EDPB - Décision n° 01/2020 adoptée le 9 novembre 2020 concernant la société TWITTER INTERNATIONAL COMPANY

Décision 01/2020 concernant le litige relatif au projet de décision de l’autorité de contrôle irlandaise concernant Twitter International Company en application de l’article 65, paragraphe 1, point a), du RGPD

Adoptée le lundi 9 novembre 2020

Le comité européen de la protection des données

vu l’article 63 et l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (ci-après le «RGPD»)^[1],

vu l’accord sur l’Espace économique européen (EEE) et, en particulier, son annexe XI et son protocole 37, tels que modifiés par la décision du Comité mixte de l’EEE nº 154/2018 du 6 juillet 2018^[2],

vu l’article 11 et l’article 22 de son règlement intérieur^[3], attendu que:

(1) La mission principale du comité européen de la protection des données (ci-après l’«EDPB» ou le «comité») est de veiller à l’application cohérente du RGPD dans l’ensemble de l’EEE. À cet effet, il résulte de l’article 60 du RGPD que l’autorité de contrôle chef de file doit coopérer avec les autres autorités de contrôle concernées dans le but de parvenir à un consensus, que l’autorité de contrôle chef de file et les autorités de contrôle concernées doivent échanger toutes les informations pertinentes, et que l’autorité de contrôle chef de file doit communiquer sans délai les informations pertinentes sur la question aux autres autorités de contrôle concernées. L’autorité de contrôle chef de file doit soumettre dans les meilleurs délais un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et doit tenir dûment compte de leur point de vue.

(2) Lorsqu’une des autorités de contrôle concernées émet une objection pertinente et motivée à l’égard du projet de décision conformément à l’article 4, paragraphe 24, et à l’article 60, paragraphe 4, du RGPD, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, doit soumettre cette question au mécanisme de contrôle de la cohérence visé à l’article 63, du RGPD.

(3) Conformément à l’article 65, paragraphe 1, point a), du RGPD, l’EDPB doit rendre une décision contraignante concernant toutes les questions qui font l’objet des objections pertinentes et motivées, en particulier la question de savoir s’il y a violation du RGPD.

(4) La décision contraignante de l’EDPB doit être adoptée par la majorité des deux tiers de l’EDPB, conformément à l’article 65, paragraphe 2, du RGPD, en relation avec l’article 11, paragraphe 4, du règlement intérieur de l’EDPB, dans un délai d’un mois à compter de la date à laquelle la présidence et l’autorité de contrôle compétente ont décidé que le dossier était complet. Ce délai peut être prolongé d’un mois en fonction de la complexité de la question, sur décision de la présidence, de sa propre initiative ou à la demande d’au moins un tiers des membres de l’EDPB.

(5) Conformément à l’article 65, paragraphe 3, du RGPD, si, malgré une telle prorogation, l’EDPB n’a pas été en mesure d’adopter une décision dans le délai imparti, elle doit le faire dans les deux semaines suivant l’expiration de la prorogation, à la majorité simple de ses membres.

1. Le présent document contient une décision contraignante adoptée par l’EDPB conformément à l’article 65, paragraphe 1, point a), du RGPD. La décision concerne le litige relatif à un projet de décision (ci-après dénommé le «projet de décision») émis par l’autorité de contrôle irlandaise (la «Commission de protection des données», ci-après dénommée l’«AC irlandaise», également appelée dans ce contexte «autorité de contrôle chef de file») ainsi que les objections suivantes exprimées par un certain nombre d’autorités de contrôle concernées («Österreichische Datenschutzbehörde», ci- après l’«AC autrichienne»; «Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit»^[4], ci-après l’«AC allemande»; «Datatilsynet», ci-après l’«AC danoise»; «Agencia Española de Protección de Datos», ci-après l’«AC espagnole»; la «Commission nationale de l’informatique et des libertés», ci-après l’«AC française»; «Nemzeti Adatvédelmi és Információszabadság Hatóság», ci-après l’«AC hongroise»; «Garante per la protezione dei dati personali»; ci-après l’«AC italienne»; «Autoriteit Persoonsgegevens», ci-après l’«AC néerlandaise»). Le projet de décision en question concerne une «enquête volontaire» qui a été ouverte par l’AC irlandaise à la suite de la notification d’une violation de données à caractère personnel le 8 janvier 2019 (la «violation») par Twitter International Company, une société établie à Dublin, en Irlande (ci-après dénommée «TIC»)^[5].

2. La violation de données est due à un bogue de la conception de Twitter en raison duquel, lorsqu’un utilisateur modifiait l’adresse e-mail associée à son compte Twitter depuis un appareil Android, les tweets protégés devenaient non-protégés et donc accessibles à un public plus large (et pas seulement aux abonnés de l’utilisateur), sans que l’utilisateur en ait connaissance^[6]. Le bogue a été découvert le 26 décembre 2018 par le prestataire externe gérant le «programme de prime aux bogues» de la société permettant à n’importe quelle personne de signaler un bogue^[7].

3. Au cours de son enquête, Twitter a découvert que d’autres actions de l’utilisateur pourraient également entraîner le même résultat non intentionnel. Le bogue dans le code était dû à un changement de code effectué le 4 novembre 2014^[8].

4. TIC a informé l’AC irlandaise que, dans la mesure où elle a pu les identifier, entre le 5 septembre 2017 et le 11 janvier 2019, 88 726 utilisateurs de l’UE et de l’EEE ont été affectés par ce bogue. Twitter a confirmé que le bogue date du 4 novembre 2014, mais la société a également confirmé qu’elle ne peut identifier que les utilisateurs affectés à partir du 5 septembre 2017 en raison d’une politique de conservation applicable aux journaux^[9]. En conséquence, TIC a reconnu la possibilité que davantage d’utilisateurs aient été affectés par la violation^[10].

5. L’AC irlandaise a pris la décision d’ouvrir l’enquête car TIC avait, dans son formulaire de notification de violation, identifié l’impact potentiel pour les personnes affectées comme étant «significatif»^[11].

6. L’AC irlandaise a déclaré dans son projet de décision être d’avis que l’AC irlandaise est l’autorité de contrôle chef de file, au sens du RGPD, pour TIC, en tant que responsable du traitement transfrontalier des données à caractère personnel effectué par TIC qui faisait l’objet de la violation^[12].

7. Le tableau suivant présente brièvement la chronologie des événements de la procédure menant à la soumission de la question au mécanisme de contrôle de la cohérence:

26.12.2018 Twitter, Inc., une société enregistrée aux États-Unis reçoit un rapport de bogue dans le cadre de leur programme de prime aux bogues. Le rapport a été envoyé par un entrepreneur tiers gérant le programme de prime aux bogues (Entrepreneur 1) à l’entrepreneur tiers engagé par Twitter, Inc. pour rechercher et évaluer les bogues (Entrepreneur 2).

29.12.2018 L’entrepreneur 2 communique le résultat à Twitter, Inc. par un ticket JIRA.

02.01.2019 L’équipe de sécurité de l’information de Twitter, Inc. examine le ticket JIRA et estime qu’il ne s’agit pas d’un problème de sécurité, mais d’un problème de protection des données.

02.01.2019 L’équipe juridique de Twitter, Inc. en est informée.

03.01.2019 L’équipe juridique de Twitter, Inc. estime que le problème doit être traité comme un incident.

04.01.2019 Twitter, Inc. déclenche le processus de réponse à l’incident, mais en raison d’une erreur lors de l’application de la procédure interne, le délégué à la protection des données (DPD) général n’est pas ajouté en tant «qu’observateur» au ticket. Par conséquent, il n’en est pas informé.

07.01.2019 Le DPD général est informé de la violation des données lors d’une réunion.

08.01.2019 TIC notifie la violation à l’AC irlandaise à l’aide du formulaire de notification de violation transfrontalière de l’AC irlandaise.

22.01.2019 La portée et le fondement juridique de l’enquête ont été énoncés dans l’avis d’ouverture d’enquête qui a été envoyé à TIC le 22 janvier 2019. L’AC irlandaise ouvre l’enquête et demande des informations à TIC.

entre le 28.05.2019 et le 21.10.2019 Étape du rapport d’enquête:

- L’AC irlandaise élabore un projet de rapport d’enquête et l’envoie à TIC pour permettre à TIC de présenter des observations relatives au projet de rapport d’enquête en question;

- TIC présente ses observations concernant le projet de rapport d’enquête;

- L’AC irlandaise demande des précisions au sujet des observations faites par TIC;

- L’AC irlandaise publie son rapport d’enquête final.

21.10.2019 L’AC irlandaise passe à l’étape de la prise de décision.

11 et 28.11.2019 L’AC irlandaise correspond avec TIC et l’invite à faire d’autres observations écrites.

02.12.2019 TIC fait d’autres observations à l’AC irlandaise pour donner suite à la correspondance avec l’AC irlandaise datant du 11 et du 28 novembre 2019.

14.03.2020 L’AC irlandaise remet un avant-projet de décision (ci-après «l’avant-projet de décision») à TIC, concluant que TIC a enfreint l’article 33, paragraphe 1, et l’article 33, paragraphe 5, du RGPD; par conséquent, elle entend émettre un blâme conformément à l’article 52, paragraphe 2, du RGPD, et une amende administrative conformément à l’article 58, paragraphe 2, point i), et à l’article 83, paragraphe 2, du RGPD.

27.04.2020 TIC fournit des observations relatives à l’avant-projet de décision à l’AC irlandaise.

27.04.2020 - 22.05.2020 L’AC irlandaise tient compte des observations de TIC relatives à l’avant-projet de décision et prépare son projet de décision pour soumission aux autorités de contrôle concernées conformément à l’article 60, du RGPD.

22.05.2020 - 20.06.2020 L’AC irlandaise communique son projet de décision aux les autorités de contrôle concernées conformément à l’article 60, paragraphe 3, du RGPD. Plusieurs autorités de contrôle concernées (l’AC autrichienne, l’AC allemande (représentées par l’AC allemande d’Hamburg), l’AC danoise, l’AC espagnole, l’AC française, l’AC hongroise, l’AC italienne et l’AC néerlandaise) présentent des objections conformément à l’article 60, paragraphe 4, du RGPD.

15.07.2020 L’AC irlandaise publie un mémorandum composite exposant ses réponses à ces objections et le communique aux autorités de contrôle concernées (ci-après, «mémorandum composite»). L’AC irlandaise demande aux autorités de contrôle concernées de confirmer si, après avoir examiné la position de l’AC irlandaise par rapport aux objections énoncées dans le mémorandum composite, elles ont l’intention de maintenir leurs objections.

27 et 28.07.2020 Compte tenu des arguments avancés par l’AC irlandaise dans le mémorandum composite, l’AC danoise informe l’AC irlandaise qu’elle ne maintient pas son objection, et l’AC espagnole informe l’AC irlandaise qu’elle retire en partie son objection. Les autres autorités de contrôle concernées (c’est-à-dire les AC autrichienne, allemande, espagnole, française, hongroise, italienne et néerlandaise) confirment à l’AC irlandaise qu’elles maintiennent leurs objections restantes.

19.08.2020 L’AC irlandaise soumet la question au CEPD conformément à l’article 60, paragraphe 4, du RGPD, ouvrant ainsi la procédure de règlement des litiges prévue à l’article 65, paragraphe 1, point a).

8. L’AC irlandaise a déclenché le processus de règlement des litiges sur l’IMI le 19 août 2020. Après que l’autorité de contrôle chef de file ait soumis cette question au CEPD conformément à l’article 60, paragraphe 4, du RGPD, le secrétariat de l’EDPB a vérifié que le dossier était complet au nom de la présidence, conformément à l’article 11, paragraphe 2) du règlement intérieur de l’EDPB. Le secrétariat de l’EDPB a contacté l’AC irlandaise pour la première fois le 20 août 2020, demandant des documents et informations supplémentaires à soumettre dans l’IMI et demandant à l’AC irlandaise de confirmer que le dossier était complet. L’AC irlandaise a fourni les documents et les informations et a confirmé que le dossier était complet le 21 août 2020. Le principe du contradictoire, comme l’exige l’article 41, paragraphe 2, point a), de la charte des droits fondamentaux de l’homme, est une question d’une importance particulière qui a été examinée par le secrétariat de l’EDPB. Le 4 septembre 2020, le secrétariat a contacté l’AC irlandaise pour lui poser des questions supplémentaires afin de confirmer si TIC a eu la possibilité d’appliquer le principe du contradictoire sur tous les documents soumis au comité pour décision. Le 8 septembre 2020, l’AC irlandaise a confirmé que c’était le cas, et a fourni les documents pour le prouver^[13].

9. Le 8 septembre 2020, le dossier a été jugé complet et a été distribué par le secrétariat de l’EDPB à tous les membres de l’EDPB.

10. La présidence a décidé, conformément à l’article 65, paragraphe 3, du RGPD, en liaison avec l’article 11, paragraphe 4, du règlement intérieur de l’EDPB, de proroger d’un mois le délai par défaut pour l’adoption, compte tenu de la complexité de l’objet.

11. Les conditions générales d’adoption d’une décision contraignante par le comité sont énoncées à l’article 60, paragraphe 4, et à l’article 65, paragraphe 1, point a), du RGPD^[14].

12. Le CEPD note que les autorités de contrôle concernées ont formulé des objections à l’égard du projet de décision sur le système d’information et de communication mentionné à l’article 17 du règlement intérieur de l’EDPB, à savoir le système d’information du marché intérieur. Les objections ont été formulées conformément à l’article 60, paragraphe 4, du RGPD.

13. Plus précisément, des objections ont été formulées par les autorités de contrôle concernées à l’égard des questions suivantes:

- la compétence de l’autorité de contrôle chef de file;

- la qualification des rôles de TIC et de Twitter, Inc., respectivement;

- les violations du RGPD identifiées par l’autorité de contrôle chef de file;

- l’existence d’autres violations éventuelles (ou possibles) du RGPD;

- l’absence de blâme;

- le calcul de l’amende proposée.

14. Chacune de ces objections a été soumise dans le respect du délai prévu à l’article 60, paragraphe 4, du RGPD.

15. Le 15 juillet 2020, l’AC irlandaise a fourni aux autorités de contrôle concernées une analyse détaillée des objections formulées par les autorités de contrôle concernées dans le mémorandum composite, dans laquelle elle a précisé si les objections étaient considérées comme «pertinentes et motivées» conformément à l’article 4, paragraphe 24, du RGPD, et si elle a décidé de suivre l’une de ces objections^[15].

16. L’AC irlandaise a considéré plus précisément que seules les objections formulées par les autorités de contrôle concernées relatives au calcul de l’amende répondent aux conditions établies par l’article 4, paragraphe 24, du RGPD, dans la mesure où elles concernent le respect du RGPD de l’action envisagée à l’égard du responsable du traitement ou du sous-traitant et définissent les risques présentés pour les libertés et droits fondamentaux des personnes concernées^[16]. Toutefois, l’AC irlandaise a conclu qu’elle ne suivrait pas les objections, pour les raisons énoncées dans le mémorandum composite et ci- dessous.

17. L’AC irlandaise a estimé que les autres objections formulées par les autorités de contrôle concernées n’étaient pas «pertinentes et motivées» au sens de l’article 4, paragraphe 24, du RGPD.

18. L’affaire en question répond à tous les éléments énumérés à l’article 65, paragraphe 1), point a), du RGPD, puisque plusieurs autorités de contrôle concernées ont formulé des objections à l’égard d’un projet de décision de l’autorité de contrôle chef de file dans le respect du délai prévu à l’article 60, paragraphe 4, du RGPD, et que l’autorité de contrôle chef de file n’a pas suivi les objections ou les a rejetées au motif qu’elles ne sont pas pertinentes ou motivées.

19. Le CEPD est donc compétent pour adopter une décision contraignante qui doit porter sur toutes les questions faisant l’objet de la ou des objection(s) pertinente(s) et motivée(s), en particulier la question de savoir s’il y a violation du RGPD^[17].

20. Tous les résultats de la présente décision sont sans préjudice de toute évaluation ou décision contraignante prise dans d’autres cas par l’EDPB, y compris avec les mêmes parties, selon d’autres et/ou de nouveaux résultats.

21. Le CEPD est soumis à l’article 41 de la charte des droits fondamentaux de l’UE, en particulier à l’article 41 (droit à une bonne administration). Cela est également reflété dans l’article 11, paragraphe 1, du règlement intérieur de l’EDPB^[18].

22. La décision de l’EDPB «doit être motivée et adressée à l’autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et contraignante à leur égard» (article 65, paragraphe 2, du RGPD). Elle ne doit pas à s’adresser directement à un tiers. Toutefois, à titre de mesure conservatoire pour aborder l’éventualité que TIC puisse être affectée par la décision de l’EDPB, ce dernier a évalué si TIC a eu la possibilité d’appliquer le principe du contradictoire dans le cadre de la procédure menée par l’autorité de contrôle chef de file et, en particulier, si tous les documents reçus dans le cadre de cette procédure et utilisés par l’EDPB pour prendre sa décision ont été communiqués auparavant à TIC et si TIC a été entendue sur ces documents.

23. Considérant que TIC a déjà été entendue par l’AC irlandaise sur toutes les informations reçues par l’EDPB et utilisées pour prendre sa décision^[19] et que l’autorité de contrôle chef de file a communiqué au CEPD les observations écrites de TIC, conformément à l’article 11, paragraphe 2, du règlement intérieur de l’EDPB^[20], en ce qui concerne les questions soulevées dans ce projet de décision spécifique, l’EDPB est d’avis que l’article 41 de la charte des droits fondamentaux de l’UE a été respecté.

24. Le projet de décision stipule que «[…] lors de l’ouverture de l’enquête, l’enquêteur désigné au sein de l’[AC irlandaise] […] était d’avis que TIC était le responsable du traitement, au sens de l’article 4, paragraphe 7, du RGPD, à l’égard des données à caractère personnel faisant l’objet de la violation», et que «[…] à cet égard, TIC a confirmé être le responsable du traitement» dans le formulaire de notification de violation des données et dans la correspondance avec l’AC irlandaise^[21]. Le projet de décision stipule en outre que «TIC a également confirmé que la violation s’était produite dans le cadre du traitement effectué par Twitter Inc. en son nom, son sous-traitant»^[22] et que «TIC est le responsable du traitement des données à caractère personnel qui fait l’objet de l’enquête. TIC a conclu un accord avec Twitter Inc. (son sous-traitant) pour la fourniture de services de traitement de données»^[23].

