Dans son jugement du 30 novembre 2021 (numéro de dossier 4 U 1158/21), le tribunal régional supérieur de Dresde a condamné non seulement une société, mais aussi son gérant en tant que débiteur solidaire au paiement de dommages et intérêts conformément au RGPD. Le tribunal a également considéré le gérant comme responsable au sens du RGPD. Ainsi, l'associé est personnellement responsable aux côtés de la société.
Si les tribunaux devaient poursuivre cette décision, cela aurait de graves conséquences pour la pratique.
Les faits
Le plaignant a introduit une demande d'adhésion auprès d'une association. Au nom de l'association, la société (plus précisément son directeur) est intervenue pour vérifier le passé pénal du demandeur. Pour ce faire, elle a engagé un détective privé, qui a ensuite fourni des résultats pertinents sur le plan pénal. Finalement, le directeur a informé le conseil d'administration, qui a donc refusé l'adhésion du plaignant.
Le plaignant a considéré qu'il s'agissait d'une violation de la protection des données et a poursuivi en justice non seulement l'association, mais aussi la société avec le directeur en question pour obtenir des dommages et intérêts d'un montant de 5.000€ en vertu de l'article 82 du RGPD.
La décision du tribunal
Dans sa décision, la Cour d'appel de Dresde a dû clarifier plusieurs questions relatives à la protection des données. La question la plus émouvante pour la pratique est celle de savoir si le gérant qui a engagé le détective privé et transmis les résultats est personnellement responsable à côté de la société.
Dans le cadre de cette question, il fallait déterminer si le gérant était lui-même responsable et si son action constituait un traitement injustifié de données à caractère personnel. En outre, la question se posait de savoir si l'espionnage de données pouvait donner lieu à une demande de dommages et intérêts en vertu de l'article 82 du RGPD.
Gérant en tant que responsable au sens de l'article 4, point 7, du RGPD
Le tribunal a tout d'abord constaté qu'il y a responsabilité au sens du RGPD "chaque fois qu'une personne physique ou morale peut décider et décide, seule ou conjointement avec d'autres, des finalités et des moyens du traitement de données à caractère personnel". Si un employé agit sur la base d'instructions, sa responsabilité disparaît donc en règle générale. En revanche, le gérant qui prend lui-même ces décisions relève de la notion de responsable au sens du RGPD.
La critique porte sur le fait que le tribunal ne fait que reproduire les définitions du RGPD sans s'y intéresser de manière plus détaillée. Il aurait notamment fallu se pencher sur la jurisprudence de la CJUE concernant l'interprétation de la notion de responsable. La qualification globale du gérant en tant que responsable sans aborder son domaine d'activité et sa dépendance vis-à-vis de l'assemblée des associés n'est guère convaincante.
Espionnage en tant que traitement de données à caractère personnel au sens de l'article 4, points 1 et 2, du RGPD
Le tribunal ne s'attarde pas sur la question du traitement des données à caractère personnel. Les informations relevant du droit pénal sont des données à caractère personnel au sens de l'article 4, point 1, du RGPD. En engageant un détective privé pour espionner le plaignant et en transmettant ensuite les données obtenues au conseil d'administration, il y a également traitement au sens de l'article 4, point 2, du RGPD. Il s'agit en particulier de la collecte, de la saisie, de la divulgation par transmission et de la consultation.
Illégalité du traitement
Le plaignant n'avait pas donné son consentement au traitement. Le traitement est donc illégal, dans la mesure où aucun motif justificatif légal ne s'applique.
Le tribunal explique qu'il n'y a pas non plus d'intérêt légitime au sens de l'article 6 I, lettre f du RGPD. Si l'on met en balance les intérêts du plaignant et du défendeur, l'espionnage du plaignant n'était même pas nécessaire. Il existait une alternative moins invasive, qui consistait à demander au plaignant de fournir un certificat de bonne conduite à la police.
En outre, le tribunal constate que l'espionnage effectué par le détective privé "est également contraire à l'article 10 du RGPD, qui n'autorise en principe le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes que sous le contrôle des autorités". Ce point de vue est tout à fait critiqué, car il interdirait aussi de manière générale à l'employeur d'exiger des certificats de bonne conduite de ses employés.
Dommages et intérêts en vertu de l'article 82 du RGPD
Le tribunal constate que l'espionnage des données dans le cas présent dépasse le seuil de minimisation et peut donc donner lieu à une demande de dommages et intérêts. Les données espionnées ont en outre été connues d'un plus grand nombre de personnes, ce qui porte gravement atteinte aux intérêts du plaignant.
En tenant compte de "la nature, la gravité, la durée de la violation, le degré de la faute, les mesures prises pour atténuer le préjudice subi par les personnes concernées, les violations antérieures pertinentes et les catégories de données à caractère personnel concernées", le tribunal a fixé le montant des dommages et intérêts à 5.000€. Le tribunal ne s'est toutefois pas étendu sur la détermination concrète du préjudice moral.
Conclusion
Même si la décision de la Cour d'appel de Dresde est tout à fait contestable dans cette affaire, le risque existe que d'autres tribunaux suivent son avis et engagent la responsabilité personnelle de certains gérants. Les directeurs seraient alors exposés à un risque de responsabilité évident. Ce risque augmente lorsqu'ils doivent prendre des décisions qui entraînent des traitements de données.
Laissez notre équipe d'experts vous montrer comment le traitement des données dans votre entreprise peut se dérouler conformément à la protection des données !
Français 
Deutsch 
English 
Español 
Polski