Les conditions de mise en oeuvre de la responsabilité pour troubles de voisinage

Aux côtés de la théorie de l’abus de droit, la jurisprudence a construit la théorie de l’excès de droit de propriété aux fins d’appréhender ce que l’on appelle les troubles de voisinage.

La situation de voisinage comporte généralement des inconvénients. Certains comportements peuvent excéder ces inconvénients normaux, sans toutefois être constitutifs d’une faute au sens de l’article 1240 du Code civil.

Aussi, Geneviève Viney et Patrice Jourdain ont-ils pu écrire que « les inconvénients liés au voisinage doivent être supportés jusqu’à une certaine limite, parce qu’ils sont inhérents à la vie en société ; au-delà de ce seuil, la responsabilité sera engagée, même en l’absence de faute de l’auteur, parce que la gêne devient intolérable et ne peut plus être justifiée par des relations de voisinage ».

Au nombre de ces troubles qui sont de nature à menacer la paix sociale entre voisins, on compte les bruits, les odeurs malsaines, les fumées délétères d’usine, les aboiements de chien, le plancher qui craque, les ébranlements, les poussières de chantier, la réduction de l’ensoleillement etc.

La difficulté ici est donc d’appréhender des troubles de voisinage susceptibles de causer un dommage à autrui sans pour autant que l’on puisse reprocher une quelconque faute à leur auteur.

I) Les conditions tenant à l’existence de troubles de voisinage

A) Notion de trouble

Classiquement, le trouble est défini comme une atteinte aux conditions de jouissance du bien d’autrui. Il s’apparente, autrement dit, à une nuisance.

Les formes que peut prendre cette nuisance sont innombrables (bruit, odeurs, fumée, privation d’ensoleillement, vibration, poussières, émanations etc.)

Afin d’apprécier le trouble il convient de se placer du point de vue de la victime. Le trouble est, en effet, ce qui est ressenti par elle et non ce qui est produit.

Il en résulte que, ni l’intention de nuire, ni la faute ne sont des conditions ne conditionnent la caractérisation d’un trouble. Peu importe donc que l’activité de l’auteur du trouble soit licite ou illicite (V. en ce sens Cass. 2e civ., 17 févr. 1993).

Seule compte la gêne, la nuisance occasionnée à la victime qui est affectée dans la jouissance de son bien.

B) Caractérisation du trouble

Après avoir déterminé ce que l’on devait entendre par trouble, la question qui se pose de savoir à partir de quand peut-on considérer qu’une nuisance est constitutive d’un trouble ?

Un simple un désagrément causé à la victime suffit-elle à engager la responsabilité de l’auteur de ce désagrément ou faut-il que la nuisance présente une intensité particulière ? Où doit-on placer le curseur sur l’échelle de la nuisance ?

À l’examen, pour que le trouble engage la responsabilité de son auteur, encore faut-il, d’une part, qu’il cause un préjudice à la victime et, d’autre part, que ce préjudice soit réparable.

Bien qu’ils entretiennent une proximité pour le moins étroite, trouble et préjudice ne se confondent pas.

Le trouble correspond, en effet, au fait générateur de la responsabilité (bruit), tandis que le préjudice n’en est la conséquence (maux de tête).

Il en résulte que le trouble peut parfaitement exister, sans pour autant causer de préjudice à la victime, à tout le moins de préjudice réparable.

La caractérisation du trouble doit ainsi être envisagée indépendamment de la question du préjudice qui ne peut donc pas se déduire de la nuisance dont se plaint la victime.

C) Extension de la notion de trouble

À l’examen, la jurisprudence a progressivement adopté une approche extensive de la notion de trouble, en reconnaissant qu’il pouvait également consister, d’une part, en un risque, d’autre part en une gêne esthétique.

==> L’extension de la notion trouble au risque éventuel occasionnée

 Plusieurs arrêts rendus par la Cour de cassation ont retenu l’attention en ce qu’ils ont admis que le trouble puisque consister en le risque créé pour le voisinage

Dans un arrêt du 10 juin 2004, la deuxième chambre civile a, par exemple, jugé s’agissant d’une propriété située en bordure d’un golf que la contrainte pour le propriétaire de vivre sous la menace constante d’une projection de balles qui devait se produire d’une manière aléatoire et néanmoins inéluctable, et dont le lieu et la force d’impact, comme la gravité des conséquences potentielles, étaient totalement imprévisibles était constitutive d’un trouble, en ce sens que cette menace excédait dans de fortes proportions ceux que l’on pouvait normalement attendre du voisinage d’un parcours de golf (Cass. 2e civ. 10 juin 2004, n°03-10434).

Ainsi le trouble ne s’apparente pas seulement en une nuisance tangible qui doit nécessairement se produire, il peut également consister en une simple menace qui pèse sur le voisinage, telle la menace de recevoir à tout moment des balles de golf dans sa propriété.

Dans un arrêt du 24 février 2005, la Cour de cassation est allée plus loin en jugeant que « la présence d’un tas de paille à moins de 10 mètres de la maison des époux X… stockage qui, selon lui posait un problème au niveau de la sécurité incendie, ainsi qu’un dépôt de paille dans une grange située à proximité de l’immeuble des intimés ; que, le stockage de paille ou de foin, en meules à l’extérieur ou entreposé dans une grange est bien de nature à faire courir un risque, dès lors qu’il était effectué en limite de propriété et à proximité immédiate d’un immeuble d’habitation ; que si la paille est effectivement un produit inerte, il n’en demeure pas moins que son pouvoir de combustion est particulièrement rapide et important, et qu’une simple étincelle peut suffire à provoquer son embrasement ; que, compte-tenu du risque indéniable qu’elle faisait courir à l’immeuble des époux X…, la proximité immédiate du stockage de paille de Mme Y… constituait pour ceux-ci un trouble anormal de voisinage, auquel il devait être remédié » (Cass. 2e civ. 24 févr. 2005, n°04-10362).

Ainsi, pour la deuxième chambre civile le simple risque d’incendie, bien que, sa réalisation ne soit, par hypothèse, qu’éventuelle, peut être constitutif d’un trouble.

Il s’agit là d’une approche pour le moins extensive de la notion de trouble, en ce qu’il consiste ici en une gêne psychologique, soit non tangible.

==> L’extension de la notion de trouble à la gêne esthétique occasionné

Dans un arrêt du 9 mai 2001, la Cour de cassation jugé que « la dégradation du paysage et de l’environnement urbain » peut constituer « un trouble anormal et excessif de voisinage, peu important qu’une telle opération eût été réalisée conformément aux règles de l’urbanisme ».

