Ensuite, les parties peuvent se répartir la titularité de certaines obligations A cet

Paragraphe 2 : Une logique contractuelle partiellement préservée

99. Ensuite, les parties peuvent se répartir la titularité de certaines obligations A cet

égard, leur liberté n’est pas absolue car elles ne doivent pas dénaturer la répartition des rôles imposée par les textes278_{. Mais, une alternative leur est librement ouverte pour certaines}

obligations. Par exemple, l’information de la personne concernée au moment de la collecte des données peut être assurée par le responsable du traitement ou par le sous-traitant279_{. De même,}

la réponse aux demandes des personnes concernées relatives à l’exercice de leurs droits peut être à la charge, d’une part, soit du responsable, soit du sous-traitant280_{et, d’autre part, soit de}

l’exportateur, soit de l’importateur dans le cas d’un contrat de transfert281_{. Par ailleurs,}

276_{V. supra n° 48.} 277_{V. supra n° 64.}

278_{En particulier, le sous-traitant n’est pas censé déterminer les moyens et finalités du traitement et son obligation}

d’assistance du responsable est inhérente à sa mission.

279_{V. par ex. CNIL, exemple de clauses pour la sous-traitance, 2017, clause IV, §7.} 280_{V. par ex. CNIL, exemple de clauses pour la sous-traitance, 2017, clause IV, §8.} 281_{V. par ex. CCT pour le transfert de responsable à responsable, 2004, clause I, d).}

s’agissant des obligations dont la titularité est partagée par les parties, telle que l’obligation de sécurité du traitement, le contrat peut librement indiquer qui doit prendre telle ou telle mesure visant à assurer le respect de cette obligation. La répartition sera alors un aspect important des négociations et il est conseillé que le contrat prévoit une « description factuelle du rôle de chacun »282_{. La répartition contractuelle sera en effet déterminante en matière de responsabilité.}

100. Enfin, les parties peuvent se servir du contrat pour aménager leur responsabilité

civile283_{car ses stipulations seront prises en compte tant au stade de l’obligation que de la}

contribution à la dette. S’agissant, d’abord, de l’obligation à la dette, il faut distinguer selon que les partenaires sont ou non tous soumis au RGPD. S’ils le sont tous, l’article 82 prévoit que les responsables ou sous-traitants, qui ont participé au même traitement et qui n’établissent pas que le dommage ne leur pas imputable, sont responsables in solidum284_{à l’égard de la victime. En}

revanche, si l’un prouve que le dommage ne lui est pas imputable, il n’a pas à indemniser la victime. Dès lors, lorsqu’elles négocient le contrat, les parties peuvent avoir à l’esprit qu’il sera un instrument de preuve utile pour démontrer qu’un dommage, causé par l’inexécution d’une obligation à la charge de l’autre partie, ne leur est pas imputable. Si toutes les parties ne sont pas soumises au RGPD, autrement dit dans le cas du transfert, seul l’exportateur sera soumis au régime de responsabilité prévu par le règlement et pourra être tenu d’indemniser intégralement la victime, le dommage lui étant nécessairement imputable en cas de transfert illicite. En revanche, l’importateur ne sera responsable in solidum que si cela est prévu par le contrat285_{. S’agissant, ensuite, de la contribution à la dette, les stipulations librement négociées}

seront décisives à deux égards. D’une part, les parties peuvent stipuler des clauses limitatives ou élusives de responsabilité qui joueront dans leurs rapports dans les conditions prévues par le droit commun. D’autre part, indépendamment ou à défaut de clauses relatives à la

282_{F.-L. Simon et A. Bounedjoum, « RGPD : quelles nouvelles règles en matière de responsabilité et quels impacts}

sur les contrats ? », précité.

