d’affaires d’ACCOR entre 2019 et 2020 comme circonstance atténuante, au sens de l’article 83, paragraphe 2, point k), du RGPD, en raison des lourdes répercussions de la crise sanitaire de la COVID-19 sur le secteur hôtelier[50].

47. En conséquence, sur la base des considérations qui précèdent, l’AC française a conclu que, à son sens, l’amende était effective, proportionnée et dissuasive[51].

5.4 Analyse de l’EDPB

5.4.1 Évaluation de la pertinence et de la motivation de l’objection

48. Premièrement, l’EDPB prend acte du fait que l’ACCF ne conteste pas la pertinence et la motivation de l’objection[52].

49. En ce qui concerne la pertinence de l’objection, l’objection de l’AC polonaise porte sur le montant de l’amende fixé dans le projet de décision[53]. Il y a donc un lien direct entre l’objection et le projet de décision. Il convient toutefois de noter que, même si l’AC polonaise se réfère dans son objection au montant global de l’amende — incluant donc l’amende fixée par l’AC française pour des violations de la directive vie privée et communications électroniques —, dans la présente décision, l’EDPB n’examine pas les parties du projet de décision concernant la transposition en droit national de la directive vie privée et communications électroniques, comme expliqué aux paragraphes 18 à 21 ci-dessus.

50. Dans son objection, l’AC polonaise considère en outre que l’amende proposée dans le projet de décision pourrait être inefficace, disproportionnée et non dissuasive dans le contexte de l’espèce. Par ailleurs, l’AC polonaise demande que le chiffre d’affaires de l’exercice précédent de l’entreprise soit précisé et fait valoir qu’il y a lieu d’imposer une amende plus lourde, afin qu’elle soit proportionnée, effective et dissuasive, conformément à l’article 83, paragraphe 1, du RGPD. L’AC polonaise indique ainsi comment le fait de suivre l’objection entraînerait une modification du projet de décision. Par conséquent, l’objection concerne bien «la conformité de l’action envisagée dans le projet de décision avec le RGPD». Si elle était suivie, l’objection conduirait à une conclusion différente du projet de décision, à savoir, à une augmentation du montant de l’amende. Pour ces raisons, l’EDPB estime que l’objection est pertinente.

51. ACCOR a fait valoir que l’objection n’était pas motivée. Selon ACCOR, l’AC polonaise «[…] ne formule son objection que sous la forme de remarques abstraites et générales, sans se fonder sur les faits de l’espèce ni tenir compte des justifications fournies dans le projet de décision»[54]. De l’avis d’ACCOR, l’objection ne justifie pas non plus une conclusion différente de celle de l’AC française[55].

52. L’EDPB partage en partie le point de vue d’ACCOR. En particulier, en ce qui concerne l’appréciation de la proportionnalité de l’amende au regard de la gravité des violations [article 83, paragraphe 2, point a), du RGPD], l’EDPB considère que l’AC polonaise n’expose aucun raisonnement étayé à l’appui de son allégation. Elle n’explique notamment pas pour quelles raisons «les dispositions violées et le caractère transfrontalier du traitement»[56] auraient dû être appréciés et mis en balance différemment par l’ACCF aux fins de l’évaluation de la gravité des violations. Plus spécifiquement, considérant que l’ACCF avait déjà qualifié les infractions de «substantielles»[57], l’AC polonaise n’explique pas en quoi le degré de gravité retenu dans le projet de décision changerait si les facteurs proposés par l’AC polonaise étaient évalués différemment par l’ACCF. Par conséquent, l’EDPB estime que cette partie de l’objection n’est pas suffisamment motivée.

53. En revanche, l’EDPB note que le reste de l’objection de l’AC polonaise est suffisamment motivée en ce qui concerne les raisons pour lesquelles les critères énoncés à l’article 83, paragraphe 1, du RGPD ne sont pas correctement évalués et appliqués dans le projet de décision. Dans son argument relatif à l’absence d’informations sur le chiffre d’affaires dans le projet de décision, l’AC polonaise fournit des éléments factuels provenant du projet de décision et d’informations accessibles au public concernant le chiffre d’affaires d’ACCOR. Selon l’AC polonaise, l’absence d’informations sur le chiffre d’affaires d’ACCOR pourrait avoir conduit à une détermination erronée de l’amende dans le projet de décision. En ce qui concerne la proportionnalité de l’amende, l’AC polonaise avance des arguments juridiques quant aux motifs pour lesquels, selon elle, l’ACCF a réduit à tort le montant de l’amende en raison de la pandémie de COVID-19, de sorte que l’amende imposée devrait être plus élevée. Plus précisément, l’AC polonaise considère que «pour réduire le montant de l’amende [en raison de son impact sur la solvabilité de la société], il doit y avoir des preuves objectives que l’imposition de l’amende mettrait irrémédiablement en danger la viabilité de l’entreprise concernée et conduirait à priver ses actifs de toute valeur»[58]. Enfin, l’AC polonaise expose des arguments juridiques justifiant l’imposition d’une amende administrative plus élevée afin d’assurer son effet dissuasif conformément à l’article 83, paragraphe 1, du RGPD. L’AC polonaise fait valoir que le montant de l’amende fixé dans le projet de décision pourrait ne pas dissuader ACCOR et d’autres organisations de commettre des infractions similaires à l’avenir. De ce fait, selon l’AC polonaise, «si le projet de décision n’est pas modifié, il en résultera un risque d’atteintes aux libertés et droits fondamentaux des personnes concernées, et en particulier un risque de violation de l’article 8 de la charte des droits fondamentaux»[59].

