Sommaire
Union Européenne
Union Européenne
Jurisprudence de la CJUE
C-40/17 (29 juillet 2019) - Fashion ID
1) Les articles 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel.
2) Le gestionnaire d’un site Internet, tel que Fashion ID GmbH & Co. KG, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.
3) Dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, afin que celles-ci soient justifiées dans son chef.
4) L’article 2, sous h), et l’article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, le consentement visé à ces dispositions doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens. En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire, l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.
Conclusions de l'avocat général
arrêt de la cour
C-300/21 (4 mai 2023) - Österreichische Post (Préjudice moral lié au traitement de données personnelles)
1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation.
2) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité.
3) L’article 82 du règlement 2016/679
doit être interprété en ce sens que :
aux fins de la fixation du montant des dommages-intérêts dus au titre du droit à réparation consacré à cet article, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés.
Arrêt rendu
Conclusions de l'avocat général
Retour au sommaire
Belgique
Jurisprudence belge
C. const. Be., n°3/2021 (14 janvier 2021)
1. La seule circonstance que le RGPD laisse une marge de manœuvre pour infliger ou non des amendes administratives aux autorités publiques, sans offrir cette même marge de manœuvre à l’égard des personnes privées, ne suffit pas à conclure que la première catégorie de personnes et la seconde catégorie de personnes ne seraient pas suffisamment comparables au regard de la législation relative aux données à caractère personnel.
Dès lors, d’une part, que la notion de « responsable de traitement » de données à caractère personnel, au sens de l’article 4, point 7, du RGPD, s’applique indistinctement au secteur privé et au secteur public et, d’autre part, que les données à caractère personnel qui sont traitées par les deux catégories de personnes peuvent être identiques quant à leur nature et qu’elles concernent des données relatives notamment à l’identité, à la santé et à la situation financière de personnes, les deux catégories visées sont suffisamment comparables.
2. L’imposition d’amendes administratives à des autorités publiques en charge d’une mission d’intérêt général est susceptible de mettre en péril l’exercice de cette mission et, par conséquent, de porter atteinte à la continuité du service public, en raison du poids financier qui y est attaché. Nonobstant l’obligation, découlant de l’article 83, paragraphe 2, du RGPD, pour l’Autorité de protection des données, de prendre en compte une série d’éléments concrets lors de son examen de l’opportunité d’infliger des amendes administratives, y compris la finalité d’intérêt général des missions exercées par le responsable de traitement, l’exonération de toute amende constitue une mesure pertinente par rapport aux objectifs poursuivis par le législateur.
Saisissant la faculté offerte par le droit européen d’exonérer certaines personnes publiques des amendes administratives, le législateur a pu raisonnablement estimer qu’il n’était pas nécessaire de soumettre au système des amendes administratives les autorités publiques et leurs préposés ou mandataires autres que les personnes morales de droit public qui offrent des biens ou des services sur un marché.
3. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.
4. L’examen de la compatibilité de la disposition attaquée avec les articles 7, 8, 20, 21, paragraphe 1, et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne, avec l’article 16, paragraphe 1, du Traité sur le fonctionnement de l’Union européenne, avec le principe général d’égalité et de non-discrimination en droit de l’Union européenne, avec l’article 8 de la Convention européenne des droits de l’homme et avec les articles 83 et 84 du RGPD ne mène pas à une autre conclusion.
5. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.
6. L’article 83, paragraphe 7, du RGPD, tel qu’il est appliqué par la disposition attaquée, n’a ni pour objet ni pour effet de faire obstacle au respect du droit primaire de l’Union européenne. La faculté offerte aux États membres d’exclure certaines autorités publiques du champ d’application des amendes administratives est fondée sur un critère objectif et n’est pas dénuée de justification raisonnable, étant donné qu’elle ne porte pas atteinte au pouvoir des autorités de contrôle de prendre des mesures correctrices conformément à l’article 58, paragraphe 2, du RGPD. Cette disposition ne peut dès lors être tenue pour invalide. Si elle limite le nombre de mesures coercitives permettant de garantir le respect du RGPD, elle ne porte pas atteinte, en soi, au droit à la protection de la vie privée et des données à caractère personnel.
Arrêt rendu
Retour au sommaire
Le GDPR
L’article 82 du Règlement confirme en le précisant le principe de la réparation du préjudice matériel ou immatériel subi par toute personne résultant d’une violation du Règlement (§ 1er). La réparation peut être obtenue « du responsable du traitement » ou du « sous-traitant ».
La disposition précise également en son § 2 les faits générateurs de responsabilité propres à chacun des deux acteurs : le responsable du traitement voit sa responsabilité engagée du fait de « sa participation au traitement » alors que le sous-traitant n’est tenu que de la violation des obligations qui lui incombent spécifiquement par le Règlement ou s’il agit en dehors des ou contrairement aux instructions licites du responsable du traitement.
Le principe d’exonération de la Directive est applicable au bénéfice des deux acteurs, chacun en ce qui les concerne (§ 3) : il faut, mais il suffit de prouver que le fait qui a provoqué le dommage ne lui soit pas imputable.
