|
Village de la Justice www.village-justice.com |
|
La clause d’irresponsabilité des acteurs du traitement des données personnelles. Par Laurent-Fabrice Zengue, Juriste.
|
|
Parution : mardi 26 septembre 2023
Adresse de l'article original :
https://www.village-justice.com/articles/portee-operatoire-clause-limitative-responsabilite-entre-les-acteurs-traitement,47329.html Reproduction interdite sans autorisation de l'auteur. |
Dans le cadre des activités de traitement des données personnelles, les acteurs des traitements entretiennent des relations, tantôt sur la base d’un instrument juridique de type conventionnel tantôt sur la base d’interactions factuelles. Ce qui conduit à une approche alternative de jure, de facto et in concreto de toute analyse de la sphère des règles de la protection des données à caractère personnel et des règles de la responsabilité civile contractuelle et délictuelle.
Dans l’un et l’autre cas, la limitation de la responsabilité est un aspect fréquemment mis en exergue par les acteurs. Néanmoins, avant d’aborder cette question, il est opportun de régler celle de la qualification des acteurs des activités de traitement.
L’on peut distinguer les acteurs principaux des acteurs secondaires du traitement. La qualification desdits acteurs peut être opérée sur la base de la législation ou la réglementation, sur la base de la jurisprudence, y compris les délibérations d’autorités nationales de [1] et sur la base factuelle.
L’analyse in concreto est, ici, prise en compte même en présence d’un instrument contractuel.
Les acteurs principaux du traitement sont le responsable du traitement, le responsable du traitement conjoint, le responsable du traitement disjoint et le destinataire. Néanmoins, à la différence du responsable du traitement et du responsable du traitement conjoint, le responsable du traitement disjoint [2] et le destinataire mettent en œuvre le traitement non-conjointement avec le responsable du traitement, et deviennent ainsi eux-mêmes directement et de manière autonome des responsables du traitement à part entière [3].
1. La qualification législative et réglementaire des acteurs principaux du traitement.
Sur le plan législatif et réglementaire, le responsable du traitement, le responsable du traitement conjoint ou le responsable du traitement disjoint est la personne physique ou morale qui, seule ou conjointement, détermine les finalités et les moyens du traitement ou organise les modalités du transfert des données personnelles.
2. La qualification juridictionnelle des acteurs du traitement.
Sur le plan juridictionnel, est qualifiée responsable du traitement, la personne qui pose les actes ci-après : procède aux traitements, à des fins personnelles, en créant d’autres services soit sans aucune instruction du responsable du traitement en ce sens soit sans que ce dernier n’en ait connaissance [4] ; détermine de manière indépendante les finalités et les moyens du traitement nécessaires pour fournir un service [5] ; reçoit des demandes d’exercice du droit à l’oubli, communique aux moteurs de recherche, ou prend des mesures techniques et organisationnelles appropriées pour informer la personne concernée ou l’opérateur de services de communications électroniques de qui il a obtenu les données personnelles considérées [6]. En ce qui concerne le responsable du traitement conjoint, sa qualité est reconnue de facto lorsqu’il est la personne qui prend des décisions communes au regard des finalités et des moyens du traitement de manière générale [7] ou soit de manière particulière, rédige des documents clés tels qu’une directive relative à la gestion des données personnelles ; réalise des formations auprès du personnel, signe des contrats avec plusieurs entités tierces fournissant des outils essentiels au fonctionnement du service, ou gère des conséquences de la violation de données personnelles [8]. Le responsable du traitement conjoint peut aussi être la personne qui prend des décisions convergentes, complémentaires et nécessaires ayant un impact significatif sur la détermination des finalités et des moyens du traitement [9], administre à des degrés divers un dispositif de traitement de données à caractère personnel avec des responsabilités non équivalentes [10], ou procède à des opérations de cloud computing [11].
3. La méthode indicielle de la CNIL, qualificative des acteurs du traitement.
La doctrine de la CNIL [12] recourt à quatre indices pour identifier le responsable du traitement. Ainsi, le responsable du traitement sera la personne qui se présente sous son propre nom, sur la base de l’indice de la transparence. Il peut aussi être celui qui a le droit de donner des directives et instructions générales, en laissant expressément une grande autonomie à l’autre partie, sur la base de l’indice du niveau d’instruction. De même, est qualifié de responsable du traitement, celui qui ne s’intéresse pas à la façon dont le prestataire réalise ses prestations et la laisse libre d’utiliser les données comme bon lui semble, sur la base de l’indice du niveau de contrôle. Enfin, est responsable du traitement, celui qui impose et ne peut modifier les outils car le client n’a pas de compétences, ou l’outil ne fait pas l’objet d’un développement spécifique sur la base de l’indice de l’expertise.