La deuxième chambre civile admet ainsi que l’on puisse compter parmi les troubles de voisinage la gêne esthétique.

Cette décision, n’est pas sans avoir fait réagir la doctrine qui s’est demandé si la haute juridiction n’était pas allée trop loin dans l’extension de la notion de trouble.

Dans un arrêt du 8 juin 2004, la Cour de cassation a semblé revenir sur sa position en excluant l’existence d’un trouble excédant les inconvénients normaux du voisinage s’agissant de l’édification d’un immeuble qui privait le fonds voisin de la vue sur mer (Cass. 1ère civ. 8 juin 2004, n°02-20906).

Elle a néanmoins fait machine arrière, un an plus tard, dans l’arrêt du 24 février 2005 aux termes duquel elle admet que l’importance de dépôts de machines usagées, caravane, camion et autres matériels divers entreposés en limite de propriété ou stationnements prolongés de matériels hors d’usage ou usagés, à proximité immédiate du fonds voisin, était source d’une gêne esthétique anormale pour ceux-ci, d’autant plus injustifiée que, eu égard à la taille de sa propriété, l’auteur de la nuisance était en mesure de procéder sans difficulté au stockage de ces biens en un endroit plus éloigné de la limite des deux fonds, dans des conditions qui ne soient pas susceptibles de nuire à ses voisins (Cass. 2e civ. 24 févr. 2005, n°04-10362)

D) La préexistence du trouble

Très tôt la question s’est posée en jurisprudence de la recevabilité de l’action engagée à l’encontre du voisin qui se serait installé antérieurement à la victime des troubles.

Il ne s’agit pas ici de s’intéresser au contexte général dans lequel s’inscrit l’immeuble, mais à la prééxistence, apparente, du gêneur particulier duquel émane le trouble.

Doit-on admettre que l’antériorité d’installation confère à l’occupant une immunité contre les actions fondées sur les troubles de voisinage ou doit-on considérer que cette situation est sans incidence sur le droit à indemnisation de la victime du trouble ?

La réponse à cette question est réglée par la théorie dite de la « pré-occupation » laquelle a donné lieu à une évolution de la jurisprudence, sous l’impulsion du législateur.

==> Évolution

  • La position orthodoxe de la jurisprudence
    • Dans un premier temps la jurisprudence refusait catégoriquement d’écarter l’indemnisation de la victime de troubles de voisinage au seul nom de l’antériorité d’installation de l’auteur des nuisances (V. en ce sens civ., 18 févr. 1907).
    • Une certaine doctrine soutenait pourtant que lorsque le trouble préexistait de manière apparente à l’installation de la victime, cette dernière avait, en quelque sorte, accepté les risques.
    • Or pour mémoire, l’acceptation des risques constitue, en matière de responsabilité délictuelle, un fait justificatif susceptible d’exonérer l’auteur du dommage de sa responsabilité.
    • Bien que audacieuse, cette thèse n’a pas convaincu les juridictions qui, en substance, considéraient que l’antériorité d’occupation de l’auteur des troubles ne pouvait, en aucune manière, lui conférer une immunité civile.
    • L’admettre, serait revenu pour la jurisprudence à légaliser la création d’une servitude en dehors du cadre défini à l’article 691 du Code civil, lequel prévoit que « les servitudes continues non apparentes, et les servitudes discontinues apparentes ou non apparentes, ne peuvent s’établir que par titres».
    • Considérant que la position adoptée par la Cour de cassation manquait de souplesse, le législateur est intervenu en 1976.
  • L’assouplissement de la règle par le législateur
    • Le législateur est intervenu dès 1976 pour assouplir la position pour le moins orthodoxe de la jurisprudence.
    • Aussi, a-t-il introduit un article L. 421-9 dans le Code de l’urbanisme, que la loi du 4 juillet 1980 a, par suite, transféré à l’article L. 112-16 du Code de la construction et de l’habitation.
    • Cette disposition prévoit que « les dommages causés aux occupants d’un bâtiment par des nuisances dues à des activités agricoles, industrielles, artisanales, commerciales, touristiques, culturelles ou aéronautiques, n’entraînent pas droit à réparation lorsque le permis de construire afférent au bâtiment exposé à ces nuisances a été demandé ou l’acte authentique constatant l’aliénation ou la prise de bail établi postérieurement à l’existence des activités les occasionnant dès lors que ces activités s’exercent en conformité avec les dispositions législatives ou réglementaires en vigueur et qu’elles se sont poursuivies dans les mêmes conditions. »
    • À l’examen, ce texte prévoit un certain nombre de cas qui exonèrent, sous certaines conditions, l’auteur des dommages de toute responsabilité au titre des troubles anormaux du voisinage en raison de l’antériorité de son occupation.
    • Il s’agit là, en quelque sorte d’une servitude d’intérêt économique qui est consentie aux personnes qui exploitent des activités agricoles, industrielles, artisanales, commerciales, touristiques, culturelles ou aéronautiques.
    • La règle posée par la jurisprudence aux termes de laquelle l’antériorité de l’installation est sans incidence sur le droit à indemnisation d’une victime de troubles de voisinage est ainsi assortie d’exceptions.
  • L’intervention du Conseil constitutionnel
    • Dans le cadre d’un litige engagé par des propriétaires pour qu’il soit mis fin à des troubles anormaux du voisinage causés par les clients d’un relais routier dont le parking est contigu à leur habitation, la Cour de cassation a été saisie aux fins que soit portée devant le Conseil constitutionnel une question prioritaire de constitutionnalité ( 3e civ., 27 janv. 2011, n° 10-40.056).
    • La question posée était de savoir si l’article L. 112-16 du code de la construction et de l’habitation portait atteinte aux droits et libertés garantis par la Constitution en ses articles 1 à 4 de la Charte de l’environnement de 2004 intégrée au préambule de la Constitution de 1958 ?
    • À cette question, le Conseil constitutionnel a, dans une décision du 8 avril 2011, répondu par la négative, considérant que « l’article L. 112-16 du code de la construction et de l’habitation interdit à une personne s’estimant victime d’un trouble anormal de voisinage d’engager, sur ce fondement, la responsabilité de l’auteur des nuisances dues à une activité agricole, industrielle, artisanale, commerciale ou aéronautique lorsque cette activité, antérieure à sa propre installation, a été créée et se poursuit dans le respect des dispositions législatives ou réglementaires en vigueur et, en particulier, de celles qui tendent à la préservation et à la protection de l’environnement ; que cette même disposition ne fait pas obstacle à une action en responsabilité fondée sur la faute ; que, dans ces conditions, l’article L. 112-16 du code de la construction et de l’habitation ne méconnaît ni le principe de responsabilité ni les droits et obligations qui résultent des articles 1er à 4 de la Charte de l’environnement» ( const., 8 avr. 2011, n° 2011-116 QPC).