25. En outre, le projet de décision précise que l’AC irlandaise était d’avis qu’elle était compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par TIC des données à caractère personnel qui faisait l’objet de la violation^[24].

26. À cet égard, le projet de décision indique en outre que TIC a confirmé à l’AC irlandaise, lors de la notification de la violation, être «une société irlandaise» et le «fournisseur des services Twitter en Europe», et que la politique de confidentialité de TIC (mise à jour en janvier 2016) a informé les utilisateurs du service Twitter dans l’UE qu’ils avaient le droit de signaler des problèmes soit auprès de leur autorité de contrôle locale, soit auprès de l’autorité de contrôle chef de file de TIC, l’AC irlandaise^[25].

27. L’AC irlandaise a également inclus dans le projet de décision un extrait du rapport annuel et des états financiers de TIC relatifs à l’exercice clos le 31 décembre 2018 précisant que le «dernier groupe de contrôle et le plus grand groupe d’entreprises pour lequel des états financiers du groupe sont établis, et dont la société est membre, est Twitter, Inc., une société constituée aux États-Unis d’Amérique et cotée à la bourse de New York»^[26].

28. L’AC irlandaise a d’abord été confrontée à une incertitude résultant de l’emploi des termes «nous» et «notre» dans le formulaire de notification de violation de données pour faire référence de façon indistincte à TIC et à Twitter, Inc. L’AC irlandaise a demandé des précisions à cet égard, et TIC a indiqué que les employés de TIC et de Twitter, Inc. utilisent habituellement «nous» et «notre» pour faire référence au groupe par son nom. En outre, TIC a indiqué que, bien qu’elle soit le responsable du traitement et prenne des décisions relatives aux finalités et aux moyens de traitement des données, elle n’opère pas seule: «TIC, et ses employés, font partie […] du groupe Twitter […]. Tous les employés du groupe Twitter utilisent les mêmes systèmes informatiques, ils adhèrent aux mêmes politiques générales… et travaillent ensemble pour assurer la prise en charge mondiale 24 heures sur 24 nécessaire pour maintenir la plateforme Twitter opérationnelle»^[27].

29. Dans son objection, l’AC espagnole déclare que le projet de décision ne justifie pas suffisamment le rôle de TIC en tant que responsable du traitement. L’AC espagnole souligne qu’une évaluation selon laquelle l’entité décide réellement des finalités et des moyens doit être effectuée, ainsi qu’une analyse critique de tous les faits qui ont eu lieu. Selon l’AC espagnole, les éléments qui sont à la base du projet de décision semblent suggérer une conclusion différente de celle de l’AC irlandaise. L’AC espagnole considère notamment que les décisions concernant les finalités essentielles du traitement des données sont effectivement prises par Twitter, Inc. L’AC espagnole a appuyé son raisonnement en énumérant certains facteurs qui, selon elle, pourraient suggérer que TIC ne décide pas des finalités et des moyens. Tout d’abord, l’AC espagnole a rappelé que TIC est une filiale de Twitter, Inc. et a souligné qu’il serait donc difficile de comprendre comment TIC pourrait «donner des ordres» à Twitter, Inc. concernant le traitement des données personnelles des utilisateurs de l’EEE. Selon l’AC espagnole, TIC n’a jamais été en mesure de choisir indépendamment Twitter, Inc. comme son sous-traitant et ne serait pas en mesure de le remplacer. En outre, l’AC espagnole a soutenu que Twitter, Inc. ne semble pas agir en tant que sous-traitant en raison de «l’absence d’un canal direct» entre les deux sociétés dans la gestion des cas de violation de données autre que l’envoi d’un e-mail avec le DPD général en copie. Troisièmement, l’AC espagnole a déclaré qu’il était difficile de comprendre comment TIC aurait pu, de manière indépendante, adopter ou influencer les décisions permettant la correction du bogue informatique dans le système géré et contrôlé par Twitter, Inc., et que c’est plutôt Twitter, Inc. qui a pris des décisions relatives à la solution pour remédier à la violation, dont les effets ne se limitaient pas uniquement aux utilisateurs européens.

30. L’AC néerlandaise a également formulé une objection concernant la qualification juridique de TIC et de Twitter, Inc. respectivement en tant que responsable du traitement et sous-traitant. L’objection porte plus précisément sur la façon dont l’AC irlandaise a soutenu que TIC est en l’occurrence le seul responsable du traitement et que Twitter, Inc. est un sous-traitant agissant en leur nom. L’AC néerlandaise considère que l’évaluation du contrôle est un aspect fondamental de cette affaire et, par conséquent, toute conclusion concernant le rôle du responsable du traitement, du sous-traitant ou des co-responsables du traitement doit être étayée par des preuves juridiques et factuelles. Dans son objection, l’AC néerlandaise soutient essentiellement que le projet de décision ne contient pas suffisamment de preuves pour établir sur les plans juridique et factuel les rôles des entités concernées, en particulier pour appuyer la conclusion i) que TIC est le (seul) responsable du traitement et ii) que Twitter, Inc. est simplement un organisme de traitement agissant sur instruction de TIC pour l’exploitation du service global Twitter et/ou les finalités pertinentes en l’espèce. Selon l’AC néerlandaise, l’autorité de contrôle chef de file doit vérifier si les déclarations juridiques de l’organisation et/ou leur politique de confidentialité correspondent à leurs activités réelles. L’AC néerlandaise a demandé à l’AC irlandaise d’inclure plus d’informations et/ou une description des facteurs qui conduisent à la détermination des rôles dans le projet de décision lui-même. L’AC néerlandaise mentionne également les exemples de facteurs à prendre en compte suivants: les instructions de TIC données à Twitter, Inc., ou d’autres preuves objectives ou indices utiles des opérations quotidiennes, ainsi que des exemples de traces écrites telles qu’un accord de traitement des données.

31. Dans son objection, l’AC allemande soutient que la relation entre Twitter, Inc. et TIC n’est pas une relation responsable du traitement-sous-traitant, mais plutôt une relation de co-responsables du traitement. L’objection en première instance repose sur le fait que Twitter, Inc. et TIC n’exploitent pas de systèmes de traitement de données distincts. Selon l’AC allemande, le système de base exploité par Twitter, Inc. est modifié en fonction des décisions prises par TIC et de celles des utilisateurs de l’EEE, alors que le système de traitement principal reste le même. L’AC allemande a également souligné que tous les employés du groupe utilisent le même système informatique et respectent les mêmes politiques générales.

32. Enfin, l’AC française a soulevé une objection concernant la compétence de l’AC irlandaise, déclarant qu’il semble que l’AC irlandaise soit parvenue à la conclusion que le pouvoir de décision sur les finalités et les moyens du traitement en question était exercé par TIC. Selon l’AC française, le projet de décision n’indique pas clairement que d’autres éléments que les déclarations de la société TIC ont été pris en compte par l’autorité pour considérer que cette société avait un pouvoir de décision sur le traitement. L’AC française a également précisé que le projet de décision n’indique pas clairement si la compétence de l’autorité est fondée sur le fait que la société TIC devrait être considérée comme le responsable du traitement, ou sur le fait que TIC devrait être considérée comme l’établissement principal tel que défini par l’article 4, paragraphe 16, du RGPD. L’AC française a conclu que, au stade actuel, le projet de décision n’empêche pas le risque de forum shopping, que le mécanisme de guichet unique est censé éviter. L’AC française a invité l’AC irlandaise à fournir plus d’éléments permettant de prouver que la société TIC a un pouvoir de décision concernant les finalités et les moyens du traitement pour le réseau social Twitter.

33. Dans son mémorandum composite, l’AC irlandaise a considéré qu’une objection fondée sur le rôle ou la désignation des parties en tant que responsable du traitement et sous-traitant et/ou sur la compétence de l’AC irlandaise «ne conteste ni la constatation d’une violation ni l’action envisagée et, par conséquent, ne satisfait pas à la définition figurant à l’article 4, paragraphe 24, et «ne relève pas du sens de la définition du terme “objection motivée” au titre de l’article 4, paragraphe 24»^[28]. L’AC irlandaise a néanmoins analysé ces objections et, ce faisant, a défini les facteurs qu’elle avait pris en considération pour déterminer le statut de responsable du traitement et d’établissement principal de TIC. À cet égard, l’AC irlandaise a décrit de façon sommaire (sous forme de résumé^[29]) les faits et l’analyse juridique menant à sa conclusion sur le statut de responsable du traitement de TIC:

- la confirmation antérieure de Twitter en 2015 concernant sa proposition de désigner TIC en Irlande comme le responsable du traitement des données personnelles des utilisateurs de Twitter dans l’UE^[30];

- la confirmation de TIC concernant le fait qu’elle était le responsable du traitement des données personnelles faisant l’objet de la violation, au moment de la notification de la violation à l’AC irlandaise et pendant l’enquête;

- la confirmation de TIC concernant le fait qu’un accord de traitement des données a été conclu entre elle et Twitter, Inc. agissant en qualité de sous-traitant, qui comprend les dispositions requises par l’article 28 du RGPD;

- les interactions entre TIC et Twitter, Inc. à la suite du 7 janvier 2019, lorsque TIC (par l’intermédiaire de son DPO) a effectivement été informée de la violation, démontrant selon l’AC irlandaise que TIC a exercé le contrôle et le pouvoir décisionnel sur Twitter, Inc. concernant les activités de correction et la notification de la violation et en relation avec le traitement sous-jacent des données personnelles faisant l’objet de violation; et

- les actions de Twitter, Inc. lorsque la société a été informée de l’incident par l’entrepreneur 2, qui, selon I’AC irlandaise, justifient également le statut de la relation entre les deux entités dans le cadre de laquelle TIC a exercé l’autorité et a assumé des responsabilités en tant que responsable du traitement.

34. L’AC irlandaise a ensuite exposé de façon sommaire, sous forme de résumé^[31], les faits et l’analyse juridique menant à la conclusion que TIC est principalement établie en Irlande (en plus des points énoncés ci-dessus):

- la désignation et la déclaration de TIC en tant qu’établissement principal;

- la confirmation par TIC, dans sa politique de confidentialité, de son statut de responsable du traitement des données personnelles des utilisateurs de Twitter dans l’UE;

- le siège de l’administration centrale de TIC est situé à Dublin, où la société compte environ 170 employés;

- l’emploi direct d’un DPD général par TIC aux fins du RGPD, le lien hiérarchique du DPD général au sein de TIC et la représentation de TIC par le DPD général dans une gamme d’activités liées à la confidentialité et au traitement des données, y compris la possibilité d’opposer un veto au traitement des données;

- la surveillance rétrospective et continue de TIC par l’AC irlandaise, au cours de laquelle il a été constaté que TIC détermine les finalités et les moyens pour lesquels les données à caractère personnel sont traitées dans l’UE. L’AC irlandaise a réitéré que, nonobstant sa réponse concernant les objections formulées sur les questions de compétence et/ou de désignation des parties, elle n’a pas considéré que les objections formulées à l’égard de ces questions répondaient à la définition d’une «objection pertinente et motivée» au titre de l’article 4, paragraphe 24, du RGPD. L’AC irlandaise a déclaré, compte tenu de ses deux évaluations, ces questions ne satisfaisaient pas à la définition donnée en vertu de l’article 4, paragraphe 24, du RGPD, et que, compte tenu du fait qu’elle ait démontré avoir traité de façon adéquate les questions concernant l’établissement principal, sa compétence, et la désignation du responsable du traitement et du sous-traitant dans son projet de décision, qu’elle n’avait pas l’intention de suivre les objections formulées à l’égard de ces questions^[32].

35. Dans le cadre de son analyse des objections formulées, l’EDPB commencera par évaluer si les objections susmentionnées peuvent être considérées comme «pertinentes et motivées» au sens de l’article 4, paragraphe 24, du RGPD.

36. L’article 4, paragraphe 24, du RGPD définit une «objection pertinente et motivée» comme une «une objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union»^[33].

37. Comme précisé dans les lignes directrices sur la notion d’objection pertinente et motivée, une objection doit être à la fois «pertinente» et «motivée». Pour que l’objection soit «pertinente», il doit y avoir un lien direct entre l’objection et le projet de décision et il doit s’agir soit d’une violation du RGPD, soit de la conformité de l’action envisagée par rapport à la conformité du responsable du traitement ou du sous-traitant au RGPD .^[34]

38. Selon les mêmes lignes directrices, une objection est «motivée» lorsqu’elle est cohérente, claire, précise et détaillée, lorsqu’elle fournit des précisions et des arguments sur la raison pour laquelle une modification de la décision est proposée et sur la façon dont la modification conduirait à une conclusion différente^[35], et lorsqu’elle démontre clairement l’importance des risques posés par le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, pour la libre circulation des données à caractère personnel au sein de l’Union européenne. L’autorité de contrôle concernée devrait donc «démontrer les conséquences que le projet de décision aurait pour les valeurs protégées», en «avançant des arguments permettant de démontrer que de tels risques sont substantiels et plausibles»^[36]. L’évaluation des risques pour les libertés et les droits des personnes concernées^[37] peut s’appuyer, entre autres, sur la pertinence, la nécessité et la proportionnalité des mesures envisagées^[38] et sur la réduction éventuelle des violations futures du RGPD^[39].

39. En termes de contenu, l’objection peut également porter sur l’existence d’une violation du RGPD. Dans ce cas, elle devrait expliquer pourquoi l’autorité de contrôle concernée n’est pas d’accord sur la question de savoir si les activités menées par le responsable du traitement ou le sous-traitant ont conduit à la violation d’une disposition donnée du RGPD, et préciser à quelle(s) violation(s) précise(s)^[40]. Cette objection peut également comprendre un désaccord quant aux conclusions à tirer des résultats de l’enquête (par exemple, en indiquant que les résultats constituent une violation autre que/en plus de celles déjà analysées)^[41] ou pourrait aller jusqu’à identifier des lacunes dans le projet de décision justifiant la nécessité pour l’autorité de contrôle chef de file de mener une enquête plus approfondie^[42]. Toutefois, cela est moins susceptible de se produire si l’autorité de contrôle chef de file a dûment respecté l’obligation de coopérer avec les autorités de contrôle concernées et d’échanger toutes les informations pertinentes dans le délai précédant la publication du projet de décision^[43]. Le contenu de l’objection peut également concerner la conformité de l’action envisagée à l’égard du responsable du traitement ou du sous-traitant (mesure corrective ou autre) dans le projet de décision et suivant le RGPD, en expliquant pourquoi l’action prévue n’est pas conforme au RGPD^[44].

40. Le CEPD considère qu’il est possible qu’une objection concernant l’existence d’une violation du RGPD porte sur l’absence ou l’insuffisance d’évaluation ou de raisonnement (avec pour conséquence que la conclusion du projet de décision ne soit pas suffisamment appuyée par l’évaluation réalisée et les éléments de preuve présentés, comme l’exige l’article 58, du RGPD), dans la mesure où les exigences établies par l’article 4, paragraphe 24, du RGPD, sont respectées, et à condition qu’il existe un lien entre l’analyse supposée insuffisante et s’il y a violation du RGPD ou si l’action envisagée est conforme au RGPD^[45].

41. Le CEPD considère qu’une objection concernant le rôle ou la désignation des parties peut relever du sens de la définition de l’objection «pertinente et motivée» au titre de l’article 4, paragraphe 24, du RGPD, car cela peut affecter le fait de déterminer l’existence d’une violation du présent règlement, ou le fait de déterminer si l’action envisagée à l’égard du responsable du traitement ou du sous-traitant est conforme au présent règlement. Toutefois, l’EDPB considère qu’une objection concernant la compétence de l’autorité de contrôle agissant en qualité d’autorité de contrôle chef de file ne devrait pas être soulevée par une objection en vertu de l’article 60, paragraphe 4, du RGPD et ne relève pas du champ d’application de l’article 4, paragraphe 24, du RGPD^[46].

a) Évaluation de l’objection formulée par l’AC néerlandaise

42. L’objection formulée par l’AC néerlandaise en première instance concerne une «absence ou une insuffisance d’évaluation ou de raisonnement»^[47] conduisant aux conclusions tirées par l’AC irlandaise quant à la qualification juridique de TIC et de Twitter, Inc. Comme le souligne l’AC néerlandaise, l’évaluation du contrôle est en effet un aspect fondamental de l’affaire. Une conclusion différente quant à la qualification juridique de TIC et de Twitter, Inc. aurait une incidence sur les conclusions de l’autorité de contrôle, tant en ce qui concerne la détermination d’une violation de l’article 33, du RGPD, que la décision sur les mesures correctives résultant de l’enquête.

43. Le CEPD rappelle que chaque mesure juridiquement contraignante adoptée par une autorité de contrôle doit énoncer les raisons de la mesure^[48]. Le fait de déterminer si une violation du présent règlement a été commise, ou si l’action envisagée à l’égard du responsable du traitement ou du sous- traitant est conforme au présent règlement, dépend de l’identification correcte des rôles des parties qui doivent faire l’objet de la mesure. Par conséquent, un projet de décision doit contenir suffisamment d’éléments juridiques et factuels pour appuyer la décision proposée^[49]. Ainsi, l’EDPB considère que l’objection formulée par l’AC néerlandaise porte à la fois sur la question de savoir «s’il y a violation du RGPD» et «si l’action envisagée est conforme ou non au RGPD».