1. Le sous-traitant.
A titre d’acteurs secondaires du traitement, l’on peut citer le sous-traitant et le représentant du responsable du traitement. Les législations et réglementations qualifient de sous-traitant, la personne qui traite les données personnelles pour le compte du responsable du traitement ou du responsable du traitement conjoint. Sur le plan factuel, le sous-traitant est toute personne qui n’a pas de pouvoir de décision ou qui ne décide que des aspects pratiques de la mise en œuvre du traitement à l’instar du choix du matériel ou du logiciel, du choix de mesures de sécurité concrètes, etc. Sous les indices respectivement de la transparence, du niveau d’instruction, du niveau de contrôle et de liberté, et de l’expertise, la CNIL qualifie de sous-traitant, toute personne qui se présente sous le nom de son partenaire, travaille sous des instructions et directives très précises, est auditée et rend régulièrement des comptes, et utilise l’infrastructure technique de l’entité cliente pour réaliser sa prestation.
2. Le représentant du responsable du traitement.
Le représentant du responsable du traitement est la personne à qui les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement.
Bien que les dispositions du Code civil français encadrent la responsabilité contractuelle et délictuelle, les acteurs du traitement des données personnelles peuvent soit vouloir en restreindre le champ et la force opératoires soit vouloir s’en exclure. D’où l’intérêt d’examiner la typologie des contrats et les règles générales de fonctionnement de la clause limitative de responsabilité d’une part, et la distribution de la responsabilité et les sanctions relatives à la limitation de la responsabilité des acteurs du traitement, d’autre part.
1. La typologie des contrats des acteurs du traitement des données personnelles.
Trois types de contrats peuvent être mis en œuvre dans le cadre des relations des acteurs du traitement des données personnelles : le contrat de travail, le contrat d’entreprise et le contrat de mandat.
Les contrats concernant les personnes qui déterminent les finalités et les moyens du traitement - responsable du traitement, responsable du traitement conjoint et responsable disjoint - peuvent être soit un contrat-coopération soit un contrat-organisation soit un contrat-échange. Ces contrats permettent de régir le partage des obligations, missions et pouvoirs entre les acteurs de même niveau de responsabilité. Par ailleurs, il peut y avoir un contrat entre le responsable du traitement disjoint et la personne concernée dans le cadre de la portabilité des données personnelles.
Entre le responsable du traitement et son représentant ou son sous-traitant, avec le rapport ou le lien de subordination existant, les contrats idoines sont soit le contrat de travail soit le contrat de mandat pour tous les acteurs, d’une part, et pour le sous-traitant, le contrat de travail ne peut pas être adapté puisque le sous-traitant est un tier du responsable du traitement, d’autre part.
2. Les règles de fonctionnement de la clause limitative de responsabilité.
Quant aux règles de fonctionnement de la clause limitative de responsabilité, il faudrait distinguer entre son fondement et ses régimes. Ce qui inclut son objectif, ses fondements, ses domaines, les obligations y relatives, sa force probante et ses conditions de validité.
La clause limitative de responsabilité a vocation à circonscrire l’engagement de la responsabilité de son bénéficiaire. A ce titre, on peut en distinguer plusieurs types, et notamment celle qui limite ou détermine les cas de la responsabilité, celle qui est de nature pénale, celle qui exclut toute responsabilité, celle qui limite la réparation ou l’indemnisation, etc.
En ce qui concerne les fondements juridiques, la clause limitative de responsabilité est fondée sur le Code civil [13], pour le contrat entre professionnels, tandis que pour le contrat entre professionnel et consommateur, c’est le Code de la consommation [14] qui en donne le fondement. Ce qui nous permet de faire la distinction entre un acteur du traitement personne physique et un acteur du traitement personne morale, d’une part, et la distinction entre un acteur du secteur non marchand et celui du secteur marchand.
Pour ce qui est des domaines de ladite clause, sur le plan individuel, elle implique la personne physique du professionnel, s’il agit à ce titre, et la personne morale, agissante en qualité d’acteur du commerce électronique, le cas échéant. Le domaine matériel des obligations est étendu et peut concerner des activités diverses relatives au traitement des données et à la protection de la vie privée, notamment la réponse à l’exécution d’une obligation légale ou contractuelle, la délivrance d’une prestation, la livraison d’un bien ou service, l’exécution dans les délais, l’obligation de sécurité, les garanties légales, etc.