==> Conditions

L’application de l’article L. 112-16 du Code de la construction et de l’habitation est subordonnée à la réunion de plusieurs conditions :

  • L’exploitation d’une activité agricole, industrielle, artisanale, commerciale ou aéronautique
    • La prise en compte de l’antériorité de l’installation ne bénéficie qu’aux seules personnes qui exploitent des activités agricoles, industrielles, artisanales, commerciales, touristiques, culturelles ou aéronautiques.
    • À cet égard, la Cour de cassation se refuse à toute extension du champ d’application de l’article L. 112-16 qui fait l’objet d’une interprétation stricte.
    • Ainsi, a-t-elle refusé, par exemple, qu’il puisse être invoqué dans le cadre d’un litige opposant des copropriétaires (V. en ce sens ass. 3e civ., 23 janv. 1991).
  • L’exigence d’antériorité du trouble
    • L’article L. 112-16 du Code de la construction et de l’habitation prévoit que seules les activités qui « se sont poursuivies dans les mêmes conditions» que celles qui existaient au moment de l’installation de la victime du trouble.
    • Si, autrement dit, les conditions d’exercice de l’activité se sont transformées postérieurement à l’installation de la victime et que la survenance du trouble procède de cette transformation, alors l’auteur des nuisances ne pourra se prévaloir d’aucune immunité.
    • Dans un arrêt du 18 janvier 2005, la Cour de cassation a jugé en ce sens que bien que l’activité agricole des exploitants était antérieure à l’installation des victimes des nuisances, ces nuisances avaient pour origine l’accroissement d’un élevage qui est intervenu postérieurement à cette installation.
    • La troisième chambre civile en déduit que les requérants étaient parfaitement fondés à solliciter une indemnisation à raison de l’existence de troubles qui excédaient les inconvénients normaux du voisinage ( 3e civ. 18 janv. 2005, n°03-18914).
  • L’existence de conformité de l’activité aux lois et règlements
    • L’article L. 112-16 du Code de la construction et de l’habitation n’est applicable qu’à la condition que l’exercice de l’activité agricole, industrielle, artisanale, commerciale ou aéronautique soit conforme aux lois et règlements.
    • Dans le cas contraire, l’antériorité de l’activité sera inopposable à la victime des troubles de voisinage.
    • Dans un arrêt du 13 janvier 2005, la Cour de cassation a, par exemple, considéré qu’une activité antérieure à l’installation du voisin, mais dont la légalité n’est clairement établie que postérieurement à cette installation, est une activité postérieure à l’installation de l’article L. 112-16 du Code de la construction de l’habitation (V. en ce sens 2e civ. 13 janv. 2005, n°04-12.623).
    • Dans un autre arrêt du 10 juin 2004, la question s’est posée de savoir si, en l’absence de réglementation spécifique de l’activité, l’article L. 112-16 pouvait s’appliquer.
    • Dans cette décision, le voisin d’un golf se plaignait des balles qui atterrissaient régulièrement dans sa propriété, ce qui était de nature à troubler la jouissance de son bien.
    • Reste qu’il s’était installé postérieurement à l’exploitation de ce golf, si bien que l’on eût pu penser que l’article L. 112-16 était applicable au cas particulier.
    • C’est sans compter sur la Cour de cassation qui, dans cette affaire, a jugé « qu’en l’absence de texte définissant les règles d’exploitation d’un terrain de golf autre que le règlement du lotissement qu’elle n’a pas dénaturé, la société Massane loisirs ne pouvait utilement invoquer en l’espèce les dispositions de l’article L. 112-16 du Code de la construction et de l’Habitation qui ne prévoient une exonération de responsabilité que si l’activité génératrice du trouble s’exerce conformément aux dispositions législatives et réglementaires en vigueur, de sorte qu’il convenait de faire application du principe général selon lequel l’exercice même légitime du droit de propriété devient générateur de responsabilité lorsque le trouble qui en résulte pour autrui dépasse la mesure des obligations ordinaires du voisinage» ( 2e civ. 10 juin 2004, n°03-10434).

II) Les conditions tenant à l’anormalité de troubles de voisinage

Pour que le trouble de voisinage soit de nature à engager la responsabilité de son auteur, encore faut-il qu’il soit anormal.

Dans la mesure où, en matière de responsabilité fondée sur les troubles de voisinage, il est indifférent qu’une faute puisse être reprochée à l’auteur des nuisances, l’anormalité ne se confond pas avec l’illicéité.

En effet, un trouble peut parfaitement n’être en contravention avec aucun texte et pourtant être anormal et, par voie de conséquence, ouvrir droit à réparation pour la victime.

À l’analyse, il ressort de la jurisprudence que l’anormalité du trouble est caractérisée lorsque deux conditions cumulatives sont réunies :

  • Le trouble présente un certain degré de gravité
  • Le trouble est persistant et récurrent

==> Sur la gravité du trouble

Seul le trouble de voisinage qui présente une gravité suffisante engage la responsabilité de son auteur. Les désagréments mineurs et qui, au fond, sont inhérents aux rapports de voisinage et plus généralement à la vie en société ne sont pas sanctionnés.

Seul l’excès ouvre droit à réparation, soit lorsque le trouble atteint un certain niveau de désagrément.

La jurisprudence retient ainsi la responsabilité de l’auteur d’un trouble lorsqu’il « excède les inconvénients normaux de voisinage » (Cass. 2e civ. 16 juill. 1969).

À l’évidence, la notion d’« anormalité » est une notion relative qui ne peut pas s’apprécier intrinsèquement.

Elle requiert, en effet, une appréciation in concreto en tenant compte des circonstances de temps (nuit et jour) et de lieu (milieu rural ou citadin, zone résidentielle ou industrielle), mais également en prenant en considération la perception des personnes qui se plaignent (V. en ce sens Cass. 3e civ., 14 janvier 2004, n°01-17.687).

Aussi, convient qu’il faut désigner seulement par trouble « anormal » celui que les voisins n’ont pas l’habitude de subir dans telle région et à telle époque. Car au fond, ce qu’on doit supporter de ses voisins, et ce que, pour leur être supportable, on doit éviter, est affaire de convenance et d’usage, donc de temps et de lieu.

