Chapitre VIII :
Voies de recours, responsabilité et sanctions

Article 77 :
Droit d'introduire une réclamation auprès d'une autorité de contrôle

§1 Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

§2 L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78.

Article 78 :
Droit à un recours juridictionnel effectif contre une autorité de contrôle

§1 Droit à un recours juridictionnel effectif contre une autorité de contrôle

§2 Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

§3 Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.

§4 Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie. Dans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée.

Intérêt à agir – Associations :

  • « L’article 80, paragraphe 2  … » du R.G.P.D. « …doit être interprété en ce sens que : la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de celles-ci. »

⚖️ CJUE, (quatrième chambre), 11 juillet 2024, affaire C‑757/22, Meta Platforms Ireland Ltd

Contrôle juridictionnel entier d’une décision de réclamation : 

  • « 1) L’article 78, paragraphe 1, du […] règlement général sur la protection des données […], doit être interprété en ce sens que : une décision sur réclamation adoptée par une autorité de contrôle est soumise à un contrôle juridictionnel entier. »

⚖️ CJUE (première chambre), 7 décembre 2023, UF AB contre Land Hessen, affaires jointes C‑26/22 et C‑64/22

Article 79 :
Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

§1 Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

§2 Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.

§3 Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

 

(1) Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).

Article 80 :
Représentation des personnes concernées

§1 La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit.

§2 Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement.

Article 81 :
Suspension d'une action

§1 Lorsqu’une juridiction compétente d’un État membre est informée qu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, elle contacte cette juridiction dans l’autre État membre pour confirmer l’existence d’une telle action.

§2 Lorsqu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, toute juridiction compétente autre que la juridiction saisie en premier lieu peut suspendre son action.

§3 Lorsque cette action est pendante devant des juridictions du premier degré, toute juridiction autre que la juridiction saisie en premier lieu peut également se dessaisir, à la demande de l’une des parties, à condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction.

 

Article 82 :
Droit à réparation et responsabilité

§1 Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

§2 Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

§3 Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

§4 Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

§5 Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.

§6 Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2.

 

1) Responsabilité  – Violation * Préjudice certain – Crainte éprouvée – Critère de fixation de la réparationPrise en compte de la législation nationale sur la protection des données dans le cadre d’une réparation, si la norme nationale précise les points du règlement :

  • « 1)      L’article 82, paragraphe 1, du règlement (UE) 2016/679 […], doit être interprété en ce sens que : une violation de ce règlement ne suffit pas, à elle seule, pour fonder un droit à réparation au titre de cette disposition. La personne concernée doit également établir l’existence d’un préjudice causé par cette violation, sans toutefois que ce préjudice doive atteindre un certain degré de gravité. »
  • « 2)      […] la crainte éprouvée par une personne que ses données à caractère personnel aient, du fait d’une violation de ce règlement, été divulguées à des tiers sans qu’il puisse être établi que tel a été effectivement le cas suffit à fonder un droit à réparation pour autant que cette crainte, avec ses conséquences négatives, soit dûment prouvée. »
  • « 3)      […] pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives prévus à l’article 83 de ce règlement et, d’autre part, de conférer à ce droit à réparation une fonction dissuasive. »
  • « 4)      […] pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu de tenir compte de violations simultanées de dispositions nationales portant sur la protection des données personnelles, mais n’ayant pas pour objet de préciser les règles de ce règlement. »

⚖️ CJUE, 20 juin 2024 ,PS (Adresse erronée), Affaire C-590/22 

2) Responsabilité – Incompatibilité du règlement avec un seuil minimis aux fins de caractériser un dommage moral – Obligation de démonstration d’un lien entre la violation du règlement et le préjudice subi :

  • Points 15 et 17 : « […]15 Eu égard à l’absence de toute référence dans l’article 82, paragraphe 1, du RGPD au droit interne des États membres, la notion de « dommage moral », au sens de cette disposition, doit recevoir une définition autonome et uniforme, propre au droit de l’Union [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 30 et 44]; […] 17 Ainsi, il ne saurait être considéré que, en sus des trois conditions énoncées au point 14 du présent arrêt, d’autres conditions d’engagement de la responsabilité prévue à l’article 82, paragraphe 1, du RGPD, telles que le caractère tangible du dommage ou le caractère objectif de l’atteinte, puissent être ajoutées. »