Quant à la nature des obligations, entre le responsable du traitement, personne morale, et la personne concernée, le premier est débiteur d’une obligation de résultats envers le second. Mais, dans le cas des interactions entre le responsable du traitement, le responsable du traitement conjoint, et/ou le sous-traitant, tous personnes morales, une autre distinction peut intervenir. Entre les acteurs du traitement vis-à-vis de la personne concernée, il s’agit tantôt d’une obligation de résultat pour ce qui concerne les aspects juridiques et organisationnelles tantôt d’une obligation de moyens pour les aspects techniques [15]. En tout état de cause, la clause limitative de responsabilité est opératoire sur les obligations de moyens, tandis qu’elle tend à avoir un simple rôle probatoire pour les fautes lourdes.
En principe, la clause exonératoire ou limitative de responsabilité est valide si elle a été portée à la connaissance de la personne à qui on l’oppose, et qu’elle l’a acceptée en toute connaissance de cause, sous réserve de la législation sur les clauses abusives, évidemment. Ladite clause est aussi transmissible, en principe, à tout acteur du traitement qui hérite du contrat ou de l’obligation, respectivement, dans lequel elle est insérée ou dont elle découle.
L’analyse se base fortement sur le lien de subordination pour déterminer les marges de manœuvre. Ainsi, la jurisprudence considère que pour le contrat de travail, il y a une présomption irréfragable du lien subordination [16], tandis que pour les contrats d’entreprise et de mandat, elle décide qu’il y a plutôt une présomption simple d’absence de lien de subordination [17].
1. La distribution de la responsabilité entre acteurs du traitement.
De manière générale, le responsable du traitement, le responsable du traitement conjoint ou le sous-traitant, lorsqu’il a la qualité de professionnel, peut être exonéré de responsabilité dès lors qu’il est établi la preuve de l’imputabilité, soit à la personne concernée pour inexécution ou mauvaise foi, soit à tout autre acteur du traitement, soit au fait imprévisible ou insurmontable, soit au cas de force majeure. En revanche, dans le contrat entre le responsable du traitement, le responsable du traitement conjoint et/ou le sous-traitant, c’est la responsabilité pour faute, de la part du professionnel débiteur de l’obligation considérée, qui est retenue. L’exonération ou l’atténuation de cette responsabilité pour faute est possible en cas de force majeure, le fait de la victime, le fait du tiers. Quant à la typologie des responsabilités, elle révèle que dans les deux cas, sont invariablement admises la responsabilité du fait personnel et la responsabilité du fait d’autrui mais, est exclue la responsabilité du fait de choses.
La jurisprudence estime que la clause limitative de responsabilité n’est pas opérante pour la personne qui a excédé les limites de sa mission [18]. C’est le cas lorsque l’on réalise des traitements sans autorisation, ou l’on réalise des traitements avec des finalités propres et personnelles, ou l’on réalise des traitements en dehors de ses fonctions et/ou sa qualité.
Sur le critère de la solidarité, le sous-traitant ou le représentant du responsable du traitement pourrait être, chacun, seul responsable des traitements réalisés en dehors de ses fonctions. A contrario, le responsable du traitement et tous les autres acteurs sont responsables lorsque le sous-traitant ou le représentant du responsable du traitement a réalisé des traitements en dehors de ses limites, mais dans le cadre de ses fonctions. Enfin, la clause n’est pas opérante pour une faute pénale intentionnelle, qu’elle ait été commise dans le cadre des fonctions ou non [19]. Dans ce dernier cas, tous le responsable du traitement, le responsable du traitement conjoint et le sous-traitant peuvent être, en principe, liés.
2. Les sanctions concernant la clause limitative de responsabilité.
Pour ce qui est de la sanction sur la clause elle-même, il est à relever que la clause limitative de responsabilité peut être soit autorisée soit jugée abusive. Si elle porte sur une faute légère, elle pourra être autorisée. Mais, la clause limitative de responsabilité est abusive, et donc nulle et réputée non écrite, dans les cas où elle est élusive de la responsabilité, elle est de nature pénale, elle est limitative de la réparation et de l’indemnisation, ou elle est en contradiction avec une obligation essentielle du contrat. En ce qui concerne le sort du contrat, il reste applicable dans toutes les dispositions autres que celles concernant la clause jugée abusive.
