Article 82
Droit à réparation et responsabilité
Afficher les articles et mots clés liés à l’article 82 expand_more
Cacher les articles et mots clés liés à l’article 82 expand_less
Mots clés liés à l'article 82
Il n'y a pas de considérant du Règlement lié à l'article 82.
Il n'y pas de considérant de la Directive 95/46 lié à l'article 82.
Guidelines
Ici viendront les guidelines
Sommaire
Union Européenne
-
Jurisprudence de la CJUE
- C-40/17 (29 juillet 2019) - Fashion ID
- C-300/21 (4 mai 2023) - Österreichische Post (Préjudice moral lié au traitement de données personnelles)
- C-456/22, VX, AT contre Gemeinde Ummendorf (14 décembre 2023)
- C-340/21, VB contre Natsionalna agentsia za prihodite (14 décembre 2023)
- C-667/21, ZQ contre Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts (21 décembre 2023)
- C-687/21 (25 janvier 2024) - MediaMarktSaturn
- C-741/21 (11 avril 2024) - juris
- C-182/22 (20 juin 2024) - Scalable Capital
- C-590/22 (20 juin 2024) - PS (Adresse erronée)
- C-200/23 (4 octobre 2024) - Agentsia po vpisvaniyata
- C-507/23 (4 octobre 2024) - Patērētāju tiesību aizsardzības centrs
Belgique
Union Européenne
Jurisprudence de la CJUE
C-40/17 (29 juillet 2019) - Fashion ID
1) Les articles 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel.
2) Le gestionnaire d’un site Internet, tel que Fashion ID GmbH & Co. KG, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.
3) Dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, afin que celles-ci soient justifiées dans son chef.
4) L’article 2, sous h), et l’article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, le consentement visé à ces dispositions doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens. En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire, l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.
Conclusions de l'avocat général
C-300/21 (4 mai 2023) - Österreichische Post (Préjudice moral lié au traitement de données personnelles)
1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation.
2) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité.
3) L’article 82 du règlement 2016/679
doit être interprété en ce sens que :
aux fins de la fixation du montant des dommages-intérêts dus au titre du droit à réparation consacré à cet article, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés.
Conclusions de l'avocat général
C-456/22, VX, AT contre Gemeinde Ummendorf (14 décembre 2023)
L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
il s’oppose à une réglementation nationale ou à une pratique nationale qui fixe un « seuil de minimis » afin de caractériser un dommage moral causé par une violation de ce règlement. La personne concernée est tenue de démontrer que les conséquences de cette violation qu’elle prétend avoir subies sont constitutives d’un préjudice qui se différencie de la simple violation des dispositions dudit règlement.
C-340/21, VB contre Natsionalna agentsia za prihodite (14 décembre 2023)
1) Les articles 24 et 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doivent être interprétés en ce sens que :
une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, de ce règlement, ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32.
2) L’article 32 du règlement 2016/679
doit être interprété en ce sens que :
le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques.
3) Le principe de responsabilité du responsable du traitement, énoncé à l’article 5, paragraphe 2, du règlement 2016/679 et concrétisé à l’article 24 de celui‑ci,
doit être interprété en ce sens que :
dans le cadre d’une action en réparation fondée sur l’article 82 de ce règlement, le responsable du traitement en cause supporte la charge de prouver le caractère approprié des mesures de sécurité qu’il a mises en œuvre au titre de l’article 32 dudit règlement.
4) L’article 32 du règlement 2016/679 et le principe d’effectivité du droit de l’Union
doivent être interprétés en ce sens que :
afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.
5) L’article 82, paragraphe 3, du règlement 2016/679
doit être interprété en ce sens que :
le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne, au titre de l’article 82, paragraphes 1 et 2, de ce règlement, du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, dudit règlement, ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable.
6) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.
Conclusions de l'avocat général
C-667/21, ZQ contre Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts (21 décembre 2023)
1) L’article 9, paragraphe 2, sous h), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
l’exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité non pas d’employeur, mais de service médical, afin d’apprécier la capacité de travail de cet employé, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par le paragraphe 3 dudit article 9.
