Les risques en cas de violation du RGPD par votre entreprise sont nombreux : plainte devant l’Autorité de protection des données, perte de confiance/réputation, amende administrative,…
Dans certaines circonstances, la personne concernée pourrait également réclamer à votre entreprise réparation de son dommage.
Quels sont les contours de ce droit et les conséquences potentielles pour votre entreprise ?
Quelles sont les conditions du droit à réparation ?
Ce droit est subordonné à la réunion de 3 conditions cumulatives :
- Une violation du RGPD
La personne concernée doit démontrer que votre entreprise a violé une disposition du RGPD.
Pour ce faire, elle pourrait, par exemple, fournir la preuve que ses données à caractère personnel ont fait l’objet d’une cyberattaque et ont été diffusées sur internet.
- Un dommage subi
La personne concernée doit également démontrer qu’elle a subi un dommage qui peut être tant matériel que moral.
Il pourrait s’agir de la perte de contrôle sur les données à caractère personnel, d’un vol ou d’une usurpation d’identité, d’une perte financière, d’une atteinte à la réputation, etc.
- Un lien de causalité entre la violation et le dommage
La personne concernée doit enfin démontrer l’existence d’un lien de cause à effet entre la violation du RGPD par votre entreprise et le dommage qu’elle invoque.
Quelles sont les conséquences pour votre entreprise ?
La personne concernée souhaitant obtenir réparation de son préjudice doit saisir le juge compétent, et non l’APD.
Si le juge estime que les trois conditions mentionnées ci-dessus sont effectivement réunies, votre entreprise pourrait être condamnée à réparer le préjudice subi par la personne concernée, par le paiement de dommages et intérêts.
En droit belge, le préjudice individuel sera probablement peu élevé, mais la note pourrait devenir salée pour votre entreprise si de nombreuses personnes sont victimes de la violation de données et revendiquent un dommage.
Cette procédure judiciaire pourrait par ailleurs être cumulée avec une procédure devant l’APD et une éventuelle sanction prononcée par celle-ci (réprimande, ordre de mise en conformité, limitation du traitement, amende administrative…).
Quels sont les moyens de défense ?
Votre entreprise peut évidemment contester la réunion des 3 conditions énumérées ci-dessus, à savoir faute, dommage et lien de causalité.
Concernant la faute, en tant que responsable du traitement, vous serez présumé responsable du dommage causé par le traitement qui constitue la violation.
Pour échapper à votre responsabilité, vous devrez démontrer :
- soit avoir agi en parfaite conformité avec le RGPD,
- soit que le fait qui a provoqué le dommage ne vous est pas imputable (en invoquant une cause étrangère comme un cas de force majeure). Par exemple, une inondation imprévisible qui endommage les serveurs de votre entreprise et qui entraîne la disparition des données de la personne concernée ou encore une cyberattaque malgré la mise en œuvre de mesures de sécurité suffisantes.
Our advice:
Une communication maladroite lors d’une violation de données, tout comme l’absence de communication, pourrait susciter des craintes du public, et donc des plaintes devant l’APD ou des demandes d’indemnisation. N’hésitez pas à vous faire assister.
Soyez attentif aux contrats conclus avec vos sous-traitants, qui pourraient prévoir un plafond de responsabilité en cas de dommage causé par votre prestataire.
Vérifiez si votre couverture d’assurance actuelle inclut votre propre dommage (par exemple en cas de cyberattaque) et le dommage des personnes concernées.