Outre la société, les directeurs sont également responsables des dommages-intérêts en cas de violation du RGPD. Cela ressort d’un arrêt de la Cour d’appel de Dresde (réf. : 4 U 1158/21).
Juridiquement, il est controversé de savoir si, en plus de la société, les directeurs peuvent également être tenus responsables envers les personnes concernées en cas de violations de la protection des données. La Cour d’appel de Dresde a désormais confirmé cette responsabilité dans un arrêt remarquable du 30 novembre 2021, selon le cabinet d’avocats MTR Rechtsanwälte.
Les explications de la Cour d’appel de Dresde sur les faits sont sommaires. Autant qu’on le sache, le demandeur souhaitait être admis dans une association enregistrée. Le directeur a donc fait mener des investigations par un détective sur le passé du demandeur. Il est alors apparu que celui-ci avait déjà commis des infractions pénales. Le directeur a transmis les résultats des enquêtes au conseil d’administration, qui a ensuite rejeté la demande d’adhésion.
Le demandeur a réclamé des dommages-intérêts pour violation de la protection des données conformément à l’article 82 du RGPD. Le tribunal régional de Dresde lui a accordé, en première instance, des dommages-intérêts non pas au montant requis de 21 000 euros, mais tout de même à hauteur de 5 000 euros. L’indemnisation doit être supportée solidairement par l’association et le directeur. La Cour d’appel de Dresde a confirmé ce jugement en appel. Le traitement illégal des données par les défendeurs justifie la demande de dommages-intérêts pour un préjudice moral. L’espionnage et la transmission des résultats ont, en outre, dépassé le seuil de bagatelle.
Conformément à l’article 82, paragraphe 1 du RGPD, toute personne ayant subi un dommage matériel ou moral en raison d’une violation de ce règlement a droit à des dommages-intérêts contre le responsable ou contre le sous-traitant.
La Cour d’appel de Dresde a déclaré que le directeur d’une société à responsabilité limitée est, en plus de la société, responsable au sens du RGPD. Ainsi, le directeur est également tenu responsable dans le cadre des demandes de dommages-intérêts. La cour n’a pas permis le recours.
Si d’autres tribunaux suivent la jurisprudence de la Cour d’appel de Dresde, cela pourrait avoir des conséquences considérables pour les risques de responsabilité des directeurs.
Des avocats expérimentés peuvent conseiller en cas de violations de la protection des données.