C’est la raison pour laquelle le caractère excessif du trouble doit s’apprécier compte tenu de toutes les circonstances du cas et notamment de sa permanence . À cet égard, ce trouble dommageable est caractérisé par l’aggravation des embarras inhérents au voisinage se traduisant notamment par toutes dégradations de vie.

Dans ce cadre, les juges du fond apprécient souverainement le caractère anormal du trouble (Cass. 2e  civ., 27 mai 1999, n° 97-20488) ainsi que les mesures propres à le faire cesser (Cass. 2e civ., 9 octobre 1996, n° 94-16616).

Dans un arrêt du 13 juillet 2004, la Cour de cassation a ainsi opposé à l’auteur d’un pourvoi contestant la caractérisation d’un trouble par la Cour d’appel que « d’une part, que sous le couvert du grief non fondé de manque de base légale au regard de l’article 1382 du Code civil, la première branche du moyen ne tend qu’à remettre en discussion le pouvoir souverain des juges du fond en ce qui concerne l’existence de troubles anormaux du voisinage » (Cass. 1ère civ. 13 juill. 2004, n°02-15176).

Cela n’empêche pas la Cour de cassation d’exercer un contrôle étroit sur la motivation de la Cour d’appel quant à la caractérisation du trouble.

==> Sur la persistance et la récurrence du trouble

L’anormalité du trouble ne procède pas seulement de sa gravité : la nuisance doit encore être persistance et récurrente.

Dans un arrêt du 5 février 2004, la deuxième chambre civile a, par exemple, jugé que « procédant d’une appréciation souveraine des éléments de preuve et desquels il ressort que les troubles, qui, en raison de leur durée, ne résultaient plus d’un cas de force majeure, excédaient les inconvénients normaux du voisinage, la cour d’appel a légalement justifié sa décision » (Cass. 2e civ. 5 févr. 2004, n°02-15206).

Ainsi, pour ouvrir droit à indemnisation le trouble doit être continu, à tout le moins répétitif. S’il n’est que très ponctuel, il ne saurait présenter un caractère anormal.

Assurance de dommages : le cumul d’assurances

Principe indemnitaire. Le contrat d’assurance a pour objet de garantir à l’assuré, en cas de réalisation du risque couvert, la compensation économique du dommage éprouvé. En toute hypothèse, le principe indemnitaire interdit à l’assureur de servir une prestation qui dépasserait le montant de la valeur de la chose assuré au moment du sinistre (C. assur., art. L. 121-1, al. 1er). Le bénéficiaire de l’assurance ne saurait être replacé dans une situation meilleure que celle qui aurait été la sienne si le sinistre ne s’était pas produit. Le texte est d’ordre public. Autrement dit, la valeur assurée ne peut en aucun cas être supérieur à la valeur assurable. Aucune clause de la police ne peut y faire obstacle. Une solution inverse inciterait l’assuré à l’imprudence, voire le conduirait à provoquer le dommage. L’article L. 121-1 C. assur. prohibe l’assurance-risque et la spéculation (voy. l’article : “L’intérêt d’assurance : Notion et fonctions”). Au vrai, la pratique des franchises et des plafonds atteste que l’assureur accepte rarement de couvrir la valeur totale du préjudice souffert. Quant à l’assuré, qui est libre – sauf cas d’assurance obligatoire – de souscrire un contrat d’assurance, il est en droit de ne faire garantir par l’assureur qu’un capital inférieur au montant du dommage susceptible de le frapper. Il est alors en situation dite de sous-assurance (terme issu de la pratique).

Excès d’assurance. Si la valeur assurée se révélait supérieure à la valeur assurable, l’assurance serait dite excessive. Dans le langage courant des assurances, on parle de surassurance (terme générique).

L’excès d’assurance peut résulter de la souscription d’un unique contrat pour une somme supérieure à la valeur du sinistre possible. C’est ce que l’on appelle, la surassurance simple (v. article « Assurance de dommages : la surassurance simple). Il peut également être provoqué par la souscription au profit d’un même assuré de plusieurs contrats garantissant le même risque. C’est ce que l’on appelle les assurances cumulatives.

Cumul d’assurances. Il y a cumul d’assurances, au sens de l’article L. 121-4, al. 1er, C. assur., dès lors qu’une personne est assurée « auprès de plusieurs assureurs, par plusieurs polices, pour un même intérêt et contre un même risque ».

Un pareil cumul résulte, dans la plupart des cas (sauf le cas de figure de l’assuré qui souscrit une assurance pour le même objet auprès de plusieurs assureurs qui garantissent chacun une fraction de la valeur dudit objet) d’un excès d’assurance susceptible de porter atteinte au principe indemnitaire pour peu que le souscripteur entende tirer profit simultanément de l’ensemble des contrats conclus. Obtenant plusieurs indemnisations à l’occasion de la survenance d’un dommage unique, l’intéressé serait injustement enrichi.

Division. Les critères du cumul d’assurances (1). Le régime du cumul d’assurances (2)

1.- Les critères du cumul d’assurances

Pluralité de polices et d’assureurs. L’article L. 121-4 C. assur. pose la condition d’une multiplicité de polices. On ne saurait parler de cumul sans que plusieurs assurances n’aient été souscrites. La loi conditionne également la nullité de la garantie à la multiplicité des assureurs. Pour cause : si les polices, dont les garanties se recoupent, sont stipulées auprès d’un seul assureur, le risque de cumul est des plus hypothétiques. Avisé de l’ensemble des garanties souscrites, l’assureur refusera de les faire jouer au-delà du montant des dommages effectivement soufferts par l’assuré. La situation est comparable à celle qui résulte d’une assurance simple. En l’occurrence, c’est bien plutôt l’article L. 121-3 C. assur. qui doit recevoir application (régime de la surassurance).

Excès d’assurance. L’article L. 121-4 C. assur. n’envisage pas expressément l’excès d’assurance au nombre des critères de l’assurance cumulative. Pourtant, il va sans dire que le régime du cumul est subordonné à cette condition. La somme des indemnités que chacun des assureurs est susceptible de verser doit excéder le montant du dommage possible. Pour mémoire, la réglementation du cumul entend empêcher la violation du principe indemnitaire (v. supra).

L’excès d’assurance permet de distinguer les assurances cumulatives d’autres formes d’assurances multiples. Ainsi, lorsque plusieurs assureurs couvrent ensemble un même risque, ce que l’on appelle la coassurance, chacun garantit une fraction déterminée du sinistre. Intégralement indemnisé, mais sans enrichissement indu ; le principe indemnitaire est sauf. Il en va de même en cas d’assurances dites par lignes, dans lesquelles chacun des assureurs prend en charge un même risque mais ne couvre qu’une tranche déterminée du dommage. Le premier assureur couvre la 1ère tranche du sinistre jusqu’à un certain montant, et le second n’intervient qu’à la condition que le coût du sinistre dépasse le plafond fixé par le 1er contrat.

