Dans son jugement du 30 novembre 2021 (numéro de dossier 4 U 1158/21), le tribunal régional supérieur de Dresde a condamné non seulement une société, mais aussi son gérant en tant que débiteur solidaire au paiement de dommages et intérêts conformément au RGPD. Le tribunal a également considéré le gérant comme responsable au sens du RGPD. Ainsi, l'associé est personnellement responsable aux côtés de la société.
Si les tribunaux devaient poursuivre cette décision, cela aurait de graves conséquences pour la pratique.
Les faits
Le plaignant a introduit une demande d'adhésion auprès d'une association. Au nom de l'association, la société (plus précisément son directeur) est intervenue pour vérifier le passé pénal du demandeur. Pour ce faire, elle a engagé un détective privé, qui a ensuite fourni des résultats pertinents sur le plan pénal. Finalement, le directeur a informé le conseil d'administration, qui a donc refusé l'adhésion du plaignant.
Le plaignant y voyait une violation du protection des données et a poursuivi en justice, outre l'association, la société avec ledit directeur pour obtenir des dommages et intérêts d'un montant de 5.000€ en vertu de l'article 82 du RGPD.
La décision du tribunal
Dans sa décision, la Cour d'appel de Dresde a dû clarifier plusieurs questions relatives à la protection des données. La question la plus émouvante pour la pratique est celle de savoir si le gérant qui a engagé le détective privé et transmis les résultats est personnellement responsable à côté de la société.
Dans le cadre de cette question, il s'agissait de déterminer si le directeur général était lui-même responsable et si son action constituait un traitement injustifié de données à caractère personnel. des données à caractère personnel de l'entreprise. En outre, la question s'est posée de savoir si l'espionnage de données pouvait donner lieu à une demande de dommages et intérêts en vertu de l'article 82 du RGPD.
Gérant en tant que responsable au sens de l'article 4, point 7, du RGPD
Le tribunal a tout d'abord constaté qu'une responsabilité au sens du RGPD "doit être admise chaque fois qu'une personne physique ou morale est responsable d'un traitement". personne morale peut décider et décide, seul ou conjointement avec d'autres, des finalités et des moyens du traitement de données à caractère personnel". Si un employé agit sur la base d'instructions, sa responsabilité disparaît donc en règle générale. En revanche, le gérant qui prend lui-même ces décisions relève de la notion de responsable au sens du RGPD.
La critique porte sur le fait que le tribunal ne fait que reproduire les définitions du RGPD sans s'y intéresser de manière plus détaillée. Il aurait notamment fallu se pencher sur la jurisprudence de la CJUE concernant l'interprétation de la notion de responsable. La qualification globale du gérant en tant que responsable sans aborder son domaine d'activité et sa dépendance vis-à-vis de l'assemblée des associés n'est guère convaincante.
Espionnage en tant que traitement de données à caractère personnel au sens de l'article 4, points 1 et 2, du RGPD
Avec la question de la Traitement des données à caractère personnel le tribunal ne s'attarde pas sur ce point. Les informations pénalement répréhensibles sont les suivantes données à caractère personnel au sens de l'article 4, point 1, du RGPD. En engageant un détective privé pour espionner le plaignant et en transmettant ensuite les données obtenues au comité directeur, il y a également traitement au sens de l'article 4, point 2, du RGPD. Il s'agit en particulier de la collecte, de la saisie, de la divulgation par transmission et de la consultation.
Illégalité du traitement
Le plaignant n'avait pas donné son consentement au traitement. Le traitement est donc illégal, dans la mesure où aucun motif justificatif légal ne s'applique.
Le tribunal explique qu'il n'y a pas non plus d'intérêt légitime au sens de l'article 6 I, lettre f du RGPD. Si l'on met en balance les intérêts du plaignant et du défendeur, l'espionnage du plaignant n'était même pas nécessaire. Il existait une alternative moins invasive, qui consistait à demander au plaignant de fournir un certificat de bonne conduite à la police.
En outre, le tribunal constate que l'espionnage effectué par le détective privé "est également contraire à l'article 10 du RGPD, qui interdit le traitement des données à caractère personnel par des personnes privées". des données à caractère personnel sur les condamnations pénales et les infractions ou les mesures de sûreté y afférentes ne sont en principe autorisées que sous le contrôle des autorités". Ce point de vue est tout à fait critiqué, car il interdirait également à l'employeur de manière générale de demander des certificats de bonne conduite à ses employés.
Dommages et intérêts en vertu de l'article 82 du RGPD
Le tribunal constate que l'espionnage des données dans le cas présent dépasse le seuil de minimisation et peut donc donner lieu à une demande de dommages et intérêts. Les données espionnées ont en outre été connues d'un plus grand nombre de personnes, ce qui porte gravement atteinte aux intérêts du plaignant.
En tenant compte de la "nature, de la gravité, de la durée de l'infraction, du degré de responsabilité, des mesures prises pour atténuer le préjudice subi par les personnes concernées, des infractions antérieures pertinentes et des catégories de personnes concernées". données à caractère personnel", le tribunal a fixé le montant des dommages-intérêts. est fixé à 5.000€. Il a été renoncé à une fixation concrète du préjudice moral Le tribunal ne s'étend toutefois pas sur ce point.
Conclusion
Même si la décision de la Cour d'appel de Dresde dans cette affaire est tout à fait contestable, il existe un risque que d'autres tribunaux suivent son avis et engagent la responsabilité personnelle de certains gérants. Les directeurs seraient alors exposés à un risque de responsabilité évident exposés à des risques. Cela augmente lorsqu'ils doivent prendre des décisions conduisant à des traitements de données.
Laissez notre équipe d'experts vous montrer comment le traitement des données dans votre entreprise peut se dérouler conformément à la protection des données !
Français 
Deutsch 
English 
Español 
Polski