44. Bien que l’EDPB considère que l’objection de l’AC néerlandaise soit pertinente et comprenne des arguments juridiques qui appuient sa position, elle ne présente pas d’arguments sur la façon dont de telles conséquences pourraient présenter des risques significatifs pour les libertés et droits des personnes concernées et/ou la libre circulation des données^[50]. Le CEPD rappelle que l’obligation de démontrer clairement l’importance du risque présenté par le projet de décision, établie par le RGPD, incombe à l’autorité de contrôle concernée^[51]. Bien que la possibilité pour les autorités de contrôle concernées de fournir une telle démonstration puisse également dépendre du degré de précision du projet de décision lui-même et des échanges d’informations précédents^[52], une telle circonstance, le cas échéant, ne peut pas complètement dispenser l’autorité de contrôle concernée de l’obligation de préciser clairement pourquoi elle considère que le projet de décision, s’il n’est pas modifié, entraîne des risques significatifs pour les libertés et les droits des individus.

45. Le CEPD estime que l’objection formulée par l’AC néerlandaise ne démontre pas clairement les risques présentés pour les libertés et droits des individus en tant que tels. Compte tenu de ce qui précède, l’EDPB considère que l’objection formulée par l’AC néerlandaise ne répond pas aux exigences de l’article 4, paragraphe 24, du RGPD.

b) Évaluation de l’objection formulée par l’AC espagnole

46. L’objection formulée par l’AC espagnole remet également en question la suffisance de l’évaluation ou du raisonnement par rapport aux conclusions tirées par l’AC irlandaise quant à la qualification juridique de TIC et de Twitter, Inc. respectivement. L’objection précise également que la qualification appropriée de TIC et de Twitter, Inc. est essentielle pour déterminer leurs responsabilités respectives, ainsi que pour la compétence de l’AC irlandaise. Ainsi, l’EDPB considère également que l’objection formulée par l’AC espagnole porte à la fois sur la question de savoir «s’il y a violation du RGPD» et «si l’action envisagée est conforme ou non au RGPD». L’objection formulée par l’AC espagnole explique également pourquoi elle considère qu’une modification du projet de décision est nécessaire et comment cette modification conduirait à une conclusion différente.

47. Bien que l’EDPB considère que l’objection de l’AC espagnole est pertinente et comprend des arguments juridiques qui appuient sa position, elle n’exprime pas clairement les raisons pour lesquelles la décision, si elle n’est pas modifiée sur ce point, pourrait présenter des risques significatifs pour les libertés et droits des personnes concernées et, le cas échéant, pour la libre circulation des données à caractère personnel. Compte tenu de ce qui précède, l’EDPB considère que l’objection formulée par l’AC espagnole ne répond pas aux exigences énoncées à l’article 4, paragraphe 24, du RGPD. c) Évaluation de l’objection formulée par l’AC allemande

48. Bien que les objections formulées par les AC néerlandaise et espagnole concernent principalement une «absence de raisonnement» justifiant la conclusion que TIC agit en tant que responsable du traitement (unique), l’AC allemande n’est pas d’accord sur les conclusions à tirer des résultats de l’enquête^[53]. L’AC allemande considère notamment que les éléments factuels inclus dans le dossier sont suffisants pour justifier la conclusion que Twitter, Inc. n’est pas considéré comme un sous-traitant, mais plutôt comme un co-responsable du traitement, conjointement avec TIC.

49. Dans son objection, l’AC allemande explique également pourquoi la qualification des parties est pertinente pour déterminer «s’il y a violation». L’AC allemande soutient notamment que l’évaluation juridique de la relation entre Twitter, Inc. et TIC influe sur le fait de déterminer le moment où la violation a été découverte. Selon l’AC allemande, la prise de connaissance de la violation doit être attribuée de la même manière aux deux (co-)responsables du traitement en vertu de l’article 26, paragraphe 1, du RGPD. Compte tenu de cela, l’AC allemande soutient que la date correspondant au moment où TIC en tant que co-responsable du traitement a pris connaissance (ou plutôt devrait avoir pris connaissance) de la violation doit être réexaminée par l’AC irlandaise.

50. Le CEPD estime que l’objection formulée l’AC allemande explique clairement pourquoi une modification du projet de décision est jugée nécessaire et comment l’objection, si elle est suivie, conduirait à une conclusion différente. Cependant, l’EDPB ne considère pas que l’objection formulée par l’AC allemande comporte une déclaration claire concernant les risques pour les libertés et les droits fondamentaux des personnes concernées présentés par le projet de décision en ce qui concerne la qualification des parties. Compte tenu de ce qui précède, l’EDPB considère que l’objection formulée par l’AC allemande ne répond pas aux exigences énoncées à l’article 4, paragraphe 24, du RGPD.

d) Évaluation de l’objection formulée par l’AC française

51. L’AC française considère également que le projet de décision présente «une absence ou une insuffisance d’évaluation ou de raisonnement», car il n’indique pas clairement que d’autres éléments que les propres déclarations de TIC ont été pris en compte par l’AC irlandaise pour considérer que TIC a exercé le pouvoir de décision sur le traitement. À l’instar de l’AC néerlandaise et de l’AC espagnole, l’AC française souligne également l’importance du fait que la décision de l’autorité de contrôle chef de file soit suffisamment motivée. Toutefois, contrairement à l’AC néerlandaise et à l’AC espagnole, l’AC française, dans son objection, se concentre principalement sur l’importance d’inclure un tel raisonnement pour établir la compétence d’une autorité de l’autorité de contrôle chef de file, notamment dans le but d’empêcher le forum shopping.

52. Le CEPD rappelle qu’un désaccord concernant la compétence de l’autorité de contrôle agissant en qualité d’autorité de contrôle chef de file pour rendre une décision dans ce cas d’espèce ne devrait pas être soulevé par une objection en vertu de l’article 60, paragraphe 4, du RGPD, et ne relève pas du champ d’application de l’article 4, paragraphe 24, du RGPD^[54]. Le CEPD estime que l’objection formulée par l’AC française n’avance pas suffisamment d’arguments pour démontrer clairement l’importance du risque pour les libertés et les droits des personnes concernées que présente le projet de décision. Par conséquent, l’EDPB considère que l’objection formulée par l’AC française ne constitue pas une objection pertinente et motivée au sens de l’article 4, paragraphe 24, du RGPD.

53. Le CEPD considère que les objections susmentionnées satisfont à plusieurs des critères de l’article 4, paragraphe 24, du RGPD. Contrairement à la conclusion exposée par l’AC irlandaise, l’EDPB considère que chacune de ces objections ont respecté la condition de faire référence alternativement à la question de savoir s’il y a violation du présent règlement ou si l’action envisagée à l’égard du responsable du traitement ou du sous-traitant est conforme au présent règlement. En outre, l’EDPB considère qu’une objection fondée sur le rôle ou la désignation des parties peut en principe avoir le sens de la définition de l’objection «pertinente et motivée» au titre de l’article 4, paragraphe 24, du RGPD.

54. Toutefois, comme indiqué ci-dessus, les objections susmentionnées ne respectent pas la condition qui établit de démontrer de façon claire l’importance des risques présentés par le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, la libre circulation des données à caractère personnel au sein de l’Union européenne.

55. De plus, en ce qui concerne l’objection susmentionnée soulevée par l’AC française, en plus de ne pas avancer suffisamment d’arguments pour démontrer clairement l’importance du risque pour les libertés et les droits des sujets de données présenté par le projet de décision, l’objection concerne un désaccord sur la compétence de l’autorité de contrôle agissant en qualité d’autorité de contrôle chef de file. Le CEPD rappelle qu’un tel désaccord ne devrait pas être formulé par une objection en vertu de l’article 60, paragraphe 4, du RGPD et ne relève pas du champ d’application de l’article 4, paragraphe 24, du RGPD^[55].

56. Ainsi, l’EDPB considère que les objections susvisées ne répondent pas aux exigences énoncées à l’article 4, paragraphe 24, du RGPD.

57. Par conséquent, l’EDPB ne prend pas position sur le fond des questions substantielles soulevées par ces objections. Le CEPD répète que sa décision actuelle est sans préjudice de toute évaluation qu’il peut être appelé à réaliser dans d’autres cas, y compris avec les mêmes parties, eu égard au contenu du projet de décision pertinent et des objections formulées par les autorités de contrôle concernées.

58. L’AC irlandaise a conclu que TIC n’a pas respecté ses obligations en tant que responsable du traitement en vertu de l’article 33, paragraphe 1, du RGPD, qui «ne peut être pris isolément et doit être compris dans le contexte des obligations générales des responsables du traitement en vertu du RGPD, en particulier, l’obligation de responsabilité en vertu de l’article 5, paragraphe 2, la relation entre les responsables du traitement et les sous-traitants (article 28), et l’obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées (et efficaces)»^[56].

59. En ce qui concerne le moment où le responsable du traitement a pris connaissance de la violation, le projet de décision a conclu que, dans le cas où la violation est subie par le sous-traitant, le responsable du traitement en est informé lorsqu’il est notifié de la violation par le sous-traitant^[57], mais le responsable du traitement doit s’assurer qu’il dispose de mesures suffisantes pour faciliter cette prise de connaissance^[58]. Étant donné que TIC en tant que responsable du traitement était responsable de la supervision des opérations de traitement effectuées par son sous-traitant Twitter, Inc.^[59], le projet de décision indique que lorsque le sous-traitant ne suit pas la procédure ou que la procédure échoue, le responsable du traitement ne peut pas excuser le retard de sa propre notification en raison de la faute du sous-traitant^[60], car le fait qu’un responsable du traitement exécute son obligation de notification ne peut pas dépendre du fait que son sous-traitant respecte ses obligations en vertu de l’article 33, paragraphe 2, du RGPD^[61]. L’AC irlandaise a conclu que, dans ces circonstances, le responsable du traitement doit être considéré comme ayant une connaissance constructive de la violation personnelle par l’intermédiaire de son sous-traitant^[62], et qu’une telle interprétation reflète la responsabilité et l’obligation redditionnelle du responsable du traitement conformément au RGPD^[63].

60. Selon le projet de décision, TIC a pris connaissance de la violation le 7 janvier 2019^[64], mais aurait dû en prendre connaissance au plus tard le 3 janvier 2019, car, à cette date, Twitter, Inc., en tant que sous- traitant, avait déjà évalué l’incident comme étant une violation potentielle des données et l’équipe juridique de Twitter, Inc. avait demandé que l’incident soit ouvert^[65]. Le projet de décision a également indiqué que, même dans les circonstances particulières de cette situation (dans laquelle des précédents retards ont également été révélés^[66]), tout accord en place avec Twitter, Inc. aurait dû permettre cela^[67]. Au contraire, en raison de «l’inefficacité du processus» dans les «circonstances particulières» de l’affaire en question et/ou «d’une faute du personnel [du sous-traitant] dans le suivi de son processus de gestion des incidents», il y a eu un retard à cause duquel le responsable du traitement ,’a été notifié que le 7 janvier 2019^[68]. Cela a entraîné la violation de l’article 33, paragraphe 1, du RGPD, même si moins de 72 heures se sont écoulées entre le moment où TIC a pris connaissance de la violation (le 7 janvier 2019) et la notification de celle-ci (le 8 janvier 2019).

61. L’AC française a formulé une objection indiquant que les résultats ne correspondent pas à une violation de l’article 33, paragraphe 1, du RGPD, mais plutôt de l’article 28 ou de l’article 32 du RGPD, qui énonce les obligations du responsable du traitement lorsqu’il décide d’avoir recours à un sous- traitant. Cet argument repose sur le fait que la constatation de la violation de l’article 33, paragraphe 1, est principalement fondée sur le non-respect de l’application de la procédure établie entre TIC et son sous-traitant en cas de violation de données, alors que l’article 33, paragraphe 1, du RGPD, ne fait référence qu’à l’obligation du responsable du traitement de notifier les violations de données à l’autorité compétente.

62. Au contraire, les objections formulées par l’AC allemande se sont concentrées sur le raisonnement menant à la conclusion que l’article 33, paragraphe 1, du RGPD, a été violé, sans contester une telle conclusion en soi, et se sont référées plus spécifiquement à la détermination du dies a quo du délai de 72 heures.

63. L’AC allemande a soutenu dans son objection que la question de l’attribution des rôles influe sur la détermination du moment de la prise de connaissance de la violation, cette dernière devant être attribuée de la même manière aux deux co-responsables du traitement. Selon l’AC allemande, cela peut amener à considérer que le 26 décembre 2018 est la date à laquelle TIC, en tant que co- responsable du traitement, a pris connaissance/aurait dû avoir pris connaissance de la violation.

64. En ce qui concerne l’objection formulée par l’AC française, l’AC irlandaise considère qu’elle nécessite l’examen de dispositions alternatives du RGPD et que la demande des autorités de contrôle concernées relative aux dispositions alternatives du RGPD, viserait essentiellement à revoir la portée de l’enquête menée^[69]: l’AC irlandaise a conclu qu’une telle objection ne relève pas de la définition d’«objection pertinente et motivée» aux fins de l’article 4, paragraphe 24, du RGPD^[70]. L’AC irlandaise a également souligné qu’à son avis une violation de l’article 33, paragraphe 1, du RGPD, a été commise, et n’a pas proposé de considérer les violations d’autres dispositions du RGPD comme une alternative à l’article 33, paragraphe 1^[71], soulignant que le fait de multiplier les violations d’autres obligations du RGPD à la demande des autorités de contrôle concernées «compromettrait l’intégralité de la procédure d’enquête et l’article 60 en exposant au risque de réclamations pour iniquité de la procédure»^[72]. L’AC irlandaise a également souligné qu’elle examine la conformité de TIC à ses obligations générales en vertu du RGPD dans le contexte d’une autre enquête en cours^[73].

65. En ce qui concerne l’objection formulée par l’AC allemande, et plus précisément la détermination du moment de la prise de connaissance de la violation, l’AC irlandaise a soutenu que, même si une relation de contrôle commun existait (un point de vue qui, comme indiqué ci-dessus dans la section 4.3, l’AC irlandaise n’a pas partagé), cela ne signifie pas forcément que la prise de connaissance de la violation pourrait être attribuée de la même manière aux deux co-responsables du traitement^[74].

66. Comme il a été rappelé ci-dessus (voir la section 4.4.1), il est nécessaire d’évaluer si les objections soulevées par les autorités de contrôle concernées respectent les conditions établies par l’article 4, paragraphe 24, du RGPD.

67. Bien que l’objection formulée par l’AC française, y compris les arguments juridiques à l’appui de cette dernière, soit pertinente puisqu’elle expose un désaccord sur la question de savoir si une violation particulière du RGPD a été commise dans le cas d’espèce, elle ne satisfait pas à l’article 4, paragraphe 24, du RGPD, car elle n’inclut pas de justifications concernant les conséquences de l’émission d’une décision sans les modifications proposées dans l’objection, ni concernant la façon dont de telles conséquences présenteraient des risques significatifs pour les libertés et droits des personnes concernées^[75]. Ainsi, on ne peut pas dire que l’objection «démontre clairement» l’importance des risques présentés par l’émission du projet de décision (dans le cas où il serait publié de façon définitive), puisqu’elle ne fournit pas suffisamment d’arguments permettant d’expliquer pourquoi les risques pour les libertés et droits des personnes concernées, dans le cas précis où une violation de l’article 33, paragraphe 1 (à la place de l’article 32/28), du RGPD, serait constatée, sont substantiels et plausibles^[76]. Par conséquent, l’EDPB conclut que l’objection formulée par l’AC française n’est pas pertinente et motivée en raison de l’absence d’une démonstration claire des risques, expressément requise par l’article 4, paragraphe 24, du RGPD.

68. En outre, en ce qui concerne l’objection formulée par l’AC allemande, et plus précisément la détermination du dies a quo dans le cas de la violation de l’article 33, paragraphe 1, du RGPD, et selon la qualification des parties, l’EDPB tient à rappeler l’analyse effectuée ci-dessus dans la section 4.4, et constate que l’objection ne montre pas les conséquences que le projet de décision et son contenu actuel, concernant notamment le raisonnement sur lequel serait fondée la constatation d’une violation de l’article 33, paragraphe 1, du RGPD, présenteraient pour les valeurs protégées^[77] (les libertés et droits des personnes concernées ou, le cas échéant, la libre circulation des données à caractère personnel).

69. Le CEPD considère que les objections susvisées ont respecté la condition de faire référence au fait qu’il y ait ou non violation du présent règlement ou au fait que l’action envisagée à l’égard du responsable du traitement ou du sous-traitant respecte le présent règlement, mais qu’elles ne démontrent pas clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, pour le libre flux des données à caractère personnel au sein de l’Union européenne.

70. Donc, les objections formulées par les AC française et allemande ne répondent pas aux exigences de l’article 4, paragraphe 24, du RGPD^[78].

71. Dans le projet de décision, l’AC irlandaise a conclu que TIC n’a pas respecté son obligation, en vertu de l’article 33, paragraphe 5, du RGPD, de documenter la violation, étant donné qu’il a été considéré que la documentation fournie par TIC au cours de l’enquête ne contenait pas suffisamment d’informations et ne contenait pas de compte-rendu ou de document concernant, expressément, une «violation de données à caractère personnel», puisqu’elle constituait une «documentation de caractère plus général».^[79]

72. Par ailleurs, l’AC irlandaise a reconnu que TIC avait pleinement coopéré pendant l’enquête (bien que cela n’ait pas été considéré comme une circonstance atténuante)^[80].

73. Le CEPD profite de l’occasion pour souligner, à des fins de précision, qu’aucune des objections soulevées n’a contesté la conclusion selon laquelle TIC avait enfreint l’article 33, paragraphe 5, du RGPD.

74. Toutefois, l’AC italienne a formulé une objection soutenant que la constatation de la violation de l’article 33, paragraphe 5, du RGPD, ne semble pas conforme aux élaborations et au raisonnement avancés par l’autorité de contrôle chef de file, car l’insuffisance de la documentation produite au cours d’une enquête aussi approfondie, lors de multiples interactions entre l’autorité de contrôle chef de file et le responsable du traitement, pourrait indiquer la faible coopération du responsable du traitement avec l’autorité chargée de la protection des données. Selon l’AC italienne, la constatation faite dans le projet de décision selon laquelle TIC a pleinement coopéré pendant la phase d’enquête devrait être revue, car cette pleine coopération ne peut être considérée comme réelle que si le responsable du traitement met à disposition une documentation adéquate et exhaustive de manière directe.

