Article 82 du RGPD : Droit à réparation et responsabilité
Sommaire
Introduction
Cet article consacre le droit de toute personne ayant subi un dommage (matériel ou moral) du fait d’une violation du RGPD d’obtenir réparation auprès du responsable de traitement ou du sous-traitant impliqué.
Explication de l’article
Toute personne ayant subi un dommage matériel ou moral résultant d’une violation du RGPD a le droit d’obtenir réparation auprès du responsable de traitement ou du sous-traitant impliqué. Le responsable de traitement est tenu responsable du préjudice causé par un traitement non conforme. Un sous-traitant peut également être tenu responsable s’il n’a pas respecté les obligations prévues par le RGPD ou les instructions reçues du responsable de traitement. Les responsables ou sous-traitants peuvent toutefois s’exonérer de leur responsabilité s’ils prouvent que le fait à l’origine du dommage ne leur est aucunement imputable. Lorsqu’ils sont plusieurs à être responsables du dommage, chacun peut être tenu à réparation intégrale afin de garantir une indemnisation effective à la personne concernée. Le responsable ayant indemnisé l’intégralité du préjudice peut ensuite se retourner contre les autres pour récupérer la part correspondant à leur responsabilité.
sans contrainte pour vous.
Texte original du RGPD
1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
4. Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.
5. Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.
6. Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2.
Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Article 23
1. Les États membres prévoient que toute personne ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d’obtenir du responsable du traitement réparation du préjudice subi.
2. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.
Cf. considérant 55 :
« (55) considérant que, en cas de non-respect des droits des personnes concernées par le responsable du traitement de données, un recours juridictionnel doit être prévu par les législations nationales; que les dommages que peuvent subir les personnes du fait d’un traitement illicite doivent être réparés par le responsable du traitement de données, lequel peut être exonéré de sa responsabilité s’il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu’il établit l’existence d’une faute de la personne concernée ou d’un cas de force majeure; que des sanctions doivent être appliquées à toute personne, tant de droit privé que de droit public, qui ne respecte pas les dispositions nationales prises en application de la présente directive;
Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté).
Pas de disposition spécifique.
Analyse des 3 textes qui précèdent
L’article 82 du RGPD instaure explicitement le droit de toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD d’obtenir réparation auprès du responsable du traitement ou du sous-traitant, ce qui élargit la responsabilité aux sous-traitants (nouveauté).
La responsabilité du responsable du traitement est quasi-automatique en cas de violation, tandis que celle du sous-traitant est conditionnée à une faute spécifique, comme le non-respect des obligations qui lui incombent ou une action en dehors des instructions licites.
L’article prévoit aussi une exonération possible si le responsable ou le sous-traitant prouve que le dommage n’est pas de son fait.
En cas de pluralité de responsables ou sous-traitants, tous peuvent être responsables solidairement pour garantir une réparation effective à la personne concernée, avec possibilité de recours interne entre eux pour la part de responsabilité.
Les actions en justice sont portées devant les juridictions compétentes selon l’article 79 du RGPD.
La Directive 95/46/CE donnait un droit à réparation au responsable du traitement uniquement, sans mention du sous-traitant. Introduisait une exonération possible si le responsable prouve que le dommage ne lui est pas imputable, notion similaire à l’article 82 §3 du RGPD.
Moins détaillée, l’article visait un principe général de réparation pour traitement illicite.
Le considérant 55 précise le droit à recours juridictionnel et la possibilité d’exonération pour cas de force majeure ou faute de la personne concernée.
La Loi Informatique et Libertés (1978)ne contient pas de disposition spécifique sur le droit à réparation en cas de violation des données.
Le droit commun français s’appliquait donc pour la réparation du dommage.
Jurisprudences
Européennes
Cette affaire clarifie que la simple violation du RGPD ne suffit pas automatiquement pour ouvrir un droit à réparation.
L’article 82 ne permet pas de subordonner la réparation à un seuil de gravité relatif au préjudice.
Elle souligne aussi que les règles internes des États membres doivent respecter les principes d’équivalence et d’effectivité du droit de l’Union pour la fixation des dommages-intérêts.
C-340/21 – VB contre Natsionalna agentsia za prihodite (14 décembre 2023)
Elle précise que la divulgation non autorisée ou l’accès non autorisé aux données à caractère personnel ne signifie pas forcément que les mesures de sécurité étaient inapproriées.
Le responsable doit prouver qu’il a mis en place des mesures techniques et organisationnelles appropriées.
Le responsable ne sera exonéré que s’il démontre que le dommage n’est pas de son fait.
C-687/21 (25 janvier 2024) – MediaMarktSaturn
Cette décision confirme que la violation seule ne suffit pas pour un droit à réparation.
Le droit à réparation a une fonction compensatoire, non punitive.
Le degré de gravité de la violation n’est pas à prendre en compte pour la réparation.
C-741/21 (11 avril 2024) – juris
Rappel que la violation d’un droit conféré par le RGPD ne suffit pas à présumer un dommage moral.
Le responsable ne peut s’exonérer simplement en invoquant la faute d’une autre personne sous son autorité.
Les critères de fixation des dommages-intérêts ne doivent pas suivre ceux des amendes administratives.
C-590/22 (20 juin 2024) – PS (Adresse erronée)
La crainte de la divulgation de données suffit, si elle est prouvée, à justifier un droit à réparation.
Les dommages doivent être réparés intégralement mais de manière non punitive.
Les violations simultanées relevant de règles nationales différentes ne doivent pas influencer la réparation au titre du RGPD.
C-182/22 (20 juin 2024) – Scalable Capital
La réparation doit être intégrale et compenser le préjudice subi.
Le degré de gravité et intention ne sont pas requis pour qu’une réparation soit due.
Un dommage moral causé par violation des données n’est pas moins important qu’un dommage corporel.
Une indemnité minimale peut suffire si elle compense intégralement le préjudice.
C-40/17 (29 juillet 2019) – Fashion ID
Elle concerne la responsabilité conjointe entre le gestionnaire d’un site et un fournisseur tiers dans le cadre du RGPD.
Clarifie la portée de la responsabilité pour les violations des données personnelles.
Précise que le consentement doit être recueilli uniquement pour les opérations de traitement dont chaque responsable détermine les finalités et moyens.
Recommandations
À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).