Simultanéité des garanties. L’excès d’assurances suppose nécessairement l’existence d’un cumul d’assurances. Si l’un des contrats est suspendu (C. assur., art. L. 113-3, al. 2) ou résilié (C. assur., art. L. 113-3, al. 3), le risque d’enrichissement de l’assuré est forcément exclu. Il ne saurait y avoir d’atteinte portée au principe indemnitaire.

Identité de risque. Le cumul d’assurances suppose que les différentes assurances en présence aient pour objet la couverture d’un même risque. C’est l’exemple du chef de famille qui souscrit auprès de plusieurs assureurs, par des contrats distincts, une garantie responsabilité civile pour les dommages causés par ses enfants dans le cadre d’activités de loisir (v. C. assur., art. L. 121-2). Bien souvent, ce risque est garanti par au moins trois contrats souscrits auprès d’assureurs différents : assurance multirisques habitation ou vie privée, assurance scolaire et extrascolaire, assurance de l’activité sportive ou de loisirs concernée. C’est encore l’exemple de l’assurance de responsabilité civile individuelle souscrite par un chasseur et l’assurance de responsabilité civile souscrite par une société de chasse au profit de ses membres.

À noter qu’en l’absence d’identité de risque, les assurances ne sont pas cumulatives, mais alternatives.

Identité d’intérêt. L’identité d’intérêt est une condition expresse d’existence du cumul d’assurances. Dispose d’un tel intérêt, la personne dont le patrimoine est susceptible d’être atteint par la réalisation du risque garanti et qui est susceptible de recueillir l’indemnité due par l’assureur en cas de sinistre.

Identité de souscripteur. L’identité de souscripteur est une condition distincte et autonome de l’identité d’intérêt. Dans sa rédaction antérieure à la loi du 13 juillet 1982, l’article L. 121-4 C. assur. visait « celui qui s’assure », non pas celui qui est assuré. En droit québécois, l’article 2496 C.civ. dispose que « celui qui, sans fraude, est assuré auprès de plusieurs assureurs, par plusieurs polices, pour un même intérêt et contre un même risque, de telle sorte que le calcul des indemnités qui résulterait de leur exécution indépendante dépasse le montant du préjudice subi, peut se faire indemniser par le ou les assureurs de son choix n’étant tenu que pour le montant auquel il s’est engagé ». Interprété à la lettre, le texte faisait de l’identité du souscripteur une condition d’existence du cumul. La jurisprudence retenait cependant le cumul d’une assurance pour compte et d’une assurance de chose prises contre un même risque et dans l’intérêt d’un unique assuré par deux souscripteurs différents (v. par ex. les comm. sous c.assur. Litec, art. L. 121-3). L’exemple type est celui du transporteur de marchandises qui souscrit, en sus de sa propre assurance de responsabilité, une assurance de biens pour le compte du propriétaire de marchandises, lequel a bien souvent souscrit une assurance pour garantir la perte éventuelle de ses marchandises. Dans sa rédaction actuelle, l’article précité mentionne « celui qui est assuré auprès de plusieurs assureurs ». Par ce changement de formulation, le législateur entendait viser les assurances pour compte et prendre acte de la jurisprudence développée sous l’empire de l’ancien texte. Pourtant, la Cour de cassation affirme depuis lors que les dispositions de l’article L. 121-4 c.assur. ne sont applicables que si un même souscripteur a souscrit auprès de plusieurs assureurs des contrats d’assurance pour un même intérêt et contre un même risque (Cass. 1ère civ., 21 nov. 2000, Bull. civ. I, n° 292, Resp. civ. et assur. 2001, comm. 63 et note 5, H. Groutel – 29 oct. 2002, Bull. civ. I, n° 242, Resp. civ. et assur. 2003, comm.. 57, note H. Groutel – 17 févr. 2005, Resp. civ. et assur. 2005, comm.. 171, note H. Groutel). Exit toute possibilité de cumul entre assurance pour compte et assurance de chose. De ce point de vue, on peut légitimement regretter le risque d’enrichissement du propriétaire encouru, du reste, en raison d’une interprétation extra legem (voire contra legem) de l’article L. 121-4 C. assur. (« celui qui est assuré auprès de plusieurs assureurs (…) »).

2.- Le régime du cumul d’assurances

Obligation de déclaration. L’article L. 121-4, al. 1er, c.assur. oblige l’assuré en situation de cumul d’assurances à « donner immédiatement à chaque assureur connaissance des autres assureurs ». L’assuré doit donc déclarer ses assurances cumulatives multiples, et ce dès la souscription du second contrat, qui fait naître le cumul ou bien dès que le tiers assuré aura pris connaissance de l’existence d’une deuxième assurance souscrite à son profit. Une pareille déclaration a pour objet de prévenir toute atteinte au principe indemnitaire. À certains égards, il va de l’intérêt de l’assuré qui se dispensera du paiement d’une prime excessive (faculté de demander au surplus une réduction proportionnelle des assurances). La loi et les tribunaux n’imposent aucune forme particulière. L’article L. 121-4, al. 2, C.assur. se contente, dans une formule lapidaire, d’exiger que l’assuré, lors de cette communication, fasse connaître le nom de l’assureur avec lequel une autre assurance a été contractée et qu’il indique la somme assurée. Pour des raisons évidentes de preuve, ladite communication doit être adressée par lettre recommandée avec demande d’avis de réception.

En pratique, l’efficacité de cette obligation de déclaration est douteuse : l’omission est fréquente. Tantôt, les assurés ignorent être bénéficiaires d’assurances cumulatives, tantôt les assurés ignorent l’existence de cette obligation. Du reste, l’omission n’est pas sanctionnée. L’assuré n’est pas constitué en faute ; la loi n’édicte à son encontre aucune présomption de mauvaise foi. Mais, en toutes hypothèses, les assurances cumulatives frauduleuses seront sanctionnées.

Assurances cumulatives frauduleuses. Quand plusieurs assurances contre un même risque sont contractées de manière dolosive ou frauduleuse, la nullité est encourue (c.assur., art. L. 121-4, al. 3). En outre, des dommages et intérêts peuvent être réclamés (c.assur., art. L. 121-3, al. 1, in fine).