75. L’AC irlandaise est d’avis que l’obligation en vertu de l’article 33, paragraphe 5, du RGPD, s’applique indépendamment de l’obligation en vertu de l’article 31, du RGPD, de coopérer avec l’autorité de contrôle et de la façon dont TIC a agi envers et interagi avec l’autorité de contrôle chef de file au moment où cette dernière a lancé ses activités réglementaires concernant la violation de TIC^[81]. L’AC irlandaise a soutenu que le fait que TIC ait documenté la violation de façon insuffisante ne signifie pas nécessairement un manque de coopération de la part de TIC^[82]. En outre, l’AC irlandaise a souligné que TIC a coopéré avec elle pendant l’enquête en répondant à toutes les demandes d’informations et en fournissant tous les documents demandés, sans chercher à perturber ou à entraver l’enquête de quelque manière que ce soit^[83]. En tout état de cause, l’AC irlandaise n’a pas considéré la coopération de TIC comme une circonstance atténuante^[84]. L’AC irlandaise a considéré que les raisons susmentionnées «poussent à s’interroger» sur le fait que l’objection formulée par l’AC italienne soit motivée et pertinente, car bien qu’elle concerne une violation du RGPD, elle ne démontre pas en quoi la position de l’AC irlandaise par rapport au degré de coopération de TIC entraîne des risques présentés par le projet de décision pour les libertés et droits fondamentaux des personnes concernées.^[85] L’AC irlandaise a conclu qu’elle ne suivrait pas ladite objection^[86].

76. Dans son objection, l’AC italienne ne conteste pas le fait qu’une violation de l’article 33, paragraphe 5, du RGPD a été commise. Une objection pertinente et motivée ne peut remettre en question le raisonnement sur lequel se fondent les conclusions de l’autorité de contrôle chef de file dans le projet de décision que dans la mesure où ce raisonnement a un lien avec de telles conclusions, et que l’objection est dûment motivée. En l’occurrence, l’objection ne démontre pas clairement comment le fait de suivre ladite objection pourrait entraîner une modification du projet de décision. En outre, l’objection ne satisfait pas aux conditions énoncées à l’article 4, paragraphe 24, du RGPD, car elle ne démontre pas clairement l’importance des risques présentés par le projet de décision, étant donné qu’elle ne précise pas les conséquences que l’erreur supposée dans le projet de décision aurait pour les valeurs protégées.

77. Étant donné que l’objection de l’AC italienne ne satisfait pas aux exigences de l’article 4, paragraphe 24, du RGPD, le comité ne prend pas position sur le fond des questions substantielles soulevées par cette objection. Le CEPD répète que sa décision actuelle est sans préjudice de toute évaluation qu’il peut être appelé à réaliser dans d’autres cas, y compris avec les mêmes parties, eu égard au contenu du projet de décision pertinent et des objections formulées par les autorités de contrôle concernées.

78. L’AC irlandaise a remarqué, selon les informations fournies par TIC lorsqu’elle lui a notifié la violation, qu’il apparaissait dans le formulaire de notification de violation qu’une période de plus de 72 heures s’était écoulée à partir du moment où TIC (en tant que responsable du traitement) avait pris connaissance de la violation^[87]. Pour cette raison, l’AC irlandaise a décidé d’ouvrir, volontairement, une enquête afin de vérifier si TIC avait respecté ses obligations en vertu de l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD^[88].

79. Afin de déterminer si TIC respecte ses obligations en vertu de l’article 33, paragraphe 1, du RGPD, l’AC irlandaise les a considérées dans le contexte des obligations générales d’un responsable du traitement, y compris les obligations en matière de responsabilité (article 5, paragraphe 2, du RGPD), de recrutement d’un sous-traitant (article 28 du RGPD), et de sécurité du traitement des données à caractère personnel (article 32 du RGPD)^[89]. Toutefois, bien que l’AC irlandaise ait tenu compte des facteurs et des questions de fait en raison desquels TIC a été informée en retard de la violation par son sous-traitant, et a par conséquent notifié la violation en retard, l’AC irlandaise n’a pas examiné si TIC avait respecté l’une de ces obligations, sauf aux fins de l’évaluation du respect des obligations de TIC au titre de l’article 33, paragraphe 1), et de l’article 33, paragraphe 5, du RGPD.^[90]

80. Les AC allemande, française, hongroise et italienne ont formulé des objections selon lesquelles TIC a enfreint d’autres dispositions du RGPD, en plus ou à la place de l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD. 6.2.1 Violation de l’article 5, paragraphe 1, point f), du RGPD, relatif au principe d’intégrité et de confidentialité

81. L’AC allemande a formulé une objection déclarant que le «bogue sous-jacent» survenu dans l’application de TIC et ayant entraîné la violation notifiée à l’AC irlandaise aurait dû être pris en considération par cette dernière dans son projet de décision, afin de déterminer si ce bogue constituait effectivement une violation significative de la confidentialité des données personnelles, c’est-à-dire une violation de l’article 5, paragraphe 1, point f), du RGPD, ainsi que de l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD.

82. L’AC hongroise a formulé une objection soulevant que, compte tenu du «bogue» dans l’application de TIC au fil des ans et de sa nature grave affectant la protection des données, l’AC irlandaise devrait examiner si TIC a également enfreint l’article 5, paragraphe 1, point f), du RGPD, relatif au principe d’intégrité et de confidentialité.

83. L’AC italienne a formulé une objection indiquant que la violation de l’article 33, paragraphe 1, du RGPD, met en évidence une violation beaucoup plus grave du principe de responsabilité (en vertu de l’article 5, paragraphe 2, du RGPD), étant donné le manque de politiques d’entreprise destinées à gérer les incidents de sécurité ou le non-respect de celles-ci révèle que les mesures mises en œuvre par le responsable du traitement sont insuffisantes pour garantir et documenter la conformité. L’AC italienne a soutenu que ces lacunes constatées sur le plan de la procédure sont mises en évidence par le projet de décision, mais que le projet de décision n’en fait pas l’objet d’une analyse spécifique. Selon l’AC italienne, étant donné que cela peut également affecter le traitement des violations de données futures, les résultats émis concernant la question de savoir si TIC a respecté l’article 5, paragraphe 2, du RGPD, devraient également faire partie de la décision finale de l’AC irlandaise. L’AC italienne a également considéré que la violation de l’article 5, paragraphe 2, du RGPD, est confirmée par l’incapacité du responsable du traitement à indiquer le nombre exact et la nature des données à caractère personnel affectées, ou le nombre total de personnes concernées affectées.

84. L’AC allemande a formulé une objection indiquant que le projet de décision n’est pas clair en ce qui concerne les raisons pour lesquelles l’AC irlandaise n’a pas évalué si la violation significative de la confidentialité des données personnelles causée par un «bogue sous-jacent» est due à une violation des exigences de l’article 24 du RGPD.

85. L’AC française a formulé une objection déclarant que TIC ne respectait pas l’obligation incombant au responsable du traitement qui consiste à vérifier la validité des procédures établies par son sous- traitant. Par conséquent, l’AC française considère qu’il n’y a pas violation de l’article 33, paragraphe 1, du RGPD, mais de l’article 28 du RGPD à la place (ou de l’article 32 du RGPD - voir la section 6.2.5 ci- dessous). L’AC française a soutenu que si le sous-traitant de TIC est sa société mère, «il était d’autant plus facile pour TIC de vérifier la validité des procédures établies par la société mère et d’exiger une correction, si nécessaire».

86. L’AC italienne a formulé une objection affirmant que le fait que TIC n’ait pas fait participer le DPD général au sein de l’équipe de détection et d’intervention du sous-traitant (Twitter, Inc.), bien que cette pratique soit envisagée dans les politiques internes de TIC, montre que les garanties fournies par le sous-traitant en termes de mise en œuvre des mesures organisationnelles appropriées en vertu de l’article 28, paragraphe 1, du RGPD, ne sont pas assez étendues. En outre, l’AC italienne a soutenu dans ses objections que le sous-traitant n’a pas respecté son obligation d’aider le responsable du traitement, conformément à l’article 28, paragraphe 3, point f), du RGPD.

87. L’AC allemande a formulé des objections indiquant que l’AC irlandaise aurait dû examiner si toutes les mesures techniques et organisationnelles appropriées (conformément à l’article 32 du RGPD) avaient été respectées dans ce cas, et si les violations relevant de ce domaine auraient dû faire l’objet de ces procédures. L’AC allemande a également indiqué que le projet de décision n’est pas clair en ce qui concerne les raisons pour lesquelles l’AC irlandaise n’a pas évalué si la violation significative de la confidentialité des données personnelles causée par un «bogue sous-jacent» est due à une violation des exigences de l’article 32 du RGPD.

88. L’AC française a formulé une objection concernant la qualification juridique des faits réalisée par l’AC irlandaise et a déclaré que le fait que TIC n’ait pas respecté l’obligation incombant au responsable du traitement de vérifier la validité des procédures établies par son sous-traitant constitue une violation de l’article 32 du RGPD, (ou de l’article 28 du RGPD - voir la section 6.2.4 ci-dessus), et non de l’article 33, paragraphe 1, du RGPD. L’AC française a soutenu que si le sous-traitant de TIC est sa société mère, «il était d’autant plus facile pour TIC de vérifier la validité des procédures établies par sa société mère et d’exiger une correction, si nécessaire».

89. L’AC hongroise a formulé des objections soulevant que, compte tenu du «bogue» de l’application de TIC au fil des ans et de sa nature grave affectant la protection des données, l’AC irlandaise devrait examiner si TIC a également enfreint l’article 32 du RGPD, relatif aux obligations incombant à TIC en matière de sécurité du traitement.

90. L’AC allemande a formulé des objections indiquant que l’examen de l’AC irlandaise est insuffisant, en ce qui concerne la portée des informations à fournir dans le cas d’une notification, stipulée comme contraignante à l’article 33, paragraphe 3, du RGPD. Selon les commentaires de TIC concernant la violation fournis en vertu de l’article 33, paragraphe 5, du RGPD, et la description de l’enquête concernant les circonstances de l’affaire, TIC n’a manifestement pas respecté entièrement son obligation de documentation au moment de la communication de la violation le 8 janvier 2019. L’AC allemande a considéré qu’il existe donc de nombreuses indications selon lesquelles le résultat pourrait également constituer une violation de l’article 33, paragraphe 3, du RGPD.

91. L’AC hongroise a formulé des objections soulevant que, compte tenu du «bogue» de l’application de TIC au fil des ans et de sa nature grave affectant la protection des données, l’AC irlandaise aurait dû enquêter sur la question de savoir si TIC a également enfreint l’article 34, du RGPD, relatif aux obligations d’informer les personnes concernées de la violation incombant à TIC. 6.3 Position de l’autorité de contrôle chef de file sur les objections

92. L’autorité de contrôle chef de file a répondu de façon générale aux objections concernant les éventuelles violations supplémentaires (ou différentes) du RGPD dans son mémorandum composite communiqué aux autorités de contrôle concernées. L’autorité de contrôle chef de file a expliqué qu’elle «exerçait son pouvoir discrétionnaire […] de limiter la portée de l’enquête à l’examen de deux questions distinctes, à savoir si TIC en tant que responsable du traitement avait respecté son obligation de notifier la violation en vertu de l’article 33, paragraphe 1, du RGPD, et si TIC avait respecté son obligation de documenter la violation en vertu de l’article 33, paragraphe 5, du RGPD»^[91]. L’autorité de contrôle chef de file s’est basée sur la section 110, paragraphe 1, de la loi irlandaise de 2018 sur la protection des données, qui prévoit que l’AC irlandaise peut «ordonner l’ouverture d’une enquête qu’elle estime nécessaire»^[92]. L’objet de l’enquête, tel que décrit par l’AC irlandaise, était donc «d’examiner uniquement les circonstances relatives au fait que TIC ait manifestement notifié la violation en retard […] et à sa documentation de la violation», une question que l’AC irlandaise considère «d’une grande importance étant donné que, avec près de 200 000 violations notifiées en deux ans dans l’ensemble de l’UE, il est nécessaire de clarifier les exigences du RGPD relatives à la notification et à la documentation d’une violation»^[93].

93. Dans son mémorandum composite^[94], l’AC irlandaise soutient que les objections formulées conformément à l’article 60, paragraphe 4, du RGPD, ne peuvent avoir pour effet de contester la portée d’une enquête. En l’espèce, l’autorité de contrôle chef de file rappelle qu’elle a contacté TIC au début de l’enquête pour l’informer que son objectif était de vérifier si TIC avait respecté l’article 33, paragraphe 1, et l’article 33, paragraphe 5, du RGPD, lors de sa notification d’une violation à l’autorité de contrôle chef de file le 8 janvier 2019. L’ensemble de la procédure d’enquête a donc été mené conformément à la portée définie, de même que la rédaction du projet de décision, et TIC a pu exercer le principe du contradictoire à cet égard à chaque étape de la procédure. Par conséquent, l’autorité de contrôle chef de file soutient que si elle devait suivre les objections formulées par les autorités de contrôle concernées et inclure d’autres violations dans sa décision finale «sur la base uniquement des éléments contenus dans le projet de décision», cela aurait pour effet de compromettre «l’intégralité de la procédure d’enquête et l’article 60 en exposant au risque de réclamations pour iniquité de la procédure»^[95]. 94. En outre, l’autorité de contrôle chef de file explique qu’elle mène actuellement une autre enquête concernant d’autres violations de données dont elle a été notifiée par TIC et antérieures à la notification qui concerne l’affaire en question. L’autorité de contrôle chef de file souligne que la portée de cette autre enquête, ouverte avant l’enquête relative à l’affaire en question, concerne un éventuel non-respect des «articles 5, 24, 25, 28, 29 et 32, entre autres »,du RGPD^[96]. L’autorité de contrôle chef de file considère que cette enquête parallèle évalue effectivement la conformité de TIC à ses obligations générales en vertu du RGPD afin de déterminer si les violations de données sont dues à un manque de conformité. Par conséquent, l’autorité de contrôle chef de file est d’avis que les autorités de contrôle concernées aient la possibilité d’examiner ces éventuelles violations faisant l’objet de cette autre enquête, car elles seront mentionnées dans son projet de décision, conformément à l’article 60, paragraphe 4, du RGPD^[97]. 95. TIC a soutenu que, étant donné que le projet de décision stipule qu’«un examen détaillé des mesures techniques et organisationnelles n’entre pas dans la portée de l’enquête»^[98], il «ne serait pas raisonnable ou approprié, et offenserait des principes bien établis de justice naturelle, que la décision présente des résultats ou impose des sanctions à TIC à l’égard d’obligations et de principes ne faisant pas l’objet de l’enquête menée par le CDP, puisque TIC n’a pas eu l’occasion de répondre à des préoccupations que le CDP ou les autorités de contrôle concernées peuvent avoir au sujet des processus de TIC dans ces domaines»^[99].

96. Le CEPD note que l’objection de l’AC allemande concernant l’article 5, paragraphe 1, point f), du RGPD, fait référence à la question de savoir s’il y a violation du RGPD, et exprime un désaccord sur les conclusions à tirer des résultats de l’enquête. L’objection a également avancé des arguments soutenant la conclusion selon laquelle le respect de l’article 5, paragraphe 1, point f) du RGPD, devrait être évalué. L’objection de l’AC allemande démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits des personnes concernées, et souligne notamment que les faits constituent une violation «significative» et «substantielle» de la confidentialité des données à caractère personnel et qu’un grand nombre de personnes ont été concernées pendant un long délai. En outre, l’AC allemande a également soutenu que certaines indications permettant d’envisager l’existence d’une «erreur systémique» auraient nécessité un examen plus approfondi, au-delà de l’examen du seul bogue spécifique en question.

97. L’objection de l’AC hongroise peut également être considérée comme pertinente, car elle concerne la question de savoir s’il y a violation du RGPD. En outre, elle fait (uniquement) référence brièvement à des arguments factuels soutenant la nécessité d’évaluer cette disposition complémentaire (la durée du bogue et sa nature grave affectant la protection des données), mais ne «démontre» pas «clairement» l’importance des risques présentés par le projet de décision pour les libertés et droits des individus, car elle ne présente pas d’arguments ni de justifications concernant les conséquences de l’émission d’une décision sans les modifications proposées dans l’objection.^[100]

98. En conséquence, l’EDPB considère que l’objection formulée par l’AC allemande à l’égard de l’éventuelle violation supplémentaire de l’article 5, paragraphe 1, point f), du RGPD, est pertinente et motivée aux fins de l’article 4, paragraphe 24, du RGPD, mais considère que l’objection de l’AC hongroise concernant le même sujet ne satisfait pas aux exigences de l’article 4, paragraphe 24, du RGPD^[101].

99. Le CEPD évaluera le fond des questions substantielles soulevées par l’objection de l’AC allemande en ce qui concerne l’éventuelle violation supplémentaire de l’article 5, paragraphe 1, point f), du RGPD (voir la section 6.4.2 ci-dessous).

100. L’objection formulée par l’AC italienne doit être considérée comme «pertinente» car, si elle est suivie, elle conduirait à une conclusion différente quant à la question de savoir s’il y a violation du RGPD^[102]. L’objection comprend plus précisément un «désaccord sur les conclusions à tirer des résultats de l’enquête», car elle indique que les «résultats constituent une violation d’une disposition du RGPD […] en plus de […] celles déjà examinées par le projet de décision»^[103].

101. En outre, l’objection est «motivée» car elle inclut des précisions sur la raison pour laquelle la modification de la décision est proposée^[104]: le projet de modification repose sur le «manque de politiques d’entreprise formalisées pour gérer les incidents de sécurité […] ou le non-respect de ces politiques», sur le fait que ces «lacunes constatées sur le plan de la procédure sont mises en évidence par l’[AC irlandaise] à plusieurs reprises» dans le projet de décision, et sur l’incapacité du responsable du traitement à indiquer le nombre exact et la nature des données à caractère personnel / des personnes concernées affectées.

102. L’AC italienne a clairement démontré l’importance des risques présentés par le projet de décision pour les libertés et droits fondamentaux des personnes concernées, en exposant «les conséquences que présenterait le projet de décision pour les valeurs protégées»^[105] et plus précisément «l’effet sur les libertés et droits des personnes concernées dont les données personnelles pourraient être traitées à l’avenir»^[106]. À cet égard, l’objection affirme que les aspects mentionnés sont «de nature structurelle en ce qui concerne l’entreprise du responsable du traitement» et «destinés à générer des conséquences non seulement sur l’affaire en question, mais aussi sur le traitement de toute violation de données à caractère personnel qui pourrait se produire à l’avenir».

103. En conséquence, l’objection de l’AC italienne relative à l’article 5, paragraphe 2, du RGPD, répond aux exigences énoncées à l’article 4, paragraphe 24, du RGPD. Le CEPD analysera donc le fond des questions substantielles soulevées par cette objection^[107].

104. L’objection de l’AC allemande fait spécifiquement référence au Chapitre 5 «Questions soumises à décision» du projet de décision^[108], et s’oppose au projet de décision quant à la question de savoir si TIC a également enfreint l’article 24 du RGPD^[109]. Elle se fonde sur les faits^[110] énoncés dans le projet de décision selon lesquels «lorsqu’un utilisateur utilisant Twitter pour Android depuis un compte protégé modifiait son adresse e-mail, le bogue entraînait la non-protection de son compte»^[111], et ses tweets protégés étaient rendus accessibles au public par le service. L’AC allemande demande plus précisément pourquoi l’AC irlandaise n’a pas examiné, dans le projet de décision, les causes de la violation, en particulier au titre de l’article 24 du RGPD, et pourquoi l’AC irlandaise n’a pas expliqué dans le projet de décision les raisons pour lesquelles elle n’a pas procédé à cet examen.

105. L’AC allemande soutient que, étant donné que la notification de violation a révélé des «manquements en matière de conformité avec le RGPD, … [une] société qui n’est pas capable, par ses propres moyens et ressources, par des inspections effectuées par les équipes de sécurité internes ou externes, de détecter un bogue de cette importance et de cette portée doit être soumis à l’examen plus approfondi de sa configuration de la sécurité et du traitement des données, au-delà de l’examen du seul bogue spécifique en question».

106. Selon l’AC allemande, un examen plus approfondi de la configuration du traitement des données de TIC «pourrait avoir pour conséquence, suivant le cas, d’ordonner au responsable du traitement une mise en conformité des opérations de traitement avec les dispositions du RGPD. Le cas en question ne reflète pas cette mission. Il est donc d’autant plus urgent d’examiner les mesures correctrices visées à l’article 58, paragraphe 2, du RGPD dans ce contexte».

107. Par conséquent, l’AC allemande a souligné ce qu’elle considérait comme une absence d’évaluation ayant pour conséquence que les conclusions tirées des résultats de l’enquête menée par l’autorité de contrôle chef de file pourraient être différentes^[112].

108. Dans son objection, l’AC allemande affirme que «Conformément à l’article 83, paragraphe 1, du RGPD, les amendes doivent être “dans chaque cas, effectives, proportionnées et dissuasives”. Une sanction est effective et dissuasive si, d’une part, elle convient comme mesure préventive générale pour dissuader le grand public de commettre des violations et pour affirmer la confiance du grand public dans la validité du droit de l’Union, mais si, d’autre part, elle convient aussi comme mesure préventive pour dissuader l’auteur d’une infraction de récidiver». Par conséquent, l’AC allemande démontre les raisons pour lesquelles le fait de ne pas modifier le projet de décision pour inclure une évaluation du respect de l’article 24 du RGPD, présenterait des risques significatifs pour les libertés et droits fondamentaux des personnes concernées^[113].

109. Dans ses Lignes directrices concernant la notion d’objection pertinente et motivée, l’EDPB accepte qu’une objection puisse contester la conclusion de l’autorité de contrôle chef de file, en considérant que les résultats de l’autorité de contrôle chef de file conduisent effectivement à la conclusion qu’une autre disposition du RGPD a été enfreinte en plus ou à la place de la disposition identifiée par l’autorité de contrôle chef de file.^[114] Le CEPD considère qu’il s’agit précisément de l’élément fondamental de l’objection de l’AC allemande, ce qui ne l’empêche donc pas d’être pertinente et motivée.

110. En outre, l’objection de l’AC allemande démontre clairement l’importance des risques présentés par le projet de décision pour les libertés et droits des personnes concernées, et souligne notamment qu’un grand nombre de personnes ont été concernées pendant un long délai, ce qui reflète une erreur systémique qui nécessite la réalisation d’un examen plus approfondi, au-delà de l’examen du seul bogue spécifique en question. En conséquence, l’objection de l’AC allemande relative à l’article 24 du RGPD, répond aux conditions énoncées à l’article 4, paragraphe 24, du RGPD.

111. Compte tenu de l’évaluation susvisée, l’EDPB considère que l’objection de l’AC allemande relative à une éventuelle violation de l’article 24 du RGPD, est pertinente et motivée conformément à l’article 4, paragraphe 24, du RGPD. Par conséquent, l’EDPB évalue le fondement des questions substantielles soulevées par cette objection (voir la section 6.4.2 ci-dessous).

112. L’objection de l’AC française fait spécifiquement référence au paragraphe 7.129, point iii), point iv) et point v), du projet de décision^[115], et s’oppose au projet de décision quant à la question de savoir si TIC a enfreint l’article 28 du RGPD, à la place de l’article 33, paragraphe 1, du RGPD^[116]. Elle se fonde sur les faits^[117] exposés dans le projet de décision et sur les résultats de l’autorité de contrôle chef de file selon lesquels «TIC n’a pas respecté l’obligation incombant au responsable du traitement de vérifier la validité des procédures établies par son sous-traitant».

113. Selon l’AC française, étant donné que l’article 28, paragraphe 3, point h), du RGPD, énonce les fonctions du responsable du traitement lorsqu’il mandate un sous-traitant, les résultats auraient dû amener l’autorité de contrôle chef de file à conclure que l’article 28, paragraphe 3, point h), du RGPD, a été enfreint à la place de l’article 33, paragraphe 1, du RGPD. En définitive, cela signifie, pour l’AC française, que la sanction infligée sous forme d’amende devrait concerner différentes violations.

114. Dans ses Lignes directrices concernant la notion d’objection pertinente et motivée, l’EDPB accepte qu’une objection puisse contester la conclusion de l’autorité de contrôle chef de file, en considérant que les résultats de l’autorité de contrôle chef de file conduisent effectivement à la conclusion qu’une autre disposition du RGPD a été enfreinte en plus ou à la place de la disposition identifiée par l’autorité de contrôle chef de file.^[118] Le CEPD considère qu’il s’agit précisément de l’élément fondamental de l’objection de l’AC française, ce qui ne l’empêche donc pas d’être pertinente. L’objection expose également de manière appropriée des arguments étayant la conclusion proposée. En parallèle, l’EDPB note que l’objection de l’AC française ne démontre pas clairement les risques significatifs présentés par le projet de décision pour les libertés et droits fondamentaux des personnes concernées eu égard notamment au fait de ne pas avoir conclu que cette disposition spécifique n’a pas été respectée^[119]. Compte tenu de cette évaluation, l’EDPB considère que l’objection de l’AC française relative à une éventuelle violation de l’article 28 du RGPD, à la place de l’article 33, paragraphe 1, du RGPD, n’est pas pertinente et motivée conformément à l’article 4, paragraphe 24, du RGPD^[120].

115. L’AC italienne conteste le projet de décision quant à la question de savoir si TIC a enfreint l’article 28 du RGPD, entre autres, en plus de l’article 33, paragraphe 1, du RGPD.^[121].

116. L’AC italienne se base sur les faits exposés dans le projet de décision et sur les résultats de l’autorité de contrôle chef de file selon lesquels, bien que l’implication du DPD général auprès de l’équipe de détection et de réponse de son sous-traitant, Twitter, Inc., soit envisagée dans les politiques internes de TIC, de facto, le DPD général n’était pas impliqué. L’AC italienne note également que Twitter, Inc., en tant que sous-traitant, n’a pas fourni d’assistance à TIC.

117. Selon l’AC italienne, conformément à l’article 28, paragraphe 1, du RGPD, exigeant des responsables du traitement qu’ils mandatent uniquement des sous-traitants fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées, et à l’article 28, paragraphe 3, point f), du RGPD exigeant que le contrat signé entre le responsable du traitement et le sous-traitant stipule que le sous-traitant aide «le responsable du traitement à s’assurer du respect des obligations prévues aux articles 32 à 36, eu égard à la nature du traitement et aux informations à disposition du sous-traitant», les résultats auraient dû amener l’autorité de contrôle chef de file à conclure que l’article 28, paragraphe 1, et l’article 28, paragraphe 3, point f), du RGPD ont également été enfreints.

118. Le CEPD considère que l’objection formulée par l’AC italienne relative à l’article 28, paragraphe 1, et à l’article 28, paragraphe 3, point f), du RGPD, doit être considérée comme «pertinente» car, si elle est suivie, elle mènerait à une conclusion différente quant à la question de savoir s’il y a violation du RGPD^[122]. L’objection comprend plus précisément un «désaccord sur les conclusions à tirer des résultats de l’enquête», car elle indique que les «résultats constituent une violation d’une disposition du RGPD […] en plus de […] celles déjà examinées par le projet de décision»^[123].

119. En outre, selon l’EDPB, l’objection est «motivée» car elle comprend des précisions sur la raison pour laquelle la modification de la décision est proposée^[124]: le projet de modification repose sur le fait que le responsable du traitement n’a pas respecté ses politiques internes en vertu desquelles le DPO de TIC devrait être impliqué. De plus, l’objection souligne que le sous-traitant n’a pas respecté son obligation contractuelle d’aider le responsable du traitement, conformément à l’article 28, paragraphe 3, point f), du RGPD.

120. Toutefois, l’EDPB note que l’objection de l’AC italienne relative à l’article 28, paragraphe 1, et à l’article 28, paragraphe 3, point f), du RGPD, ne démontre pas clairement les risques significatifs présentés par le projet de décision pour les libertés et droits fondamentaux des personnes concernées^[125]. En conséquence, l’objection formulée par l’AC italienne ne répond pas aux exigences énoncées à l’article 4, paragraphe 24, du RGPD^[126].

121. L’objection de l’AC allemande, si elle est suivie, entraînerait une modification conduisant à une conclusion différente quant à savoir s’il y a violation du RGPD, puisqu’elle a identifié un «désaccord sur les conclusions à tirer des résultats de l’enquête»^[127], en soulignant que les résultats peuvent également indiquer une violation de l’article 32 du RGPD. Ainsi, l’EDPB considère qu’il existe un lien entre le contenu de l’objection et l’éventuelle conclusion différente^[128]. En outre, cette objection est liée au contenu juridique et factuel spécifique du projet de décision^[129].

122. De plus, l’objection de l’AC allemande démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits des personnes concernées, et souligne notamment que les faits constituent une violation «significative» et «substantielle» de la confidentialité des données à caractère personnel et qu’un grand nombre de personnes ont été concernées pendant un délai important. En outre, l’AC allemande a également soutenu que certaines indications permettant d’envisager l’existence d’une «erreur systémique» auraient nécessité un examen plus approfondi, au- delà de l’examen du seul bogue spécifique en question.

123. Compte tenu de l’évaluation susvisée, l’EDPB considère que l’objection de l’AC allemande relative à une éventuelle violation de l’article 32 du RGPD, est pertinente et motivée conformément à l’article 4, paragraphe 24, du RGPD. Par conséquent, l’EDPB évalue le fondement des questions substantielles soulevées par cette objection (voir le point 6.4.2 ci-dessous).

124. Le CEPD considère que l’objection de l’AC française est «pertinente», car si l’autorité de contrôle chef de file la suivait, elle conduirait à une conclusion différente concernant la question de savoir s’il y a infraction du RGPD^[130]. L’objection de l’AC française est fondée sur le raisonnement fourni par l’AC irlandaise dans son projet de décision qui est lié à la conclusion concernant la question de savoir si une infraction au RGPD a été correctement identifiée^[131]. Le CEPD rappelle que l’autorité de contrôle concernée doit présenter les faits qui auraient conduit à une conclusion différente^[132] et note que, dans le cas en question, l’objection analyse de manière cohérente, claire et précise les faits qui auraient conduit à la violation de l’article 32, paragraphe 1, du RGPD, à la place de l’article 33, paragraphe 1, du RGPD, en indiquant clairement les parties de la décision de l’AC irlandaise avec lesquelles elle est en désaccord. L’objection de l’AC française est clairement pertinente, car elle souligne un désaccord sur la question de savoir si une infraction au RGPD a eu lieu. Cependant, l’objection de l’AC française n’explique que succinctement les raisons du projet de modification et ne démontre pas clairement l’importance des risques présentés par le projet de décision en ce qui concerne les libertés et droits fondamentaux des personnes concernées et dus au fait qu’une infraction à l’article 32 du RGPD, n’ait pas été constatée. En conséquence, l’objection formulée par l’AC française ne répond pas aux exigences énoncées à l’article 4, paragraphe 24, du RGPD^[133].

125. L’objection de l’AC hongroise fait également référence à la question de savoir s’il y a violation du RGPD, et soutient que l’éventuelle violation du principe d’intégrité et de confidentialité devrait également faire l’objet d’une enquête. L’objection de l’AC hongroise est clairement pertinente, car elle souligne qu’une disposition supplémentaire du RGPD (c’est-à-dire l’article 32 du RGPD) aurait dû faire l’objet d’une enquête. Cependant, l’AC hongroise n’explique pas les raisons pour lesquelles le projet de décision présenterait de tels risques, et n’explique pas entièrement pourquoi certains aspects spécifiques de la décision sont insuffisants selon son point de vue^[134]. L’objection de l’AC hongroise ne répond pas au critère consistant à présenter un raisonnement solide à son objection, en faisant référence à des arguments juridiques ou factuels. Au contraire, elle recommande simplement que l’AC irlandaise enquête également sur le respect de l’article 32 du RGPD, incombant au responsable du traitement. En conséquence, l’objection formulée par l’AC hongroise ne répond pas aux exigences prévues à l’article 4, paragraphe 24, du RGPD^[135].

126. L’AC allemande considère que le projet de décision indique que l’article 33, paragraphe 3, du RGPD, a pu être enfreint, en plus d’autres dispositions du RGPD. En ce sens, il s’agit de «savoir s’il y a violation» du RGPD, une question qui n’a pas été examinée ni traitée par le projet de décision. Par conséquent, l’AC allemande considère que, s’il est modifié, le projet de décision aboutirait à la conclusion d’autres violations du RGPD.

127. Toutefois, l’AC allemande ne démontre pas clairement les risques significatifs que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées. Donc, l’objection de l’AC allemande relative à l’article 33, paragraphe 3, du RGPD, ne répond pas aux exigences énoncées à l’article 4, paragraphe 24, du RGPD^[136].

128. L’AC hongroise considère que le projet de décision indique que l’article 34, du RGPD, est susceptible d’avoir été enfreint en plus d’autres dispositions du RGPD, en particulier compte tenu du fait que le bogue a duré plusieurs années, ainsi que de la nature grave des conséquences pour la sécurité du responsable du traitement. En ce sens, il s’agit de «savoir s’il y a violation» du RGPD, une question qui n’a pas été examinée ni traitée par le projet de décision. Par conséquent, l’AC hongroise considère que, s’il est modifié, le projet de décision aboutirait à la conclusion d’autres violations du RGPD.

129. Toutefois, l’AC hongroise ne démontre pas clairement les risques significatifs que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées. Donc, l’objection de l’AC hongroise relative à l’article 34, du RGPD, ne répond pas aux exigences énoncées à l’article 4, paragraphe 24, du RGPD^[137].

130. Le comité analyse donc les objections qui se sont avérées pertinentes et raisonnées, en particulier les objections de l’AC allemande relatives à l’article 5, paragraphe 1, point f), et à l’article 24, et à l’article 32 du RGPD, ainsi que l’objection de l’AC italienne relative à l’article 5, paragraphe 2, du RGPD, ainsi que la réponse de l’autorité de contrôle chef de file à ces objections et aux observations de TIC.

131. Conformément à l’article 65, paragraphe 1, point a), du RGPD, dans le cadre d’une procédure de règlement des litiges, l’EDPB doit rendre une décision contraignante concernant toutes les questions qui font l’objet des objections pertinentes et motivées, en particulier la question de savoir s’il y a violation du RGPD. Le CEPD peut (et doit) rendre une décision contraignante qui doit, dans la mesure du possible, eu égard aux éléments du dossier et au principe du contradictoire du défendeur, tirer une conclusion finale sur l’application du RGPD dans le cas présent. L’autorité de contrôle chef de file sera alors tenue de mettre en œuvre les modifications dans sa décision finale.

132. Le comité considère que les éléments factuels disponibles inclus dans le projet de décision et dans les objections ne sont pas suffisants pour lui permettre d’établir l’existence de violations supplémentaires (ou différentes) à l’article 5, paragraphe 1, point f), à l’article 5, paragraphe 2, à l’article 24, et à l’article 32 du RGPD.

133. Le comité considère que, de manière générale, la portée limitée de l’enquête menée par l’AC irlandaise, qui se concentre depuis le début uniquement sur la question de savoir si TIC a enfreint l’article 33, paragraphe 1, et l’article 33, paragraphe 5, du RGPD, affecte directement le fondement de l’enquête et les recherches approfondies de faits, ainsi que la capacité des autorités de contrôle concernées à mettre en avant suffisamment d’éléments pour que l’EDPB puisse soutenir les objections.

