En cas de manquement RGPD, le responsable peut-il s’exonérer de sa responsabilité? Difficilement, voire quasiment pas, au regard du principe de responsabilité.
Conséquence directe, le caractère non-intentionnel, involontaire de la violation est sans effet (AEPD, Free Energy, n° PS-00099-2022 ; Délibération de la formation restreinte n° SAN-2022-023 du 19 décembre 2022).
De la même façon, les faits commis par un membre du personnel, sans instruction du responsable de traitement, permettent au mieux d’envisager un cumul de responsabilité entre l’employeur et l’employé (APD belge 27 janvier 2022, EUDisinfoLab). Il n’en irait autrement que si le 2nd passait outre les instructions du 1er en matière de sécurité, sans autorisation du responsable de traitement (https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques ; GPDP, 8 juin 2023, Rinascente, n° 9909907)
Plus sévèrement peut-être, l’autorité belge a considéré, dans une décision préliminaire, que la survenance d’un problème technique dans la transmission d’une demande RGPD au responsable de traitement ne constituait pas un moyen de défense susceptible de prospérer : APD Belge, 2 février 2023, n° 06-2023. Le rigorisme de la décision réside tient à ce que l’obligation du responsable de traitement s’élève au niveau d’une obligation de résultat.
La « faute de la victime »? Si elle peut limiter ou écarter l’indemnisation prévue à l’article 82 du RGPD (LG Bielefeld, 10 mars 2023, n° 19 O 147-22), il reste probable qu’elle soit retenue, la personne concernée ne pouvant pas dispenser le responsable de traitement de ses obligations.
Hormis pour la sécurité des données – qui relève d’une obligation de moyens et pour laquelle la démonstration du caractère apparemment suffisant des mesures pourrait être justificative – la seule défense pourrait donc tenir au cas de force majeure ou au fait d’un tiers.