Tribunal de grande instance de Lübeck : responsabilité du responsable en vertu de l'article 82 du RGPD en cas de fuite de données

Responsabilité du responsable en cas de fuite de données par un sous-traitant.
Catégories :

Dans un jugement du 4 octobre 2024, le tribunal de grande instance de Lübeck s'est penché de manière exhaustive sur la Responsabilité civile conformément à l'article 82 du règlement général sur la protection des données (RGPD) en cas de violation de la protection des données. La décision contient des principes essentiels sur l'imputabilité des traitements de données illégaux, sur l'interprétation de la notion de dommage et sur les possibilités d'exonération des responsables. La question centrale était de savoir dans quelles conditions un responsable est responsable des violations imputables aux actes d'un sous-traitant ou d'un sous-traitant ultérieur.

Fuite de données chez un sous-traitant

La défenderesse, qui exploite une plateforme de musique en streaming en Europe, avait transmis des données de clients à un sous-traitant qui, à son tour, travaillait avec un sous-traitant ultérieur. Or, il n'existait pas de contrat de sous-traitance entre le sous-traitant et le sous-traitant ultérieur, conformément à l'article 28 de la directive. RGPD accord nécessaire.

Après que la défenderesse eut mis fin à sa collaboration avec son sous-traitant, une fuite de données s'est produite chez le sous-traitant secondaire, au cours de laquelle données à caractère personnel ont été dérobées et publiées ensuite sur le Darknet. Les données concernées étaient, entre autres, le prénom et le nom de famille, le nom d'utilisateur, la date de naissance, l'adresse électronique, les données relatives à l'utilisation du service D., le sexe, la langue et le pays. L'ID utilisateur, c'est-à-dire une série de chiffres attribués par la partie défenderesse et attribués individuellement à chaque utilisateur, était également concerné.

La partie requérante, un utilisateur de la plateforme de streaming de la partie défenderesse, a demandé des dommages-intérêts moraux et a fait valoir qu'en raison de la fuite de données, elle craignait une utilisation abusive de ses données. En outre, la publication des données sur le Darknet a été considérée comme une violation distincte de son droit à la vie privée. l'autodétermination en matière d'information de l'entreprise.

Conseil de lecture : Le BSI met à jour les normes minimales pour la journalisation des cyberattaques

Tribunal : Traitement illégal des données selon l'article 82 du RGPD à interpréter largement

  1. Imputation de la violation au responsable
    La Cour a estimé que la notion de participation à un traitement illicite de données au sens de l'article 82 RGPD doit être interprété de manière large. Il suffit que le Responsable a participé, au sens d'une condition sine qua non, à la série d'opérations qui ont conduit à l'acte ayant causé le dommage. "La notion de participation à un traitement illicite de données au sens de la RGPD ne suppose pas nécessairement que le Responsable a lui-même participé directement au processus qui a finalement provoqué le dommage", a déclaré le tribunal de grande instance.

    En l'espèce, le tribunal a considéré que la partie défenderesse était déjà impliquée par le transfert illégal de données à un sous-traitant qui n'était pas suffisamment engagé. L'absence de contrat au sens de l'article 28, paragraphe 4 RGPD a justifié l'illégalité du transfert de données.

  1. Possibilité d'exonération du responsable
    Selon l'article 82, paragraphe 3 RGPD un responsable peut s'exonérer en prouvant qu'il n'a pas commis de faute. Le tribunal a toutefois souligné que cela valait également pour sa propre contribution à la faute. La partie défenderesse n'a pas été en mesure de prouver que le transfert des données au sous-traitant avait eu lieu sans faute de sa part. Elle a notamment fait preuve de négligence, données à caractère personnel sans vérification suffisante des obligations du destinataire en matière de protection des données.

    "Si la remise a été effectuée par négligence, la responsabilité de l'auteur est engagée. Responsable même s'il n'a pas participé lui-même au processus qui a directement provoqué le dommage", telle est la conclusion des juges.

  1. Notion de dommage et réparabilité des dommages immatériels
    Le tribunal a suivi la jurisprudence de la Cour de justice des Communautés européennes (CJCE), selon laquelle un préjudice moral au sens de l'article 82 de la Convention européenne des droits de l'homme (CEDH) peut être considéré comme une atteinte à la vie privée et familiale. RGPD peut également résider dans la crainte justifiée d'une éventuelle utilisation abusive des données. Il n'y a pas de limite de minimis. Les craintes et les inquiétudes du plaignant - par exemple concernant les attaques de phishing - ont été reconnues comme un préjudice moral indemnisable.


    En outre, le tribunal a estimé que la publication de données à caractère personnel sur le darknet constituait un préjudice distinct. Cette violation du droit à l'autodétermination en matière d'information a été considéré comme une perte de contrôle sur ses propres données justifiant une indemnisation.

  1. Évaluation des dommages et intérêts
    Le tribunal a accordé au plaignant un dédommagement de 350 euros. Il a pris en compte d'une part la publication de données personnelles sensibles et l'inquiétude qui en a résulté. D'autre part, il n'y a pas eu de préjudice financier notable et les données n'ont permis de tirer que des conclusions limitées sur la personne du plaignant.

Les responsables courent un risque accru de responsabilité

Le jugement du tribunal de grande instance de Lübeck illustre les exigences strictes du RGPD à la responsabilité des entreprises en matière de Traitement des données à caractère personnel. L'élargissement de la notion de participation et l'imputation étendue d'actes de tiers, même non conformes aux instructions, augmentent les risques de responsabilité pour Responsable considérablement.

La reconnaissance des dommages immatériels sous forme de peurs et d'inquiétudes, ainsi que la classification de la perte de contrôle sur données à caractère personnel en tant que dommage autonome marquent une nouvelle étape dans le développement de la Responsabilité civile selon l'art. 82 RGPD. Il en résulte pour les entreprises la nécessité de mettre en œuvre des mesures techniques, organisationnelles et contractuelles complètes afin de satisfaire aux obligations légales en matière de protection des données et de minimiser les risques de responsabilité.

Source : Jugement du tribunal de grande instance de Lübeck (15 O 216/23) du 04.10.2024

Vous avez besoin d'aide pour optimiser vos processus de protection des données ? Nous sommes à votre disposition. N'hésitez pas à nous contacter, nous élaborons pour vous des solutions sur mesure dans les domaines suivants Protection des données et Conformité.

N'hésitez pas à nous contacter :
Tél: +33 1 856 59880
Courrier électronique :paris@2b-advice.com

Nouveau : le chatbot intelligent Ailance™
Réponses à vos questions sur la protection des données & Conformité ainsi que sur les solutions Ailance™ en un seul clic. C'est désormais possible grâce au nouveau chatbot Ailance™.
Vers la version d'essai gratuite
Prendre contact
Les tags :
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages