arrow_back Retour à tous les articles

Article 82
Droit à réparation et responsabilité

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen

Il n'y a pas de considérant du Règlement lié à l'article 82.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 82.

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Belgique

Union Européenne

Jurisprudence de la CJUE

C-40/17 (29 juillet 2019) - Fashion ID

1)      Les articles 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel.

2)      Le gestionnaire d’un site Internet, tel que Fashion ID GmbH & Co. KG, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.

3)      Dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, afin que celles-ci soient justifiées dans son chef.

4)      L’article 2, sous h), et l’article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, le consentement visé à ces dispositions doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens. En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire, l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.

Conclusions de l'avocat général

arrêt de la cour 

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°3/2021 (14 janvier 2021)

1. La seule circonstance que le RGPD laisse une marge de manœuvre pour infliger ou non des amendes administratives aux autorités publiques, sans offrir cette même marge de manœuvre à l’égard des personnes privées, ne suffit pas à conclure que la première catégorie de personnes et la seconde catégorie de personnes ne seraient pas suffisamment comparables au regard de la législation relative aux données à caractère personnel.

Dès lors, d’une part, que la notion de « responsable de traitement » de données à caractère personnel, au sens de l’article 4, point 7, du RGPD, s’applique indistinctement au secteur privé et au secteur public et, d’autre part, que les données à caractère personnel qui sont traitées par les deux catégories de personnes peuvent être identiques quant à leur nature et qu’elles concernent des données relatives notamment à l’identité, à la santé et à la situation financière de personnes, les deux catégories visées sont suffisamment comparables.

2. L’imposition d’amendes administratives à des autorités publiques en charge d’une mission d’intérêt général est susceptible de mettre en péril l’exercice de cette mission et, par conséquent, de porter atteinte à la continuité du service public, en raison du poids financier qui y est attaché. Nonobstant l’obligation, découlant de l’article 83, paragraphe 2, du RGPD, pour l’Autorité de protection des données, de prendre en compte une série d’éléments concrets lors de son examen de l’opportunité d’infliger des amendes administratives, y compris la finalité d’intérêt général des missions exercées par le responsable de traitement, l’exonération de toute amende constitue une mesure pertinente par rapport aux objectifs poursuivis par le législateur.

Saisissant la faculté offerte par le droit européen d’exonérer certaines personnes publiques des amendes administratives, le législateur a pu raisonnablement estimer qu’il n’était pas nécessaire de soumettre au système des amendes administratives les autorités publiques et leurs préposés ou mandataires autres que les personnes morales de droit public qui offrent des biens ou des services sur un marché.

3. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

4. L’examen de la compatibilité de la disposition attaquée avec les articles 7, 8, 20, 21, paragraphe 1, et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne, avec l’article 16, paragraphe 1, du Traité sur le fonctionnement de l’Union européenne, avec le principe général d’égalité et de non-discrimination en droit de l’Union européenne, avec l’article 8 de la Convention européenne des droits de l’homme et avec les articles 83 et 84 du RGPD ne mène pas à une autre conclusion.

5. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

6. L’article 83, paragraphe 7, du RGPD, tel qu’il est appliqué par la disposition attaquée, n’a ni pour objet ni pour effet de faire obstacle au respect du droit primaire de l’Union européenne. La faculté offerte aux États membres d’exclure certaines autorités publiques du champ d’application des amendes administratives est fondée sur un critère objectif et n’est pas dénuée de justification raisonnable, étant donné qu’elle ne porte pas atteinte au pouvoir des autorités de contrôle de prendre des mesures correctrices conformément à l’article 58, paragraphe 2, du RGPD. Cette disposition ne peut dès lors être tenue pour invalide. Si elle limite le nombre de mesures coercitives permettant de garantir le respect du RGPD, elle ne porte pas atteinte, en soi, au droit à la protection de la vie privée et des données à caractère personnel.

Arrêt rendu

Retour au sommaire

Le GDPR

L’article 82 du Règlement confirme en le précisant le principe de la réparation du préjudice matériel ou immatériel subi par toute personne résultant d’une violation du Règlement (§ 1er). La réparation peut être obtenue « du responsable du traitement » ou du « sous-traitant ».