2) L’article 9, paragraphe 3, du règlement 2016/679
doit être interprété en ce sens que :
le responsable d’un traitement de données concernant la santé, fondé sur l’article 9, paragraphe 2, sous h), de ce règlement, n’est pas tenu, en vertu de ces dispositions, de garantir qu’aucun collègue de la personne concernée ne peut accéder aux données se rapportant à l’état de santé de celle‑ci. Toutefois, une telle obligation peut s’imposer au responsable d’un tel traitement soit en vertu d’une réglementation adoptée par un État membre sur la base de l’article 9, paragraphe 4, dudit règlement, soit au titre des principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), du même règlement et concrétisés à l’article 32, paragraphe 1, sous a) et b), de celui-ci.
3) L’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du règlement 2016/679
doivent être interprétés en ce sens que :
un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.
4) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive.
5) L’article 82 du règlement 2016/679
doit être interprété en ce sens que :
d’une part, l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui‑ci, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition.
Conclusions de l'avocat général
C-687/21 (25 janvier 2024) - MediaMarktSaturn
1) Les articles 5, 24, 32 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lus conjointement,
doivent être interprétés en ce sens que :
dans le cadre d’une action en réparation fondée sur cet article 82, le fait que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel ne suffit pas, à lui seul, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32.
2) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive.
3) L’article 82 du règlement 2016/679
doit être interprété en ce sens que :
cet article ne requiert pas que le degré de gravité de la violation commise par le responsable du traitement soit pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.
4) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
la personne demandant réparation au titre de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral.
5) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
dans l’hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu’il n’a pas pris connaissance de celles-ci, un « dommage moral », au sens de cette disposition, n’est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possible la réalisation d’une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.
Arrêt rendu
C-741/21 (11 avril 2024) - juris
1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée ne suffit pas, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne.
2) L’article 82 règlement 2016/679
doit être interprété en ce sens que :
il ne saurait suffire au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 dudit article, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité, au sens de l’article 29 de ce règlement.
3) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.
Arrêt rendu
C-182/22 (20 juin 2024) - Scalable Capital
1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit à réparation prévu à cette disposition remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice subi.
2) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
il ne requiert pas que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.
3) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
dans le cadre de la fixation du montant de dommages-intérêts dus au titre du droit à réparation d’un dommage moral, il convient de considérer qu’un tel dommage causé par une violation de données à caractère personnel n’est pas, par nature, moins important qu’un dommage corporel.
4) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de celui-ci, le compenser en accordant à la personne concernée une indemnité minime, pour autant que cette indemnité soit de nature à compenser intégralement le préjudice subi.
5) L’article 82, paragraphe 1, du règlement 2016/679, lu à la lumière des considérants 75 et 85 de ce règlement,
doit être interprété en ce sens que :
pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité.
Arrêt rendu
Conclusions de l'Avocat général
C-590/22 (20 juin 2024) - PS (Adresse erronée)
1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
une violation de ce règlement ne suffit pas, à elle seule, pour fonder un droit à réparation au titre de cette disposition. La personne concernée doit également établir l’existence d’un préjudice causé par cette violation, sans toutefois que ce préjudice doive atteindre un certain degré de gravité.
2) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
la crainte éprouvée par une personne que ses données à caractère personnel aient, du fait d’une violation de ce règlement, été divulguées à des tiers sans qu’il puisse être établi que tel a été effectivement le cas suffit à fonder un droit à réparation pour autant que cette crainte, avec ses conséquences négatives, soit dûment prouvée.
3) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives prévus à l’article 83 de ce règlement et, d’autre part, de conférer à ce droit à réparation une fonction dissuasive.
4) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu de tenir compte de violations simultanées de dispositions nationales portant sur la protection des données personnelles, mais n’ayant pas pour objet de préciser les règles de ce règlement.
Arrêt rendu
C-200/23 (4 octobre 2024) - Agentsia po vpisvaniyata
1) L’article 21, paragraphe 2, de la directive (UE) 2017/1132 du Parlement européen et du Conseil, du 14 juin 2017, relative à certains aspects du droit des sociétés,
doit être interprété en ce sens que :
il n’impose pas à un État membre une obligation d’autoriser la publicité, dans le registre du commerce, d’un contrat de société soumis à la publicité obligatoire prévue par cette directive et contenant des données à caractère personnel autres que les données à caractère personnel minimales requises, dont la publication n’est pas exigée par le droit de cet État membre.
2) Le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), notamment l’article 4, points 7 et 9, de celui-ci,
doit être interprété en ce sens que :
l’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données, au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.
3) La directive 2017/1132, en particulier l’article 16 de celle-ci, ainsi que l’article 17 du règlement 2016/679
doivent être interprétés en ce sens que :
ils s’opposent à une réglementation ou à une pratique d’un État membre conduisant l’autorité chargée de la tenue du registre du commerce de cet État membre à refuser toute demande d’effacement des données à caractère personnel, non requises par cette directive ou par le droit dudit État membre, figurant dans un contrat de société publié dans ce registre, lorsqu’une copie de ce contrat occultant ces données n’a pas été fournie à cette autorité, contrairement aux modalités procédurales prévues par cette réglementation.
4) L’article 4, point 1, du règlement 2016/679
doit être interprété en ce sens que :
la signature manuscrite d’une personne physique relève de la notion de « données à caractère personnel » au sens de cette disposition.
5) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.
6) L’article 82, paragraphe 3, du règlement 2016/679
doit être interprété en ce sens que :
un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.
Arrêt rendu
Conclusions de l'Avocate générale
C-507/23 (4 octobre 2024) - Patērētāju tiesību aizsardzības centrs
1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lu à lumière de l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne,
doit être interprété en ce sens que :
une violation de dispositions de ce règlement ne suffit pas, à elle seule, pour constituer un « dommage », au sens de cet article 82, paragraphe 1.
2) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.
3) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
il s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.
Retour au sommaireBelgique
Jurisprudence belge
C. const. Be., n°3/2021 (14 janvier 2021)
1. La seule circonstance que le RGPD laisse une marge de manœuvre pour infliger ou non des amendes administratives aux autorités publiques, sans offrir cette même marge de manœuvre à l’égard des personnes privées, ne suffit pas à conclure que la première catégorie de personnes et la seconde catégorie de personnes ne seraient pas suffisamment comparables au regard de la législation relative aux données à caractère personnel.
Dès lors, d’une part, que la notion de « responsable de traitement » de données à caractère personnel, au sens de l’article 4, point 7, du RGPD, s’applique indistinctement au secteur privé et au secteur public et, d’autre part, que les données à caractère personnel qui sont traitées par les deux catégories de personnes peuvent être identiques quant à leur nature et qu’elles concernent des données relatives notamment à l’identité, à la santé et à la situation financière de personnes, les deux catégories visées sont suffisamment comparables.
2. L’imposition d’amendes administratives à des autorités publiques en charge d’une mission d’intérêt général est susceptible de mettre en péril l’exercice de cette mission et, par conséquent, de porter atteinte à la continuité du service public, en raison du poids financier qui y est attaché. Nonobstant l’obligation, découlant de l’article 83, paragraphe 2, du RGPD, pour l’Autorité de protection des données, de prendre en compte une série d’éléments concrets lors de son examen de l’opportunité d’infliger des amendes administratives, y compris la finalité d’intérêt général des missions exercées par le responsable de traitement, l’exonération de toute amende constitue une mesure pertinente par rapport aux objectifs poursuivis par le législateur.
Saisissant la faculté offerte par le droit européen d’exonérer certaines personnes publiques des amendes administratives, le législateur a pu raisonnablement estimer qu’il n’était pas nécessaire de soumettre au système des amendes administratives les autorités publiques et leurs préposés ou mandataires autres que les personnes morales de droit public qui offrent des biens ou des services sur un marché.
3. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.
4. L’examen de la compatibilité de la disposition attaquée avec les articles 7, 8, 20, 21, paragraphe 1, et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne, avec l’article 16, paragraphe 1, du Traité sur le fonctionnement de l’Union européenne, avec le principe général d’égalité et de non-discrimination en droit de l’Union européenne, avec l’article 8 de la Convention européenne des droits de l’homme et avec les articles 83 et 84 du RGPD ne mène pas à une autre conclusion.
5. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.
6. L’article 83, paragraphe 7, du RGPD, tel qu’il est appliqué par la disposition attaquée, n’a ni pour objet ni pour effet de faire obstacle au respect du droit primaire de l’Union européenne. La faculté offerte aux États membres d’exclure certaines autorités publiques du champ d’application des amendes administratives est fondée sur un critère objectif et n’est pas dénuée de justification raisonnable, étant donné qu’elle ne porte pas atteinte au pouvoir des autorités de contrôle de prendre des mesures correctrices conformément à l’article 58, paragraphe 2, du RGPD. Cette disposition ne peut dès lors être tenue pour invalide. Si elle limite le nombre de mesures coercitives permettant de garantir le respect du RGPD, elle ne porte pas atteinte, en soi, au droit à la protection de la vie privée et des données à caractère personnel.