54. À la lumière de ce qui précède, l’EDPB note que l’AC polonaise expose les raisons pour lesquelles elle propose de modifier le projet de décision. Elle explique également son point de vue quant à l’importance des risques que présente le projet de décision pour les personnes concernées. L’EDPB considère donc que la partie de l’objection relative à l’article 83, paragraphe 1, du RGPD est motivée.

55. En conséquence, l’EDPB considère que l’objection formulée par l’AC polonaise est partiellement pertinente et motivée, au sens de l’article 4, paragraphe 24, du RGPD (à savoir la partie relative à l’application de l’article 83, paragraphe 1, du RGPD). Dès lors, seul le bien-fondé des questions de fond soulevées par l’AC polonaise dans les parties de l’objection qui ont été jugées pertinentes et motivées requiert une appréciation.

5.4.2 Appréciation au fond

56. L’EDPB considère que la partie de l’objection jugée pertinente et motivée en ce qui concerne l’article 83, paragraphe 1, du RGPD requiert une évaluation de son bien-fondé afin de déterminer si, en l’espèce, le projet de décision: i) manque d’informations sur le chiffre d’affaires pertinent pour la fixation du montant de l’amende; ii) en ce qui concerne la proportionnalité de l’amende, ne devrait pas accorder une réduction de l’amende à ACCOR malgré les pertes subies par l’entreprise pendant la pandémie de COVID-19; et iii) propose une amende qui ne satisfait pas à l’exigence d’effet dissuasif prévue à l’article 83, paragraphe 1, du RGPD.

57. À cet égard, l’EDPB rappelle qu’il peut être recouru au mécanisme de contrôle de la cohérence également pour favoriser une application cohérente des amendes administratives[60].

Question préliminaire: le chiffre d’affaires pertinent pour la fixation du montant de l’amende

58. Dans son objection, l’AC polonaise a indiqué que le projet de décision ne fournissait pas le chiffre d’affaires annuel d’ACCOR pour l’exercice 2020, alors que ce chiffre d’affaires peut, conformément aux dispositions du RGPD relatives aux amendes administratives, être pris comme base pour le calcul du montant de l’amende[61]. Selon les explications de l’AC polonaise, le chiffre d’affaires annuel réalisé par ACCOR en 2020, qui doit être pris comme base pour le calcul du montant maximal de l’amende, est de 1 621 000 000 EUR[62].

59. ACCOR fait valoir que le montant de l’amende indiqué dans l’objection de l’AC polonaise est matériellement erroné. ACCOR indique que son chiffre d’affaires pour l’exercice 2020 s’élève à 531 000 000 EUR, et non à 1 621 000 000 EUR[63] comme indiqué par l’AC polonaise.

60. L’EDPB note que l’objection de l’AC polonaise prend comme référence le chiffre d’affaires consolidé de l’ensemble du groupe ACCOR pour l’exercice 2020, tandis que le projet de décision prend comme référence uniquement le chiffre d’affaires du responsable du traitement, à savoir ACCOR SA, réalisé en 2019. Dans la mesure où l’entreprise à prendre en considération pour la détermination du chiffre d’affaires pertinent n’a pas été remise en question par l’AC polonaise dans son objection, l’EDPB estime qu’il n’a pas à se prononcer sur le point de savoir si l’ACCF devrait modifier son projet de décision à cet égard.

61. Dans le cadre de précédentes affaires, l’EDPB a déjà jugé que le chiffre d’affaires d’une entreprise n’est pas seulement pertinent pour la détermination du montant maximal de l’amende, conformément à l’article 83, paragraphes 4 à 6, du RGPD, mais qu’il doit également être pris en considération pour le calcul de l’amende proprement dit[64]. Par conséquent, l’EDPB considère que le chiffre d’affaires est un élément important à mentionner dans le projet de décision. L’EDPB rappelle en outre que la date de la décision finale prise par l’ACCF conformément à l’article 65, paragraphe 6, du RGPD est le fait à partir duquel l’exercice précédent devrait être pris en considération[65]. Néanmoins, dans le présent contexte, où un projet de décision est transmis par l’ACCF aux ACC conformément à l’article 60, paragraphe 3, du RGPD, l’EDPB est d’accord avec l’approche qui consiste à inclure dans ce projet de décision un chiffre d’affaires provisoire fondé sur les informations financières les plus récentes disponibles à ce moment-là[66].

62. L’EDPB note en outre que le projet de décision a été émis le 30 avril 2021. Au cours de la procédure de règlement du litige, l’AC française a précisé qu’à cette date-là, seuls les états financiers relatifs à l’exercice 2019 étaient disponibles, tandis que les états financiers relatifs à l’exercice 2020 n’avaient pas encore été déposés. En conséquence, dans son projet de décision[67], l’AC française ne s’est expressément référée qu’au chiffre d’affaires généré par ACCOR en 2019, en ajoutant que, sur la base d’un calcul provisoire communiqué par ACCOR à l’AC française, le chiffre d’affaires d’ACCOR avait chuté de 54 % entre 2019 et 2020. Donc, même si le chiffre d’affaires de l’exercice 2020 n’est pas expressément mentionné dans le projet de décision, celui-ci inclut les informations les plus récentes disponibles sur les résultats financiers d’ACCOR et permet d’obtenir une estimation du chiffre d’affaires de l’exercice 2020 en retenant 46 % du chiffre d’affaires de 2019, fourni dans le projet de décision. Par conséquent, contrairement à ce qu’affirme l’AC polonaise, le projet de décision contenait bel et bien des informations sur le chiffre d’affaires d’ACCOR pour l’exercice 2020, certes de façon indirecte et basée sur des données provisoires.

