Dans un jugement du 4 octobre 2024, le tribunal de grande instance de Lübeck s'est penché de manière approfondie sur la responsabilité au titre de l'article 82 du règlement général sur la protection des données (RGPD) en cas d'infraction à la protection des données. La décision contient des principes essentiels sur l'imputabilité des traitements de données illégaux, sur l'interprétation de la notion de dommage et sur les possibilités d'exonération des responsables. La question centrale était de savoir dans quelles conditions un responsable est responsable des violations imputables aux actes d'un sous-traitant ou d'un sous-traitant ultérieur.
Fuite de données chez un sous-traitant
La défenderesse, qui exploite une plateforme de streaming musical en Europe, avait transmis des données clients à un sous-traitant qui, à son tour, travaillait avec un sous-traitant ultérieur. Or, il n'existait pas d'accord entre le sous-traitant et le sous-traitant ultérieur, comme l'exige l'article 28 du RGPD.
Après que la partie défenderesse a mis fin à sa collaboration avec son sous-traitant, ce dernier a été victime d'une fuite de données au cours de laquelle des données à caractère personnel ont été dérobées puis publiées sur le Darknet. Les données concernées étaient notamment le prénom et le nom, le nom d'utilisateur, la date de naissance, l'adresse électronique, les données relatives à l'utilisation du service D., le sexe, la langue et le pays. L'ID utilisateur, c'est-à-dire une série de chiffres attribués par la partie défenderesse et attribués individuellement à chaque utilisateur, était également concerné.
La partie requérante, un utilisateur de la plateforme de streaming de la partie défenderesse, a demandé des dommages-intérêts moraux et a fait valoir qu'en raison de la fuite de données, elle craignait une utilisation abusive de ses données. En outre, la publication des données sur le Darknet doit être considérée comme une violation distincte de son droit à l'autodétermination en matière d'information.
Conseil de lecture : Le BSI met à jour les normes minimales pour la journalisation des cyberattaques
Tribunal : Traitement illégal des données selon l'article 82 du RGPD à interpréter largement
- Imputation de la violation au responsable
Le tribunal a constaté que la notion de participation à un traitement illicite de données au sens de l'article 82 du RGPD devait être interprétée au sens large. Il suffit que le responsable ait participé, au sens d'une condition sine qua non, à la série d'opérations qui ont conduit à l'acte causant le dommage. "La notion de participation à un traitement illicite des données selon le RGPD ne suppose pas nécessairement que le responsable ait lui-même participé directement à l'opération qui a finalement causé le dommage", a déclaré le tribunal régional.Dans le cas présent, le tribunal a considéré que la partie défenderesse était déjà impliquée par le transfert illégal de données à un sous-traitant qui n'était pas suffisamment engagé. L'absence de contrat au sens de l'article 28, paragraphe 4, du RGPD a justifié l'illégalité de la transmission des données.
- Possibilité d'exonération du responsable
Selon l'article 82, paragraphe 3, du RGPD, un responsable peut s'exonérer en prouvant qu'il n'a pas commis de faute. Le tribunal a toutefois souligné que cela s'appliquait également à sa propre contribution à la faute. La partie défenderesse n'a pas été en mesure de prouver que le transfert des données au sous-traitant avait eu lieu sans faute de sa part. Il a notamment estimé qu'il était négligent de transmettre des données à caractère personnel sans vérifier suffisamment les obligations du destinataire en matière de protection des données."Si la remise a été effectuée par négligence, le responsable est donc responsable même s'il n'a pas lui-même participé au processus qui a directement provoqué le dommage", concluent les juges.
- Notion de dommage et réparabilité des dommages immatériels
Le tribunal a suivi la jurisprudence de la Cour de justice des Communautés européennes (CJCE), selon laquelle un préjudice moral au sens de l'article 82 du RGPD peut également consister en une crainte justifiée d'une éventuelle utilisation abusive des données. Il n'existe pas de limite de minimis. Les craintes et les préoccupations du plaignant - par exemple concernant les attaques de phishing - ont été reconnues comme un préjudice moral indemnisable.
En outre, le tribunal a constaté que la publication de données à caractère personnel sur le Darknet constituait un préjudice à part entière. Cette violation du droit à l'autodétermination en matière d'information a été considérée comme une perte de contrôle sur ses propres données, justifiant une indemnisation.
- Évaluation des dommages et intérêts
Le tribunal a accordé au plaignant un dédommagement de 350 euros. Il a pris en compte d'une part la publication de données personnelles sensibles et l'inquiétude qui en a résulté. D'autre part, il n'y a pas eu de préjudice financier notable et les données n'ont permis de tirer que des conclusions limitées sur la personne du plaignant.
Les responsables courent un risque accru de responsabilité
Le jugement du tribunal de grande instance de Lübeck met en évidence les exigences strictes du RGPD en matière de responsabilité des entreprises lors du traitement de données à caractère personnel. L'extension de la notion de participation et l'imputation étendue d'actes de tiers, même non conformes aux instructions, augmentent considérablement les risques de responsabilité pour les responsables.
La reconnaissance des dommages immatériels sous forme de craintes et d'inquiétudes ainsi que la classification de la perte de contrôle sur les données à caractère personnel comme un dommage à part entière marquent une nouvelle étape dans l'évolution de la responsabilité selon l'article 82 du RGPD. Il en résulte pour les entreprises la nécessité de mettre en œuvre des mesures techniques, organisationnelles et contractuelles complètes afin de respecter les obligations légales en matière de protection des données et de minimiser les risques de responsabilité.
Source : Jugement du tribunal de grande instance de Lübeck (15 O 216/23) du 04.10.2024