Retour au sommaireLe GDPR
L’article 82 du Règlement confirme en le précisant le principe de la réparation du préjudice matériel ou immatériel subi par toute personne résultant d’une violation du Règlement (§ 1er). La réparation peut être obtenue « du responsable du traitement » ou du « sous-traitant ».
La disposition précise également en son § 2 les faits générateurs de responsabilité propres à chacun des deux acteurs : le responsable du traitement voit sa responsabilité engagée du fait de « sa participation au traitement » alors que le sous-traitant n’est tenu que de la violation des obligations qui lui incombent spécifiquement par le Règlement ou s’il agit en dehors des ou contrairement aux instructions licites du responsable du traitement.
Le principe d’exonération de la Directive est applicable au bénéfice des deux acteurs, chacun en ce qui les concerne (§ 3) : il faut, mais il suffit de prouver que le fait qui a provoqué le dommage ne lui soit pas imputable.
La vraie nouveauté de cette disposition consiste en la mise en place d’une responsabilité solidaire du (ou des) responsable(s) du traitement et/ou sous-traitant(s) intervenant dans le même traitement dans les conditions qu’elle détermine. Il faut pour ce faire soit que les responsables ou sous-traitants, soit que le responsable et le sous-traitant qui participent au même traitement puissent chacun être tenus responsables d’un dommage causé par le traitement en vertu du § 2 et 3. Dans ce cas, chacun d’eux -responsables du traitement ou sous-traitants- est alors tenu responsable du dommage dans sa totalité, afin d’assurer une compensation effective de la personne concernée (§ 4). Celui qui aurait réparé l’intégralité du dommage se voit ouvrir une action récursoire lui permettant de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part propre de responsabilité qui leur incombe dans ledit dommage conformément au §2 (§ 5).
Les juridictions compétentes de chaque État sont spécifiées dans chacune des législations nationales visées à l’article 79, §2 du Règlement (§ 6).
La Directive
La Directive prévoyait en son article 23 le principe du droit d’obtenir du responsable du traitement réparation du préjudice subi par toute personne du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de ladite Directive. Le responsable du traitement pouvait être exonéré de cette responsabilité en prouvant que le fait qui avait provoqué le dommage ne lui était pas imputable (faute de la personne concernée, force majeure, etc).
Cette disposition impliquait qu’un recours juridictionnel soit ouvert dans la législation nationale (considérant 55).
BelgiqueEn droit belge, l’article 15bis de la loi du 8 décembre 1992 prévoit que le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la loi, sauf à s’exonérer en prouvant que le fait qui a provoqué le dommage ne lui est pas imputable. La disposition est spécifique et peut seule fonder un recours en responsabilité, sans préjudice d’actions fondées sur d’autres dispositions légales, dont l’article 1382 du C. civ. qui constitue le droit commun de la responsabilité civile. Une interprétation stricte de ce texte permet d’y voir une objectivation de la responsabilité du droit commun si on admet qu’il y a une présomption automatique de la faute du fait d’un acte porté en violation de la loi, sans que les autres conditions du droit commun ne soient remplies (le caractère libre et conscient de la faute ainsi que l’exigence d’un comportement déterminé imposé ou interdit par la loi).
FranceEn droit français, aucune disposition spécifique n’a été insérée dans la loi informatique et liberté. Le droit commun était donc d’application.
Difficultés probables
La première difficulté consistera à déterminer la portée de la condition de « participation » au même traitement. La disposition déterminant la responsabilité du responsable au départ d’une telle participation, elle paraît donc considérer qu’il pourrait exister un responsable qui ne participe pas au traitement (§2) sans définir la portée de ces termes. S’il en est ainsi, il conviendrait d’admettre que la seule qualification de responsable du traitement d’un traitement spécifique ne suffit pas pour engager sa responsabilité en cas de non-conformité dudit traitement au Règlement. Mais que vise alors cette condition de « participation » ? Il nous semble que la notion est surtout malheureuse : soit la victime est confronté à des responsables conjoints et ceux-ci sont tenus par la règle de solidarité, soit ce n’est pas le cas et le responsable du traitement est potentiellement responsable de la violation des règles de protection dans la mise en œuvre du traitement.