63. Par conséquent, l’EDPB est d’accord avec l’approche adoptée en l’espèce par l’AC française, qui a consisté à inclure un chiffre d’affaires provisoire fondé sur les informations financières les plus récentes disponibles au moment de la communication de son projet de décision aux ACC conformément à l’article 60, paragraphe 3, du RGPD. L’EDPB rappelle cependant que lorsqu’elle adoptera sa décision finale conformément à l’article 65, paragraphe 6, du RGPD, l’AC française tiendra compte du chiffre d’affaires annuel de l’entreprise correspondant à l’exercice financier précédant la date de sa décision finale, c’est-à-dire le chiffre d’affaires de 2021.

Réduction du montant de l’amende par l’ACCF

64. L’EDPB note que, pour calculer l’amende, l’AC française a tenu compte du «contexte économique engendré par la crise sanitaire de la COVID-19» et de «ses conséquences sur la situation financière [d’ACCOR]»[68]. En effet, comme indiqué dans le projet de décision, ACCOR avait fait état d’une baisse de 54 % de son chiffre d’affaires entre 2019 et 2020 en raison de la crise sanitaire liée à la pandémie de COVID-19[69].

65. Dans son objection, l’AC polonaise prétend que, pour assurer la proportionnalité du montant de l’amende, l’AC française ne devrait pas accorder une réduction de l’amende à ACCOR. À cet égard, l’AC polonaise estime que pour réduire le montant de l’amende en raison de son impact sur la solvabilité de l’entité sanctionnée, il doit être objectivement démontré que l’imposition de cette amende «mettrait irrémédiablement en danger la viabilité de la société concernée et conduirait à priver ses actifs de toute valeur»[70]. De l’avis de l’AC polonaise, dans la mesure où le chiffre d’affaires d’ACCOR s’élève à 1,6 milliard d’EUR en 2020[71], «il est très peu probable» que la solvabilité d’ACCOR se trouverait menacée par une amende — même d’un montant plusieurs fois supérieur à celui proposé — malgré la perte de chiffre d’affaires subie par ACCOR pendant la pandémie de COVID-19[72].

66. En réponse à cette objection, l’AC française estime que «même si le chiffre d’affaires du responsable du traitement est un élément important pour déterminer le montant de l’amende, il doit être traité au même rang que tous les autres critères prévus à l’article 83, paragraphe 2, du RGPD»[73]. En ce qui concerne le calcul de l’amende, l’AC française a en outre précisé qu’elle a retenu l’impact important de la crise sanitaire de la COVID-19 sur le secteur hôtelier comme circonstance atténuante au sens de l’article 83, paragraphe 2, point k), du RGPD[74].

67. Dans ses observations communiquées à l’EDPB, ACCOR indique que le risque d’un effet préjudiciable sur la solvabilité de l’entreprise n’est pas un élément qui doit nécessairement être prouvé par une autorité de contrôle pour pouvoir réduire le montant de l’amende[75]. Sur ce point spécifique, ACCOR renvoie à la décision contraignante 1/2021 de l’EDPB, dans laquelle celui-ci indique que le chiffre d’affaires d’une société peut être pris en considération, en tant qu’élément pertinent parmi d’autres, pour le calcul de l’amende. ACCOR souligne en outre que le montant initial de l’amende proposée par la rapporteure (1 000 000 d’EUR) a été calculé par référence au chiffre d’affaires réalisé par l’entreprise en 2019, avant la crise sanitaire de la COVID-19. Selon ACCOR, dans la mesure où l’EDPB considère que le chiffre d’affaires à prendre en compte pour le calcul de l’amende doit correspondre à celui de l’exercice précédant la date de la décision, il est logique que l’AC française ait pris en considération la baisse significative des revenus d’ACCOR entre 2019 et 2020[76].

68. Premièrement, l’EDPB reconnaît que, dans le cadre de l’appréciation de la proportionnalité de l’amende au titre de l’article 83, paragraphe 1, du RGPD, une ACCF peut, en vertu de son droit national, réduire l’amende sur la base du principe de l’absence de capacité contributive, mais uniquement dans des circonstances tout à fait exceptionnelles. En effet, de manière similaire à la pratique observée dans le domaine du droit de la concurrence[77], pour qu’une ACCF puisse envisager une telle réduction pour absence de capacité contributive, l’entreprise qui en fait la demande doit démontrer que payer le montant de l’amende proposé représente une difficulté insurmontable. En particulier, l’entreprise concernée doit apporter des preuves objectives que le montant de l’amende proposé mettrait irrémédiablement en danger sa viabilité économique et conduirait à priver ses actifs de la totalité ou d’une majeure partie de leur valeur[78]. En outre, ces risques ne doivent être évalués que si l’existence d’un «contexte social et économique» particulier est établie[79].

69. En l’espèce, l’EDPB observe que, contrairement à ce que prétend l’AC polonaise, la réduction du montant de l’amende n’a pas été accordée par l’ACCF en raison de l’absence de capacité contributive d’ACCOR, mais en raison de la baisse du chiffre d’affaires résultant directement du contexte économique difficile dans lequel l’entreprise opérait[80]. Le motif d’absence de capacité contributive n’ayant pas été invoqué au cours de la procédure, l’EDPB considère que l’ACCF n’a pas à modifier son projet de décision afin d’évaluer l’absence de capacité contributive de l’entreprise lors de l’appréciation de la proportionnalité de l’amende au titre de l’article 83, paragraphe 1, du RGPD.

