Un employeur peut-il échapper à sa responsabilité si la violation du RGPD a été commise par un employé ? - La Cour de justice se prononce sur la responsabilité des employeurs en cas de violation du RGPD

Le Règlement général sur la protection des données (RGPD) prévoit qu’un responsable du traitement ou un sous-traitant est exonéré de responsabilité en cas de violation du RGPD, s’il prouve que le fait générateur du dommage ne lui est nullement imputable. L’arrêt de la Cour de justice du 11 avril 2024 fait la lumière sur la question de savoir si un responsable du traitement peut être exonéré de sa responsabilité au titre de cette disposition en cas de défaillance commise par une personne agissant sous son autorité. La réponse est non. La Cour précise que le responsable du traitement doit s’assurer que ses instructions sont correctement appliquées par ses employés.  

Les faits

Une personne physique exerçant la profession d’avocat à titre indépendant, était cliente d’une entreprise gérant une base de données juridiques. Après avoir découvert que ses données à caractère personnel étaient utilisées à des fins de prospection directe, l’avocat a révoqué tous ses consentements et s’est opposé à tout traitement ultérieur de ses données à caractère personnel, hormis pour l’envoi de newsletters. Nonobstant cette opposition, il a reçu, quelques mois plus tard, deux prospectus publicitaires à son adresse professionnelle. Il a donc réclamé des dommages-intérêts au gestionnaire de la base de données juridiques sur la base du RGPD.

La société, à savoir le responsable du traitement, a contesté cette demande au motif, entre autres, qu’elle ne pouvait être tenue responsable d’un préjudice causé par la défaillance d’une personne agissant sous son autorité (en l’espèce un employé).

Avant de statuer sur l’affaire, le Landgericht Saarbrücken – une juridiction allemande – a posé plusieurs questions préjudicielles à la Cour de justice, concernant la responsabilité et l’indemnisation au titre de l’article 82 du RGPD.

L’arrêt

Tout d’abord, la Cour confirme sa jurisprudence antérieure selon laquelle la violation d’une disposition du RGPD ne saurait être, à elle seule, susceptible de constituer un dommage moral au sens du RGPD. La personne qui demande réparation d’un dommage doit prouver que cette violation lui a causé un tel dommage. Une simple violation du RGPD sans dommage ne donne pas droit à une indemnisation. Compte tenu de ce qui précède, la Cour rappelle que le RGPD stipule expressément que la perte de contrôle sur ses données à caractère personnel peut constituer un dommage moral.

La Cour examine ensuite si une négligence ou un manquement commis par une personne placée sous l'autorité d'un responsable du traitement exonère ce dernier de sa responsabilité.

Selon le RGPD, une entreprise peut être exonérée de toute responsabilité si elle prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. En l’espèce, la question qui se posait était donc de savoir si un employeur pouvait être tenu responsable de la violation des dispositions du RGPD par un de ses employés.

La Cour rappelle que les personnes agissant sous l'autorité du responsable du traitement ne peuvent traiter des données à caractère personnel que sur instructions dudit responsable du traitement et conformément aux instructions de ce dernier. Le responsable du traitement doit donc prendre les mesures nécessaires afin de garantir que toute personne agissant sous son autorité, qui a accès à des données à caractère personnel, ne les traite que sur la base de ses instructions, à moins que le traitement ne découle d'une obligation légale. Lorsque des employés traitent des données à caractère personnel, l'employeur doit s'assurer que cela se fasse conformément au RGPD. Ainsi, le responsable du traitement a tout intérêt à mettre en place une politique en matière de protection des données et à organiser des formations à cet égard.

La Cour va encore plus loin en soulignant qu’il appartient au responsable du traitement de s’assurer que ses instructions soient correctement appliquées par ses employés. Il ne peut s'exonérer de sa responsabilité simplement en invoquant une négligence ou un manquement dans le chef d’une personne agissant sous son autorité, mais qui n'aurait pas tenu compte de ses instructions. Ainsi, l'employeur peut effectivement être tenu responsable des violations du RGPD commises par ses employés, même si les instructions nécessaires ont été données. Ce n'est que si le responsable du traitement prouve qu'il n'y a aucun lien de causalité entre le dommage et l’éventuelle violation de l'obligation de protection des données, qu'il est susceptible d’être exonéré de cette responsabilité.

Cette interprétation stricte est, selon la Cour, justifiée. En effet, elle soutient que toute autre approche porterait atteinte au niveau de protection que le RGPD vise à assurer aux personnes physiques à l’égard du traitement de leurs données à caractère personnel.

Enfin, la Cour a confirmé dans cet arrêt que les critères de détermination du montant des amendes administratives ne peuvent être utilisés pour l’évaluation du montant des dommages et intérêts. À cet égard, il convient d'appliquer les règles internes de chaque État membre.

Point d'action

La Cour de justice a confirmé que les employeurs peuvent être tenus responsables pour des fautes commises par leurs employés lors du traitement de données à caractère personnel, même lorsque l'employeur a donné des instructions et que l'employé ne les a pas respectées.

Cette décision souligne l'importance, pour les employeurs, de mettre en place une politique en matière de protection des données, de fournir une formation afin que les employés s’y conforment correctement et de vérifier le respect de cette politique. N'hésitez pas à nous contacter pour obtenir de plus amples informations et un support juridique concernant l'élaboration et la mise en place d'une politique efficace en matière de protection des données.