Le GDPR

L’article 82 du Règlement confirme en le précisant le principe de la réparation du préjudice matériel ou immatériel subi par toute personne résultant d’une violation du Règlement (§ 1er). La réparation peut être obtenue « du responsable du traitement » ou du « sous-traitant ».

La disposition précise également en son § 2 les faits générateurs de responsabilité propres à chacun des deux acteurs : le responsable du traitement voit sa responsabilité engagée du fait de « sa participation au traitement » alors que le sous-traitant n’est tenu que de la violation des obligations qui lui incombent spécifiquement par le Règlement ou s’il agit en dehors des ou contrairement aux instructions licites du responsable du traitement.

Le principe d’exonération de la Directive est applicable au bénéfice des deux acteurs, chacun en ce qui les concerne (§ 3) : il faut, mais il suffit de prouver que le fait qui a provoqué le dommage ne lui soit pas imputable.

La vraie nouveauté de cette disposition consiste en la mise en place d’une responsabilité solidaire du (ou des) responsable(s) du traitement et/ou sous-traitant(s) intervenant dans le même traitement dans les conditions qu’elle détermine. Il faut pour ce faire soit que les responsables ou sous-traitants, soit que le responsable et le sous-traitant qui participent au même traitement puissent chacun être tenus responsables d’un dommage causé par le traitement en vertu du § 2 et 3. Dans ce cas, chacun d’eux -responsables du traitement ou sous-traitants- est alors tenu responsable du dommage dans sa totalité, afin d’assurer une compensation effective de la personne concernée (§ 4). Celui qui aurait réparé l’intégralité du dommage se voit ouvrir une action récursoire lui permettant de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part propre de responsabilité qui leur incombe dans ledit dommage conformément au §2 (§ 5).

Les juridictions compétentes de chaque État sont spécifiées dans chacune des législations nationales visées à l’article 79, §2 du Règlement (§ 6).

La Directive

La Directive prévoyait en son article 23 le principe du droit d’obtenir du responsable du traitement  réparation du préjudice subi par toute personne du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de ladite Directive. Le responsable du traitement pouvait être exonéré de cette responsabilité en prouvant que le fait qui avait provoqué le dommage ne lui était pas imputable (faute de la personne concernée, force majeure, etc).

Cette disposition impliquait qu’un recours juridictionnel soit ouvert dans la législation nationale (considérant 55).

Belgique

En droit belge, l’article 15bis de la loi du 8 décembre 1992 prévoit que le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la loi, sauf à s’exonérer en prouvant que le fait qui a provoqué le dommage ne lui est pas imputable. La disposition est spécifique et peut seule fonder un recours en responsabilité, sans préjudice d’actions fondées sur d’autres dispositions légales, dont l’article 1382 du C. civ. qui constitue le droit commun de la responsabilité civile. Une interprétation stricte de ce texte permet d’y voir une objectivation de la responsabilité du droit commun si on admet qu’il y a une présomption automatique de la faute du fait d’un acte porté en violation de la loi, sans que les autres conditions du droit commun ne soient remplies (le caractère libre et conscient de la faute ainsi que l’exigence d’un comportement déterminé imposé ou interdit par la loi).

Difficultés probables ?

La première difficulté consistera à déterminer la portée de la condition de « participation » au même traitement. La disposition déterminant la responsabilité du responsable au départ d’une telle participation, elle paraît donc considérer qu’il pourrait exister un responsable qui ne participe pas au traitement (§2) sans définir la portée de ces termes. S’il en est ainsi, il conviendrait d’admettre que la seule qualification de responsable du traitement d’un traitement spécifique ne suffit pas pour engager sa responsabilité en cas de non-conformité dudit traitement au Règlement. Mais que vise alors cette condition de « participation » ? Il nous semble que la notion est surtout malheureuse : soit la victime est confronté à des responsables conjoints et ceux-ci sont tenus par la règle de solidarité, soit ce n’est pas le cas et le responsable du traitement est potentiellement responsable de la violation des règles de protection dans la mise en œuvre du traitement.

La notion est également utilisée pour déterminer la responsabilité des éventuels sous-traitants tenus solidairement avec un ou plusieurs responsables (cfr § 4). Dans ce dernier cas cependant, la participation ne peut se concevoir que si le sous-traitant intervient sur instruction dans le traitement du responsable.

La seconde difficulté tient à la détermination des conditions exactes de la solidarité. Il semble qu’une double condition doive être remplie : les responsables et/ou sous-traitants participent au même traitement ET la violation des obligations spécifiques qui leur incombent le cas échéant est en lien causal avec un dommage dont est victime le demandeur. Par contre, il ne semble pas qu’il doive s’agir du même dommage, mais qu’une responsabilité pour une partie du dommage global suffise (par exemple un dommage matériel pour l’un et un dommage moral pour l’autre). En cela il s’agit d’une solidarité particulièrement large et, à la réflexion, très sévère à l’égard du sous-traitant qui n’est pas a priori responsable du respect des mêmes devoirs que le responsable et qui pourrait ainsi être tenu a priori de réparer une partie du dommage pour des fautes commises personnellement qui ne sont nullement en lien avec celui-ci. Notons à ce propos que ce faisant, le législateur européen déroge tant aux règles de causalité belge (équivalence des conditions portant sur un même dommage) que françaises (théorie de la causalité adéquate).

Remarquons enfin que le texte ne parle pas des éventuels sous-traitants du sous-traitant principal, qui paraissent dès lors exclus de la règle de solidarité. Plus étonnant encore, le texte ne vise que la solidarité d’un responsable avec un sous-traitant alors qu’en pratique, une pluralité de responsables et sous-traitants peuvent participer au même traitement.

Jurisprudence de la CJUE

C-40/17 (29 juillet 2019)

1)      Les articles 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel.

2)      Le gestionnaire d’un site Internet, tel que Fashion ID GmbH & Co. KG, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.

3)      Dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, afin que celles-ci soient justifiées dans son chef.

4)      L’article 2, sous h), et l’article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, le consentement visé à ces dispositions doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens. En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire, l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.

Conclusions de l'avocat général

arrêt de la cour