La fraude consiste pour l’assuré à souscrire plusieurs contrats d’assurance avec l’intention, en cas de réalisation du risque garanti, de percevoir une pluralité d’indemnités. Conformément au droit de la preuve, il appartient à l’assureur de rapporter les faits nécessaires au succès de sa prétention (C. proc. civ., art. 9). Autrement dit, l’assureur doit prouver la mauvaise foi de l’assuré ; la chose est peu aisée. On sait pourtant combien « la preuve est la rançon des droits ». L’absence de déclaration de cumul ne constitue pas ipso facto l’assuré en faute. En pratique, la fraude apparaîtra à l’occasion de la réalisation du risque, lorsque l’assuré, ayant déclaré le sinistre à plusieurs assureurs, tentera de percevoir des indemnités dont le montant cumulé dépasse la valeur du dommage subi.

Conformément au droit commun, le domaine de la nullité est circonscrit. L’article L. 121-4 c.assur. suppose une fraude commise au moment de la conclusion du contrat. La preuve est diabolique : il est fréquent que les éléments de preuve dont dispose l’assureur établissent l’intention malhonnête de l’assuré une fois seulement le sinistre réalisé, et non au jour de la souscription des polices. Du reste, il est possible que l’intention frauduleuse ne naisse dans l’esprit de l’assuré qu’au jour de la réalisation du sinistre, lequel succombe à la tentation de percevoir une indemnité double voire triple, alors qu’il avait souscrit les différents contrats en toute bonne foi. Un dicton : l’occasion fait le larron ! Dans cette hypothèse, c’est la déchéance pour exagération frauduleuse des conséquences du sinistre qu’il convient de faire jouer et non pas la sanction de l’article L. 121-4 c.assur. La déchéance n’étant toutefois pas, à proprement parler, une sanction légale mais conventionnelle, une clause spéciale de la police d’assurance doit encore l’avoir prévue (c.assur., art. L. 112-4).

La sanction de la fraude est la nullité de l’ensemble des assurances cumulatives frauduleusement contractées (c.assur., art. L. 121-4, al. 3). On aura garde de noter que contre la lettre de la loi (c.assur., art. L. 112-4), la jurisprudence décide qu’il est indifférent que la police n’ait pas prévu cette sanction (Cass. 1ère civ., 9 nov. 1981, D. 1983, p. 303, note Cl. Berr et H. Groutel). La sanction est lourde : l’assuré est privé de toute garantie. Le cas échéant, il doit restituer les indemnités perçues à l’occasion d’un précédent sinistre. Le droit à des dommages et intérêts fonde l’assureur à conserver les indemnités perçues en vertu du contrat annulé.

Assurances cumulatives non frauduleuses (ou faute de preuve de l’intention dolosive). Les assurances cumulatives, dont le caractère frauduleux n’est pas avéré, sont valables (c.assur., art. L. 121-4, al. 4). « Le bénéficiaire du contrat peut obtenir l’indemnisation de ses dommages en s’adressant à l’assureur de son choix ». La loi dispose que l’assuré, qui donne avis à l’assureur d’un sinistre de nature à entraîner la garantie de son assureur ( c.assur., art. L. 113-2, 4°), oblige ce dernier à la dette d’indemnité. Autrement dit, l’assureur ne peut pas refuser de payer en opposant à son assuré l’existence des autres contrats. Toute clause, qui subordonnerait la mise en œuvre du contrat qui la contient à l’absence, l’insuffisance ou la défaillance d’une autre assurance, est prohibée (Cass. 1ère civ. 16 juin 1987, Bull. civ. I, n° 193). L’assuré n’est plus obligé de diviser ses poursuites (ce qui était le cas avant la loi du 13 juill. 1982) et d’assigner l’ensemble des assureurs pour obtenir l’indemnisation totale à laquelle il a droit. Par ailleurs, il ne s’agirait pas que l’assuré espérât s’enrichir. Si le cumul ne doit pas lui nuire, il ne doit pas non plus lui profiter. La loi dispose que l’indemnité due par l’assureur à l’assuré ne doit excéder le montant de la garantie promise ni ne doit dépasser le montant de la valeur de la chose assurée au moment du sinistre (C. assur., art. L. 121-1, al. 1 sur renvoi art. L. 121-4, al. 4). En pratique, l’assuré de bonne foi réclame une indemnisation à celui des assureurs qui lui offre la garantie la plus complète. S’il s’avérait que la garantie était insuffisante, il lui serait loisible de se tourner vers un autre assureur de son choix aux fins d’indemnisation complémentaire, dans la limite bien entendu de la valeur déclarée de la chose. Une fois les prestations indemnitaires servies, l’assureur solvens peut se prévaloir de l’existence des autres polices pour ne pas souffrir seul la charge finale de l’indemnisation (c.assur., art. L. 121-4, al. 5). Les recours en contribution étant relativement coûteux, il existe des conventions entre assureurs qui les écartent.

Assurance de dommages : la surassurance simple

Principe indemnitaire. Le contrat d’assurance a pour objet de garantir à l’assuré, en cas de réalisation du risque couvert, la compensation économique du dommage éprouvé. En toute hypothèse, le principe indemnitaire interdit à l’assureur de servir une prestation qui dépasserait le montant de la valeur de la chose assuré au moment du sinistre (C. assur., art. L. 121-1, al. 1er). Le bénéficiaire de l’assurance ne saurait être replacé dans une situation meilleure que celle qui aurait été la sienne si le sinistre ne s’était pas produit. Le texte est d’ordre public. Autrement dit, la valeur assurée ne peut en aucun cas être supérieure à la valeur assurable. Aucune clause de la police ne peut y faire obstacle. Une solution inverse inciterait l’assuré à l’imprudence, voire le conduirait à provoquer le dommage (voy. l’article “L’intérêt d’assurance : Notion et fontions”). L’article L. 121-1 C. assur. prohibe l’assurance-risque et la spéculation. Au vrai, la pratique des franchises et des plafonds atteste que l’assureur accepte rarement de couvrir la valeur totale du préjudice souffert. Quant à l’assuré, qui est libre – sauf cas d’assurance obligatoire – de souscrire un contrat d’assurance, il est en droit de ne faire garantir par l’assureur qu’un capital inférieur au montant du dommage susceptible de le frapper. Il est alors en situation dite de sous-assurance (terme issu de la pratique).

Excès d’assurance. Si la valeur assurée se révélait supérieure à la valeur assurable, l’assurance serait dite excessive. Dans le langage courant des assurances, on parle de “surassurance”. L’excès d’assurance peut résulter de la souscription d’un unique contrat pour une somme supérieure à la valeur du sinistre possible. C’est ce que l’on appelle, la surassurance simple. Il peut également être provoqué par la souscription au profit d’un même assuré de plusieurs contrats garantissant le même risque. C’est ce que l’on appelle les assurances cumulatives (v. article « Assurance de dommages : le cumul d’assurances).

