Le GDPR

L’article 82 du Règlement confirme en le précisant le principe de la réparation du préjudice matériel ou immatériel subi par toute personne résultant d’une violation du Règlement (§ 1er). La réparation peut être obtenue « du responsable du traitement » ou du « sous-traitant ».

La disposition précise également en son § 2 les faits générateurs de responsabilité propres à chacun des deux acteurs : le responsable du traitement voit sa responsabilité engagée du fait de « sa participation au traitement » alors que le sous-traitant n’est tenu que de la violation des obligations qui lui incombent spécifiquement par le Règlement ou s’il agit en dehors des ou contrairement aux instructions licites du responsable du traitement.

Le principe d’exonération de la Directive est applicable au bénéfice des deux acteurs, chacun en ce qui les concerne (§ 3) : il faut, mais il suffit de prouver que le fait qui a provoqué le dommage ne lui soit pas imputable.

La vraie nouveauté de cette disposition consiste en la mise en place d’une responsabilité solidaire du (ou des) responsable(s) du traitement et/ou sous-traitant(s) intervenant dans le même traitement dans les conditions qu’elle détermine. Il faut pour ce faire soit que les responsables ou sous-traitants, soit que le responsable et le sous-traitant qui participent au même traitement puissent chacun être tenus responsables d’un dommage causé par le traitement en vertu du § 2 et 3. Dans ce cas, chacun d’eux -responsables du traitement ou sous-traitants- est alors tenu responsable du dommage dans sa totalité, afin d’assurer une compensation effective de la personne concernée (§ 4). Celui qui aurait réparé l’intégralité du dommage se voit ouvrir une action récursoire lui permettant de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part propre de responsabilité qui leur incombe dans ledit dommage conformément au §2 (§ 5).

Les juridictions compétentes de chaque État sont spécifiées dans chacune des législations nationales visées à l’article 79, §2 du Règlement (§ 6).

La Directive

La Directive prévoyait en son article 23 le principe du droit d’obtenir du responsable du traitement  réparation du préjudice subi par toute personne du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de ladite Directive. Le responsable du traitement pouvait être exonéré de cette responsabilité en prouvant que le fait qui avait provoqué le dommage ne lui était pas imputable (faute de la personne concernée, force majeure, etc).

Cette disposition impliquait qu’un recours juridictionnel soit ouvert dans la législation nationale (considérant 55).

Belgique

En droit belge, l’article 15bis de la loi du 8 décembre 1992 prévoit que le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la loi, sauf à s’exonérer en prouvant que le fait qui a provoqué le dommage ne lui est pas imputable. La disposition est spécifique et peut seule fonder un recours en responsabilité, sans préjudice d’actions fondées sur d’autres dispositions légales, dont l’article 1382 du C. civ. qui constitue le droit commun de la responsabilité civile. Une interprétation stricte de ce texte permet d’y voir une objectivation de la responsabilité du droit commun si on admet qu’il y a une présomption automatique de la faute du fait d’un acte porté en violation de la loi, sans que les autres conditions du droit commun ne soient remplies (le caractère libre et conscient de la faute ainsi que l’exigence d’un comportement déterminé imposé ou interdit par la loi).

Difficultés probables ?

La première difficulté consistera à déterminer la portée de la condition de « participation » au même traitement. La disposition déterminant la responsabilité du responsable au départ d’une telle participation, elle paraît donc considérer qu’il pourrait exister un responsable qui ne participe pas au traitement (§2) sans définir la portée de ces termes. S’il en est ainsi, il conviendrait d’admettre que la seule qualification de responsable du traitement d’un traitement spécifique ne suffit pas pour engager sa responsabilité en cas de non-conformité dudit traitement au Règlement. Mais que vise alors cette condition de « participation » ? Il nous semble que la notion est surtout malheureuse : soit la victime est confronté à des responsables conjoints et ceux-ci sont tenus par la règle de solidarité, soit ce n’est pas le cas et le responsable du traitement est potentiellement responsable de la violation des règles de protection dans la mise en œuvre du traitement.

La notion est également utilisée pour déterminer la responsabilité des éventuels sous-traitants tenus solidairement avec un ou plusieurs responsables (cfr § 4). Dans ce dernier cas cependant, la participation ne peut se concevoir que si le sous-traitant intervient sur instruction dans le traitement du responsable.

La seconde difficulté tient à la détermination des conditions exactes de la solidarité. Il semble qu’une double condition doive être remplie : les responsables et/ou sous-traitants participent au même traitement ET la violation des obligations spécifiques qui leur incombent le cas échéant est en lien causal avec un dommage dont est victime le demandeur. Par contre, il ne semble pas qu’il doive s’agir du même dommage, mais qu’une responsabilité pour une partie du dommage global suffise (par exemple un dommage matériel pour l’un et un dommage moral pour l’autre). En cela il s’agit d’une solidarité particulièrement large et, à la réflexion, très sévère à l’égard du sous-traitant qui n’est pas a priori responsable du respect des mêmes devoirs que le responsable et qui pourrait ainsi être tenu a priori de réparer une partie du dommage pour des fautes commises personnellement qui ne sont nullement en lien avec celui-ci. Notons à ce propos que ce faisant, le législateur européen déroge tant aux règles de causalité belge (équivalence des conditions portant sur un même dommage) que françaises (théorie de la causalité adéquate).

Remarquons enfin que le texte ne parle pas des éventuels sous-traitants du sous-traitant principal, qui paraissent dès lors exclus de la règle de solidarité. Plus étonnant encore, le texte ne vise que la solidarité d’un responsable avec un sous-traitant alors qu’en pratique, une pluralité de responsables et sous-traitants peuvent participer au même traitement.

Jurisprudence de la CJUE

C-40/17 (29 July 2019)

1.  Articles 22 to 24 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as not precluding national legislation which allows consumer-protection associations to bring or defend legal proceedings against a person allegedly responsible for an infringement of the protection of personal data.

2.      The operator of a website, such as Fashion ID GmbH & Co. KG, that embeds on that website a social plugin causing the browser of a visitor to that website to request content from the provider of that plugin and, to that end, to transmit to that provider personal data of the visitor can be considered to be a controller, within the meaning of Article 2(d) of Directive 95/46. That liability is, however, limited to the operation or set of operations involving the processing of personal data in respect of which it actually determines the purposes and means, that is to say, the collection and disclosure by transmission of the data at issue.

3.      In a situation such as that at issue in the main proceedings, in which the operator of a website embeds on that website a social plugin causing the browser of a visitor to that website to request content from the provider of that plugin and, to that end, to transmit to that provider personal data of the visitor, it is necessary that that operator and that provider each pursue a legitimate interest, within the meaning of Article 7(f) of Directive 95/46, through those processing operations in order for those operations to be justified in respect of each of them.

4.      Article 2(h) and Article 7(a) of Directive 95/46 must be interpreted as meaning that, in a situation such as that at issue in the main proceedings, in which the operator of a website embeds on that website a social plugin causing the browser of a visitor to that website to request content from the provider of that plugin and, to that end, to transmit to that provider personal data of the visitor, the consent referred to in those provisions must be obtained by that operator only with regard to the operation or set of operations involving the processing of personal data in respect of which that operator determines the purposes and means. In addition, Article 10 of that directive must be interpreted as meaning that, in such a situation, the duty to inform laid down in that provision is incumbent also on that operator, but the information that the latter must provide to the data subject need relate only to the operation or set of operations involving the processing of personal data in respect of which that operator actually determines the purposes and means.

Opinion of Advocate general

Judgement of the court