Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Un arrêt récent de la Cour fédérale de justice (BGH) clarifie la situation en ce qui concerne les dommages et intérêts immatériels conformément à l'article 82 de la loi sur la protection des données. RGPD en cas de fuite de données chez un ancien sous-traitant. L'article suivant analyse les principaux points de l'arrêt.
Fuite de données chez le sous-traitant après la fin du contrat
Dans ce que l'on appelle la fuite de données Deezer, des données d'utilisateurs du service de streaming musical du même nom ont été dérobées après la fin du contrat avec un prestataire de services externe et mises en vente sur le Darknet.
Les faits concrets : la défenderesse, dont le siège est en France, exploite un service de streaming de musique en ligne. Jusqu'à la fin de la mission, le 1er décembre 2019, le sous-traitant externe de la défenderesse était la société O. Le 30 novembre 2019, celle-ci a informé la défenderesse par courriel que son site web et les données qui s'y trouvaient (“your site and all the data on the site”) seraient supprimés le lendemain. L'entreprise O. a expliqué pour la première fois dans un courriel du 22 février 2023 que cela avait effectivement été fait. Auparavant, on avait appris que des pirates informatiques inconnus proposaient depuis novembre 2022 à la vente sur le darknet des données d'utilisateurs du service de la défenderesse. Les jeux de données dataient de 2019. Ils n'avaient pas été supprimés par l'entreprise O. immédiatement après la fin de la commande, comme convenu avec la défenderesse, mais avaient été transférés par des collaborateurs de l'entreprise O. de l'environnement de production à un environnement de test, puis soit récupérés par des pirates, soit transmis sans autorisation par des collaborateurs de l'entreprise O. La défenderesse a informé les personnes concernées par l'incident dès qu'elle en a eu connaissance.
Le demandeur est un utilisateur du service de la défenderesse. Ses données sont enregistrées dans le profil client de la défenderesse. L'ensemble de données récupéré lors de l'incident litigieux contenait le prénom, le nom, le sexe, l'adresse électronique et la langue du demandeur ainsi que la date d'enregistrement.
Alors que le tribunal régional et la cour d'appel avaient dans un premier temps rejeté la plainte, la Cour fédérale de justice a partiellement annulé le jugement et l'a renvoyé à la cour d'appel de Dresde pour une nouvelle décision.
Le responsable doit pouvoir présenter une confirmation de suppression documentée
La BGH précise que le Responsable reste „maître du traitement des données“ même après avoir fait appel à des sous-traitants externes et ne peut pas simplement se décharger de ses obligations en matière de protection des données sur le prestataire de services. En particulier, à la fin de la Traitement des commandes il doit veiller activement à ce qu'aucune donnée à caractère personnel ne subsiste chez l'ancien sous-traitant. Il ne suffit donc pas de conclure un contrat conformément à l'article 28 de la directive sur la protection des données. RGPD et de s'en remettre à la promesse de suppression du prestataire de services. Au contraire, des mesures concrètes de gestion de la sortie sont nécessaires. Ainsi, il convient de régler par contrat et de vérifier dans la pratique que toutes les données confiées sont restituées ou effacées et que les éventuelles copies sont également effacées.
Selon la Cour fédérale de justice, un contrôle actif de l'effacement est décisif : le Responsable ne doit pas se contenter de simples assurances contractuelles, mais doit faire le nécessaire pour que les données soient effectivement effacées.
Dans la pratique, cela signifie obtenir une confirmation de suppression explicite et documentée de la part du prestataire de services, plutôt que d'accepter uniquement une annonce par e-mail non contraignante. Il peut s'agir par exemple d'un protocole de suppression, d'une déclaration écrite ou d'une preuve d'audit.
L'absence de contrôle du sous-traitant entraîne une responsabilité
Dans le cas présent, le contrat prévoyait une confirmation de suppression dans un délai de 21 jours. Le sous-traitant avait simplement annoncé la suppression du „site web et de toutes les données”. L'exécution n'a été confirmée à aucun moment.
Au plus tard après l'expiration du délai, le Responsable de se renseigner. Ce n'est que des années plus tard et après la découverte de la fuite qu'il s'est exécuté, bien trop tard. Ce faisant, il a enfreint les principes de limitation de la conservation et de sécurité visés à l'article 5, paragraphe 1, point e), et à l'article 32 de la loi sur la protection des données. RGPD, qui a été créée par l'article 28, paragraphe 3, point g). RGPD La Commission a donc décidé de concrétiser la décision de l'OLAF, étant donné qu'il y avait eu un stockage continu non autorisé chez le sous-traitant.
La Cour fédérale de justice considère cette omission comme une infraction au RGPD commise par le responsable du traitement. En effet, conformément à l'article 82, paragraphe 3 RGPD porte le Responsable la charge de la preuve de l'absence de faute de sa part. L'entreprise défenderesse ne pouvait pas s'exonérer en l'occurrence, car on pouvait lui reprocher au moins une légère négligence dans le contrôle de la suppression. Il n'était notamment pas utile d'invoquer une faute du seul prestataire de services ou un piratage. C'est précisément parce que le Responsable n'a pas demandé à temps une confirmation de suppression, les données sont restées disponibles et ont pu tomber dans de mauvaises mains. Selon les constatations du tribunal, l'incident aurait très probablement pu être évité si les données avaient été correctement contrôlées. Le site Responsable est donc coresponsable de la fuite de données, même si l'attaque directe a été menée par une personne extérieure.
Pas de limite de minimis pour les dommages et intérêts moraux (article 82 du RGPD)
Pour évaluer les dommages et intérêts, le BGH s'appuie sur la jurisprudence de la CJCE relative à l'interprétation de l'article 82 de la Convention européenne des droits de l'homme. RGPD à.
Tout d'abord, le tribunal confirme qu'un Violation contre les RGPD ne donne pas lieu à lui seul à une demande d'indemnisation. Un dommage doit être effectivement survenu. Toutefois, la Cour fédérale de justice souligne en même temps qu'il n'existe pas de „seuil de minimisation“. En d'autres termes, il n'y a pas de limite : Ni le droit national ni les tribunaux ne peuvent exiger un seuil de matérialité supplémentaire pour les dommages immatériels si le droit européen de la protection des données ne prévoit pas un tel seuil. Par conséquent, tout préjudice démontrable, tel que la colère, le mécontentement, l'inquiétude ou la peur, qui résulte d'une violation de la protection des données peut faire l'objet d'une indemnisation, dans la mesure où il ne repose pas simplement sur l'imagination ou sur un risque purement hypothétique.
Dans son arrêt du 4 mai 2023 (affaire C-300/21), la CJCE a expressément précisé que les sentiments négatifs tels que la colère, le malaise ou la peur ne peuvent être pris en compte au titre de l'article 82, paragraphe 1, du traité CE. RGPD peuvent être reconnus comme un préjudice moral. Il n'existe pas de seuil de gravité spécifique. Par conséquent, les tribunaux ne peuvent pas rejeter une plainte au motif qu'il ne s'agit que de „désagréments quotidiens sur Internet“.
Dans le cas présent, la cour d'appel (OLG Dresden) avait raisonné exactement de la même manière et avait rejeté les inquiétudes du plaignant comme des risques généraux de la vie. La Cour fédérale de justice a corrigé cela et a clairement indiqué qu'une perte de contrôle réelle et des craintes fondées d'abus devaient être prises au sérieux. Et ce, indépendamment du fait que les mêmes données du plaignant aient déjà été compromises lors d'incidents antérieurs.
Conseil de lecture : Facebook-Scraping - La Cour fédérale de justice accorde des dommages et intérêts aux utilisateurs
Fuite de données sur le darknet comme critère objectif de survenance d'un dommage
Une caractéristique centrale de l'affaire était la publication des données sur le Darknet. La Cour fédérale de justice explique à ce sujet qu'un indicateur objectif de la survenance d'un dommage est donné au plus tard par la mise en ligne de données à caractère personnel volées sur le Darknet. Concrètement, cela signifie que : Si des données restent chez le prestataire de services après la fin de la mission sans autorisation, y sont dérobées et sont ensuite proposées à la vente sur le Darknet, il s'agit d'un préjudice moral au sens de l'article 82, paragraphe 1, de la loi sur la protection des données. RGPD de l'affaire. Les juges constatent expressément que ce préjudice ne disparaît pas du fait que les mêmes données ont peut-être déjà été divulguées auparavant dans une autre fuite. Toute nouvelle perte de contrôle sur données à caractère personnel doit donc être considéré comme un événement à part entière, qui augmente le risque de concernés personne augmente et peut donc avoir une incidence sur les dommages de manière séparée.