La disposition précise également en son § 2 les faits générateurs de responsabilité propres à chacun des deux acteurs : le responsable du traitement voit sa responsabilité engagée du fait de « sa participation au traitement » alors que le sous-traitant n’est tenu que de la violation des obligations qui lui incombent spécifiquement par le Règlement ou s’il agit en dehors des ou contrairement aux instructions licites du responsable du traitement.

Le principe d’exonération de la Directive est applicable au bénéfice des deux acteurs, chacun en ce qui les concerne (§ 3) : il faut, mais il suffit de prouver que le fait qui a provoqué le dommage ne lui soit pas imputable.

La vraie nouveauté de cette disposition consiste en la mise en place d’une responsabilité solidaire du (ou des) responsable(s) du traitement et/ou sous-traitant(s) intervenant dans le même traitement dans les conditions qu’elle détermine. Il faut pour ce faire soit que les responsables ou sous-traitants, soit que le responsable et le sous-traitant qui participent au même traitement puissent chacun être tenus responsables d’un dommage causé par le traitement en vertu du § 2 et 3. Dans ce cas, chacun d’eux -responsables du traitement ou sous-traitants- est alors tenu responsable du dommage dans sa totalité, afin d’assurer une compensation effective de la personne concernée (§ 4). Celui qui aurait réparé l’intégralité du dommage se voit ouvrir une action récursoire lui permettant de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part propre de responsabilité qui leur incombe dans ledit dommage conformément au §2 (§ 5).

Les juridictions compétentes de chaque État sont spécifiées dans chacune des législations nationales visées à l’article 79, §2 du Règlement (§ 6).

La Directive

La Directive prévoyait en son article 23 le principe du droit d’obtenir du responsable du traitement  réparation du préjudice subi par toute personne du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de ladite Directive. Le responsable du traitement pouvait être exonéré de cette responsabilité en prouvant que le fait qui avait provoqué le dommage ne lui était pas imputable (faute de la personne concernée, force majeure, etc).

Cette disposition impliquait qu’un recours juridictionnel soit ouvert dans la législation nationale (considérant 55).

Belgique

En droit belge, l’article 15bis de la loi du 8 décembre 1992 prévoit que le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la loi, sauf à s’exonérer en prouvant que le fait qui a provoqué le dommage ne lui est pas imputable. La disposition est spécifique et peut seule fonder un recours en responsabilité, sans préjudice d’actions fondées sur d’autres dispositions légales, dont l’article 1382 du C. civ. qui constitue le droit commun de la responsabilité civile. Une interprétation stricte de ce texte permet d’y voir une objectivation de la responsabilité du droit commun si on admet qu’il y a une présomption automatique de la faute du fait d’un acte porté en violation de la loi, sans que les autres conditions du droit commun ne soient remplies (le caractère libre et conscient de la faute ainsi que l’exigence d’un comportement déterminé imposé ou interdit par la loi).

France

En droit français, aucune disposition spécifique n’a été insérée dans la loi informatique et liberté. Le droit commun était donc d’application.

Difficultés probables

La première difficulté consistera à déterminer la portée de la condition de « participation » au même traitement. La disposition déterminant la responsabilité du responsable au départ d’une telle participation, elle paraît donc considérer qu’il pourrait exister un responsable qui ne participe pas au traitement (§2) sans définir la portée de ces termes. S’il en est ainsi, il conviendrait d’admettre que la seule qualification de responsable du traitement d’un traitement spécifique ne suffit pas pour engager sa responsabilité en cas de non-conformité dudit traitement au Règlement. Mais que vise alors cette condition de « participation » ? Il nous semble que la notion est surtout malheureuse : soit la victime est confronté à des responsables conjoints et ceux-ci sont tenus par la règle de solidarité, soit ce n’est pas le cas et le responsable du traitement est potentiellement responsable de la violation des règles de protection dans la mise en œuvre du traitement.

La notion est également utilisée pour déterminer la responsabilité des éventuels sous-traitants tenus solidairement avec un ou plusieurs responsables (cfr § 4). Dans ce dernier cas cependant, la participation ne peut se concevoir que si le sous-traitant intervient sur instruction dans le traitement du responsable.

