Partage de responsabilité entre acteurs d’un traitement de données personnelles : l’article 82 du RGPD

Photo de profil - SIMON François-Luc | Avocat Associé-Gérant - Docteur en droit | Lettre des réseaux

SIMON François-Luc

Avocat Associé-Gérant - Docteur en droit

Article 82 du Règlement Général sur la Protection des Données

L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en droit français) et le précise en 6 paragraphes, fixant ainsi les principes directeurs gouvernant désormais la réparation du préjudice subi par toute personne résultant d’une violation du Règlement.

Ce qu’il faut retenir : L’article 23 de la Directive 95/46/CE sur la protection des données personnelles (abrogé par le RGPD) prévoyait le droit d’obtenir du responsable du traitement – et de lui seul – la réparation du préjudice subi par toute personne du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de cette Directive. En droit français, aucune disposition spécifique n’avait été insérée dans la LIL, de sorte que le droit commun était seul applicable. L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en droit français) et le précise en 6 paragraphes, fixant ainsi les principes directeurs gouvernant désormais la réparation du préjudice subi par toute personne résultant d’une violation du Règlement.

Pour approfondir :

Article 82, §.1 du RGPD :

Texte : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».

Commentaire : Pour ce qui concerne la nature du dommage subi, le texte « ratisse large » en visant tout « dommage matériel ou moral ». La Directive 95/46/CE visait le seul dommage. Le fait que le « dommage matériel ou moral » ouvre droit à réparation va sans dire, mais va sans doute mieux en le disant. Pour ce qui concerne l’auteur du dommage, il est précisé que la réparation peut être obtenue du « responsable du traitement » ou – et c’est là une nouveauté – du « sous-traitant ». Le §.1 vise la conjonction de coordination « ou », mais il faut lire « et/ou » ainsi que cela ressort de la lecture des paragraphes suivants.

Article 82, §.2 du RGPD :

Texte : « Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».

Commentaire : Le critère de mise en œuvre de la responsabilité propre au responsable du traitement est sa « participation » au « traitement »Le terme de « traitement », lui, est défini (très largement) à l’article 4 du Règlement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ». Il semble difficile de faire plus large. Le terme de « participation » n’est en revanche pas défini, pas plus qu’est définie la nature même de cette participation. L’action de « participer » revient à « prendre part », ce qui incite à retenir une acception large de la notion. Il paraît d’ailleurs raisonnable de considérer que cette « participation » se traduise par la réalisation d’un acte matériel accompli soit par le responsable du traitement lui-même (participation directe), soit par le sous-traitant, sur instruction du responsable du traitement (participation indirecte). C’est dire que le critère de mise en œuvre de la responsabilité propre au responsable du traitement présente un caractère « quasi-automatique ».

Le critère de mise en œuvre de la responsabilité propre au sous-traitant est tout autreTout d’abord, dans l’esprit du texte, et au contraire de ce qui vient d’être indiqué à propos du responsable du traitement, cette responsabilité ne présente aucun caractère d’automaticité, ainsi que le souligne la formulation du texte : « Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que (…) ». Ensuite, le texte énonce deux cas, présentés comme ayant un caractère « limitatif », dont le point commun est l’existence d’une violation par le sous-traitant, la première au Règlement (« s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants »), la seconde au regard des instructions du responsable du traitement (« s’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci »). On entrevoit ici l’importance que revêt le contrat conclu entre le responsable du traitement et le sous-traitant au regard des conditions de mise en œuvre de la responsabilité propre au sous-traitant.

Article 82, §.3 du RGPD :

Texte : « Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ».

Commentaire : Ce texte énonce un principe d’exonération applicable au bénéfice des deux acteurs (responsable du traitement et sous-traitant), chacun en ce qui les concerne ; ce faisant, ce texte rappelle une évidence : la responsabilité du responsable du traitement ou du sous-traitant nécessite l’imputabilité personnelle d’un fait ayant provoqué le dommage. Il suffit donc que le fait qui a provoqué le dommage ne leur soit pas imputable. Toutefois, le texte fait peser sur chacun d’eux l’obligation de prouver l’absence d’imputabilité personnelle du fait ayant provoqué le dommage. On entrevoit encore ici l’importance que le contrat conclu entre le responsable du traitement et le sous-traitant aura pour permettre à ces acteurs de rapporter la preuve qui leur incombe au titre du §.3.

Article 82, §.4 du RGPD :

Texte : « Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective ».

Commentaire : Ce texte institue un principe de responsabilité solidaire du (ou des) responsable(s) du traitement et/ou du (ou des) sous-traitant(s) intervenant dans le même traitement. Toutefois, cette solidarité n’a rien d’automatique ; elle implique que le(s) responsable(s) du traitement et/ou sous-traitant(s) qui participent au même traitement puissent chacun être tenus responsables d’un dommage causé par le traitement en vertu des § 2 et 3. Dans ce cas, chacun d’eux – le(s) responsable(s) du traitement et/ou le(s) sous-traitant(s) – est alors tenu responsable du dommage dans sa totalité, afin de mieux garantir une compensation effective à la victime.

Article 82, §.5 du RGPD :

Texte : « Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2 ».

Commentaire : A la différence des quatre premiers paragraphes, ce texte concerne les rapports entre le responsable du traitement et le sous-traitant, en envisageant la possibilité d’une action récursoire, corolaire du principe de solidarité institué au paragraphe 4. Ici encore, le contrat conclu entre le responsable du traitement et le sous-traitant pourra aménager les conditions de cette action récursoire.

Article 82, §.6 du RGPD :

Texte : « Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2 ».

Commentaire : Toute personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le Règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du Règlement. Le choix de la juridiction compétente est large car les critères de sa détermination sont alternatifs. En effet, l’article 79, §. 2 retient tout d’abord que « Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ». Puis, l’article 79, §. 2 retient ensuite qu’ « une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique ».

Toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement (Règlement, article 77), ce qui conduit à envisager l’article 83 du Règlement, relatif aux conditions de mise en œuvre des amendes administratives.

A rapprocher : Article 23 de la Directive 95/46/CE sur la protection des données personnelles

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…