Dans l'affaire Deezer, l'adresse électronique du plaignant était certes déjà apparue dans des violations de données antérieures. Néanmoins, la Cour fédérale de justice considère l'incident de 2019/2022 comme une nouvelle violation distincte : la fuite concrète chez le sous-traitant a permis d'obtenir d'autres informations (nom, sexe, langue, Données d'utilisation) en rapport avec l'adresse électronique ont été rendues publiques. Ce pool de données supplémentaire dans le Darknet crée une situation de danger considérable, car les criminels s'en servent pour créer des profils ciblés pour des Hameçonnage ou d'une usurpation d'identité. Les piratages antérieurs ne disculpent en aucun cas le responsable. Au contraire : des fuites multiples de la même personne concernée signifient des risques cumulatifs et plutôt une probabilité plus élevée d'abus futurs. Les entreprises ne peuvent donc pas se défendre en disant qu'une nouvelle fuite ne représente pas une charge supplémentaire pour une personne concernée, car ses données étaient déjà en circulation.
Du point de vue de la Cour fédérale de justice, une fuite sur le darknet marque donc un tournant clair : un dommage est survenu au plus tard à partir de la publication illégale dans la clandestinité. Dans la pratique, les tribunaux admettront régulièrement les dommages et intérêts immatériels dans de telles constellations. La vente de données personnelles sur le darknet représente le „pire des cas“ en matière de violation de la protection des données.
Perte de contrôle et craintes fondées en tant que préjudice moral
Dans des affaires antérieures, telles que les fuites de données de Facebook, la Cour fédérale de justice a déjà décidé que la simple perte de contrôle de données à caractère personnel peut constituer un préjudice moral. Même sans préjudice financier concret, la colère et le sentiment d'être à la merci d'une violation de la protection des données peuvent justifier une indemnisation. Dans l'arrêt qui vient d'être rendu, la Cour fédérale de justice va encore plus loin et met en avant les craintes personnelles de la personne concernée.
Le plaignant avait fait valoir qu'il craignait une usurpation d'identité depuis que la fuite avait été découverte, Hameçonnage ainsi que d'appels et de courriels publicitaires non sollicités. Selon la Cour fédérale de justice, de telles craintes fondées peuvent constituer „en elles-mêmes” un préjudice moral, pour autant que le Personnes concernées dont les conséquences négatives sont plausibles. Ce qui est déterminant, c'est que les craintes ne soient pas purement hypothétiques, mais objectivement compréhensibles. C'était précisément le cas en l'espèce : si le nom et l'adresse électronique sont échangés sur le darknet, il est très probable qu'ils soient utilisés à des fins frauduleuses (par ex. spam ou hameçonnage). Les inquiétudes ressenties par le plaignant étaient donc bien compréhensibles et fondées de manière réaliste du point de vue d'un tiers avisé.
L'OLG avait opposé au plaignant qu'il n'avait pas changé d'adresse électronique malgré les incidents, ce qui plaidait contre une charge sérieuse. La BGH a rejeté cette argumentation comme étant une approche erronée, qui revient à fixer un seuil de gravité inadmissible. En effet, même sans réaction extérieure telle qu'une modification d'e-mail, une personne concernée peut être soumise à un stress interne important. Ce qui est déterminant, ce sont des répercussions psychiques démontrables (par exemple des angoisses persistantes, des troubles du sommeil, du stress). En conclusion, la BGH a précisé que la perte de contrôle sur ses propres données, associée à la crainte justifiée d'un abus, constitue dans le cas concret un préjudice moral indemnisable. L'évaluation contraire de l'instance inférieure était donc erronée en droit.
Intérêt à la constatation en cas d'éventuels dommages futurs
Outre les dommages et intérêts proprement dits, la demande de constatation du plaignant était importante dans la procédure. Il voulait faire constater par la justice que l'entreprise défenderesse était également responsable des dommages matériels futurs résultant de la fuite de données. La raison en est l'incertitude quant au fait que des données volées puissent entraîner des dommages financiers des années plus tard, par exemple si elles sont utilisées pour des escroqueries à partir du Darknet. La Cour d'appel de Dresde a nié l'existence d'un intérêt légitime à une telle constatation, en faisant notamment remarquer que beaucoup de temps s'était écoulé et qu'il pourrait être difficile de prouver ultérieurement la causalité.
Der BGH sieht dies jedoch anders und rügt die Ablehnung des Feststellungsinteresses durch die Vorinstanz. Er verweist darauf, dass bei der Verletzung absoluter Rechte (wie des Rechts auf Datenschutz, Art. 8 GRCh) schon die bloße Möglichkeit eines künftigen Schadenseintritts genügt, um ein Feststellungsinteresse zu bejahen. Eine hohe Eintrittswahrscheinlichkeit ist nicht erforderlich. Selbst wenn seit dem Vorfall einige Jahre vergangen sind, schließt das einen späteren Missbrauch der Daten nicht aus. Insbesondere das Vorhandensein von personenbezogenen Daten im Darknet begründet objektiv die Möglichkeit zukünftiger Schäden, beispielsweise durch Identitätsbetrug, noch Jahre nach dem Leak.