La seconde difficulté tient à la détermination des conditions exactes de la solidarité. Il semble qu’une double condition doive être remplie : les responsables et/ou sous-traitants participent au même traitement ET la violation des obligations spécifiques qui leur incombent le cas échéant est en lien causal avec un dommage dont est victime le demandeur. Par contre, il ne semble pas qu’il doive s’agir du même dommage, mais qu’une responsabilité pour une partie du dommage global suffise (par exemple un dommage matériel pour l’un et un dommage moral pour l’autre). En cela il s’agit d’une solidarité particulièrement large et, à la réflexion, très sévère à l’égard du sous-traitant qui n’est pas a priori responsable du respect des mêmes devoirs que le responsable et qui pourrait ainsi être tenu a priori de réparer une partie du dommage pour des fautes commises personnellement qui ne sont nullement en lien avec celui-ci. Notons à ce propos que ce faisant, le législateur européen déroge tant aux règles de causalité belge (équivalence des conditions portant sur un même dommage) que françaises (théorie de la causalité adéquate).

Remarquons enfin que le texte ne parle pas des éventuels sous-traitants du sous-traitant principal, qui paraissent dès lors exclus de la règle de solidarité. Plus étonnant encore, le texte ne vise que la solidarité d’un responsable avec un sous-traitant alors qu’en pratique, une pluralité de responsables et sous-traitants peuvent participer au même traitement.

Règlement
1e 2e

Art. 82

1. Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

4. Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d'un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

5. Lorsqu'un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.

6. Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l'État membre visé à l'article 79, paragraphe 2.

Proposition 1 close

1. Toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Lorsque plusieurs responsables du traitement ou sous-traitants ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage.

 3. Le responsable du traitement ou le sous-traitant peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Proposition 2 close

1. Toute personne ayant subi un dommage matériel ou immatériel du fait d'un traitement qui n'est pas conforme avec le présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement (...) ayant participé au traitement est responsable du dommage causé par le traitement qui n'est pas conforme au présent règlement. Un sous-traitant n'est tenu responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou s'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3. Un responsable du traitement ou le sous-traitant est exonéré (...) de responsabilité, conformément au paragraphe 2, s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable (…).

4. Si plusieurs responsables du traitement ou sous-traitants ou si un responsable du traitement et un sous-traitant participent au même traitement et, si, conformément aux paragraphes 2 et 3, ils sont responsables d'un dommage causé par le traitement, (…) chacun des responsables du traitement ou des sous-traitants est (...) responsable du dommage dans sa totalité.

5. Lorsqu'un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.

6.  Les actions judiciaires engagées pour exercer le droit à recevoir réparation sont intentées devant les juridictions compétentes en vertu de la législation nationale des États membres visées à l'article 75, paragraphe 2.

Directive close

Art. 23

1. Les États membres prévoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d'obtenir du responsable du traitement réparation du préjudice subi.

2. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Cf. considérant 55 :

« (55) considérant que, en cas de non-respect des droits des personnes concernées par le responsable du traitement de données, un recours juridictionnel doit être prévu par les législations nationales; que les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent être réparés par le responsable du traitement de données, lequel peut être exonéré de sa responsabilité s'il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu'il établit l'existence d'une faute de la personne concernée ou d'un cas de force majeure; que des sanctions doivent être appliquées à toute personne, tant de droit privé que de droit public, qui ne respecte pas les dispositions nationales prises en application de la présente directive;

 

France

Pas de disposition spécifique. 

Ancienne loi
en France
close

Le législateur français n'a pas transposé cette disposition dans la loi Informatique et Libertés. 

Belgique

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art. 216

Á la suite de l’action visée à l’article 209, le demandeur peut réclamer la réparation de son dommage conformément à la responsabilité contractuelle ou extracontractuelle.

Ancienne loi
en Belgique
close

Art. 15 bis

Lorsque la personne concernée subit un dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi, les alinéas 2 et 3 ci-après s'appliquent, sans préjudice d'actions fondées sur d'autres dispositions légales.

Le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi.

Il est exonéré de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK