- Cour suprême du Royaume-Uni : l’employeur n’est pas responsable de la divulgation intentionnelle et arbitraire de données par un employé s’il n’existe pas de lien “so closely connected”.
- Test déterminant : la divulgation doit être si étroitement liée à des actes licites qu’elle est considérée comme l’exercice du travail.
- Droit suisse : l’art. 55 CO exige un lien fonctionnel pour la responsabilité de l’employeur ; les obligations de diligence et de compliance exonèrent.
- Les membres du CA sont responsables vis-à-vis de l’AG en cas de violation de leurs obligations (organisation, surveillance, ressources) ; décharge généralement exclue pour les organes.
La Cour suprême du Royaume-Uni a jugé, dans un arrêt Jugement du 1er avril 2020 et contrairement aux deux instances précédentes, la chaîne de supermarchés WM Morrison Supermarkets plc n’est pas responsable (civilement) lorsqu’un employé révèle de son propre chef et intentionnellement des données personnelles de près de 100’000 collaborateurs. Cette violation de la protection des données – en l’occurrence criminelle et punie de huit ans de prison – n’est pas suffisamment liée aux tâches de l’employé concerné. Le tribunal décrit le standard correspondant comme suit :
la question est de savoir si la divulgation des données de Skelton était si étroitement liés par des actes qu’il était autorisé à accomplir, aux fins de la responsabilité de son employeur à l’égard des tiers, sa divulgation déloyale peut être considérée de manière juste et appropriée comme ayant été faite par lui tout en agissant dans le cours ordinaire de son emploi.
Ce n’était clairement pas le cas ici. Il ne suffit pas que l’employé ait eu la possibilité de commettre cette infraction en raison de ses fonctions.
Après le droit suisse la responsabilité civile de l’employeur pour les dommages s’apprécie selon des critères similaires :
- Responsabilité pour les auxiliairesSelon l’art. 55 CO (il s’agit ici en général de cas de responsabilité extracontractuelle), l’employeur est responsable du dommage causé par un tiers. Travailleur (pour autant qu’il ne soit pas un organe, sinon l’art. 55 CC s’applique), pour autant qu’il existe un rapport de subordination entre l’employeur et l’auxiliaire (sinon une responsabilité solidaire des deux est envisageable) et que le dommage ait été causé par l’auxiliaire “dans l’exercice de ses fonctions ou de son activité professionnelle”. Cela exige un “lien fonctionnel“entre l’activité d’auxiliaire et le dommage. Pour se prémunir contre de telles responsabilités, l’employeur doit faire preuve de la diligence requise, ce qui exige une organisation du travail adéquate. Dans le domaine de la protection des données, cela devrait inclure une organisation adéquate de la conformité, en tout cas dans la mesure où la conformité vise à prévenir les violations de la protection des données susceptibles de causer un préjudice à la personne concernée (cela devrait notamment inclure une sécurité des données adéquate). En particulier, le fait que l’auxiliaire s’écarte des instructions ne fait pas encore disparaître le lien fonctionnel, raison pour laquelle la preuve libératoire reste décisive dans un tel scénario.
- Responsabilité du fait des activités des organes : Selon l’art. 55 CC ou l’art. 722 CO, l’entreprise n’est également responsable des actes extrajudiciaires de ses organes (formels ou matériels) que s’il existe un lien fonctionnel entre le délit correspondant et la qualité d’organe. Mais dans ce cas, une preuve libératoire est par nature exclue (car l’organe fait partie du sujet de la responsabilité lui-même).
Le site Membres du CA d’une SA de leur côté, sont responsables vis-à-vis de l’AG si celle-ci est devenue responsable parce qu’un auxiliaire ou un organe a causé un dommage dans le lien fonctionnel requis (art. 717 et 754 CO ; le cas échéant, également si l’AG est mise à l’amende). Cela présuppose que le membre du CA concerné a violé son devoir de diligence et de loyauté. L’ignorance du CA, le manque d’indépendance, l’organisation insuffisante et le manque de ressources peuvent donc fonder une responsabilité du CA.