134. Le CEPD rappelle que l’autorité de contrôle chef de file a le devoir de «s’efforcer de parvenir à un consensus» avec les autorités de contrôle concernées (conformément à l’article 60, paragraphe 1, du RGPD) et de fournir, dans les plus brefs délais, aux autorités de contrôle concernées «les informations pertinentes» sur la question (conformément à l’article 60, paragraphe 3, du RGPD). Les lignes directrices sur la notion d’objection pertinente et motivée indiquent que, même dans le cas d’une enquête volontaire, l’autorité de contrôle chef de file «devrait rechercher un consensus à propos de la portée de la procédure (c’est-à-dire les aspects du traitement de données faisant l’objet de l’examen) avant d’engager officiellement la procédure»^[138], y compris dans le cadre d’une éventuelle nouvelle procédure.

135. Bien que l’EDPB considère que les autorités de contrôle chef de file jouissent d’un certain degré de discrétion pour décider de la manière de délimiter la portée de leurs enquêtes, l’EDPB rappelle que l’un des principaux objectifs du RGPD est d’assurer la cohérence dans l’ensemble de l’Union européenne, et la coopération entre l’autorité de contrôle chef de file et les autorités de contrôle concernées est l’un des moyens d’y parvenir. Le CEPD rappelle également l’existence d’une gamme complète d’outils de coopération prévus par le RGPD (y compris l’article 61 et l’article 62 du RGPD), en tenant compte de l’objectif de parvenir à un consensus dans le cadre du mécanisme de coopération et de la nécessité d’échanger toutes les informations pertinentes, en vue d’assurer la protection des libertés et droits fondamentaux des personnes concernées.

136. Le CEPD considère que, pour déterminer la portée de l’enquête, bien que cette dernière puisse être limitée, l’autorité de contrôle chef de file doit la délimiter de manière à ce qu’elle permette aux autorités de contrôle concernées de remplir efficacement leur rôle, aux côtés de l’autorité de contrôle chef de file, lorsqu’il s’agit de déterminer si le RGPD a été enfreint.

137. Le projet de décision explique que, bien que les mesures correctrices proposées dans l’avant-projet de décision consistaient à imposer un blâme, conformément à l’article 58, paragraphe 2, point b), du RGPD, et une amende administrative, conformément à l’article 58, paragraphe 2, point i), du RGPD, le projet de décision final comprend uniquement l’imposition d’une amende administrative à TIC en tant que responsable du traitement^[139].

138. Dans ses observations relatives à l’avant-projet de décision, TIC s’est opposée à la décision d’infliger un blâme, soutenant que les violations de l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD, ne concernent pas les «opérations de traitement», alors que l’article 58, paragraphe 2, point b), du RGPD, confère aux autorités de contrôle le pouvoir d’infliger un blâme lorsque les opérations de traitement ont entraîné une violation des dispositions du RGPD^[140]. L’argument de TIC reposait principalement sur le fait que ni le retard de la notification à l’AC, ni le fait de ne pas avoir conservé les documents appropriés ne représente une opération de traitement en soi^[141].

139. Dans son projet de décision, l’AC irlandaise a exprimé sa décision de ne pas infliger de blâme en rappelant l’argument avancé par TIC dans ses observations relatives à l’avant-projet de décision, soutenant que les violations de l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD, ne concernent pas les «opérations de traitement», alors que l’article 58, paragraphe 2, point b), du RGPD, confère aux autorités de contrôle le pouvoir d’infliger un blâme lorsque les opérations de traitement ont entraîné une violation des dispositions du RGPD^[142]. L’AC irlandaise a considéré que le terme «opération(s) de traitement» est employé 50 fois dans le RGPD et qu’il semble être utilisé pour désigner le traitement ou l’utilisation de, en d’autres termes tout ce qui est effectué à l’égard de, données personnelles contrôlées par un responsable du traitement; d’autre part elle a considéré que, en parallèle, le RGPD donne une définition très générale du terme «traitement», ce qui permet de soutenir qu’étant donné qu’une violation affecte des données personnelles ou est commise à l’égard de données personnelles, il s’ensuit que l’obligation de notification (dans la mesure où elle doit naturellement comporter un examen de ce qui est arrivé aux données personnelles ou de la façon dont elles ont été affectées) est intrinsèquement liée à une ou plusieurs opérations de traitement^[143]. L’AC irlandaise n’a pas jugé nécessaire de conclure définitivement sur le sens et l’effet du terme «opérations de traitement» employé dans le projet de décision, mais a estimé, «tout bien considéré», que l’argument juridique de TIC était «présentable», et a, par conséquent, décidé de ne pas infliger de blâme à TIC^[144].

140. L’AC allemande a formulé une objection concernant le fait que, bien que l’avant-projet de décision envisage à la fois un blâme et une amende, seule une amende a été incluse dans le projet de décision. L’AC allemande n’est pas d’accord avec le raisonnement avancé par l’AC irlandaise concernant la décision de ne pas infliger de blâme. Selon l’AC allemande, le raisonnement juridique accepté par l’autorité de contrôle chef de file comme «présentable» n’est pas convaincant, car l’interprétation juridique nécessite non seulement un examen du libellé de la disposition, mais également un examen de sa signification et de son but, de l’histoire de son développement et de son intégration systématique dans l’ensemble du complexe réglementaire.

141. Dans son mémorandum composite, l’AC irlandaise a considéré que, bien que l’objection de l’AC allemande concerne «la question de savoir si l’action envisagée à l’égard du responsable du traitement ou du sous-traitant est conforme au [RGPD]», elle ne démontre pas comment le fait de ne pas infliger de blâme à TIC pourrait entraîner des risques significatifs pour les personnes concernées^[145] eu égard au fait que la décision de ne pas infliger de blâme n’était pas pertinente et motivée conformément à l’article 4, paragraphe 24, du RGPD.

142. Néanmoins, en abordant le fond de la ou des question(s) substantielle(s) soulevée(s) par les objections, l’autorité de contrôle chef de file a expliqué qu’elle comprend le terme «opérations de traitement» conformément à sa signification et à son utilisation dans l’ensemble du RGPD, et a noté que ce terme n’est employé que pour les pouvoirs des AC énoncés à l’article 58, du RGPD. Suite aux observations formulées par TIC en réponse aux objections des autorités de contrôle concernées à ce propos, l’autorité de contrôle chef de file a décidé, eu égard à la portée de l’enquête qui s’axait sur les obligations incombant au responsable du traitement concernant la notification de violation, que son enquête «ne comprenait aucune constatation affirmant que les "opérations de traitement" sous- jacentes relatives à la violation ont enfreint […] le RGPD»^[146]. Par conséquent, l’autorité de contrôle chef de file a considéré qu’il n’y avait aucune raison de revoir sa décision de ne pas infliger de blâme au vu de l’objection de l’AC allemande.

143. L’autorité de contrôle chef de file a noté que sa position, dans le projet de décision, de ne pas infliger de blâme s’applique uniquement aux circonstances particulières de la présente affaire; elle est donc sans préjudice pour les décisions futures concernant les blâmes qui pourraient être infligés par l’autorité de contrôle chef de file ou par toute autre autorité de contrôle concernée^[147].

144. L’objection de l’AC allemande fait référence à la conformité de l’action envisagée avec le RGPD, car elle indique quelle mesure correctrice serait, selon elle, appropriée pour que l’autorité de contrôle chef de file l’inclue dans la décision finale: il s’agit donc d’une objection pertinente, et qui présente de manière adéquate les différentes conclusions proposées. En outre, elle comprend un raisonnement juridique à l’appui de son point de vue et propose une interprétation juridique alternative. Néanmoins, l’objection ne démontre pas clairement l’importance du risque que présente le projet de décision pour libertés et les droits des personnes concernées et/ou pour la libre circulation des données à caractère personnel. Plus précisément, elle n’explique pas comment le fait de ne pas infliger de blâme dans ce cas précis, où une amende est également infligée, peut entraîner des risques pour les libertés et droits fondamentaux des personnes concernées.

145. Le CEPD considère que cette objection ne répond pas aux exigences de l’article 4, paragraphe 24, du RGPD.

146. Le CEPD note que la position de l’autorité de contrôle chef de file de ne pas infliger de blâme s’applique uniquement aux circonstances particulières de la présente affaire; elle est donc sans préjudice pour les décisions futures concernant les blâmes qui pourraient être infligés par l’autorité de contrôle chef de file ou par toute autre autorité de contrôle concernée^[148].

147. Comme indiqué précédemment, la décision de l’EDPB de ne pas évaluer le fond de l’objection formulée est sans préjudice des futures décisions prononcées par l’EDPB concernant des questions identiques ou similaires. 8 SUR LES MESURES CORRECTRICES, ET, EN PARTICULIER, LE CALCUL DE L’AMENDE ADMINISTRATIVE

148. Le projet de décision explique comment l’AC irlandaise a examiné les conditions énoncées à l’article 83, paragraphe 2, du RGPD, pour décider d’infliger ou non une amende administrative et pour déterminer son montant^[149].

149. En ce qui concerne le calcul de l’amende, le projet de décision a analysé, en premier lieu, la nature, la gravité et la durée de la violation, conformément à l’article 83, paragraphe 2, point a), du RGPD^[150]. Le projet de décision a tenu compte de la « de la nature, de la portée ou de la finalité du traitement» en faisant référence à la nature des opérations de traitement réalisées par Twitter (une plateforme de «microblogage» et de média social sur laquelle les utilisateurs ont la possibilité de partager leurs pensées par des «tweets»), à la nature du traitement qui a entraîné la violation (résultant d’un bogue à cause duquel certains tweets «protégés» ont été rendus «publics» et visibles par tous les utilisateurs si un utilisateur de Twitter sur Android avait modifié son adresse e-mail), et à la portée du traitement (le bogue a affecté, au moins, 88 726 utilisateurs de l’UE/EEE, car d’autres personnes ont été affectées entre la date du bogue, le 4 novembre 2014, et sa correction totale, le 14 janvier 2019, mais il n’a pas été possible de les identifier)^[151].

150. Le projet de décision a également tenu compte du nombre de personnes concernées affectées et du niveau de dommage qu’elles ont subi^[152] et a conclu que le nombre de personnes concernées susceptibles d’avoir été affectées par la notification tardive et le risque de dommage pour les personnes concernées, dû à l’évaluation tardive réalisée par l’AC qui en a résulté, sont des facteurs pertinents à prendre en considération^[153]. Il a été rappelé que les conséquences sur les utilisateurs individuels et la possibilité de dommages en découlant auront un impact sur le niveau et la nature des données à caractère personnel rendues publiques et qu’il existe au moins un risque de dommage pour les personnes concernées affectées par le retard des mesures correctrices^[154]. Dans l’avant-projet, l’AC irlandaise a exposé sa position selon laquelle «bien que TIC n’ait pas confirmé la nature précise des données rendues publiques dans le cadre de la violation, il est raisonnable de déduire que, compte tenu du nombre d’utilisateurs concernés et de la nature du service proposé par TIC, les données à caractère personnel publiées concernant, au moins, une partie des utilisateurs, comprennent des catégories de données sensibles et d’autres informations notamment privées»^[155]. Cette position a été nuancée dans le projet de décision au vu des observations formulées par TIC, car l’AC irlandaise a décidé que «moins d’importance devrait être attribuée à ce facteur», en se basant sur le fait que «bien qu’on ne puisse certainement pas affirmer qu’aucun utilisateur affecté par la violation n’a été affecté par la notification tardive, il n’existe aucune preuve directe démontrant qu’ils ont subi des dommages entraînés par la notification tardive».^[156]

151. En ce qui concerne la nature de la violation, le projet de décision a souligné que les violations de l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD, ne portent pas sur la question de fond relative à la violation^[157]. L’AC irlandaise a également considéré que la nature des obligations énoncées à l’article 33, paragraphe 1, et à l’article 33, paragraphe 5, du RGPD, repose sur le fait que la conformité est essentielle au fonctionnement global du régime de surveillance et de contrôle d’application exécuté par les autorités de contrôle en ce qui concerne à la fois la question spécifique des violations de données à caractère personnel, mais aussi l’identification et l’évaluation de questions plus larges concernant la non-conformité des responsables du traitement, et sur le fait que le non- respect de ces obligations entraîne de graves conséquences car il risque de discréditer les AC dans l’exercice effectif de leurs fonctions dans le cadre du RGPD^[158].

152. En ce qui concerne la gravité de la violation de l’article 33, paragraphe 1, du RGPD, le projet de décision a tenu compte de la manière dont elle affectait l’objectif général visant à notifier à l’autorité de contrôle une violation de données à caractère personnel, du fait qu’il a été démontré qu’aucun dommage matériel n’avait été causé aux personnes concernées, du fait que les mesures correctrices prises par TIC se limitaient à des mesures à caractère prospectif visant à supprimer définitivement le bogue (et ne constituaient pas une analyse à caractère rétrospectif permettant d’identifier les risques découlant de la violation pour les personnes concernées), et du fait que TIC n’ait manifestement pas procédé à une évaluation formelle des risques^[159]. Le projet de décision n’a pas considéré que l’affirmation de TIC selon laquelle la violation était due à un seul manquement (ayant entraîné la notification tardive au DPO) était suffisamment solide pour atténuer la gravité de la violation (mais a tenu compte du caractère isolé de l’incident, partant du point de vue provisoire énoncé dans l’avant- projet selon lequel la violation faisait ressortir une question plus large, plus systémique)^[160]. En ce qui concerne la gravité de la violation de l’article 33, paragraphe 5, du RGPD, le projet de décision a souligné que la documentation appropriée des violations est requise afin de permettre à une autorité de contrôle de vérifier si le responsable du traitement a respecté l’article 33, du RGPD, et que l’AC irlandaise a été tenue de poser plusieurs questions afin d’obtenir des précisions^[161] sur les faits relatifs à la notification de la violation^[162], mais a reconnu que l’insuffisance de la documentation était due à une incompréhension, de bonne foi, des exigences (qui sont, toutefois, énoncées clairement dans le libellé de la disposition)^[163]. Le projet de décision a conclu que chaque violation se situait à la «limite inférieure à modérée sur l’échelle de gravité»^[164].

153. Au sujet de la durée de la violation à l’article 33, paragraphe 1, du RGPD, le projet de décision a considéré qu’il s’agissait d’une période de deux jours et l’a évaluée selon le délai général autorisé pour les notifications de violation (72 heures), et a noté qu’elle n’était pas insignifiante ou sans conséquence^[165]. En ce qui concerne la durée de la violation de l’article 33, paragraphe 5, du RGPD, le projet de décision a conclu qu’elle était continue^[166].

154. Par rapport à l’article 83, paragraphe 2, point b), du RGPD, (relatif au caractère intentionnel ou négligent de la violation), l’AC irlandaise a conclu dans son projet de décision que la violation par TIC de l’article 33, paragraphe 1, du RGPD^[167], présente un caractère négligent, et souligne que la notification tardive au DPD général est due au fait qu’une partie du protocole interne du groupe Twitter n’a pas été accomplie comme prévu et que le protocole n’était pas aussi clair qu’il aurait pu l’être^[168]. Il a donc été conclu que le retard était dû à une négligence de la part du responsable du traitement; toutefois, l’argument avancé par TIC selon lequel la notification tardive ne faisait pas ressortir une question systémique plus large et constituait un cas isolé a été accepté^[169]. L’AC irlandaise n’a identifié aucune preuve d’acte intentionnel en ce qui concerne la violation de l’article 33, paragraphe 1, du RGPD^[170]. Le projet de décision a également identifié que la violation par TIC de l’article 33, paragraphe 5, du RGPD^[171], présentait un caractère négligent, puisque la violation n’a pas été commise volontairement ou en toute connaissance de cause (ce qui aurait constitué une intention); toutefois, la documentation n’était pas suffisante pour permettre de vérifier si l’article 33 a été respecté^[172].

155. En ce qui concerne l’article 83, paragraphe 2, point c), du RGPD, relatif aux mesures mises en œuvre par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le projet de décision a considéré que des mesures correctrices ont été prises pour éviter la répétition du problème et pour corriger le bogue; ces mesures ont été considérées comme la seule circonstance atténuante dans l’évaluation du montant de l’amende à imposer^[173].

156. Le projet de décision a examiné l’article 83, paragraphe 2, point d), du RGPD, relatif au degré de responsabilité du responsable du traitement ou du sous-traitant, et a noté les mesures techniques et organisationnelles existantes et renforcées mises en œuvre par TIC en tant que responsable du traitement, y compris la modification du protocole interne du groupe Twitter (à propos duquel l’AC irlandaise a déclaré qu’il n’était pas aussi clair qu’il aurait pu l’être) et les mesures concernant la formation du personnel mises en œuvre par Twitter, Inc. (une formation supplémentaire a été dispensée en interne pour souligner l’importance de mentionner l’équipe du DPO, en l’occurrence TIC en tant que responsable du traitement, dans le système interne de ticket), en plus de l’existence de structures et de garanties internes concernant la responsabilité en cas de problèmes liés à la sécurité de l’information, et de l’existence d’un audit externe tierce partie régulier du programme de sécurité de l’information de Twitter, Inc.^[174]. Bien que les problèmes survenus ne révèlent pas un problème systémique plus large^[175], et bien que TIC ait démontré une approche généralement responsable à l’égard de la protection des données^[176], il a été considéré que le responsable du traitement a démontré un niveau de responsabilité modéré à élevé en raison d’un manque de clarté dans le protocole qui a également été constaté dans le cadre de sa modification ultérieure^[177].

157. Le degré de coopération avec l’autorité de contrôle a été évalué conformément à l’article 83, paragraphe 2, point f) du RGPD, et il a été constaté qu’il ne constituait pas une circonstance atténuante^[178]. L’AC irlandaise a reconnu que TIC avait pleinement coopéré, mais a noté qu’il s’agissait d’une obligation légale et que TIC n’avait pas fait plus que son devoir^[179].

158. Par rapport à l’article 83, paragraphe 2, point g), du RGPD, concernant les catégories de données à caractère personnel concernées, le projet de décision a conclu que toutes les catégories de données à caractère personnel auraient pu être concernées par la notification tardive et qu’on ne pouvait pas dire de façon catégorique que les personnes concernées n’ont subi aucun dommage ni qu’aucune catégorie de données à caractère personnel n’a été concernée^[180].

