Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 286

D

O

C

T

R

I

N

E

dans une même clause de responsabilité, et pour un même plafond,
tout manquement au contrat.
Une clause de responsabilité
spécifique à la protection des
données
personnelles
peut
cependant apparaître opportune,
notamment
dans
les
Data
Processing Agreements (DPA) qui
couvrent plusieurs contrats.
En effet, une telle clause peut
permettre de pallier des incertitudes encore propres à certaines
dispositions du RGPD, tenir
compte de l'évolution à anticiper des pratiques de contrôles
et
d'enquêtes
des
autorités
européennes de protection des
données personnelles ainsi que
des coûts qui ne vont cesser de
croître pour les manquements
liés à la protection des données
personnelles, en particulier en cas
de data breach.
Exemple : Une étude a montré que
le coût d'une data breach augmentait d'année en année (augmentation de 6,4 % entre 2017 et 2018),
de même que le coût moyen d'une
perte ou d'un vol de données
personnelles (augmentation de
4,8 % en un an).
Cette augmentation des coûts doit
également être mise en perspective avec la désormais possible
action de groupe ou class action
en droit français qui permet à
plusieurs personnes subissant un
dommage en termes de protection
des données personnelles ayant
une cause commune d'exercer
une action devant une juridiction
compétente. Une clause de responsabilité spécifique «  données
personnelles » peut ainsi apparaître
nécessaire en fonction du préjudice
financier
susceptible
d'être
encouru et du type de manquement considéré, notamment au
regard des contrats concernés.
Une analyse de risques s'avère
donc nécessaire pour définir le
contenu de la clause de responsabilité dite « données personnelles ».

286

Contenu
de la clause de responsabilité
« données personnelles »
L'analyse des risques doit permettre
d'identifier le préjudice envisageable,
tout
particulièrement
financier (coût des mesures de
remédiation, d'un audit ou d'une
reconstitution de données par
exemple). En fonction de ce risque,
la clause de responsabilité peut
contenir un plafond spécifique à
la protection des données personnelles. Certains contrats ou DPA
incluent ainsi expressément une
clause de responsabilité propre à
la protection des données personnelles avec un plafond spécifique.
Exemple 
:
Des
plafonds
dits «  données personnelles  » sont
parfois négociés, sur des bases
et des montants différents  : 100%
du montant du contrat concerné,
30% du chiffre d'affaires global
réalisé entre les parties (se fondant
ainsi sur l'ensemble des contrats
entre les parties), ou encore
20 millions d'euros (se fondant
ainsi sur le montant maximum de
sanction envisagé par le RGPD).
Certains contrats ou DPA sont
même plus audacieux en prévoyant
une clause spécifique pour la
protection des données personnelles avec un déplafonnement total
pour tout manquement contractuel
et pour toute action récursoire ou
appel en garantie liés à la protection
des données personnelles.
En effet, si l'article 82 du RGPD prévoit
la possibilité d'une action récursoire
d'une partie à l'encontre d'une autre
partie en cas de torts partagés dans
un dommage, cet article ne semble
concerner que les demandes de
réparation pour un manquement
entraînant un dommage matériel ou
moral impactant une ou plusieurs
personnes concernées. Or, au-delà
du manquement engendrant une
demande de réparation par la
personne concernée auprès d'une
partie, les clauses de responsabilités peuvent envisager d'autres
hypothèses  : manquement d'une
partie entraînant la mise en jeu
EXPERTISES juillet/août 2020

de sa responsabilité contractuelle, manquement entraînant la
condamnation de l'une des parties
par une juridiction ou par une
autorité administrative indépendante telle que la Cnil, etc.
Le RGPD n'encadre pas ces
situations  : il ne les précise, ni les
exclut pour autant. Dans le silence
du texte, les parties négocient donc
parfois dans la clause de responsabilité les modalités d'actions
récursoires ou appels en garantie
pour ces manquements, dans
la limite des possibilités offertes
par la loi. Il est à noter qu'il s'agit
toutefois de points d'achoppement importants et particulièrement difficiles à négocier, et pour
lesquels une solution de repli doit
être en amont envisagée afin
d'éviter de bloquer les négociations
de manière trop durable.
Les éventuelles conditions d'inopposabilité du contenu d'une telle
clause, en particulier de son
plafond, doivent en outre être
envisagées et prises en compte
dans la négociation.

Opposabilité du plafond
« données personnelles »
Si le contenu de la clause de
responsabilité «  données personnelles » intègre de telles hypothèses
d'actions récursoires ou appels
en garantie, ainsi qu'un plafond
spécifique, il convient toutefois de
s'interroger sur l'opposabilité de ce
plafond.
En effet, une partie pourrait
invoquer l'existence d'une faute
lourde ou d'un dol pour écarter le
plafond applicable.
Point d'attention  : La faute lourde
pourrait être caractérisée, par
exemple pour un sous-traitant
en charge de l'hébergement de
données, par des manquements
à ses obligations de sécurité et de
confidentialité, par une interruption
des services rendus sans instruction
du responsable de traitement, par
une violation des données personnelles impactant les données du
responsable de traitement, etc.



Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - DONNÉES DE SANTÉ : VENT CONTRAIRE POUR MICROSOFT
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - TRANSMETTRE L’IMMATÉRIEL
DOCTRINE
RESPONSABILITÉ - QUE RESTERA-T-IL DE LA LOI AVIA ?
DONNÉES PERSONNELLES - PLATEFORMES ET TRANSACTIONS DES DONNÉES MÉDICALES EN CHINE
DONNÉES PERSONNELLES - CRISE SANITAIRE : LES LIBERTÉS FONDAMENTALES À L’ÉPREUVE DU TRAÇAGE NUMÉRIQUE
CONTRATS ET RGPD - CLAUSE DE RESPONSABILITÉ : POINT D’ACHOPPEMENT PRINCIPAL DE NÉGOCIATION
DONNÉES PERSONNELLES - LA RECONNAISSANCE FACIALE DES LYCÉENS CENSURÉE PAR LE TRIBUNAL ADMINISTRATIF DE MARSEILLE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - DONNÉES DE SANTÉ : VENT CONTRAIRE POUR MICROSOFT
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 257
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 258
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 259
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 260
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 261
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 263
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 264
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 265
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - TRANSMETTRE L’IMMATÉRIEL
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 267
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 268
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 269
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 270
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - RESPONSABILITÉ - QUE RESTERA-T-IL DE LA LOI AVIA ?
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 272
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 273
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 274
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - PLATEFORMES ET TRANSACTIONS DES DONNÉES MÉDICALES EN CHINE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 276
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 277
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 278
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 279
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - CRISE SANITAIRE : LES LIBERTÉS FONDAMENTALES À L’ÉPREUVE DU TRAÇAGE NUMÉRIQUE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 281
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 282
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 283
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 284
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS ET RGPD - CLAUSE DE RESPONSABILITÉ : POINT D’ACHOPPEMENT PRINCIPAL DE NÉGOCIATION
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 286
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 287
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - LA RECONNAISSANCE FACIALE DES LYCÉENS CENSURÉE PAR LE TRIBUNAL ADMINISTRATIF DE MARSEILLE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 289
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 290
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 291
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 292
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com