70. En ce qui concerne la justification fournie par l’ACCF pour la réduction de l’amende, l’EDPB rappelle que le chiffre d’affaires donne une indication pertinente de la taille de l’entreprise concernée et, à ce titre, constitue donc déjà l’un des éléments à prendre en compte par l’ACCF pour veiller à ce que l’amende soit, dans chaque cas, effective, proportionnée et dissuasive[81]. Par ailleurs, l’EDPB attire l’attention sur le fait que, compte tenu de la nature transversale de l’article 83, paragraphe 1, du RGPD, l’ACCF doit veiller à ce que les circonstances prises en compte lors du calcul de l’amende ne le soient pas deux fois. Par conséquent, dans la mesure où le chiffre d’affaires doit déjà être pris en considération dans le cadre de l’évaluation au titre de l’article 83, paragraphe 1, du RGPD, l’EDPB considère que l’ACCF ne devrait pas également retenir la baisse du chiffre d’affaires d’ACCOR comme circonstance atténuante au sens de l’article 83, paragraphe 2, point k), du RGPD. Sans préjudice de ce qui précède, l’EDPB souligne cependant le libellé délibérément ouvert de l’article 83, paragraphe 1, du RGPD, qui laisse à l’ACCF un certain degré de flexibilité dans le choix des éléments à prendre en compte pour s’assurer que le montant final de l’amende respecte les principes d’efficacité, de proportionnalité et d’effet dissuasif[82]. Sur cette base, l’EDPB estime que l’ACCF peut réduire l’amende en raison de la mauvaise santé financière du secteur de l’entreprise concernée, dès lors qu’elle démontre que le chiffre d’affaires pertinent pour le calcul de l’amende[83] ne reflète pas correctement, à lui seul, sa capacité financière, en raison d’une conjoncture économique sectorielle, exceptionnelle et récente[84] qui affecte directement et substantiellement ses activités. En tout état de cause, l’EDPB estime que la seule constatation d’une situation financière défavorable ou déficitaire de l’entreprise ne justifie pas automatiquement une réduction du montant de l’amende[85]. Dès lors, dans le calcul de l’amende, la décision finale d’évaluer ou non le chiffre d’affaires à la lumière de l’évolution récente des circonstances économiques sectorielles ayant mis l’entreprise dans une situation financière défavorable, que le chiffre d’affaires pertinent ne reflète pas, appartient à l’ACCF, conformément à ses pratiques nationales en matière de fixation des amendes.

71. À la lumière de ce qui précède, l’EDPB constate qu’en l’espèce, rien n’indique que le chiffre d’affaires d’ACCOR pour l’exercice 2020 ne reflétait pas correctement la situation financière de cette entreprise au moment où le projet de décision a été émis[86].

72. Par conséquent, afin d’assurer la proportionnalité de l’amende conformément à l’article 83, paragraphe 1, du RGPD, l’EDPB charge l’ACCF de tenir compte de la situation financière d’ACCOR sur la base de son chiffre d’affaires pour l’exercice 2021, sans considérer la baisse du chiffre d’affaires due à la pandémie de COVID-19 comme une circonstance atténuante au sens de l’article 83, paragraphe 2, point k), du RGPD.

Caractère dissuasif de l’amende (article 83, paragraphe 1, du RGPD)

73. Dans la partie de l’objection jugée pertinente et motivée par l’EDPB, l’AC polonaise affirme que le montant de l’amende fixé par l’ACCF ne satisfait à l’exigence d’effet dissuasif prévue à l’article 83, paragraphe 1, du RGPD, qui dispose que «[c]haque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives». L’AC polonaise soutient en particulier que le montant de l’amende proposé n’est pas suffisamment élevé pour dissuader ACCOR elle-même ou d’autres entités de commettre des infractions similaires à l’avenir[87].

74. Dans ses observations communiquées à l’EDPB, ACCOR indique souscrire au raisonnement développé par l’AC française, qui a conclu que l’amende administrative était suffisamment dissuasive[88].

75. Il convient premièrement de rappeler que la fixation d’une amende n’est pas un exercice arithmétique précis[89] et que les autorités de contrôle disposent d’une certaine marge d’appréciation à cet égard[90]. Néanmoins, l’EDPB estime que, même si une ACCF n’est pas tenue, dans le cadre de son obligation de motivation, de fournir en détail les éléments chiffrés relatifs à la méthode qu’elle a utilisée pour calculer l’amende, elle devrait indiquer les facteurs qui ont guidé l’exercice de son pouvoir d’appréciation dans la fixation des amendes, notamment quant à l’effet dissuasif de l’amende proposée.

76. L’EDPB rappelle en outre que, pour faire en sorte qu’une amende soit dissuasive, elle doit être fixée à un niveau qui lui assure un effet réellement dissuasif[91]. Afin d’assurer un effet dissuasif, le niveau de l’amende doit être de nature à décourager le responsable du traitement ou le sous-traitant concerné, mais aussi d’autres responsables du traitement ou sous-traitants effectuant des opérations de traitement similaires, de répéter un comportement infractionnel identique ou similaire[92], tout en n’allant pas au-delà de ce qui est nécessaire pour atteindre cet objectif[93]. En outre, la taille de l’entreprise concernée est un des éléments qui doit être pris en compte dans le calcul du montant de l’amende afin d’assurer le caractère dissuasif de celle-ci[94]. En effet, c’est l’impact recherché sur l’entreprise concernée qui justifie la prise en considération des ressources de cette entreprise afin d’assurer un effet dissuasif suffisant à l’amende, cette dernière ne devant pas être négligeable au regard, notamment, de la capacité financière de ladite entreprise[95].

