Article 82 – Droit à réparation et responsabilité

Article 82 - Droit à réparation et responsabilité

1. Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

4. Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d'un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

5. Lorsqu'un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.

6. Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l'État membre visé à l'article 79, paragraphe 2.

En savoir plus...

L'article 82 du RGPD introduit un droit à réparation pour les dommages causés par une violation du RGPD.
L'article 82, paragraphe 1, énonce les conditions d'un tel droit, qui doivent être interprétées conformément au droit de l'UE. Ces conditions comprennent une violation du règlement, l'existence d'une conséquence négative matérielle ou immatérielle (le dommage) et un lien de causalité entre ces deux éléments. Le premier paragraphe précise également qui peut être le sujet actif ou passif de la demande.L'article 82, paragraphe 2, établit une distinction entre la responsabilité du responsable du traitement et celle du sous-traitant, reflétant ainsi la répartition des fonctions établie par le RGPD. Le paragraphe 3 réglemente la charge de la preuve, excluant un régime de responsabilité stricte. Les paragraphes 4 et 5 établissent des règles concernant les relations de responsabilité dans le cas de plusieurs parties dommageables. En vertu de l'article 82, paragraphe 4, chaque partie lésée est responsable vis-à-vis de la partie lésée pour la totalité du montant (responsabilité conjointe). L'article 82, paragraphe 5, du RGPD régit la compensation interne entre les parties lésées. Enfin, l'article 82, paragraphe 6, établit la compétence des tribunaux pour statuer sur les demandes de dommages et intérêts, conformément au droit national applicable.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

[Motifs et délais de la notification d'une violation]
85. Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

[Réparation du dommage subi en raison d'un traitement non conforme au RGPD]
146. Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu'une personne peut subir du fait d'un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous-traitant devrait être exonéré de sa responsabilité s'il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d'une manière qui tienne pleinement compte des objectifs du présent règlement. Cela est sans préjudice de toute action en dommages-intérêts fondée sur une infraction à d'autres règles du droit de l'Union ou du droit d'un État membre. Un traitement effectué en violation du présent règlement comprend aussi un traitement effectué en violation des actes délégués et d'exécution adoptés conformément au présent règlement et au droit d'un État membre précisant les règles du présent règlement. Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. Lorsque des responsables du traitement ou des sous-traitants participent à un même traitement, chaque responsable du traitement ou chaque sous-traitant devrait être tenu responsable pour la totalité du dommage. Toutefois, lorsque des responsables du traitement et des sous-traitants sont concernés par la même procédure judiciaire, conformément au droit d'un État membre, la réparation peut être répartie en fonction de la part de responsabilité de chaque responsable du traitement ou de chaque sous-traitant dans le dommage causé par le traitement, à condition que le dommage subi par la personne concernée soit entièrement et effectivement réparé. Tout responsable du traitement ou tout sous-traitant qui a réparé totalement le dommage peut par la suite introduire un recours contre d'autres responsables du traitement ou sous-traitants ayant participé au même traitement.

[Règles attributives de juridiction]
147. Lorsque le présent règlement prévoit des règles de compétence spécifiques, notamment en ce qui concerne les procédures relatives aux recours juridictionnels, y compris ceux qui visent à obtenir réparation, contre un responsable du traitement ou un sous-traitant, les règles de compétence générales, telles que celles prévues dans le règlement (UE) no 1215/2012 du Parlement européen et du Conseil, ne devraient pas porter préjudice à l'application de telles règles juridictionnelles spécifiques.

Droit souple

Lignes directrices et recommandations

Guides pratiques

Documents anciens

Références

Cet article cite...

> Article 79 - Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

Cet article est cité par...

> Article 28 - Sous-traitant

> Article 80 - Représentation des personnes concernées

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Lien
C-200/23	Agentsia po vpisvaniyata	04/10/2024	2024	Bulgarie	Cour de Justice de l'UE	A classer		Violation de données - Perte de contrôle limitée - Dommage moral - Admission	156. [...] L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
C-200/23	Agentsia po vpisvaniyata	04/10/2024	2024	Bulgarie	Cour de Justice de l'UE	A classer		Violation de données - Réparation du préjudice - Prise en compte de l'avis de l'autorité - Absence	176. Eu égard à ce qui précède, il convient de répondre à la huitième question que l’article 82, paragraphe 3, du RGPD doit être interprété en ce sens qu’un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.	58, 82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
C-507/23	Patērētāju tiesību aizsardzības centrs	04/10/2024	2024	Lettonie	Cour de Justice de l'UE	A classer		Manquement au RGPD - Réparation du préjudice moral en résultant - Caractère suffisant dela présentation d'excuses - Admission si le préjudice est intégralement réparé	37. Eu égard aux motifs qui précèdent, il convient de répondre à la deuxième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
C-507/23	Patērētāju tiesību aizsardzības centrs	04/10/2024	2024	Lettonie	Cour de Justice de l'UE	A classer		Manquement au RGPD - Réparation du préjudice en résultant - Prise en compte du comportement du responsable - Absence	45. Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
C-741/21	Juris GmbH	11/04/2024	2024	Allemagne	Cour de Justice de l'UE	A classer		Préjudice issu d'un manquement au RGPD - Méthode de calcul du montant des dommages-intérêts identique à celle du calcul des amendes - Absence	65. Par conséquent, il convient de répondre aux troisième et quatrième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
C-687/21	MediaMarktSaturn	25/01/2024	2024	Allemagne	Cour de Justice de l'UE	A classer		Préjudice issu d'un manquement au RGPD - Sollicitation de la réparation de son préjudice par la personne concernée - Régime de responsabilité de droit commun	50. Par conséquent, il y a lieu de répondre à la septième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
C-687/21	MediaMarktSaturn	25/01/2024	2024	Allemagne	Cour de Justice de l'UE	A classer		Crainte d’un potentiel usage abusif de données personnelles par un tiers - Absence (prouvée) de consultation des données par ce tiers - Dommage moral - Rejet	69. Partant, il y a lieu de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans l’hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu’il n’a pas pris connaissance de celles-ci, un « dommage moral », au sens de cette disposition, n’est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possible la réalisation d’une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
C-340/21	Natsionalna agentsia za prihodite	14/12/2023	2023	Bulgarie	Cour de Justice de l'UE	A classer		Crainte d’un potentiel usage abusif de données personnelles par un tiers - Constitutif d'un dommage moral - Admission sous conditions probatoires	86. L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.	33, 82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
C-340/21	Natsionalna agentsia za prihodite	14/12/2023	2023	Bulgarie	Cour de Justice de l'UE	A classer		Violation de données - Présomption irréfragable d'insuffisance des mesures de sécurité - Absence	31. Partant, les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées, au sens de ces dispositions, sans même permettre à ce dernier d’apporter la preuve contraire.	24, 32, 82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
C-300/21	Österreichische Post AG	04/05/2023	2023	Allemagne	Cour de Justice de l'UE	A classer		Manquement au RGPD - Réparation du préjudice en résultant - 1 ) Conditions du droit à réparation - Simple violation dudit règlement - Insuffisance - 2) Condition de gravité minimale - Absence	42. Eu égard à l’ensemble des motifs qui précèdent, il y a lieu de répondre à la première question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation. - 51. Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

NOYB – None of your business

19 novembre 2024

La Cour fédérale allemande réalise un virement de jurisprudence en matière d’indemnisation des préjudices en lien avec le RGPD Dans un arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du RGPD, à condition que […]

Disponible sur: veille.portail-rgpd.com