La BGH précise que les considérations relatives à la diminution de la probabilité d'occurrence ou aux difficultés de preuve à l'avenir affectent tout au plus les chances de succès d'une action ultérieure en prestation, mais pas la recevabilité de l'action en constatation. En d'autres termes : si la Personnes concernées pourra prouver le dommage concret à l'avenir est secondaire dans la procédure de constatation. Il est plutôt important de lui donner actuellement la possibilité de garantir ses droits au cas où un dommage surviendrait. En toute logique, la BGH a considéré que la demande de constatation dans l'affaire Deezer était recevable et a ordonné à l'OLG de statuer à nouveau sur ce point.
Pour Personnes concernées cela signifie qu'après une fuite de données, ils ne doivent pas attendre qu'un dommage matériel se produise effectivement. Ils peuvent déjà faire constater en justice, à titre préventif, que le Responsable est responsable d'éventuels dommages futurs.
Renforcement des mesures de conformité de plus en plus important
Le jugement de la Cour fédérale de justice concernant la fuite de données de Deezer a des conséquences pratiques importantes. Responsable Les organismes sont tenus d'améliorer leurs mesures de conformité dans le domaine de la protection et de la sécurité des données. Traitement des commandes de renforcer la gestion des données. L'accent est mis en particulier sur la gestion de la sortie des prestataires de services : les entreprises doivent s'assurer que toutes les données à caractère personnel sont correctement supprimées ou rapatriées lors de la sortie d'un sous-traitant. Une confirmation documentée de l'effacement par le prestataire de services est une obligation et non une option. Des négligences dans ce domaine peuvent entraîner des cas de responsabilité des années plus tard.
En même temps, le jugement met en évidence que les fuites de données liées au darknet représentent un risque de responsabilité nettement plus élevé. Selon la Cour fédérale de justice, lorsque des données volées apparaissent sur le Darknet, il y a presque nécessairement un préjudice moral indemnisable. Personnes concernées peuvent invoquer une perte de contrôle et des craintes compréhensibles d'abus, sans que le Responsable peut les considérer comme de simples bagatelles. Les entreprises devraient donc prendre des mesures préventives pour améliorer leur sécurité conformément à l'article 32 de la directive sur la protection des données. RGPD vérifier régulièrement, envisager le cas échéant une surveillance du darknet par des services spécialisés et avoir sous la main des plans de réponse aux incidents préparés pour les cas d'urgence, y compris une stratégie de communication et le traitement des exigences de l'article 82.
Enfin, la décision montre que même les violations de données antérieures ne donnent pas carte blanche. Chaque nouvel incident peut donner lieu à des revendications indépendantes et augmente le risque d'abus cumulatif. Responsable feraient bien de prendre au sérieux les fuites multiples connues et de partir d'un potentiel de risque accru au lieu d'espérer une décharge. En outre, elles doivent s'attendre à ce que Personnes concernées faire valoir, outre des dommages et intérêts concrets, une demande de constatation des dommages futurs. Pour la pratique, cela signifie que la gestion des risques à long terme et, le cas échéant, la prévoyance financière (provisions, cyberassurances) gagnent en importance.
Vous souhaitez rendre vos traitements de commandes „BGH-sûrs“, notamment en ce qui concerne l'offboarding ?
C'est précisément là que surviennent souvent des pannes de données dans la pratique : Il manque des confirmations de suppression, il y a des copies dans des environnements de test/taging, les responsabilités ne sont pas claires et les preuves sont lacunaires.
Ailance vous aide à gérer votre paysage audiovisuel de manière structurée : de la sélection et de l'évaluation des prestataires de services à la liste de contrôle de sortie sécurisée, y compris la preuve de l'intégralité de l'archivage. Suppression.
2B Advice vous accompagne sur le plan juridique et opérationnel : nous vérifions et optimisons vos contrats de sous-traitance (art. 28 RGPD), développent des solutions pratiques mesures techniques et organisationnelles (TOM) et les processus d'offboarding, vous soutiennent dans la réponse aux incidents (y compris la communication, la gestion des personnes concernées et des autorités) et vous aident à minimiser les risques pour les revendications selon l'art. 82 RGPD.
Commencez dès maintenant : laissez-nous examiner, lors d'un bref rendez-vous, où se situe votre plus grand risque dans la configuration du vendeur et de l'off-boarding et comment vous pouvez, grâce à des contrôles clairs, des confirmations d'effacement solides et une gestion propre de la sécurité, réduire les risques. Documentation atteindre rapidement un niveau résilient.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French