L’article 82 du RGPD relatif à la responsabilité du responsable de traitement et du sous-traitant

Photo de profil - SIMON François-Luc | Avocat Associé-Gérant - Docteur en droit | Lettre des réseaux

SIMON François-Luc

Avocat Associé-Gérant - Docteur en droit

L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en droit français) et le précise en 6 paragraphes, fixant ainsi les principes directeurs gouvernant désormais la réparation du préjudice subi par toute personne résultant d’une violation du Règlement.

Ce qu’il faut retenir : L’article 23 de la Directive 95/46/CE sur la protection des données personnelles (abrogé par le RGPD) prévoyait le droit d’obtenir du responsable du traitement – et de lui seul – la réparation du préjudice subi par toute personne du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de cette Directive. En droit français, aucune disposition spécifique n’avait été insérée dans la LIL, de sorte que le droit commun était seul applicable. L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en droit français) et le précise en 6 paragraphes, fixant ainsi les principes directeurs gouvernant désormais la réparation du préjudice subi par toute personne résultant d’une violation du Règlement.

Pour approfondir :

Article 82, §.1 du RGPD :

Texte : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».

Commentaire : Pour ce qui concerne la nature du dommage subi, le texte « ratisse large » en visant tout « dommage matériel ou moral ». La Directive 95/46/CE visait le seul dommage. Le fait que le « dommage matériel ou moral » ouvre droit à réparation va sans dire, mais va sans doute mieux en le disant. Pour ce qui concerne l’auteur du dommage, il est précisé que la réparation peut être obtenue du « responsable du traitement » ou – et c’est là une nouveauté – du « sous-traitant ». Le §.1 vise la conjonction de coordination « ou », mais il faut lire « et/ou » ainsi que cela ressort de la lecture des paragraphes suivants.

Article 82, §.2 du RGPD :

Texte : « Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».

Commentaire : Le critère de mise en œuvre de la responsabilité propre au responsable du traitement est sa « participation » au « traitement ». Le terme de « traitement », lui, est défini (très largement) à l’article 4 du Règlement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ». Il semble difficile de faire plus large. Le terme de « participation » n’est en revanche pas défini, pas plus qu’est définie la nature même de cette participation. L’action de « participer » revient à « prendre part », ce qui incite à retenir une acception large de la notion. Il paraît d’ailleurs raisonnable de considérer que cette « participation » se traduise par la réalisation d’un acte matériel accompli soit par le responsable du traitement lui-même (participation directe), soit par le sous-traitant, sur instruction du responsable du traitement (participation indirecte). C’est dire que le critère de mise en œuvre de la responsabilité propre au responsable du traitement présente un caractère « quasi-automatique ».

Le critère de mise en œuvre de la responsabilité propre au sous-traitant est tout autre. Tout d’abord, dans l’esprit du texte, et au contraire de ce qui vient d’être indiqué à propos du responsable du traitement, cette responsabilité ne présente aucun caractère d’automaticité, ainsi que le souligne la formulation du texte : « Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que (…) ». Ensuite, le texte énonce deux cas, présentés comme ayant un caractère « limitatif », dont le point commun est l’existence d’une violation par le sous-traitant, la première au Règlement (« s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants »), la seconde au regard des instructions du responsable du traitement (« s’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci »). On entrevoit ici l’importance que revêt le contrat conclu entre le responsable du traitement et le sous-traitant au regard des conditions de mise en œuvre de la responsabilité propre au sous-traitant.

Article 82, §.3 du RGPD :

Texte : « Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ».

Commentaire : Ce texte énonce un principe d’exonération applicable au bénéfice des deux acteurs (responsable du traitement et sous-traitant), chacun en ce qui les concerne ; ce faisant, ce texte rappelle une évidence : la responsabilité du responsable du traitement ou du sous-traitant nécessite l’imputabilité personnelle d’un fait ayant provoqué le dommage. Il suffit donc que le fait qui a provoqué le dommage ne leur soit pas imputable. Toutefois, le texte fait peser sur chacun d’eux l’obligation de prouver l’absence d’imputabilité personnelle du fait ayant provoqué le dommage. On entrevoit encore ici l’importance que le contrat conclu entre le responsable du traitement et le sous-traitant aura pour permettre à ces acteurs de rapporter la preuve qui leur incombe au titre du §.3.

Article 82, §.4 du RGPD :

Texte : « Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective ».

Commentaire : Ce texte institue un principe de responsabilité solidaire du (ou des) responsable(s) du traitement et/ou du (ou des) sous-traitant(s) intervenant dans le même traitement. Toutefois, cette solidarité n’a rien d’automatique ; elle implique que le(s) responsable(s) du traitement et/ou sous-traitant(s) qui participent au même traitement puissent chacun être tenus responsables d’un dommage causé par le traitement en vertu des § 2 et 3. Dans ce cas, chacun d’eux – le(s) responsable(s) du traitement et/ou le(s) sous-traitant(s) – est alors tenu responsable du dommage dans sa totalité, afin de mieux garantir une compensation effective à la victime.

Article 82, §.5 du RGPD :

Texte : « Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2 ».

Commentaire : A la différence des quatre premiers paragraphes, ce texte concerne les rapports entre le responsable du traitement et le sous-traitant, en envisageant la possibilité d’une action récursoire, corolaire du principe de solidarité institué au paragraphe 4. Ici encore, le contrat conclu entre le responsable du traitement et le sous-traitant pourra aménager les conditions de cette action récursoire.

Article 82, §.6 du RGPD :

Texte : « Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2 ».

Commentaire : Toute personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le Règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du Règlement. Le choix de la juridiction compétente est large car les critères de sa détermination sont alternatifs. En effet, l’article 79, §. 2 retient tout d’abord que « Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ». Puis, l’article 79, §. 2 retient ensuite qu’ « une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique ».

Toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement (Règlement, article 77), ce qui conduit à envisager l’article 83 du Règlement, relatif aux conditions de mise en œuvre des amendes administratives.

A rapprocher : Article 23 de la Directive 95/46/CE sur la protection des données personnelles

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.