283_{S’agissant des responsabilités administratives et pénales, si l’autorité ou le juge peut tenir compte du contrat}

car celui-ci peut indiquer qui devait satisfaire à telle ou telle obligation, le responsable du traitement comme l’exportateur peuvent être sanctionnés pour un manquement attribuable à leur partenaire (v. supra n° 61). Les parties ne peuvent pas non plus stipuler que l’une devra rembourser l’amende administrative ou pénale payée par l’autre car cela porterait atteinte à la nature personnelle et punitive de la sanction.

284_{A. Danis-Fatôme, « Contrat et détermination des responsabilités subséquentes à la violation de la}

règlementation relative à la protection des données personnelles », RDC, 2018, p. 555.

285_{Il n’est pas impossible que les prochaines CCT reprennent les dispositions de l’article 82 pour les adapter au}

RGPD, la directive ignorant la question de la responsabilité civile. Toutefois, plus de deux ans après l’entrée en application du règlement, la Commission ne semble pas pressée d’adopter de nouvelles CCT et, surtout, s’agissant du transfert de responsable à responsable, le passage d’une responsabilité solidaire dans le jeu de clauses de 2001 à une responsabilité conjointe dans celui de 2004 était intentionnel et majoritairement apprécié au motif qu’il éviterait de décourager l’usage des CCT (A. Debet, J. Massot et N. Metallinos, op. cit., n° 1746, p. 694).

responsabilité, la contribution à la dette est fonction de l’imputabilité du dommage à chaque coresponsable286_{. Puisque le texte prévoit qu’un responsable du traitement ou sous-traitant n’est}

responsable que si le dommage lui est imputable, l’on peut faire deux interprétations pour résoudre cette incohérence apparente. Soit le texte ne régit les recours contributifs que dans les cas où l’une des parties n’a pas réussi à prouver, dans l’instance relative à l’indemnisation de la personne concernée, que le dommage ne lui est pas imputable mais y parvient dans le cadre du recours contributif. Soit, et c’est certainement l’interprétation à retenir, le texte permet, en substance, de revenir au droit commun, qui prévoit que la contribution est fonction de la gravité des fautes287_{et de la contribution causale de chacune des fautes au dommage}288_{. Autrement dit,}

au stade de l’obligation, une partie est obligée in solidum dès lors que le dommage lui est, ne serait-ce que pour une part infime, imputable tandis qu’il faut tenir compte de l’imputabilité causale effective des fautes au stade de la contribution. C’est donc en réalité à ce second stade plus qu’au premier que les stipulations négociées par les parties seront décisive : au premier, le juge pourra être tenté de retenir, pour favoriser l’indemnisation et compte-tenu du devoir de vérification pesant sur le responsable du traitement et l’exportateur, que le dommage est imputable à toutes les parties ; au second, en revanche, il vérifiera quelle partie devait réaliser l’obligation dont l’inexécution a causé le dommage et déterminera la contribution en conséquence.

101. In fine, les questions de la titularité des obligations et de la responsabilité étant tout

sauf anodines pour les parties, il reste en matière de protection des données une place non négligeable pour la négociation289_{et l’on ne peut pas dire que la logique contractuelle est}

totalement écartée. Ces négociations, car il ne pourrait à vrai dire pas en aller autrement, sont guidées par les intérêts des parties. Le partage des obligations et de la responsabilité qui en résulte n’est pas toujours celui qui est le mieux à même d’assurer la protection des données. Si l’atteinte au mécanisme contractuel par la protection des données personnelles n’est donc pas irrésistible, le mécanisme contractuel ne permet pas nécessairement de protéger efficacement les données personnelles.

286_{RGPD, art. 82, §5.}

287_{Civ. 3, 26 avril 2006, n° 05-10.100, Bull. civ. III, n° 100.}

288_{Civ. 3, 13 juin 1990, n° 88-18.095 et n° 88-19.188, Bull. civ. III, n° 148.}

Chapitre 2 : L’efficacité limitée du contrat pour la protection des

Dans le document Contrat et protection des données personnelles. Étude des articles 26, 28 et 46 du RGPD (Page 61-64)