Les sanctions
Diversité des sanctions
Les sanctions sont de sources diverses. Certaines sont prévues par le règlement. Mais son article 84 laisse aux États membres la possibilité de prévoir d’autres sanctions (RGPD, art. 84 § 1). Il est possible d’en prendre connaissance auprès de la Commission dans la mesure où les États doivent les lui notifier (RGPD, art. 84 § 2) : https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu/eu-member-states-notifications-european-commission-under-gdpr_en. Pour la France : https://commission.europa.eu/system/files/2018-10/fr_notification_gdpr_articles_49_51_84_85_88_90_publish.pdf). Certaines enfin relèvent de mécanismes juridiques généraux.
Sur un autre plan, il apparaît que certaines sanctions peuvent être prononcées par l’autorité de contrôle tandis que d’autres peuvent l’être par une juridiction à la suite notamment d’une action en réparation du préjudice subi par la personne concernée contre le responsable du traitement ou encore d’une action découlant du caractère illicite du traitement de données.
L’article 77 du RGPD prévoit le droit d’introduire une réclamation auprès d’une autorité de contrôle tandis que l’article 79 est relatif au droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant. Ces textes permettent un exercice concurrent et indépendant des voies de recours. Selon la Cour de Justice, chacun des recours doit pouvoir être exercé sans préjudice des autres et il n’y a pas de compétence prioritaire ou exclusive ni aucune règle de primauté de l’appréciation effectuée par l’autorité ou par les juridictions qui y sont visées quant à l’existence d’une violation des droits conférés par ce règlement (CJUE, 12 janv. 2023, BE contre Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, points 34 et 35). Mais "il appartient aux États membres, en accord avec le principe de l’autonomie procédurale, de prévoir les modalités d’articulation...
Représentation de la personne concernée
L’article 80 du RGPD est relatif à la représentation de la personne concernée. Il dispose qu’elle peut « mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit » (art. 80 §1).
Conformément au IV de l’article 37 de la loi du 6 janvier 1978 relative à l’information, aux fichiers et aux libertés, les associations autorisées sont :
-
« les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel,
-
les associations...
Détermination des responsables
Responsable du traitement, sous-traitant, responsable au titre des amendes ou sur le plan de la responsabilité civile, les termes peuvent prêter à confusion dans le règlement.
Il faut bien différencier le responsable du traitement, notion spécifique au droit des données à caractère personnel, d’une part, du responsable, au sens du droit de la responsabilité civile, qui peut être défini comme la personne tenue à la réparation du préjudice, matériel ou moral, subi par une victime, et d’autre part, du responsable pénal qui encourt une peine à la suite de la commission d’une infraction.
Sur le plan de la responsabilité civile, la détermination de la personne responsable, entre le ou les responsables du traitement ou encore les éventuels sous-traitants n’est pas évidente. Il faut d’abord distinguer selon que le traitement est mis en œuvre par un seul ou par plusieurs responsables ou encore par l’intermédiaire d’un ou de plusieurs sous-traitants. La multiplicité d’intervenants fait naître une interrogation sur le partage éventuel de responsabilités et la possibilité d’actions récursoires.
1. Un responsable du traitement
Une personne concernée subit un préjudice moral lorsque des données à caractère personnel portant sur une maladie qu’elle voulait garder secrète ont été divulguées. Qui peut-elle mettre en cause pour obtenir réparation de ce préjudice ? Qui devra l’indemniser ?
En vertu de l’article 82 § 1 du RGPD, la personne concernée peut demander réparation du préjudice qu’elle a subi au responsable du traitement ou au sous-traitant.
Le responsable du traitement doit-il répondre en toute hypothèse de la violation du règlement, y compris lorsque celle-ci est le fait du sous-traitant ? En d’autres termes, le responsable du traitement pourrait-il chercher à échapper à sa responsabilité en s’abritant derrière un sous-traitant qui a mal exécuté ses obligations ?
A priori, l’article 82 § 2 du règlement milite...
Appréciation de la responsabilité
1. Limitation ou exclusion de responsabilité
Le responsable de traitement ou le sous-traitant peut être tenté d’échapper à sa responsabilité envers la personne concernée, en incluant dans un contrat des clauses limitatives ou exclusives de responsabilité, clauses qui ont pour objet de limiter ou d’exclure la responsabilité. Toutefois, la protection conférée à la personne concernée relevant de l’ordre public, les clauses visant à diminuer ou exclure la responsabilité civile du responsable ou du sous-traitant devraient être considérées comme non écrites, ce qui revient à dire qu’elles ne pourront être opposées à la personne concernée.
En revanche, de telles clauses pourraient être admises pour répartir les responsabilités entre plusieurs responsables et entre les responsables et les sous-traitants. Toutefois, celles-ci ne sauraient en toute hypothèse remettre en cause la qualité de responsable du traitement par rapport aux sous-traitants. En outre, leur validité devrait être appréciée à la lumière du droit commun des contrats.
2. Responsabilité, certifications et codes de conduites
L’application d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement ou au sous-traitant (RGPD, considérant n°81). De tels mécanismes ou encore des labels, des marques en matière de protection des données doivent permettre aux personnes concernées d’évaluer rapidement le niveau de protection des données offert par les produits et services proposés (RGPD, considérant n° 100).
Dans le même sens, l’article 24 § 3 du règlement dispose que « L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement. »...