Surassurance simple. Il y a surassurance simple dès lors que l’on est assuré pour une somme supérieure au dommage que l’on peut effectivement subir.

Il résulte de cette définition que la réglementation fixée à l’article L. 121-3 c.assur. ne s’applique qu’aux assurances de dommages. Seuls sont visés les contrats comprenant l’indication d’une valeur assurée et garantissant l’indemnisation de dommages dont il est possible de mesurer par avance le coût maximum (assurances comportant une valeur d’assurance déterminable). Seules les assurances de choses et de responsabilité déterminée tombent sous le coup de l’article précité. Les assurances de responsabilité indéterminée (assurances automobile), qui couvrent des dommages dont le montant ne peut être connu qu’une fois le risque réalisé demeurent exclues du champ d’application de la règle légale.

La surassurance n’est pas ipso jure sanctionnée. L’article L. 121-3, al. 2 C. assur. énonce « s’il n’y a eu ni dol ni fraude, le contrat est valable ». Et le premier alinéa de disposer : « Lorsqu’un contrat d’assurance a été consenti pour une somme supérieure à la valeur de la chose assurée, s’il y a eu dol ou fraude de l’une des parties, l’autre partie peut en demander la nullité et réclamer, en outre, des dommages et intérêts ». Aussi, il importe d’établir la fraude commise par le souscripteur ou par l’assureur : fraus omnia corrumpit.

1.- La surassurance frauduleuse

Il y a dol de la part de l’assuré, lorsqu’il fait garantir une somme excessive dans le seul but d’obtenir, en cas de sinistre, une somme supérieure au dommage réellement subi. La loi sanctionne en l’occurrence l’intention frauduleuse de se procurer un profit illégitime. En pratique, l’assureur n’a aucun intérêt à réclamer la nullité du contrat en l’absence de sinistre. Pour échapper au paiement de l’indemnité, il lui est loisible d’opposer une clause de déchéance pour exagération frauduleuse du dommage.

Il y a fraude de la part de l’assureur lorsqu’il exagère consciemment la valeur assurée en vue d’encaisser des primes plus élevées. L’hypothèse est d’école. En pratique, le montant de la somme assurée est fixé soit unilatéralement par l’assuré (contrat souscrit en valeur déclarée), soit d’un commun accord par les parties (contrat souscrit en valeur agréée).

La nullité a un rôle préventif. Elle dissuade l’assuré de commettre la fraude qui pourrait l’enrichir. En cela, elle participe du principe indemnitaire.

La nullité a un effet curatif. Elle entraîne l’anéantissement rétroactif du contrat. Le retour au statu quo ante implique que l’assureur doit restituer les primes qu’il a reçues et que l’assuré rembourse les indemnités qui lui ont été payées. Et la loi de prévoir que la victime de la fraude peut réclamer en outre des dommages-intérêts (C. assur., art. L. 121-3, al. 1er, in fine).

2.- La surassurance non frauduleuse

La bonne foi se présumant, la surévaluation sera considérée comme non frauduleuse chaque fois que la surévaluation de la valeur du bien assuré (ou du dommage possible) est involontaire, mais aussi lorsque la fraude ou le dol de l’une des parties n’a pu être établi celui qui argue de la nullité du contrat.

L’article L. 121-3, al. 2 C. assur. prévoit que la surassurance non frauduleuse, faite de bonne foi, ne donne lieu qu’à une réduction de l’assurance pour la ramener dans les proportions autorisées par la loi : la valeur assuré est corrigée pour correspondre à la valeur assurable, et le montant des primes est réduit en proportion.

La réduction du contrat peut être demandée par l’une ou l’autre des parties et à tout moment. Avant la survenance du sinistre, l’assureur est peu enclin à la réclamer sauf s’il craint, une fois le dommage réalisé, de ne pas être en mesure de démontrer la surassurance, ce qui le conduirait à verser une indemnité supérieur à la valeur du sinistre. En pratique, c’est bien plutôt l’assuré qui demande une semblable réduction dans l’intention de réduire la prime payée. Inversement en cas de sinistre, la réduction interviendra à l’initiative de l’assureur dans le dessein de servir une indemnité inférieure au montant de la valeur assurée.

La réduction n’a pas d’effet rétroactif. L’assuré ne sera donc pas en droit de réclamer à l’assureur l’excédent de prime versé pendant toute la période où l’assurance était excessive. A l’avenir toutefois, il paiera une prime moindre, c’est-à-dire à la prochaine échéance (C. assur., art. L. 121-3, al. 2).

L’intérêt d’assurance : Notion et fonction

L’assureur de dommages est obligé à la dette à la condition que le bénéficiaire du contrat ait un intérêt à la non-réalisation du risque garanti. L’article L. 121-6 C. assur. énonce : « Toute personne ayant intérêt à la conservation d’une chose peut la faire assurer. Tout intérêt direct ou indirect à la non-réalisation d’un risque peut faire l’objet d’une assurance ». Au vu de cet énoncé, l’intérêt est un élément essentiel de l’assurance (v.  not. Magali Provost, La notion d’intérêt d’assurance, préf. F. Leduc, t. 51, LGDJ, 2009 ; F. Leduc in H. Groutel, M. Asselain, F. Leduc, Ph. Pierre, Traité du contrat d’assurance terrestre, LGDJ 2008).

Il est acquis en jurisprudence que, « en l’absence d’intérêt, l’assurance est un pari et encourt la nullité » (Cass. req., 3 janv. 1876, S. 1876, 1, 105).  Au vrai, cette exigence est très ancienne. On la trouve dès le XVe siècle dans les textes régissant l’assurance maritime. Par exemple, les ordonnances de Barcelone de 1435 et 1484 et de Bilbao (1560) prohibent les paris sur les risques d’autrui, en exigeant du souscripteur qu’il affirme sous la foi du serment son titre de propriété sur le navire assuré. En France, l’Ordonnance de la Marine de 1681 (dite Ordonnance de Colbert, http://gallica.bnf.fr/) exige la présence d’un risque réel auquel est exposé le souscripteur ou l’assuré pour compte.