  • Conclusion : « L’article 82, paragraphe 1, du règlement (UE) 2016/679 […], doit être interprété en ce sens que : il s’oppose à une réglementation nationale ou à une pratique nationale qui fixe un « seuil de minimis » afin de caractériser un dommage moral causé par une violation de ce règlement. La personne concernée est tenue de démontrer que les conséquences de cette violation qu’elle prétend avoir subies sont constitutives d’un préjudice qui se différencie de la simple violation des dispositions dudit règlement. »

⚖️CJUE (troisième chambre), 14 décembre 2023, Gemeinde Ummendorf, Affaire C-456/22

3) Responsabilité – Fonction exclusivement compensatoire – absence de gravité requise – équivalence entre dommage moral et dommage corporel – indemnité minime  –  distinction entre vol de données et usurpation d’identité :

  • 1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 […], doit être interprété en ce sens que : le droit à réparation prévu à cette disposition remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice subi.
  • 2) […] : il ne requiert pas que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.
  • 3) […] : dans le cadre de la fixation du montant de dommages-intérêts dus au titre du droit à réparation d’un dommage moral, il convient de considérer qu’un tel dommage causé par une violation de données à caractère personnel n’est pas, par nature, moins important qu’un dommage corporel.
  • 4) […] : lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de celui-ci, le compenser en accordant à la personne concernée une indemnité minime, pour autant que cette indemnité soit de nature à compenser intégralement le préjudice subi.
  • 5) [voir considérants 75 et 85 du RGPD] […] : pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité.

⚖️ CJUE (troisième chambre), 20 juin 2024, Scalable Capital GmbH, affaires jointes C‑182/22 et C‑189/22

4) Responsabilité – Excuses * Compensation :

  • « 1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 […], lu à lumière de l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que : une violation de dispositions de ce règlement ne suffit pas, à elle seule, pour constituer un « dommage », au sens de cet article 82, paragraphe 1. »
  • « 2) L’article 82, paragraphe 1, du règlement 2016/679 […] doit être interprété en ce sens que : la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée. »
  • « 3) […] : il s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi. »

⚖️ CJUE (huitième chambre), 4 octobre 2024, A contre Patērētāju tiesību aizsardzības centrs, C-507/23

5) Responsabilité – démonstration de la réalité du préjudice – exonération

  • « 5) L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires. »
  • « 6) L’article 82, paragraphe 3, du règlement 2016/679 doit être interprété en ce sens que : un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement. »

⚖️ CJUE (première chambre), 4 octobre 2024, Agentsia po vpisvaniyata contre OL, Affaire C-200/23

Article 83 :
Conditions générales pour imposer des amendes administratives

§1 Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

§2 Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:

   a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi;

   b) le fait que la violation a été commise délibérément ou par négligence;

   c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

   d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32;

   e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;

   f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;

   g) les catégories de données à caractère personnel concernées par la violation;

   h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;

   i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

   j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42; et

   k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

§3 Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

§4 Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

   a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;

   b) les obligations incombant à l’organisme de certification en vertu des articles 42 et 43;

   c) les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.

§5 Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

   a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;

   b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22

   c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;

   d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;

   e) le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.

§6 Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

§7 Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

§8 L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridic­tionnel effectif et une procédure régulière.

§9 Si le système juridique d’un État membre ne prévoit pas d’amendes administratives, le présent article peut être appliqué de telle sorte que l’amende est déterminée par l’autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu’ils adoptent en vertu du présent paragraphe au plus tard le 25 mai 2018 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

 

Article 84 :
Sanctions

§1 Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives.

§2 Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.

⬅️ CHAPITRE 7
📋 SOMMAIRE 📋
➡️CHAPITRE 9