77. À la lumière de ce qui précède, l’EDPB considère que l’amende, infligée en l’espèce pour des infractions «substantielles»[96], doit être fixée à un niveau qui ne soit pas négligeable au regard du chiffre d’affaires d’ACCOR et qui dissuaderait non seulement ACCOR, mais aussi d’autres organisations, de commettre des infractions similaires à l’avenir. À cet égard, l’EDPB note que, bien que les ressources d’ACCOR aient fortement diminué entre 2019 et 2020 en raison de la pandémie de COVID-19, le montant de l’amende proposé par l’ACCF ne représenterait que 0,02 % du chiffre d’affaires d’ACCOR estimé pour 2020. L’EDPB estime que ce montant serait considéré comme négligeable dans les circonstances de l’espèce, compte tenu notamment du fait que l’amende a été imposée pour des infractions qualifiées de «substantielles» par l’ACCF[97]. De l’avis de l’EDPB, un tel montant ne découragerait pas ACCOR et d’autres entreprises de commettre des infractions «substantielles» similaires, et encore moins de commettre des infractions moins «substantielles», étant donné que le risque encouru en cas de telles infractions serait une sanction dérisoire au regard de leur taille économique.

78. L’EDPB estime dès lors que l’amende prévue dans le projet de décision n’est pas suffisamment dissuasive. Sur cette base, l’EDPB charge l’ACCF de réexaminer les éléments sur lesquels elle s’est fondée pour calculer le montant de l’amende, afin de s’assurer que ladite amende satisfait au critère d’effet dissuasif prévu par l’article 83, paragraphe 1, du RGPD, compte tenu, notamment, du chiffre d’affaires pertinent d’ACCOR[98].

CONCLUSIONS

L’EDPB charge l’AC française de réexaminer la mesure correctrice envisagée, pour ce qui concerne l’amende administrative, conformément aux conclusions de l’EDPB, notamment en:

- prenant comme chiffre d’affaires pertinent celui correspondant à l’exercice précédant la date de la décision finale prise par l’ACCF conformément à l’article 65, paragraphe 6, du RGPD (paragraphes 58 à 63);

- s’assurant que l’amende est proportionnée, conformément à l’article 83, paragraphe 1, du RGPD, eu égard, comme décrit dans la décision contraignante, au chiffre d’affaires pertinent d’ACCOR (paragraphes 64 à 72).

- réexaminant les éléments sur lesquels elle s’est fondée pour calculer le montant de l’amende, afin de s’assurer que ladite amende satisfait au critère d’effet dissuasif prévu par l’article 83, paragraphe 1, du RGPD, compte tenu, notamment, du chiffre d’affaires pertinent d’ACCOR (paragraphes 73 à 78).

6 DÉCISION CONTRAIGNANTE

79. Au vu de ce qui précède et conformément à la mission de l’EDPB, définie à l’article 70, paragraphe 1, point t), du RGPD, d’émettre des décisions contraignantes en vertu de l’article 65, du RGPD, l’EDPB rend la décision contraignante suivante, conformément à l’article 65, paragraphe 1, point a), du RGPD:

- L’EDPB décide que l’objection de l’AC polonaise remettant en cause le montant de l’amende imposée par l’AC française dans son projet de décision satisfait aux exigences de l’article 4, paragraphe 24, du RGPD pour ce qui concerne les allégations selon lesquelles le projet de décision i) manque d’informations sur le chiffre d’affaires pertinent pour la fixation du montant de l’amende; ii) en ce qui concerne la proportionnalité de l’amende, ne devrait pas accorder une réduction de l’amende à ACCOR malgré les pertes subies par l’entreprise pendant la pandémie de COVID-19; et iii) propose une amende qui ne satisfait pas à l’exigence d’effet dissuasif prévue à l’article 83, paragraphe 1, du RGPD.

- À ce titre, l’EDPB décide i) que dans sa décision finale, l’AC française doit tenir compte du chiffre d’affaires d’ACCOR de l’exercice précédent, à savoir celui de 2021; ii) que, bien que l’AC française ne soit pas tenue de vérifier la solvabilité d’ACCOR, elle devrait, afin d’assurer la proportionnalité de l’amende, tenir compte de la situation financière d’ACCOR sur la base du chiffre d’affaires pertinent de l’entreprise, sans considérer la baisse du chiffre d’affaires comme une circonstance atténuante au sens de l’article 83, paragraphe 2, point k), du RGPD; et iii) que l’amende ne satisfait à l’exigence d’effet dissuasif prévue par l’article 83, paragraphe 1, du RGPD et que, pour cette raison, l’AC française doit réexaminer les éléments sur lesquels elle s’est fondée pour calculer le montant de l’amende, afin de s’assurer que ladite amende satisfait au critère d’effet dissuasif prévu par l’article 83, paragraphe 1, du RGPD, compte tenu, notamment, du chiffre d’affaires pertinent d’ACCOR.

- L’EDPB décide que l’AC française n’est pas tenue de modifier son projet de décision sur la base de la partie de l’objection fondée sur le principe de proportionnalité à la gravité de l’infraction [article 83, paragraphe 2, point a), du RGPD], étant donné que cette partie de l’objection ne satisfait pas aux exigences de l’article 4, paragraphe 24, du RGPD.

7 REMARQUES FINALES

80. Cette décision contraignante est adressée à l’AC française et aux ACC. L’AC française doit adopter sa décision finale sur la base de cette décision contraignante conformément à l’article 65, paragraphe 6, du RGPD.