159. La manière dont l’AC irlandaise a pris connaissance de la violation a été considérée comme un facteur pertinent pour déterminer le montant de l’amende (conformément à l’article 83, paragraphe 2, point h), du RGPD), car, bien que TIC se soit montrée coopérative en fournissant toute la documentation disponible, les documents n’ont pas permis à l’AC irlandaise de vérifier la conformité avec l’article 33, du RGPD, et les informations fournies au départ dans la notification faite à l’AC irlandaise étaient de nature imprécise.^[181]

160. Les conditions de l’article 83, paragraphe 2), point e), point i), et point j), du RGPD ne s’appliquent pas, et aucun autre élément n’a été identifié en ce qui concerne l’article 83, paragraphe 2), point k) du RGPD^[182].

161. Dans son Projet de décision, l’AC irlandaise a souligné qu’en l’absence de lignes directrices spécifiques au niveau de l’UE relatives au calcul des amendes, elle n’était pas tenue d’appliquer une méthodologie particulière ou d’utiliser un point de départ financier fixe^[183], et que l’expression «il est dûment tenu compte» confère aux AC une large discrétion quant à la manière d’apprécier les circonstances énumérées à l’article 83, paragraphe 2, du RGPD^[184].

162. En ce qui concerne l’identification de l’entreprise pertinente pour calculer la limite supérieure des amendes établie par l’article 83, paragraphe 4, du RGPD, l’AC irlandaise a souligné que le fait que TIC jouisse d’une autonomie dans le cadre de son contrôle sur le traitement des données ne signifie pas qu’elle ne fait pas partie d’une entité économique unique avec sa société mère, et a noté que, en plus du fait que TIC soit la propriété de Twitter, Inc., le chef du contentieux de Twitter, Inc. semble être l’un des trois directeurs de TIC^[185].

163. Pour ces raisons, la limite supérieure de la valeur de l’amende imposée a été calculée par l’autorité de contrôle chef de file en fonction du chiffre d’affaires de Twitter, Inc.^[186]. Étant donné que le chiffre d’affaires annuel de Twitter, Inc. s’élevait à 3 milliards de dollars en 2018, la limite supérieure a été fixée à 60 millions de dollars (soit 2 % de 3 milliards de dollars)^[187].

164. Dans l’application des principes d’efficacité, de proportionnalité et de dissuasion (article 83, paragraphe 1, du RGPD), le projet de décision a considéré que l’amende ne peut pas être efficace si elle n’a pas d’impact sur le chiffre d’affaires du responsable du traitement, que la violation ne doit pas être considérée de manière abstraite, indépendamment de l’effet sur le responsable du traitement, et que l’amende doit contribuer à dissuader de commettre une éventuelle violation^[188].

165. L’AC irlandaise a proposé d’imposer une amende administrative comprise entre 150 000 et 300 000 USD, soit entre 0,005 % et 0,01 % du chiffre d’affaires annuel de l’entreprise ou entre 0,25 % et 0,5 % du montant maximal de l’amende pouvant être appliquée à l’égard de ces violations. Cela équivaut à une amende comprise entre 135 000 et 275 000 euros^[189].

166. L’AC autrichienne a formulé une objection concernant le montant de l’amende proposée et concernant le fait que l’autorité de contrôle chef de file a proposé une fourchette à la place d’un montant forfaitaire. En ce qui concerne l’article 83, paragraphe 2, point a), du RGPD, l’AC autrichienne a souligné qu’au moins 88 726 personnes (mais probablement davantage) ont été affectées par la violation et qu’«il est très probable que des données sensibles aient été divulguées au grand public».

167. Dans son objection, l’AC autrichienne a exprimé un désaccord quant à la façon dont le moment où le responsable du traitement aurait dû avoir pris connaissance de la violation de données a été analysé dans le projet de décision. Plus précisément, l’AC autrichienne a soutenu dans son objection que TIC aurait dû notifier la violation de données dans les 72 heures à compter du moment où le sous-traitant a reçu le rapport de bogue et a ainsi pris connaissance de la violation. L’AC autrichienne a souligné que TIC est responsable de la supervision des opérations de traitement effectuées par son sous-traitant, et qu’un responsable du traitement ne doit pas chercher à cacher le manquement du sous-traitant avec lequel il a une relation contractuelle et qui a été mandaté par le responsable du traitement lui-même. L’AC autrichienne donc a qualifié la violation de l’article 33, paragraphe 1, du RGPD, de «grave».

168. En ce qui concerne le «caractère intentionnel ou négligent de la violation» (article 83, paragraphe 2, point b), du RGPD), l’AC autrichienne a soutenu que le comportement de TIC devrait être qualifié d’«intentionnel», selon les critères de connaissance et de volonté établis dans les Lignes directrices sur l’application et la fixation des amendes administratives («WP253») du groupe de travail «article 29», approuvées par l’EDPB^[190]. En ce qui concerne le critère faisant référence aux mesures mises en œuvre pour atténuer les dommages subis par les personnes concernées (article 83, paragraphe 2, point c), du RGPD), l’AC autrichienne a souligné que «initialement, TIC n’avait pas l’intention d’informer les utilisateurs affectés par la violation» et que «les mesures mises en œuvre par Twitter Inc. pour corriger le bogue constituent la seule circonstance atténuante». Enfin, l’AC autrichienne considère la fourchette proposée par l’AC irlandaise pour décider du montant de l’amende à imposer ni effective, ni proportionnelle, ni dissuasive, eu égard aux critères énumérés à l’article 83, paragraphe 2, points a) à k), du RGPD. En conclusion, l’AC autrichienne a proposé l’imposition d’une amende administrative plus élevée, qui pourrait répondre aux exigences en matière d’efficacité, de proportionnalité et de dissuasion (à savoir «un montant minimum de 1 % du chiffre d’affaires annuel de l’entreprise»).

169. L’AC allemande a formulé une objection selon laquelle l’amende proposée par l’autorité de contrôle chef de file est «trop faible» et «n’est pas conforme aux dispositions de l’article 83, paragraphe 1, du RGPD». Plus précisément, l’AC allemande a soutenu que l’amende n’est pas dissuasive. L’objection rappelle qu’une sanction peut être considérée comme effective et dissuasive si, d’une part, elle convient comme mesure préventive générale pour dissuader le grand public de commettre des violations et pour affirmer la confiance du grand public dans la validité du droit de l’Union, et si, d’autre part, elle convient comme mesure préventive pour dissuader l’auteur d’une violation de récidiver. L’AC allemande soulève également que la capacité financière d’une entreprise (en termes de chiffre d’affaires) peut constituer un indicateur important des montants permettant d’atteindre la dissuasion: cela peut impliquer de prendre en compte la part du chiffre d’affaires généré par les produits à l’égard desquels la violation a été commise, ce qui peut donner une indication de l’ampleur des violations. L’AC allemande soutient également que l’effet dissuasif des amendes élevées ne peut être atteint que si les montants imposés ne peuvent pas être facilement payés en raison d’actifs importants ou de revenus élevés, et souligne que l’amende doit avoir un effet dissuasif, notamment en ce qui concerne le traitement de données spécifiques. En conséquence, l’amende en question doit être suffisamment élevée pour rendre le traitement des données non rentable et objectivement inefficace. Étant donné que le modèle commercial de Twitter est basé sur le traitement de données et que Twitter réalise son chiffre d’affaires principalement grâce au traitement de données, l’AC allemande considère qu’une amende dissuasive dans ce cas précis devrait donc être élevée de manière à rendre le traitement illégal des données non rentable. Sur la base de la notion d’amende applicable selon l’AC allemande, l’amende imposée pour la violation décrite dans le projet de décision serait environ comprise entre 7 348 035,00 et 22 044 105,00 euros.

170. L’AC hongroise a soulevé que, bien que «les amendes soient justifiées pour les violations commises», «l’amende énoncée dans le projet est déraisonnablement faible, disproportionnée, et n’est donc pas dissuasive compte tenu de la gravité de la violation commise et de la puissance du responsable du traitement sur le marché mondial».

171. L’AC italienne a demandé à l’autorité de contrôle chef de file de «revoir le projet de décision en ce qui concerne la quantification de l’amende administrative, en tenant compte également des éléments aggravants spécifiques de l’affaire concernant la nature du responsable du traitement des données et la gravité et la durée de la violation de données».

172. L’AC irlandaise a estimé que les objections formulées par les AC autrichienne, allemande et hongroise en ce qui concerne l’amende administrative sont «pertinentes et motivées» au sens de l’article 4, paragraphe 24, du RGPD. Toutefois, I’AC irlandaise n’a pas suivi ces objections pour les raisons énoncées dans le Mémorandum composite^[191].

173. En ce qui concerne plus précisément les objections des AC allemande et autrichienne, l’AC irlandaise estime que son évaluation et son application des facteurs visés à l’article 83, paragraphe 2, point a), et point b), du RGPD, tel qu’elles sont élaborées dans son projet de décision, sont appropriées. Concernant l’objection de l’AT autrichienne, l’AC irlandaise soulève que la violation l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD, commise par TIC, est le résultat de la négligence de TIC plutôt qu’une omission intentionnelle^[192]. Par conséquent, l’AC irlandaise estime que l’amende proposée par l’AC autrichienne n’est pas proportionnelle^[193]. En outre, l’AC irlandaise soulève que la préoccupation de l’AC autrichienne concernant la fourchette proposée dans le projet de décision, à la place d’un montant forfaitaire, pour décider de l’amende à imposer, n’a pas été bien élaborée et clarifiée par cette autorité de contrôle concernée^[194]. L’AC irlandaise a pris note de l’objection de l’AC allemande concernant le fait que l’amende doive nécessairement répondre aux exigences de dissuasion; toutefois, elle est d’avis que le montant de l’amende proposée par l’AC allemande n’est pas proportionnel en l’espèce^[195]. Pour les raisons susmentionnées, l’AC irlandaise considère que ces objections sont motivées et pertinentes, mais propose de ne pas les suivre^[196].

174. L’AC irlandaise a tenu dûment compte de l’avis de l’AC autrichienne en ce qui concerne le moment où TIC a pris connaissance de la violation et l’a notifiée, mais a conclu que, bien que TIC ait effectivement «connaissance» de la violation le 7 janvier 2019, TIC aurait dû en prendre connaissance au plus tard le 3 janvier 2019^[197]. En déterminant que le 3 janvier 2019 est la date à laquelle TIC aurait dû prendre connaissance de la violation, l’AC irlandaise a tenu compte du fait qu’un précédent retard s’était produit au cours de la période comprise entre la première notification de l’incident par un entrepreneur à Twitter, Inc., et le moment où Twitter, Inc. a commencé à procéder à l’examen de celui- ci^[198]. En outre, l’AC irlandaise précise que cela ne signifie pas que, «de façon générale, les responsables du traitement de données sont systématiquement censés prendre connaissance des violations de données en même temps que leur sous-traitant»^[199]. En outre, l’AC irlandaise indique que «généralement, un sous-traitant qui subit une violation est informé de l’incident avant son responsable du traitement, et que, à condition que le processus convenu entre le responsable du traitement et le sous-traitant soit efficace et/ou suivi, le responsable du traitement est «informé» de la violation […] de sorte qu’il puisse se conformer à son obligation de notifier la violation en question».^[200]

175. Concernant la possibilité de formuler des objections pertinentes et motivées sur la question de savoir si l’action envisagée à l’égard du responsable du traitement ou du sous-traitant est conforme au RGPD^[201] pour contester le montant des amendes proposées, l’EDPB a récemment précisé qu’«une objection peut contester les éléments sur lesquels se fonde le calcul du montant de l’amende»^[202]. Par exemple, une objection peut concerner la conformité de l’action envisagée à l’égard du responsable du traitement ou du sous-traitant avec le RGPD.

176. En l’espèce, l’objection de l’AC autrichienne conteste les éléments invoqués par l’AC irlandaise pour calculer le montant de l’amende, et concerne donc la conformité de l’action proposée vis-à-vis du responsable du traitement avec le RGPD. L’AC autrichienne a clarifié le lien entre son objection et le projet de décision, et a démontré comment le projet de modifications conduirait à une conclusion différente. En outre, elle a argumenté les raisons pour lesquelles la modification de la décision est proposée, et a fourni une interprétation alternative de trois des conditions énumérées à l’article 83, du RGPD, en faisant référence à des arguments factuels et juridiques. L’AC autrichienne démontre clairement l’importance des risques que présente le projet de décision, et soulève tout d’abord que l’amende proposée n’est pas suffisamment effective et dissuasive; elle rappelle qu’à cette fin l’amende doit permettre de dissuader le grand public de commettre une violation similaire, qu’elle doit confirmer la confiance du grand public dans l’application du droit de l’Union, qu’elle doit dissuader le responsable du traitement de commettre d’autres violations. De plus, dans le cadre de l’évaluation de la gravité de la violation, l’objection fait également référence à la mesure dans laquelle les personnes concernées (dont le nombre est susceptible d’être supérieur à celui identifié) ont été affectées par la violation (par exemple, lorsque leurs tweets, auparavant protégés et susceptibles d’inclure des données sensibles, ont été exposés au grand public). Le caractère intentionnel allégué de la violation, selon l’AC autrichienne, implique des conséquences bien plus importantes sur la capacité de distinguer le bien du mal qu’une violation commise par négligence. Compte tenu de l’évaluation susvisée, l’EDPB considère que l’objection de l’AC autrichienne est pertinente et motivée conformément à l’article 4, paragraphe 24, du RGPD. Par conséquent, l’EDPB évaluera le fondement des questions substantielles soulevées par cette objection (voir la section 8.4.2 ci-dessous).

177. L’objection de l’AC allemande peut également être considérée comme pertinente, car elle concerne la conformité de l’action envisagée avec le RGPD et conteste les éléments invoqués pour calculer le montant de l’amende. Plus précisément, elle soutient que l’amende imposée par l’AC irlandaise n’est pas dissuasive et que le calcul effectué n’est donc pas conforme à l’article 83, paragraphe 1, du RGPD. L’AC allemande a précisé qu’une sanction peut être considérée comme effective et dissuasive, à condition qu’elle serve de mesure préventive générale pour dissuader le grand public de commettre des violations et pour affirmer sa confiance dans la validité du droit de l’Union, et qu’elle dissuade l’auteur d’une violation de récidiver. En outre, l’AC allemande démontre clairement l’importance des risques que le projet de décision présente pour les libertés et droits des personnes concernées, car le fait de ne pas imposer une sanction dissuasive et effective ne permettra peut-être pas de dissuader le responsable du traitement de commettre d’autres violations.

178. L’AC allemande avance un autre argument pour démontrer l’importance des risques selon lequel l’incapacité à gérer correctement la violation suggère une «erreur systémique», qui aurait nécessité de soumettre le responsable du traitement à un examen plus approfondi, au-delà de l’examen du seul incident spécifique en question. L’AC allemande a également rappelé qu’un grand nombre de personnes sont concernées et que le délai est tout aussi important, et a conclu que les mesures correctrices imposées sur la base de l’article 58, paragraphe 2, du RGPD, doivent être examinées en tenant compte de ces éléments. En conclusion, l’EDPB considère que l’objection de l’AC allemande est motivée et pertinente conformément à la définition visée à l’article 4, paragraphe 24, du RGPD. Par conséquent, l’EDPB évaluera le fondement des questions substantielles soulevées par cette objection (voir la section 8.4.2 ci-dessous).

179. L’objection de l’AC hongroise est pertinente, car elle concerne également le respect de l’action envisagée par le RGPD, et soulève que l’amende proposée est «déraisonnablement faible, disproportionnée, et n’est donc pas dissuasive». Cependant, bien que l’objection se réfère «au “bogue” survenu dans l’application du responsable du traitement au fil des ans» et à «sa nature grave affectant la protection des données», ainsi qu’à la «gravité de la violation commise» et à la «puissance du responsable du traitement sur le marché mondial», elle ne démontre pas clairement l’importance des risques pour les libertés et droits des personnes concernées que présente le montant de l’amende proposée par l’AC irlandaise. En conséquence, l’EDPB considère que cette objection ne répond pas aux exigences de l’article 4, paragraphe 24, du RGPD^[203].

180. Enfin, le fait que l’objection formulée par l’AC italienne fasse référence à la conformité de la mesure proposée avec le RGPD démontre également sa pertinence, car elle soulève que l’AC irlandaise devrait revoir le projet de décision en ce qui concerne la quantification de l’amende administrative. Concernant les «objections susvisées» et, par conséquent, le fait que les aspects mentionnés sont «de nature structurelle en ce qui concerne l’organisation du responsable du traitement» et «destinés à générer des conséquences non seulement sur l’affaire en question, mais aussi sur le traitement de toute violation de données à caractère personne qui pourrait se produire à l’avenir», l’objection formulée par l’AC italienne démontre clairement l’importance des risques liés à la quantification de l’amende pour les libertés et droits des personnes concernées.

181. Ainsi, l’EDPB considère que l’objection de l’AC italienne est motivée et pertinente conformément à l’article 4, paragraphe 24, du RGPD. Par conséquent, l’EDPB évaluera le fondement des questions substantielles soulevées par cette objection.

182. Le CEPD estime que les objections considérées comme pertinentes et motivées dans cette sous- section^[204] requièrent l’évaluation de la question de savoir si le projet de décision propose une amende conformément aux critères établis par l’article 83, du RGPD, et conformément aux Lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement (UE) 2016/679 («WP253») du groupe de travail «article 29» (approuvées par l’EDPB)^[205].

183. En effet, le mécanisme de contrôle de la cohérence peut également être utilisé pour promouvoir une application cohérente des amendes administratives^[206]: lorsqu’une objection pertinente et motivée conteste les éléments invoqués par l’autorité de contrôle chef de file concernant le calcul du montant de l’amende, l’EDPB peut ordonner à l’autorité de contrôle chef de file de procéder à un nouveau calcul de l’amende proposée en éliminant les lacunes constatées dans l’établissement de liens de causalité entre les faits en question et la façon dont l’amende proposée a été calculée sur la base des critères de l’article 83, du RGPD, et des pratiques courantes établies par l’EDPB^[207]. Une amende doit être effective, proportionnée ou dissuasive, comme l’exige l’article 83, paragraphe 1, du RGPD, en tenant compte des faits de l’affaire^[208]. En outre, lorsqu’elle décide du montant de l’amende, l’autorité de contrôle chef de file doit tenir compte des conditions énumérées à l’article 83, paragraphe 2, du RGPD.