Les sanctions Les sanctions relatives à la clause limitative de responsabilité peuvent être administratives, civiles ou pénales, selon qu’elles relèvent respectivement des autorités de contrôle, des juridictions administratives classique ou des juridictions judiciaires. Les peines sont de natures différentes et peuvent être cumulées. De même, les sanctions peuvent être infligées de manière solidaire ou pas, indépendamment du fait que les contrats sont différents ou pas.
Les sanctions sont naturellement celles relatives à la protection des données à caractère personnel, qui sont constituées en même temps de peines non pécuniaires et d’amendes administratives [20]. On peut aussi avoir des sanctions civiles, y compris la réparation du préjudice civil. Enfin, il peut y avoir des sanctions pénales pécuniaires et/ou privatives de liberté.
L’imputabilité des sanctions pose d’abord le préalable de la notion d’entreprise, qui englobe, selon la jurisprudence communautaire européenne, toute entité ou groupe d’entités constituant une unité économique unique, indépendamment du statut juridique ou de son mode de financement [21].
Sur l’assiette de calcul de la sanction des entreprises [22], la base de calcul sera le chiffre d’affaires du groupe de sociétés dans le cas où la faute est commise par la société mère, dans le cas où l’infraction est commise par une filiale détenue en totalité par la société mère. En revanche, la base de calcul sera celle du chiffre d’affaires de la filiale si ladite filiale n’est pas détenue en totalité par la société mère ou si ladite filiale est autonome ou se comporte comme telle en s’affranchissant de la société-mère [23].
Ce qu’il faut retenir.
La question de la portée opératoire de la clause limitative de responsabilité entre les acteurs du traitement des données personnelles est impactée par un certain nombre de paramètres, notamment la nature des acteurs et leurs interactions, ainsi que les modalités y afférentes. De même, il a été mis en évidence le fait que la clause limitative de responsabilité est tributaire non pas d’une fonction ou d’une qualité de l’acteur, mais plutôt des missions, obligations et pouvoirs réels des acteurs. Par conséquent, y recourir ne garantit pas automatiquement son plein effet.
Laurent-Fabrice Zengue Data Privacy Manager, spécialiste de la protection des données personnelles Arbitre/Expert international, Chambre de Médiation, de Conciliation et d'Arbitrage d'Occitanie à Toulouse Diplômé de l'Université Paris 1 Panthéon-Sorbonne Diplômé de l'Université Toulouse 1 Capitole E-mail : [->laurentfabricezengue@gmail.com][1] Pour le cas de la France, le Conseil d’Etat français juge que la formation restreinte de la Commission Nationale d’Informatique et des Libertés, autorité de contrôle française, peut être qualifiée de tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, eu égard à sa nature, sa composition et ses attributions, que la procédure devant ladite formation restreinte respecte les principes du procès équitable, notamment les droits de la défense, la procédure contradictoire, que le responsable de traitement a le droit d’être représenté par un avocat, et qu’une voie de recours devant le conseil est prévue (CE, Ord. Réf., 19 février 2008, req. N°311974, Société Profil France : dans cette décision).
[2] A notre sens, le responsable disjoint du traitement est un destinataire qui peut être lié au responsable du traitement par une exigence légale, par exemple l’obligation faite de communiquer certaines informations à l’administration fiscale, et dans ce cas l’administration fiscale est responsable disjoint. Il peut aussi s’agir d’un cas où le responsable du traitement est lié à une autre personne par un contrat, mais entre les deux il n’y a pas d’obligations conjointes comme c’est le cas avec le responsable du traitement conjoint, dans ce cas la personne qui reçoit les données est responsable disjoint. Le responsable disjoint peut encore être une personne qui reçoit les données par la volonté de la personne concernée, c’est le cas lorsque la personne concernée exerce son droit à la portabilité, et la personne chez qui les données sont transférées est responsable disjoint. Le responsable disjoint ne peut pas non plus être confondu avec le sous-traitant, parce que le sous-traitant est celui qui réalise des activités de traitement pour le compte du responsable du traitement. En tout état de cause, le responsable disjoint reçoit les données, mais soit il n’en partage pas, conjointement, la responsabilité du traitement avec le responsable du traitement (ce qui le différencie du responsable du traitement conjoint) soit il ne traite pas les données à caractère personnel pour le compte du responsable du traitement (ce qui le différencie du sous-traitant) soit il ne représente pas le responsable du traitement devant l’autorité de contrôle ou toute autre personne (ce qui le différencie du représentant du responsable du traitement). Le responsable du traitement disjoint est donc un responsable du traitement autonome et à part entière.
[3] Le RGPD, par exemple, définit tous ces acteurs dans son article 4. Dans la quasi-totalité des législations et réglementations relatives à la protection des données personnelles, ces définitions sont équivalentes voire similaires à celles du RGPD.
