Article 82 – Droit à réparation et responsabilité

Article 82 - Droit à réparation et responsabilité

1. Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

4. Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d'un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

5. Lorsqu'un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.

6. Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l'État membre visé à l'article 79, paragraphe 2.

En savoir plus...

L'article 82 du RGPD introduit un droit à réparation pour les dommages causés par une violation du RGPD.
Cet article : 1) énonce les conditions d'un tel droit, qui doivent être interprétées conformément au droit de l'UE; 2) établit une distinction entre la responsabilité du responsable du traitement et celle du sous-traitant (reflétant ainsi la répartition des fonctions établie par le RGPD); 3) réglemente la charge de la preuve, excluant un régime de responsabilité stricte; 4) établit des règles concernant les relations de responsabilité dans le cas de plusieurs parties dommageables; 5) établit la solidarité des acteurs dans la réparation du dommage; 6) régit la compensation interne entre les parties lésées; 7) établit la compétence des tribunaux pour statuer sur les demandes de dommages et intérêts, conformément au droit national applicable.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

[Motifs et délais de la notification d'une violation]
85. Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

[Réparation du dommage subi en raison d'un traitement non conforme au RGPD]
146. Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu'une personne peut subir du fait d'un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous-traitant devrait être exonéré de sa responsabilité s'il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d'une manière qui tienne pleinement compte des objectifs du présent règlement. Cela est sans préjudice de toute action en dommages-intérêts fondée sur une infraction à d'autres règles du droit de l'Union ou du droit d'un État membre. Un traitement effectué en violation du présent règlement comprend aussi un traitement effectué en violation des actes délégués et d'exécution adoptés conformément au présent règlement et au droit d'un État membre précisant les règles du présent règlement. Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. Lorsque des responsables du traitement ou des sous-traitants participent à un même traitement, chaque responsable du traitement ou chaque sous-traitant devrait être tenu responsable pour la totalité du dommage. Toutefois, lorsque des responsables du traitement et des sous-traitants sont concernés par la même procédure judiciaire, conformément au droit d'un État membre, la réparation peut être répartie en fonction de la part de responsabilité de chaque responsable du traitement ou de chaque sous-traitant dans le dommage causé par le traitement, à condition que le dommage subi par la personne concernée soit entièrement et effectivement réparé. Tout responsable du traitement ou tout sous-traitant qui a réparé totalement le dommage peut par la suite introduire un recours contre d'autres responsables du traitement ou sous-traitants ayant participé au même traitement.

[Règles attributives de juridiction]
147. Lorsque le présent règlement prévoit des règles de compétence spécifiques, notamment en ce qui concerne les procédures relatives aux recours juridictionnels, y compris ceux qui visent à obtenir réparation, contre un responsable du traitement ou un sous-traitant, les règles de compétence générales, telles que celles prévues dans le règlement (UE) no 1215/2012 du Parlement européen et du Conseil, ne devraient pas porter préjudice à l'application de telles règles juridictionnelles spécifiques.

Droit souple

Lignes directrices et recommandations

Guides pratiques

Documents anciens

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

Cet article cite...

> Article 79 - Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

Cet article est cité par...

> Article 28 - Sous-traitant

> Article 80 - Représentation des personnes concernées

En savoir plus...

Droit souple (sectoriel ou transversal)

