L'employeur n'est pas responsable pour une violation des données à caractère personnel commise par un employé
Dans Wm Morrison Supermarkets plc vs Various Claimants [2020] UKSC 12 du 1er avril 2020, la Cour suprême du Royaume-Uni a infirmé les jugements de la High Court et de la Court of Appeal en écartant la responsabilité d’un employeur du fait d’autrui. En effet les magistrats ont jugé qu'un supermarché n'était pas responsable du fait de son salarié, data controller (contrôleur des données), pour une violation du Data Protection Act 1998.
La Cour suprême a estimé que les circonstances dans lesquelles le salarié avait commis la divulgation illicite de données de paye des salariés n'étaient pas vraiment liées à des actes entrant dans le champ de son emploi donc autorisés par son employeur. Le salarié ayant agi hors de ses fonctions, la responsabilité de l’employeur ne pourrait donc être engagée.
Toutefois la Cour suprême a également considéré qu'en vertu du Data Protection Act 1998 (en vigueur au moment des faits), la responsabilité du fait d'autrui s'appliquait à tout manquement aux obligations légales et à la common law de manière générale, commis par un salarié dont le poste est contrôleur de données, agissant dans le cadre de ses fonctions.
Finalement, il ressort de la décision que les employeurs ne seront responsables des délits commis par un salarié en vertu de la responsabilité du fait d'autrui lorsqu'il existe un lien suffisant entre les fonctions par les caractéristiques de celles-ci et l'acte répréhensible.
En droit français, l’employeur ne peut dégager sa responsabilité que s’il apporte la preuve que le salarié a commis un abus de fonction, c’est à dire lorsqu’il a agi "hors de ses fonctions, sans autorisation et à des fins étrangères à ses attributions" (Cour de Cassation, Assemblée Plénière, 19 mai 1988).
La responsabilité du fait d’autrui de droit anglais
Il existe un test en deux étapes pour déterminer si l’employeur peut être retenu responsable d’un délit commis par un de ses salarié:
o Existe-t-il une relation entre le principal fautif (le salarié) et la personne présumée responsable (l’employeur), susceptible d'engager la responsabilité du fait d'autrui soit celle de l’employeur?
o Le lien entre l'emploi et l'acte ou l'omission illicite est-il si étroit qu'il serait juste et raisonnable d'imposer une responsabilité de l’employeur?
Cette décision peut venir rassurer les employeurs puisqu'ils ne seront pas toujours responsables des violations de données commises par des salariés commettant des actes frauduleux.
Contact:
Emmanuelle Ries - Associée, Solicitor