[4] CNIL, Délibération de la formation restreinte n°SAN-2018-001 du 8 janvier 2018.
[5] CEPD, Lignes directrices, 2 septembre 2020.
[6] CJUE, 27 octobre 2022.
[7] CEPD, Lignes directrices, 7 juillet 2021.
[8] CNIL, Délibération de la formation restreinte, n°SAN-2018-11 du 19 décembre 2018.
[9] CJUE, 10 juillet 2018, affaire C-25/17, Témoins de Jéhovah.
[10] CJUE, 5 juin 2018, affaire c-210/16 Wirtschaftskademie.
[11] Autorité de protection des données personnelles de Slovénie, 1er juin 2022.
[12] La CNIL, Commission Nationale d’Informatique et des Libertés, est l’autorité de contrôle française de protection des données personnelles.
[13] Code civil, article 1231-1.
[14] Code de la consommation, L221-15.
[15] La CNIL, par la Délibération n°2014-298 du 7 août 2014, avait retenu que l’obligation de sécurité est une de moyens, en ces termes : « Il est constant que l’obligation de notifier une violation de données, obligation de résultat à laquelle la société a satisfait, est distincte de celle relative à la sécurité et la confidentialité des données, obligation de moyens ». Cette position est, à tout le moins, pertinente en raison de ce que, notamment les mesures de sécurité dépendent de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, d’une part, il y a une impossibilité technique d’une sécurité absolue de protection des données et l’inégalité des ressources à la disposition des acteurs du traitement.
[16] Cass. crim., 5 mars 1992, n°91-81.888.
[17] Cass. crim., 22 mars 1988, n°87-82.802 ; Cass. civ. 1ère., 27 mai 1986, n°84-16.420.
[18] Cass. ass. plén., 19 mai 1988, n°87-82.654.
[19] Cass. ass. plén. 14 déc. 2001, n°0082-066.
[20] Par exemple, dans son article 83, le RGPD prévoit deux fourchettes de sanctions. Premièrement, les sanctions de la fourchette basse qui sont de l’ordre de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total. En second lieu, il y a la fourchette haute des amendes administratives, qui est de l’ordre de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. Dans l’un ou l’autre cas, c’est le montant le plus élevé, entre le pourcentage et la valeur réelle, qui est retenu.
[21] CJUE, affaire Höfner et Elsner ; CJUE, affaire de la Confédération espagnole des employeurs de service de justice.
[22] TFUE, articles 101 et 102.
[23] Cass. com., arrêt du 21 octobre 2014, n°13.16.602, n°13-16.696, n°13-16.905.
Bonjour,
Cette qualification juridique n’étant pas expressément prévue par le RGPD, vous serait-il possible de préciser à quoi cela correspond ?
Vous mentionnez ce positionnement sans exposer de motivation/raisonnement juridique ce qui est regrettable.
Dans quels contrats et à quels moments un organisme devient responsable disjoint ? à dire vrai, j’ai eu l’impression que vous évoquiez le sous-traitant dont le statut est prévu au RGPD.
Je serai intéressée d’échanger avec vous sur ce point juridique qui me surprend.
Bien cordialement.
Me Anne-Laure CATHERINOT
Le responsable disjoint du traitement est un destinataire qui peut être liée au responsable du traitement par une exigence légale, par exemple l’obligation faite de communiquer certaines informations à l’administration des impôts, et dans ce cas l’administration des fiscale est responsable disjoint. Il peut aussi s’agir d’un cas où le responsable du traitement est lié à une autre personne par un contrat, mais entre les deux il n’y a pas d’obligations conjointes comme c’est le cas avec le responsable du traitement conjoint, dans ce cas la personne qui reçoit les données est responsable disjoint. Le responsable disjoint peut aussi être une personne qui reçoit les données par la volonté de la personne concernée, c’est le cas lorsque la personne concernée exerce son droit à la portabilité, et la personne chez qui les données sont transférées est responsable disjoint. Il ne peut pas non plus être confondu avec le sous-traitant parce que le sous-traitant est celui qui réalise des activités pour le compte du responsable du traitement. En tout état de cause, le responsable disjoint reçoit les données, mais soit il n’en partage pas la responsabilité du traitement avec le responsable du traitement (ce qui le différencie du responsable du traitement conjoint) soit il ne les traite pas non plus pour le compte du responsable du traitement (ce qui le différencie du représentant du responsable du traitement). Le responsable du traitement disjoint est donc un responsable du traitement autonome.