81. En ce qui concerne la partie de l’objection considérée comme ne satisfaisant pas aux exigences fixées à l’article 4, paragraphe 24, du RGPD, l’EDPB ne prend pas position sur le bien-fondé des questions de fond soulevées par cette partie de l’objection. L’EDPB réitère que sa décision actuelle est sans préjudice de toute appréciation qu’il pourrait être appelé à faire dans d’autres cas, y compris à l’égard des mêmes parties, en fonction du contenu du projet de décision concerné et des objections formulées par les ACC.

82. Conformément à l’article 65, paragraphe 6, du RGPD, l’AC française doit communiquer sa décision finale à la présidence dans un délai d’un mois à compter de la réception de la décision contraignante.

83. Après communication de cette décision finale par l’AC française, la décision contraignante sera rendue publique conformément à l’article 65, paragraphe 5, du RGPD.

84. Conformément l’article 70, paragraphe 1, point y), du RGPD, la décision finale de l’AC française communiquée à l’EDPB sera inscrite dans le registre des décisions adoptées dans le cadre du mécanisme de contrôle de la cohérence.

Pour le comité européen de la protection des données

La présidente

  1. JO L 119 du 4.5.2016, p. 1.
  2. Dans la présente décision, on entend par «États membres» les «États membres de l’EEE».
  3. Règlement intérieur du comité européen de la protection des données, adopté le 25 mai 2018, tel que modifié en dernier lieu et adopté le 6 avril 2022.
  4. Remarque: au paragraphe 5 du projet de décision, il est erronément indiqué que cette réclamation a été introduite par l’autorité de contrôle irlandaise.
  5. Projet de décision, paragraphes 3 et 5.
  6. Projet de décision, paragraphe 3.
  7. Les autorités de contrôle suivantes ont été identifiées comme étant des ACC: l’autorité de contrôle autrichienne («Österreichische Datenschutzbehörde»), l’autorité de contrôle belge [«Autorité de la protection des données - Gegevensbeschermingsautoriteit (APD-GBA)»], l’autorité de contrôle bulgare («Commission for Personal Data Protection»), l’autorité de contrôle croate («Croatian Personal Data Protection Agency»), l’autorité de contrôle tchèque («Office for Personal Data Protection»), l’autorité de contrôle danoise («Datatilsynet»), l’autorité de contrôle estonienne [«Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon)»], l’autorité de contrôle grecque («Hellenic Data Protection Authority»), l’autorité de contrôle irlandaise («Data Protection Commission»), l’autorité de contrôle italienne («Garante per la protezione dei dati personali»), l’autorité de contrôle lettone («Data State Inspectorate»), l’autorité de contrôle lituanienne («State Data Protection Inspectorate»), l’autorité de contrôle luxembourgeoise («Commission Nationale pour la Protection des Données»), l’autorité de contrôle néerlandaise («Autoriteit Persoonsgegevens»), l’autorité de contrôle polonaise («Urząd Ochrony Danych Osobowych»), l’autorité de contrôle portugaise («Comissão Nacional de Proteção de Dados»), l’autorité de contrôle roumaine («The National Supervisory Authority for Personal Data Processing»), l’autorité de contrôle slovaque («Office for Personal Data Protection of the Slovak Republic»), l’autorité de contrôle slovène («Information Commissioner of the Republic of Slovenia»), l’autorité de contrôle espagnole («Agencia Española de Protección de Datos»), l’autorité de contrôle suédoise («Integritetsskyddsmyndigheten»), l’autorité de contrôle allemande du Baden-Württemberg («Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg»), l’autorité de contrôle allemande de la Bavière (secteur privé) («Bayerisches Landesamt für Datenschutzaufsicht»), l’autorité de contrôle allemande de Berlin («Berliner Beauftragte für Datenschutz und Informationsfreiheit»), l’autorité de contrôle allemande du Brandebourg («Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg»), l’autorité de contrôle allemande de Brême («Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen»), l’autorité de contrôle allemande de Hambourg («Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit»), l’autorité de contrôle allemande de la Hesse («Der Hessische Beauftragte für Datenschutz und Informationsfreiheit»), l’autorité de contrôle allemande de la Basse-Saxe («Die Landesbeauftragte für den Datenschutz Niedersachsen»), l’autorité de contrôle allemande du Mecklembourg-Poméranie-Occidentale («Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern»), l’autorité de contrôle allemande de la Rhénanie du Nord-Westphalie («Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen»), l’autorité de contrôle allemande de la Rhénanie-Palatinat («Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz»), l’autorité de contrôle allemande de la Sarre («Unabhängiges Datenschutzzentrum Saarland Landesbeauftragte für Datenschutz und Informationsfreiheit»), l’autorité de contrôle allemande de la Saxe («Die Sächsische Datenschutzbeauftragte»), l’autorité de contrôle allemande de la Saxe-Anhalt («Landesbeauftragter für den Datenschutz Sachsen-Anhalt»), l’autorité de contrôle allemande du Schleswig-Holstein («Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein») et l’autorité de contrôle allemande de la Thuringe («Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit»).
  8. Projet de décision, paragraphes 6 à 8.
  9. Projet de décision, paragraphe 9.
  10. Ibidem.
  11. Rapport proposant l’imposition d’une sanction à la société ACCOR (ci-après le «rapport»).
  12. Projet de décision, paragraphes 11 et 12.
  13. Projet de décision, paragraphe 13; observations écrites de la société ACCOR SA du 22 décembre 2020 (ci-après les «observations d’ACCOR de décembre 2020»).
  14. Projet de décision, paragraphe 14; transcription de l’audition de la société ACCOR SA lors de la réunion de la formation restreinte de la CNIL du 28 janvier 2021 (ci-après les «observations d’ACCOR de janvier 2021»).
  15. Addendum du 21 octobre 2021 au rapport proposant l’imposition d’une sanction à la société ACCOR (ci-après l’«addendum»).
  16. Observations écrites d’ACCOR SA du 29 novembre 2021 (ci-après les «observations d’ACCOR de novembre 2021»).
  17. Délibération de la formation restreinte nº SAN-2022-001 du 13 janvier 2022 concernant la société ACCOR (ci- après la «délibération sur les objections de l’AC polonaise»).
  18. Observations d’ACCOR SA du 13 mai 2022 (ci-après les «Observations d’ACCOR de mai 2022»).
  19. Conformément à l’article 65, paragraphe 1, point a), du RGPD, l’EDPB émet une décision contraignante lorsqu’une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’ACCF et que l’ACCF n’a pas suivi l’objection ou l’a rejetée au motif que celle-ci n’était pas pertinente ou motivée.
  20. Voir lignes directrices 3/2021 sur l’application de l’article 65, paragraphe 1, point a) du RGPD [ci-après les «lignes directrices sur l’application de l’article 65, paragraphe 1, point a), du RGPD»], point 17.
  21. Délibération sur les objections de l’AC polonaise, point 18.
  22. Lignes directrices sur l’application de l’article 65, paragraphe 1, point a), du RGPD, point 97.
  23. Lignes directrices sur l’application de l’article 65, paragraphe 1, point a), du RGPD, points 98 et 99.
  24. Lignes directrices sur l’application de l’article 65, paragraphe 1, point a), du RGPD, points 105 et 106.
  25. Lignes directrices 09/2020 de l’EDPB relatives à l’objection pertinente et motivée au titre du règlement (UE) 2016/679, version 2.0, adoptées le 9 mars 2021 (ci-après les «lignes directrices relatives à l’objection pertinente et motivée»).
  26. Lignes directrices sur l’application de l’article 65, paragraphe 1, point a), du RGPD, point 63 (indiquant: «L’EDPB évaluera, pour chaque objection formulée, si l’objection satisfait aux exigences fixées à l’article 4, paragraphe 24, du RGPD et, le cas échéant, examinera le bien-fondé de l’objection dans la décision contraignante.»)
  27. Projet de décision, paragraphes 78 à 88.
  28. Projet de décision, paragraphe 2. Au cours de la vérification de l’exhaustivité du dossier, l’AC française a précisé que la référence dans le projet de décision au «revenu» généré par ACCOR devait s’entendre comme une référence au chiffre d’affaires de la société.
  29. Projet de décision, paragraphe 80.
  30. Ibidem.
  31. Projet de décision, paragraphe 81.
  32. Projet de décision, paragraphe 82.
  33. Projet de décision, paragraphe 83.
  34. Projet de décision, paragraphe 84.
  35. Ibidem
  36. Projet de décision, paragraphe 86.
  37. Ibidem.
  38. Projet de décision, paragraphe 87.
  39. Projet de décision, paragraphes 88 et 92.
  40. Objections de l’AC polonaise, page 4.
  41. Objections de l’AC polonaise, page 2.
  42. Objections de l’AC polonaise, page 2.
  43. Objections de l’AC polonaise, page 2.
  44. Objections de l’AC polonaise, page 2.
  45. Objections de l’AC polonaise, pages 2 et 3.
  46. Objections de l’AC polonaise, page 3.
  47. Objections de l’AC polonaise, pages 3 et 4.
  48. Délibération sur les objections de l’AC polonaise, point 13.
  49. Délibération sur les objections de l’AC polonaise, points 14 et 15. Il convient de noter que les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement (UE) 2016/679 (WP 253) indiquent spécifiquement qu’il ne serait pas approprié d’accorder une attention supplémentaire à la coopération déjà requise par la loi (page 14). À cet égard, voir également l’article 31 du RGPD.
  50. Délibération sur les objections de l’AC polonaise, point 16.
  51. Délibération sur les objections de l’AC polonaise, point 17.
  52. Délibération sur les objections de l’AC polonaise, points 11 à 18.
  53. Objections de l’AC polonaise, pages 1 à 3.
  54. Observations d’ACCOR de novembre 2021, section 2.1, page 2.
  55. Observations d’ACCOR de novembre 2021, section 2.1, page 3.
  56. Objections de l’AC polonaise, page 2.
  57. Projet de décision, paragraphe 80.
  58. Ibidem.
  59. Objections de l’AC polonaise, pages 2 et 3.
  60. Voir considérant 150 du RGPD; lignes directrices relatives à l’objection pertinente et motivée, point 34, et lignes directrices sur l’application de l’article 65, paragraphe 1, point a), du RGPD, point 91.
  61. Objections de l’AC polonaise, page 2.
  62. Selon l’AC polonaise, ce chiffre provient de sources accessibles au public (), Objections de l’AC polonaise, page 2.
  63. Observations d’ACCOR de novembre 2021, section 2.2.1, pages 3 et 4.