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Autres informations	Lien
C-200/23	Agentsia po vpisvaniyata	04/10/2024	2024	Bulgarie	Cour de Justice de l'UE	A classer		Violation de données - Perte de contrôle limitée - Dommage moral - Admission - Absence de nécessité de prouver des conséquences négatives tangibles		156. [...] L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
C-200/23	Agentsia po vpisvaniyata	04/10/2024	2024	Bulgarie	Cour de Justice de l'UE	A classer		Violation de données - Réparation du préjudice - Prise en compte de l'avis de l'autorité - Absence		176. Eu égard à ce qui précède, il convient de répondre à la huitième question que l’article 82, paragraphe 3, du RGPD doit être interprété en ce sens qu’un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.	58, 82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
C-507/23	Patērētāju tiesību aizsardzības centrs	04/10/2024	2024	Lettonie	Cour de Justice de l'UE	A classer		Manquement au RGPD - Réparation du préjudice moral en résultant - Caractère suffisant dela présentation d'excuses - Admission si le préjudice est intégralement réparé		37. Eu égard aux motifs qui précèdent, il convient de répondre à la deuxième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
C-507/23	Patērētāju tiesību aizsardzības centrs	04/10/2024	2024	Lettonie	Cour de Justice de l'UE	A classer		Manquement au RGPD - Réparation du préjudice en résultant - Prise en compte du comportement du responsable - Absence		45. Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
C-741/21	Juris GmbH	11/04/2024	2024	Allemagne	Cour de Justice de l'UE	A classer		Préjudice issu d'un manquement au RGPD - Méthode de calcul du montant des dommages-intérêts identique à celle du calcul des amendes - Absence		65. Par conséquent, il convient de répondre aux troisième et quatrième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
C-687/21	MediaMarktSaturn	25/01/2024	2024	Allemagne	Cour de Justice de l'UE	A classer		Préjudice issu d'un manquement au RGPD - Sollicitation de la réparation de son préjudice par la personne concernée - Régime de responsabilité de droit commun		50. Par conséquent, il y a lieu de répondre à la septième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
C-687/21	MediaMarktSaturn	25/01/2024	2024	Allemagne	Cour de Justice de l'UE	A classer		Crainte d’un potentiel usage abusif de données personnelles par un tiers - Absence (prouvée) de consultation des données par ce tiers - Dommage moral - Rejet		69. Partant, il y a lieu de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans l’hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu’il n’a pas pris connaissance de celles-ci, un « dommage moral », au sens de cette disposition, n’est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possible la réalisation d’une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
C-340/21	Natsionalna agentsia za prihodite	14/12/2023	2023	Bulgarie	Cour de Justice de l'UE	A classer		Crainte d’un potentiel usage abusif de données personnelles par un tiers - Constitutif d'un dommage moral - Admission sous conditions probatoires		86. L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.	33, 82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
C-340/21	Natsionalna agentsia za prihodite	14/12/2023	2023	Bulgarie	Cour de Justice de l'UE	A classer		Violation de données - Présomption irréfragable d'insuffisance des mesures de sécurité - Absence		31. Partant, les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées, au sens de ces dispositions, sans même permettre à ce dernier d’apporter la preuve contraire.	24, 32, 82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
C-300/21	Österreichische Post AG	04/05/2023	2023	Allemagne	Cour de Justice de l'UE	A classer		Manquement au RGPD - Réparation du préjudice en résultant - 1 ) Conditions du droit à réparation - Simple violation dudit règlement - Insuffisance - 2) Condition de gravité minimale - Absence		42. Eu égard à l’ensemble des motifs qui précèdent, il y a lieu de répondre à la première question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation. 51. Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324			Accéder à la décision
T-354/22	Bindl/Commission	08/01/2025	2025		Cour de Justice de l'UE	A classer	Administration	Transfert de données illicite par une institution de l'UE - Réparation du préjudice - Dommage moral fondé sur une "violation suffisamment caractérisée d’une règle de droit" visant à protéger l’intérêt individuel des personnes - Admission	Afficher Un citoyen résidant en Allemagne s’est plaint que la Commission avait violé son droit à la protection de ses données à caractère personnel lorsque, en 2021 et 2022, il a visité le site web de la Conférence sur l’avenir de l’Europe, qui est géré par la Commission. Plus précisément, il s’est inscrit à l’événement « GoGreen » par le biais de ce site web en utilisant l’option de s’identifier à l’aide de son compte Facebook. Selon l’intéressé, lors de ses visites sur ce site web, ses données à caractère personnel, y compris son adresse IP et des informations sur son navigateur et son terminal, ont été transférées à des destinataires établis aux États-Unis (notamment Amazon via le service AWS, ou encore Meta). Au moment de ce transfert, le 30 mars 2022, il n’existait pas de décision de la Commission constatant que les États-Unis assuraient un niveau de protection adéquat des données à caractère personnel des citoyens de l’UE. En outre, la Commission n’a ni démontré ni prétendu qu’il existait une garantie appropriée, en particulier une clause type de protection des données ou une clause contractuelle. La Commission n’a donc pas respecté les conditions fixées par le droit communautaire pour le transfert de données à caractère personnel par une institution, un organe ou un organisme de l’UE vers un pays tiers. Le citoyen s'en plaint et l'affaire arrive devant le Tribunal de l'UE (après quelques péripéties).	81. S’agissant de la réalité du préjudice moral prétendument subi, il convient de rappeler que, si la présentation d’une offre de preuve n’est pas nécessairement considérée comme une condition de la reconnaissance d’un préjudice moral, il incombe tout au moins à la partie requérante d’établir que le comportement reproché à l’institution concernée était de nature à lui causer un tel préjudice. [...] 197. En l’espèce, le préjudice moral invoqué par le requérant doit être considéré comme réel et certain, au sens de la jurisprudence rappelée au point 54 ci-dessus, dans la mesure où le transfert mentionné au point 188 ci-dessus, effectué en violation de l’article 46 du règlement 2018/1725, a placé le requérant dans une situation d’insécurité quant au traitement de ses données à caractère personnel, notamment de son adresse IP.	82	c67708d1f81a877f2b8dfc425f4a0437c4e8b324	[En droit de l'UE, reconnaissance du préjudice moral non conditionné à sa preuve mais à l'établissement d'un comportement de nature à le générer] CJUE, 16 juillet 2009, SELEX Sistemi Integrati/Commission, C-481/07 P, non publié (point 38) CJUE, 2 juillet 2019, Fulmen/Conseil (point 188)	Au regard de la spécificité des règles de la responsabilité non cont	Accéder à la décision traduite par machine ou Accéder à la décision officielle
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

Tribunal de l’UE – Arrêt T-354/22

08 janvier 2025

Le Tribunal condamne la Commission à payer des dommages et intérêts à un visiteur de son site Internet en raison du transfert de données à caractère personnel aux États-Unis

Le Tribunal de l’UE a aujourd’hui publié une décision de sanction à l’encontre de la Commission Européenne en raison de transferts vers les Etats-Unis mal encadrés avant l’entrée en vigueur du DPF. Un citoyen résidant en Alle [...]

NOYB – None of your business

19 novembre 2024

La Cour fédérale allemande réalise un virement de jurisprudence en matière d’indemnisation des préjudices en lien avec le RGPD

Dans un arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du RGPD, à condition que ce préjudice soit dû à une violation du Règlement. Ce faisant, la Cour [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu