Une violation du RGPD peut être le résultat d’une faute d’un salarié du responsable de traitement. Dans ce cas, l’employeur, responsable de traitement, peut-il échapper à sa responsabilité au titre du RGPD ? Non, a récemment rappelé la Cour de Justice de l’Union européenne.
1. L’affaire : une violation du RGPD par faute d’un salarié.
L’affaire concernait un avocat, client d’une société exploitant une base de données juridique. L’avocat avait formé opposition au traitement de ses données personnelles à des fins de prospection directe. Pour autant, il a continué à recevoir des documents publicitaires. L’avocat a alors poursuivi en justice la société concernée afin d’obtenir réparation du préjudice lié à la perte de contrôle sur ses données personnelles, en raison des traitements réalisés en dépit de ses oppositions.
En défense, la société a fait valoir la mise en place d’un système de gestion des oppositions et la prise en compte tardive de celles de l’avocat du fait de l’un de ses salariés qui n’a pas respecté ses instructions.
2. La solution de la CJUE : une violation de données par faute d’un salarié n’exonère pas nécessairement le responsable de traitement de sa responsabilité
Pour rappel, selon l’article 82 du RGPD, (i) tout responsable de traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du RGPD ; (ii) le responsable de traitement est exonéré de sa responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
La question posée à la CJUE était la suivante : est-ce que le responsable de traitement, pour être exonéré de sa responsabilité, peut soutenir que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité ?
Pour la CJUE, « il revient [au responsable de traitement] de s’assurer que ses instructions sont correctement appliquées par ces salariés ». Ainsi, « le responsable de traitement ne saurait se dégager de sa responsabilité au titre de l’article 82 du [RGPD], simplement en invoquant une négligence ou un manquement d’une personne agissant sous son autorité ». La CJUE a ajouté que, pour échapper à sa responsabilité, le responsable de traitement doit prouver « qu’il n’y a aucun lien de causalité entre l’éventuelle violation de l’obligation de protection des données, pesant sur lui (…) et le dommage subi par la personne concernée ».
Une telle solution vise à ne pas nuire « à l’effet utile du droit à réparation » et à « assurer un niveau de protection élevé des personnes physiques à l’égard du traitement de leurs données [personnelles] », a indiqué la CJUE.
Cette décision rappelle aux responsables de traitement la nécessité de faire preuve d’une particulière vigilance, dans la mesure où, en cas de violation du RGPD, l’erreur de leur salarié ne les exonère pas nécessairement de leur responsabilité.
Source : ici