  64. Décision contraignante 1/2021 concernant le litige relatif au projet de décision de l’autorité de contrôle irlandaise concernant WhatsApp Ireland en application de l’article 65, paragraphe 1, point a), du RGPD, adoptée le 28 juillet 2021, paragraphes 405 à 412.
  65. Décision contraignante 1/2021 de l’EDPB, paragraphes 297 à 298.
  66. Décision contraignante 1/2021 de l’EDPB, paragraphe 298, dans lequel il est également indiqué que l’article 60, paragraphe 6, du RGPD, qui dispose que l’ACCF et l’ACC sont liées par le projet de décision sur lequel elles sont (réputées) d’accord, ne s’applique, en tout état de cause, pas à la présente situation.
  67. Projet de décision, paragraphe 2.
  68. Projet de décision, paragraphe 87.
  69. Projet de décision, paragraphes 87 et 88.
  70. Objections de l’AC polonaise, page 2.
  71. Voir les précisions fournies à cet égard au paragraphe 60 ci-dessus.
  72. Objections de l’AC polonaise, pages 2 et 3.
  73. Délibération sur les objections de l’AC polonaise, point 13.
  74. Délibération sur les objections de l’AC polonaise, point 16.
  75. Observations d’ACCOR de novembre 2021, section 2.2.b, page 6.
  76. Ibidem.
  77. Voir, concernant ce principe, par exemple, les lignes directrices de la Commission pour le calcul des amendes infligées en application de l’article 23, paragraphe 2, sous a), du règlement (CE) nº 1/2003 (2006/C 210/02).
  78. Voir Tokai Carbon e.a./Commission (affaires jointes T-236/01, T-239/01, T-244/01 à T-246/01, T-251/01 et T- 252/01, arrêt rendu le 29 avril 2004), EU:T:2004:118, point 372; Westfälische Drahtindustrie e.a./Commission (affaire T-393/10, arrêt rendu le 15 juillet 2015), EU:T:2015:515, points 292 à 294.
  79. Voir SGL Carbon/Commission (affaire C-308/04 P, arrêt rendu le 29 juin 2006), EU:C:2006:433, point 106.
  80. Délibération sur les objections de l’AC polonaise, points 13 à 16.
  81. Décision contraignante 1/2021 de l’EDPB, paragraphes 405 à 412.
  82. Conformément à l’article 83, paragraphe 1, du RGPD, «[c]haque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives» (soulignement ajouté).
  83. C’est-à-dire le chiffre d’affaires de l’exercice financier précédant la décision. Voir paragraphe 63 ci-dessus.
  84. Par exemple, le terme «récent» peut viser des situations dans lesquelles les circonstances économiques sectorielles exceptionnelles surviennent après l’année de référence retenue pour déterminer le chiffre d’affaires pertinent, ou peu de temps avant la fin de cette année de référence, de sorte que le chiffre d’affaires de l’entreprise ne reflète plus exactement sa capacité financière.
  85. Voir Dansk Rørindustri e.a./Commission (affaires jointes C-189/02 P, C-202/02 P, C-205/02 P à C-208/02 P et C- 213/02 P, arrêt rendu le 28 juin 2005), EU:C:2005:408, point 327 et jurisprudence citée.
  86. À cet égard, l’EDPB rappelle que, lorsqu’elle adoptera sa décision finale conformément à l’article 65, paragraphe 6, du RGPD, l’AC française utilisera le chiffre d’affaires actualisé d’ACCOR, c’est-à-dire celui de 2021. Voir paragraphe 63 ci-dessus.
  87. Objections de l‘AC polonaise, page 2.
  88. Observations d’ACCOR de mai 2022, page 1, renvoyant à la délibération sur les objections de l’AC polonaise, points 11 à 18.
  89. Voir, entre autres, Altice Europe/Commission (affaire T-425/18, arrêt rendu le 22 septembre 2021), EU:T:2021:607, point 362; Romana Tabacchi/Commission (affaire T-11/06, arrêt rendu le 5 octobre 2011), EU:T:2011:560, point 266.
  90. Voir, entre autres, Caffaro/Commission (affaire T-192/06, arrêt rendu le 16 juin 2011), EU:C:2011:278, point 38.
  91. Décision 01/2020 de l’EDPB concernant le litige relatif au projet de décision de l’autorité de contrôle irlandaise concernant Twitter International Company en application de l’article 65, paragraphe 1, point a), du RGPD, adoptée le 9 novembre 2020, paragraphe 196; Décision contraignante 1/2021 de l’EDPB, paragraphe 415.
  92. Voir, entre autres, Versalis/Commission (affaire C-511/11, arrêt rendu le 13 juin 2013), EU:C:2013:386, point 94.
  93. Landespolizeidirektion Steiermark e.a. (Machines à sous) (affaire C-231/20, arrêt rendu le 22 septembre 2021), EU:C:2021:845, point 45 (indiquant: «Encore faut-il, […] que la rigueur des sanctions imposées soit en adéquation avec la gravité des violations qu’elles répriment, notamment en assurant un effet réellement dissuasif, tout en n’allant pas au-delà de ce qui est nécessaire pour atteindre ledit objectif»).
  94. Décision contraignante 1/2021 de l’EDPB, paragraphes 405 à 412.
  95. YKK e.a./Commission (affaire C‑408/12 P, arrêt rendu le 4 septembre 2014), EU:C:2014:2153, point 85; Lafarge/Commission, (affaire C-413/08 P, arrêt rendu le 17 juin 2010), EU:C:2010:346, point 104 et jurisprudence citée.
  96. Projet de décision, paragraphe 80.
  97. Ibidem.
  98. À cet égard, l’EDPB rappelle que, lorsqu’elle adoptera sa décision finale conformément à l’article 65, paragraphe 6, du RGPD, l’AC française utilisera le chiffre d’affaires actualisé d’ACCOR, c’est-à-dire celui de 2021. Voir paragraphe 63 ci-dessus.

Le texte correspond au texte original. Des modifications visuelles ont pu toutefois être apportées pour améliorer la lecture du document.

Source : edpb.europa.eu.