La notion est également utilisée pour déterminer la responsabilité des éventuels sous-traitants tenus solidairement avec un ou plusieurs responsables (cfr § 4). Dans ce dernier cas cependant, la participation ne peut se concevoir que si le sous-traitant intervient sur instruction dans le traitement du responsable.
La seconde difficulté tient à la détermination des conditions exactes de la solidarité. Il semble qu’une double condition doive être remplie : les responsables et/ou sous-traitants participent au même traitement ET la violation des obligations spécifiques qui leur incombent le cas échéant est en lien causal avec un dommage dont est victime le demandeur. Par contre, il ne semble pas qu’il doive s’agir du même dommage, mais qu’une responsabilité pour une partie du dommage global suffise (par exemple un dommage matériel pour l’un et un dommage moral pour l’autre). En cela il s’agit d’une solidarité particulièrement large et, à la réflexion, très sévère à l’égard du sous-traitant qui n’est pas a priori responsable du respect des mêmes devoirs que le responsable et qui pourrait ainsi être tenu a priori de réparer une partie du dommage pour des fautes commises personnellement qui ne sont nullement en lien avec celui-ci. Notons à ce propos que ce faisant, le législateur européen déroge tant aux règles de causalité belge (équivalence des conditions portant sur un même dommage) que françaises (théorie de la causalité adéquate).
Remarquons enfin que le texte ne parle pas des éventuels sous-traitants du sous-traitant principal, qui paraissent dès lors exclus de la règle de solidarité. Plus étonnant encore, le texte ne vise que la solidarité d’un responsable avec un sous-traitant alors qu’en pratique, une pluralité de responsables et sous-traitants peuvent participer au même traitement.
|
Art. 82 1. Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. 2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. 3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. 4. Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d'un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. 5. Lorsqu'un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2. 6. Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l'État membre visé à l'article 79, paragraphe 2. |
Proposition 1
close
1. Toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. 2. Lorsque plusieurs responsables du traitement ou sous-traitants ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage. 3. Le responsable du traitement ou le sous-traitant peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. |
Proposition 2
close
1. Toute personne ayant subi un dommage matériel ou immatériel du fait d'un traitement qui n'est pas conforme avec le présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. 2. Tout responsable du traitement (...) ayant participé au traitement est responsable du dommage causé par le traitement qui n'est pas conforme au présent règlement. Un sous-traitant n'est tenu responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou s'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. 3. Un responsable du traitement ou le sous-traitant est exonéré (...) de responsabilité, conformément au paragraphe 2, s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable (…). 4. Si plusieurs responsables du traitement ou sous-traitants ou si un responsable du traitement et un sous-traitant participent au même traitement et, si, conformément aux paragraphes 2 et 3, ils sont responsables d'un dommage causé par le traitement, (…) chacun des responsables du traitement ou des sous-traitants est (...) responsable du dommage dans sa totalité. 5. Lorsqu'un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2. 6. Les actions judiciaires engagées pour exercer le droit à recevoir réparation sont intentées devant les juridictions compétentes en vertu de la législation nationale des États membres visées à l'article 75, paragraphe 2. |
Directive
close
Art. 23 1. Les États membres prévoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d'obtenir du responsable du traitement réparation du préjudice subi. 2. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. Cf. considérant 55 : « (55) considérant que, en cas de non-respect des droits des personnes concernées par le responsable du traitement de données, un recours juridictionnel doit être prévu par les législations nationales; que les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent être réparés par le responsable du traitement de données, lequel peut être exonéré de sa responsabilité s'il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu'il établit l'existence d'une faute de la personne concernée ou d'un cas de force majeure; que des sanctions doivent être appliquées à toute personne, tant de droit privé que de droit public, qui ne respecte pas les dispositions nationales prises en application de la présente directive;
|
France
Pas de disposition spécifique. |
Ancienne loi
en France close Le législateur français n'a pas transposé cette disposition dans la loi Informatique et Libertés. |
Belgique
Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel Art. 216 Á la suite de l’action visée à l’article 209, le demandeur peut réclamer la réparation de son dommage conformément à la responsabilité contractuelle ou extracontractuelle. |
Ancienne loi
en Belgique close Art. 15 bis Lorsque la personne concernée subit un dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi, les alinéas 2 et 3 ci-après s'appliquent, sans préjudice d'actions fondées sur d'autres dispositions légales. Le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi. Il est exonéré de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. |
Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.