La vraie nouveauté de cette disposition consiste en la mise en place d’une responsabilité solidaire du (ou des) responsable(s) du traitement et/ou sous-traitant(s) intervenant dans le même traitement dans les conditions qu’elle détermine. Il faut pour ce faire soit que les responsables ou sous-traitants, soit que le responsable et le sous-traitant qui participent au même traitement puissent chacun être tenus responsables d’un dommage causé par le traitement en vertu du § 2 et 3. Dans ce cas, chacun d’eux -responsables du traitement ou sous-traitants- est alors tenu responsable du dommage dans sa totalité, afin d’assurer une compensation effective de la personne concernée (§ 4). Celui qui aurait réparé l’intégralité du dommage se voit ouvrir une action récursoire lui permettant de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part propre de responsabilité qui leur incombe dans ledit dommage conformément au §2 (§ 5).
Les juridictions compétentes de chaque État sont spécifiées dans chacune des législations nationales visées à l’article 79, §2 du Règlement (§ 6).
La Directive
La Directive prévoyait en son article 23 le principe du droit d’obtenir du responsable du traitement réparation du préjudice subi par toute personne du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de ladite Directive. Le responsable du traitement pouvait être exonéré de cette responsabilité en prouvant que le fait qui avait provoqué le dommage ne lui était pas imputable (faute de la personne concernée, force majeure, etc).
Cette disposition impliquait qu’un recours juridictionnel soit ouvert dans la législation nationale (considérant 55).
Belgique
En droit belge, l’article 15bis de la loi du 8 décembre 1992 prévoit que le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la loi, sauf à s’exonérer en prouvant que le fait qui a provoqué le dommage ne lui est pas imputable. La disposition est spécifique et peut seule fonder un recours en responsabilité, sans préjudice d’actions fondées sur d’autres dispositions légales, dont l’article 1382 du C. civ. qui constitue le droit commun de la responsabilité civile. Une interprétation stricte de ce texte permet d’y voir une objectivation de la responsabilité du droit commun si on admet qu’il y a une présomption automatique de la faute du fait d’un acte porté en violation de la loi, sans que les autres conditions du droit commun ne soient remplies (le caractère libre et conscient de la faute ainsi que l’exigence d’un comportement déterminé imposé ou interdit par la loi).
France
En droit français, aucune disposition spécifique n’a été insérée dans la loi informatique et liberté. Le droit commun était donc d’application.
Difficultés probables
La première difficulté consistera à déterminer la portée de la condition de « participation » au même traitement. La disposition déterminant la responsabilité du responsable au départ d’une telle participation, elle paraît donc considérer qu’il pourrait exister un responsable qui ne participe pas au traitement (§2) sans définir la portée de ces termes. S’il en est ainsi, il conviendrait d’admettre que la seule qualification de responsable du traitement d’un traitement spécifique ne suffit pas pour engager sa responsabilité en cas de non-conformité dudit traitement au Règlement. Mais que vise alors cette condition de « participation » ? Il nous semble que la notion est surtout malheureuse : soit la victime est confronté à des responsables conjoints et ceux-ci sont tenus par la règle de solidarité, soit ce n’est pas le cas et le responsable du traitement est potentiellement responsable de la violation des règles de protection dans la mise en œuvre du traitement.
La notion est également utilisée pour déterminer la responsabilité des éventuels sous-traitants tenus solidairement avec un ou plusieurs responsables (cfr § 4). Dans ce dernier cas cependant, la participation ne peut se concevoir que si le sous-traitant intervient sur instruction dans le traitement du responsable.
La seconde difficulté tient à la détermination des conditions exactes de la solidarité. Il semble qu’une double condition doive être remplie : les responsables et/ou sous-traitants participent au même traitement ET la violation des obligations spécifiques qui leur incombent le cas échéant est en lien causal avec un dommage dont est victime le demandeur. Par contre, il ne semble pas qu’il doive s’agir du même dommage, mais qu’une responsabilité pour une partie du dommage global suffise (par exemple un dommage matériel pour l’un et un dommage moral pour l’autre). En cela il s’agit d’une solidarité particulièrement large et, à la réflexion, très sévère à l’égard du sous-traitant qui n’est pas a priori responsable du respect des mêmes devoirs que le responsable et qui pourrait ainsi être tenu a priori de réparer une partie du dommage pour des fautes commises personnellement qui ne sont nullement en lien avec celui-ci. Notons à ce propos que ce faisant, le législateur européen déroge tant aux règles de causalité belge (équivalence des conditions portant sur un même dommage) que françaises (théorie de la causalité adéquate).
Remarquons enfin que le texte ne parle pas des éventuels sous-traitants du sous-traitant principal, qui paraissent dès lors exclus de la règle de solidarité. Plus étonnant encore, le texte ne vise que la solidarité d’un responsable avec un sous-traitant alors qu’en pratique, une pluralité de responsables et sous-traitants peuvent participer au même traitement.