L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en droit français) et le précise en 6 paragraphes, fixant ainsi les principes directeurs gouvernant désormais la réparation du préjudice subi par toute personne résultant d’une violation du Règlement.
Ce qu’il faut retenir : L’article 23 de la Directive 95/46/CE sur la protection des données personnelles (abrogé par le RGPD) prévoyait le droit d’obtenir du responsable du traitement – et de lui seul – la réparation du préjudice subi par toute personne du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de cette Directive. En droit français, aucune disposition spécifique n’avait été insérée dans la LIL, de sorte que le droit commun était seul applicable. L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en droit français) et le précise en 6 paragraphes, fixant ainsi les principes directeurs gouvernant désormais la réparation du préjudice subi par toute personne résultant d’une violation du Règlement.
Pour approfondir :
Article 82, §.1 du RGPD :
Texte : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
Commentaire : Pour ce qui concerne la nature du dommage subi, le texte « ratisse large » en visant tout « dommage matériel ou moral ». La Directive 95/46/CE visait le seul dommage. Le fait que le « dommage matériel ou moral » ouvre droit à réparation va sans dire, mais va sans doute mieux en le disant. Pour ce qui concerne l’auteur du dommage, il est précisé que la réparation peut être obtenue du « responsable du traitement » ou – et c’est là une nouveauté – du « sous-traitant ». Le §.1 vise la conjonction de coordination « ou », mais il faut lire « et/ou » ainsi que cela ressort de la lecture des paragraphes suivants.
Article 82, §.2 du RGPD :
Texte : « Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».
Commentaire : Le critère de mise en œuvre de la responsabilité propre au responsable du traitement est sa « participation » au « traitement ». Le terme de « traitement », lui, est défini (très largement) à l’article 4 du Règlement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ». Il semble difficile de faire plus large. Le terme de « participation » n’est en revanche pas défini, pas plus qu’est définie la nature même de cette participation. L’action de « participer » revient à « prendre part », ce qui incite à retenir une acception large de la notion. Il paraît d’ailleurs raisonnable de considérer que cette « participation » se traduise par la réalisation d’un acte matériel accompli soit par le responsable du traitement lui-même (participation directe), soit par le sous-traitant, sur instruction du responsable du traitement (participation indirecte). C’est dire que le critère de mise en œuvre de la responsabilité propre au responsable du traitement présente un caractère « quasi-automatique ».
Le critère de mise en œuvre de la responsabilité propre au sous-traitant est tout autre. Tout d’abord, dans l’esprit du texte, et au contraire de ce qui vient d’être indiqué à propos du responsable du traitement, cette responsabilité ne présente aucun caractère d’automaticité, ainsi que le souligne la formulation du texte : « Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que (…) ». Ensuite, le texte énonce deux cas, présentés comme ayant un caractère « limitatif », dont le point commun est l’existence d’une violation par le sous-traitant, la première au Règlement (« s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants »), la seconde au regard des instructions du responsable du traitement (« s’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci »). On entrevoit ici l’importance que revêt le contrat conclu entre le responsable du traitement et le sous-traitant au regard des conditions de mise en œuvre de la responsabilité propre au sous-traitant.
Article 82, §.3 du RGPD :
Texte : « Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ».
Commentaire : Ce texte énonce un principe d’exonération applicable au bénéfice des deux acteurs (responsable du traitement et sous-traitant), chacun en ce qui les concerne ; ce faisant, ce texte rappelle une évidence : la responsabilité du responsable du traitement ou du sous-traitant nécessite l’imputabilité personnelle d’un fait ayant provoqué le dommage. Il suffit donc que le fait qui a provoqué le dommage ne leur soit pas imputable. Toutefois, le texte fait peser sur chacun d’eux l’obligation de prouver l’absence d’imputabilité personnelle du fait ayant provoqué le dommage. On entrevoit encore ici l’importance que le contrat conclu entre le responsable du traitement et le sous-traitant aura pour permettre à ces acteurs de rapporter la preuve qui leur incombe au titre du §.3.
Article 82, §.4 du RGPD :
Texte : « Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective ».
Commentaire : Ce texte institue un principe de responsabilité solidaire du (ou des) responsable(s) du traitement et/ou du (ou des) sous-traitant(s) intervenant dans le même traitement. Toutefois, cette solidarité n’a rien d’automatique ; elle implique que le(s) responsable(s) du traitement et/ou sous-traitant(s) qui participent au même traitement puissent chacun être tenus responsables d’un dommage causé par le traitement en vertu des § 2 et 3. Dans ce cas, chacun d’eux – le(s) responsable(s) du traitement et/ou le(s) sous-traitant(s) – est alors tenu responsable du dommage dans sa totalité, afin de mieux garantir une compensation effective à la victime.
Article 82, §.5 du RGPD :
Texte : « Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2 ».
Commentaire : A la différence des quatre premiers paragraphes, ce texte concerne les rapports entre le responsable du traitement et le sous-traitant, en envisageant la possibilité d’une action récursoire, corolaire du principe de solidarité institué au paragraphe 4. Ici encore, le contrat conclu entre le responsable du traitement et le sous-traitant pourra aménager les conditions de cette action récursoire.
Article 82, §.6 du RGPD :
Texte : « Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2 ».
Commentaire : Toute personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le Règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du Règlement. Le choix de la juridiction compétente est large car les critères de sa détermination sont alternatifs. En effet, l’article 79, §. 2 retient tout d’abord que « Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ». Puis, l’article 79, §. 2 retient ensuite qu’ « une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique ».
Toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement (Règlement, article 77), ce qui conduit à envisager l’article 83 du Règlement, relatif aux conditions de mise en œuvre des amendes administratives.
A rapprocher : Article 23 de la Directive 95/46/CE sur la protection des données personnelles