184. En ce qui concerne la nature, la gravité et la durée de la violation visées à l’article 33, paragraphe 1, et à l’article 33, paragraphe 5, du RGPD, l’article 83, paragraphe 2, point a), du RGPD exige de prendre en considération entre autres la nature, la portée ou la finalité du traitement concerné, ainsi que le nombre de personnes concernées affectées et le niveau de dommages qu’elles ont subi.

185. Le CEPD convient avec l’AC irlandaise que l’infraction à considérer n’est pas la violation en tant que telle, mais le respect de l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD, dans le cadre de la notification de cette violation à l’AC compétente et de la documentation de cette violation.

186. Le CEPD note que l’AC irlandaise tient compte de la nature du traitement ainsi que du nombre de personnes concernées affectées. En ce qui concerne la nature du traitement, l’AC irlandaise la décrit comme une plateforme de «microblogage» et de média social sur laquelle les utilisateurs ont la possibilité de partager leurs pensées par des «tweets». Le CEPD considère qu’à l’heure d’évaluer la nature du traitement, il faut également tenir compte du fait que le «traitement concerné» impliquait des communications publiées par des personnes concernées ayant délibérément choisi de restreindre l’audience à laquelle ces communications étaient destinées. Le CEPD prend note du fait que le projet de décision de l’AC irlandaise considère que: «les conséquences sur les utilisateurs individuels et la possibilité de dommages en découlant dépendront du niveau de données à caractère personnel rendues publiques et de la nature de ces données à caractère personnel. À cet égard, il est exposé dans l’avant- projet que bien que TIC n’ait pas confirmé la nature précise des données rendues publiques dans le cadre de la violation, il est raisonnable de déduire que, compte tenu du nombre d’utilisateurs concernés et de la nature du service proposé par TIC, les données à caractère personnel publiées concernant au moins une partie des utilisateurs comprennent des catégories de données sensibles et d’autres informations notamment privées»^[209]. Cependant, l’AC irlandaise, en s’appuyant sur les observations formulées par TIC, a accordé moins d’importance à ce facteur qu’elle ne l’a fait dans l’avant-projet, étant donné qu’il n’existe aucune preuve directe de dommage^[210]. Le CEPD considère toutefois que l’AC irlandaise aurait dû néanmoins accorder plus d’importance au fait que le «traitement concerné» implique des communications publiées par des personnes concernées ayant délibérément choisi de restreindre l’audience à laquelle ces communications étaient destinées, lors de l’évaluation de la nature du traitement concerné. Plus précisément, l’AC irlandaise aurait dû accorder plus d’importance à ce fait étant donné qu’elle l’a rappelé dans le projet de décision, où elle considère que «le grand nombre d’utilisateurs affectés peut donner lieu à un éventail beaucoup plus large de dommages découlant de la violation, en particulier compte tenu de la nature du service offert par TIC» et du fait qu’il soit «probable que de nombreux utilisateurs aient compté sur la fonction permettant de garder les “tweets” privés pour partager des informations ou des points de vue (dans le confort d’un environnement qu’ils pensaient privé et contrôlé) qu’ils n’auraient, d’ordinaire, pas publiés dans le domaine public»^[211].

187. En outre, concernant la portée du traitement concerné, l’AC irlandaise semble remplacer la portée du traitement par le nombre de personnes concernées affectées. Le CEPD considère que la nature et la portée du «traitement» à prendre en considération pour déterminer l’amende n’est pas l’opération de traitement consistant en la divulgation (accidentelle) (violation de données personnelles), ou la cause de celle-ci, mais plutôt la portée du traitement sous-jacent effectué par TIC, comme décrit dans le paragraphe précédent.

188. Selon l’AC autrichienne, le moment où le responsable du traitement a pris connaissance de la violation a un impact sur la gravité de la violation de l’article 33, paragraphe 1, du RGPD. Dans son objection, l’AC autrichienne a exprimé un désaccord quant à la façon dont le moment où le responsable du traitement aurait dû avoir pris connaissance de la violation de données doit être déterminé et analysé. Plus précisément, l’AC autrichienne a soutenu dans son objection que TIC aurait dû notifier la violation de données dans les 72 heures à compter du moment où le sous-traitant a pris connaissance du bogue. L’AC autrichienne donc a qualifié la violation de l’article 33, paragraphe 1, du RGPD, de «grave».

189. À cet égard, l’EDPB rappelle que les Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 («WP250»)^[212], approuvées par l’EDPB, indiquent que «tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue comme un outil permettant de renforcer la conformité en matière de protection des données à caractère personnel»^[213].

190. Selon les Lignes directrices sur la notification de violations de données à caractère personnel, un responsable du traitement devrait être considéré comme ayant pris «connaissance» lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel^[214]. Étant donné que le responsable du traitement fait appel au sous- traitant pour atteindre ses objectifs, le responsable du traitement devrait en principe être considéré comme ayant pris «connaissance» dès que le sous-traitant l’a informé de la violation.^[215] Cependant, le RGPD exige du responsable du traitement qu’il prenne «connaissance» de toute violation dans les plus brefs délais afin qu’il puisse mettre en œuvre les mesures appropriées^[216], et explique que «le responsable du traitement peut mener une brève enquête afin de déterminer si une violation s’est effectivement produite. Pendant cette période d’enquête, le responsable du traitement ne peut pas être considéré comme ayant pris “connaissance”»^[217]. Les Lignes directrices précisent que cette période d’enquête initiale devrait cependant débuter aussi rapidement que possible et qu’une enquête plus détaillée pourra alors suivre^[218].

191. Les Lignes directrices établissent donc clairement que le responsable du traitement, et, par extension, le sous-traitant doivent agir rapidement. «Dans la plupart des cas, ces mesures préliminaires devraient être prises peu de temps après l’alerte initiale (c.-à-d. lorsque le responsable du traitement ou le sous- traitant suspecte qu’un incident de sécurité portant sur des données à caractère personnel pourrait avoir eu lieu). À l’exception de certains cas exceptionnels, cette procédure ne devrait pas être plus longue que dans l’exemple ci-dessous»^[219].

192. Compte tenu de ce qui précède, l’EDPB est d’accord avec la position de l’évaluation de l’AC irlandaise selon laquelle le responsable du traitement ne peut pas être censé avoir pris connaissance au moment où son sous-traitant réalise qu’un incident de sécurité s’est produit. Conformément à ce que prévoient les Lignes directrices WP29 sur la notification de violations de données à caractère personnel, approuvées par l’EDPB, il faut être certain qu’une violation de données personnelles s’est produite avant de pouvoir stipuler la prise de connaissance. Il n’est pas clair, d’après les faits en question, comme en témoigne le projet de décision, que c’était le cas avant le 3 janvier 2019. Dans ce cas, l’AC autrichienne n’a pas prouvé que TIC avait atteint le degré de certitude nécessaire quant au fait qu’une violation de données s’était produite avant que l’AC irlandaise découvre que TIC avait «connaissance» de la violation. En conséquence, l’EDPB considère que l’évaluation de la gravité de la violation n’a pas besoin d’être ajustée compte tenu d’une détermination différente du moment où le responsable du traitement a pris connaissance de la violation de données.

193. En outre, en ce qui concerne la gravité de la violation, l’EDPB convient avec I’AC irlandaise que le respect de l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD, est essentiel au fonctionnement global du régime de contrôle d’application et d’exécution.

194. En ce qui concerne l’objection formulée par l’AC autrichienne concernant la nature intentionnelle de la violation, l’EDPB considère que l’objection n’a pas suffisamment démontré qu’à partir du moment où le responsable du traitement a pris connaissance, il a volontairement ignoré son devoir de diligence.

195. Toutefois, en ce qui concerne le caractère négligent de la violation, l’EDPB considère qu’une société qui concentre ses activités commerciales sur le traitement de données personnelles devrait disposer de procédures suffisantes pour documenter les violations de données personnelles, y compris de mesures correctrices, pour lui permettre également de se conformer à l’obligation de notification prévue à l’article 33, paragraphe 1, du RGPD. Il s’agit d’un élément supplémentaire à prendre en considération dans l’analyse de la gravité de la violation.

196. Le CEPD rappelle que la CJUE a toujours considéré qu’une sanction dissuasive a un effet réel de dissuasion^[220]. À cet égard, une distinction peut être faite entre la dissuasion générale (décourageant les autres de commettre la même violation à l’avenir) et la dissuasion spécifique (décourageant le destinataire de l’amende de commettre à nouveau la même violation)^[221]. En outre, la gravité des sanctions doit être proportionnelle à la gravité des violations pour lesquelles elles sont imposées^[222]. Il en découle que les amendes ne doivent pas être disproportionnées par rapport aux objectifs visés, à savoir, le respect des règles de protection des données et le fait que le montant de l’amende infligée à une entreprise doit être proportionnel à la violation considérée dans son ensemble, compte tenu notamment de la gravité de la violation^[223].

197. Bien que l’autorité de contrôle chef de file, dans son projet de décision, faisait référence à l’exigence selon laquelle l’amende doit être dissuasive et proportionnée, l’EDPB considère que l’autorité de contrôle chef de file n’a pas suffisamment prouvé en quoi l’amende proposée répond à ces exigences. Plus précisément, l’EDPB soulève que l’autorité de contrôle chef de file passe du calcul du montant maximal de l’amende (fixé à 60 millions de dollars) à l’indication de la fourchette proposée (fixée entre 150 000 $ et 300 000 $), sans autre explication quant aux éléments particuliers selon lesquels l’autorité de contrôle chef de file à établi cette fourchette spécifique^[224]. Au-delà de la référence générale aux facteurs pertinents de l’article 83, paragraphe 2, du RGPD, aucun motif ne justifie le choix du pourcentage proposé (entre 0,25 % et 0,5 %) de l’amende maximale applicable en vertu de l’article 83, paragraphe 4, du RGPD.

198. À cet égard, l’EDPB a précisé ci-dessus les raisons pour lesquelles l’autorité de contrôle chef de file, dans son projet de décision, aurait dû accorder plus d’importance à l’élément relatif à la nature, à la portée et au caractère négligent de la violation et considère donc que la fourchette d’amende proposée devrait être adaptée en conséquence.

199. Par conséquent, l’EDPB considère que l’amende proposée dans le projet de décision est trop faible et ne remplit donc pas son objectif en tant que mesure correctrice, et, plus précisément, qu’elle ne répond pas aux exigences l’article 83, paragraphe 1, du RGPD, selon lesquelles les amendes doivent être effectives, proportionnées et dissuasives.

200. Ainsi, l’EDPB demande à l’AC irlandaise de réévaluer les éléments sur lesquels elle se fonde pour calculer le montant de l’amende forfaitaire^[225] à imposer à TIC afin de s’assurer qu’elle est appropriée aux circonstances de l’affaire.

201. Le CEPD soulève que l’analyse des objections se limite au fond des objections à considérer comme pertinentes et motivées. La portée de l’analyse de l’EDPB concernant le calcul de l’amende se limite donc à une analyse de la méthode de calcul des amendes. Elle ne consiste pas en une validation implicite ou explicite par l’EDPB, de l’analyse effectuée par l’autorité de contrôle chef de file concernant la violation de l’article 33, paragraphe 1, ou de l’article 33, paragraphe 5, du RGPD, ni en la qualification juridique de Twitter Inc. et de TIC respectivement. Le CEPD répète que sa décision actuelle est sans préjudice de toute évaluation qu’il peut être appelé à réaliser dans d’autres cas, y compris avec les mêmes parties, eu égard au contenu du projet de décision pertinent et des objections formulées par les autorités de contrôle concernées.

202. Au vu de ce qui précède et conformément à la mission de l’EDPB en vertu de l’article 70, paragraphe 1, point t), du RGPD, de rendre des décisions contraignantes en vertu de l’article 65, du RGPD, le comité rend la décision contraignante suivante conformément à l’article 65, paragraphe 1, point a), du RGPD:

203. Sur les objections concernant la qualification du responsable du traitement et du sous-traitant et la compétence de l’autorité de contrôle chef de file:

- Le CEPD juge que l’AC irlandaise n’est pas tenue de modifier son projet de décision par rapport aux objections soulevées, car elles ne répondent pas aux exigences de l’article 4, paragraphe 24, du RGPD.

204. Sur les objections concernant les violations de l’article 33, paragraphe 1, et de l’article 33, paragraphe 5, du RGPD, constatées par l’autorité de contrôle chef de file:

- Eu égard à l’objection formulée par l’AC française relative à l’absence de violation de l’article 33, paragraphe 1, du RGPD, à l’objection formulée par l’AC allemande relative à la détermination du dies a quo pour la violation de l’article 33, paragraphe 1, du RGPD, et à l’objection formulée par l’AC italienne relative à la violation de l’article 33, paragraphe 5, du RGPD, l’EDPB juge que l’AC irlandaise n’est pas tenue de modifier son projet de décision par rapport aux objections formulées, car elles ne répondent pas aux exigences de l’article 4, paragraphe 24, du RGPD.

205. Sur les objections relatives aux éventuelles violations supplémentaires (ou différentes) du RGPD identifiées par les autorités de contrôle concernées:

- En ce qui concerne l’objection formulée par l’AC allemande sur les éventuelles violations de l’article 5, paragraphe 1, point f), de l’article 24, et de l’article 32 du RGPD, et l’objection formulée par l’AC italienne sur l’éventuelle violation de l’article 5, paragraphe 2, du RGPD, l’EDPB juge que, bien que ces objections ne répondent aux exigences de l’article 4, paragraphe 24, du RGPD, l’AC irlandaise n’est pas tenue de modifier son projet de décision, car les éléments factuels disponibles inclus dans le projet de décision et dans les objections ne sont pas suffisants pour permettre au CEPD d’établir l’existence de violations de l’article 5, paragraphe 1, point f), de l’article 5, paragraphe 2, de l’article 24, et de l’article 32 du RGPD.

- Eu égard à l’objection formulée par l’AC allemande relative à l’éventuelle violation de l’article 33, paragraphe 3, du RGPD, à l’objection formulée par l’AC française relative à l’éventuelle violation de l’article 28, et de l’article 32 du RGPD, à l’objection formulée par l’AC hongroise relative à l’éventuelle violation de l’article 5, paragraphe 1, point f), de l’article 32, et de l’article 34, du RGPD, et à l’objection formulée par l’AC italienne relative à l’éventuelle violation de l’article 28 du RGPD, l’EDPB juge que l’AC irlandaise n’est pas tenue de modifier son projet de décision par rapport aux objections formulées, car elles ne répondent pas aux exigences de l’article 4, paragraphe 24, du RGPD.

206. Sur l’objection concernant la décision de l’autorité de contrôle chef de file de ne pas infliger de blâme:

- Eu égard à l’objection formulée par l’AC allemande concernant la décision de l’AC irlandaise de ne pas infliger de blâme, l’EDPB juge que l’AC irlandaise n’est pas tenue de modifier son projet de décision par rapport à l’objection soulevée, car elle ne répond pas aux exigences de l’article 4, paragraphe 24, du RGPD.

207. Sur l’objection concernant le calcul de l’amende proposée par l’autorité de contrôle chef de file:

- Eu égard à l’objection formulée par l’AC hongroise sur le caractère trop peu dissuasif de l’amende, l’EDPB juge que l’AC irlandaise n’est pas tenue de modifier son projet de décision par rapport à l’objection soulevée, car elle ne répond pas aux exigences de l’article 4, paragraphe 24, du RGPD.

- Eu égard à l’objection formulée par l’AC autrichienne, à l’objection formulée par l’AC allemande et à l’objection formulée par l’AC italienne sur le caractère trop peu dissuasif de l’amende, l’EDPB juge qu’elles répondent aux exigences de l’article 4, paragraphe 24, du RGPD, et que l’AC irlandaise est tenue de réévaluer les éléments sur lesquels elle s’appuie pour calculer le montant de l’amende forfaitaire à imposer à TIC, et de modifier son projet de décision en augmentant le montant de l’amende afin de s’assurer qu’elle remplit son objectif en tant que mesure correctrice et qu’elle répond aux exigences en matière d’efficacité, de proportionnalité et de dissuasion établies par l’article 83, paragraphe 1, du RGPD, en tenant compte des conditions de l’article 83, paragraphe 2, du RGPD.

208. Cette décision contraignante est adressée à l’AC irlandaise et aux autorités de contrôle concernées. L’AC irlandaise doit adopter sa décision finale sur la base de cette décision contraignante conformément à l’article 65, paragraphe 6, du RGPD.

209. En ce qui concerne les objections jugées non conformes aux exigences stipulées à l’article 4, paragraphe 24, du RGPD, l’EDPB ne prend pas position sur le fond des questions substantielles soulevées par ces objections. Le CEPD répète que sa décision actuelle est sans préjudice de toute évaluation qu’il peut être appelé à réaliser dans d’autres cas, y compris avec les mêmes parties, eu égard au contenu du projet de décision pertinent et des objections formulées par les autorités de contrôle concernées.

210. Conformément à l’article 65, paragraphe 6, du RGPD, l’AC irlandaise doit communiquer sa décision finale à la présidence dans le mois suivant la réception de la décision contraignante.

211. Une fois cette communication effectuée par l’AC irlandaise, la décision contraignante sera rendue publique conformément à l’article 65, paragraphe 5, du RGPD.

212. Conformément l’article 70, paragraphe 1, point y), du RGPD, la décision finale de l’AC irlandaise communiquée au CEPD sera incluse dans le registre des décisions auxquelles le mécanisme de contrôle de la cohérence a été appliqué.

Pour le comité européen de la protection des données

La présidente

(Andrea Jelinek)