L’exigence d’un intérêt se limite aux assurances de dommages, à tout le moins en droit français (cmp. loi belge du 25 juin 1992). La loi ne subordonne pas la validité des assurances de personnes à la constatation d’un intérêt chez le bénéficiaire de la police d’assurance à la non-réalisation du risque garanti. La légistique (science de la composition des lois ; étude systématique des méthodes de rédaction des textes de loi) l’atteste. D’une part, l’article L. 121-6 C. assur. figure dans un titre du code qui regroupe les règles propres aux assurances de dommages. D’autre part, l’article L. 132-1 C. assur. prévoit que « la vie d’une personne peut être assurés par elle-même ou par un tiers, et l’article L. 132-2 se borne à exiger à peine de nullité le consentement écrit de l’assuré lorsque l’assurance décès est contractée par un tiers.

L’intérêt d’assurance est une condition essentielle à la validité du contrat d’assurance de dommages. Afin d’être à même d’apprécier le rôle de l’intérêt d’assurance, sa fonction (2), il importe de cerner au préalable la notion (1).

1.- La notion d’intérêt d’assurance

Le langage courant définit l’intérêt comme « ce qui importe, ce qui est utile ou avantageux ». L’intérêt ainsi compris, le Code des assurances subordonne la validité du contrat au fait qu’il présente une utilité pour celui qui le souscrit, où à tout le moins pour celui qui est susceptible d’en bénéficier.

L’utilité requise doit être caractérisée, non pas quelconque. Pour mémoire, l’article L. 121-1 C. assur. définit l’assurance de dommages comme un contrat d’indemnité. C’est donc un intérêt à la souscription d’un contrat d’indemnité dont l’objet est de dédommager le bénéficiaire de la prestation de l’assureur d’un préjudice patrimonial subi à raison de la réalisation du risque garanti. En un mot, le contrat doit prémunir l’assuré contre un risque d’appauvrissement. L’intérêt est fondamentalement la cause du contrat d’assurance, non pas l’objet de l’obligation comme paraît le suggérer le texte : à savoir, le but que les parties poursuivent en concluant le contrat, la raison qu’elles ont de le passer, l’intérêt qu’elles cherchent à satisfaire.

« L’intérêt est à la fois la raison de l’assurance, comprise comme le fait d’être exposé à un risque, et le but de l’assurance, entendu comme la recherche d’une protection contre le risque en question »[1].

Le défaut d’intérêt d’assurance peut découler de l’absence de risque préexistant à la conclusion d’un contrat ou de l’inadaptation de l’assurance pour garantir le type de risque encouru.

2.- La fonction de l’intérêt d’assurance

Le rôle de l’intérêt d’assurance est apprécié tant au stade de l’exécution du contrat d’assurance qu’à celui de sa formation. On peut ainsi faire appel à cette notion pour établir une éventuelle situation de surassurance (voy. l’article “La surassurance simple”), pour déceler un cumul d’assurances (voy. l’article “Le cumul d’assurances”) pour identifier le bénéficiaire d’une assurance souscrite pour le compte de qui il appartiendra (s’il ne devait pas être nommé désigné par la police) ou encore calculer le montant maximal de l’indemnité due par l’assureur.

L’article L. 121-6 C. assur. en fait formellement une condition de validité du contrat d’assurance sanctionnée par la nullité. C’est ce qui doit retenir l’attention.

Historiquement, l’exigence d’un intérêt s’explique par une volonté de prohiber le recours à l’assurance en vue d’un pari. L’assurance et le pari sont des contrats aléatoires (art. 1964 c.civ. abrogé depuis le 1er oct. 2016 (ord. n° 2016-131, 10 févr. 2016). Voy. depuis art. 1108, al. 2, nouv. c.civ.). Par définition, un contrat aléatoire introduit le hasard dans le champ contractuel. Mais de deux façons opposées : tantôt le hasard est ce contre quoi on se protège, tantôt il est ce que le contrat vient défier. Portalis, dans sa présentation au corps législatif du titre du Code civil consacré aux contrats aléatoires, fit observer que « ces contrats sont le produit de nos espérances et de nos craintes. On veut tenter la fortune ou être rassuré contre ses caprices »[2]. Il existe donc deux catégories antithétiques de contrats aléatoires : d’un côté ceux qui organisent la protection de l’une des parties contre les effets (redoutés) du hasard ; de l’autre, ceux qui organisent la soumission volontaire des deux parties aux effets (espérés) du hasard. Chacune à son parangon : le contrat d’assurance (art. 1964 anc. c.civ.) et le contrat de jeu ou de pari (art. 1965 c.civ.).

L’intérêt d’assurance constitue un instrument technique essentiel de distinction entre l’assurance et le pari[3]. Le parieur n’est exposé à aucun risque préexistant dont il redouterait la réalisation. Il souscrit une assurance à son profit dans l’espoir de réaliser un gain, et non en vue d’obtenir une protection contre un risque d’appauvrissement. Au moment de la conclusion du contrat, le parieur n’a pas d’intérêt au contrat, faute pour son patrimoine d’être menacé d’une quelconque événement aléatoire dommageable.

Le législateur, via l’intérêt d’assurance, a entendu moraliser le contrat d’assurance de dommages. Comprenons bien que le parieur a un intérêt non à la conservation de la chose, mais à sa destruction. Il a intérêt à la réalisation d’un sinistre, dont par définition, il n’est pas victime. La perception de son gain est conditionnée par la réalisation du dommage frappant autrui. L’assurance-pari doit encore être condamnée, car elle engendre un risque de provocation frauduleuse des sinistres et, par voie de conséquence, une perturbation des lois de la statistique. Or un événement n’est assurable que s’il est statistiquement maîtrisable. Si d’aventure la probabilité de sa réalisation était trop élevée, l’opération d’assurance perdrait son intérêt économique.

La sanction, prévue par le droit, du défaut d’intérêt fait douter qu’on puisse éradiquer les assurances-paris. En l’état du droit positif, la nullité du contrat oblige l’assureur à restituer les primes qu’il a touchées (retour au statu quo ante). Un parieur peut toujours être tenté par la souscription d’une assurance. Car, de deux choses l’une : soit l’assureur ne relève pas son défaut d’intérêt au moment de la réalisation du sinistre, et le souscripteur perçoit une indemnité à laquelle il n’a pas légitimement droit ; soit l’assureur invoque la nullité, mais il doit restituer et l’opération est en quelque sorte blanche pour le parieur, qui n’a simplement qu’échoué dans sa tentative de gain, sans rien avoir perdu. On pourrait songer, en théorie, à opposer au souscripteur-parieur sa turpitude et faire échec aux restitutions (nemo auditur propriam turpitudinem allegans – nul ne peut être entendu lorsqu’il invoque sa propre turpitude). Mais, en pratique, il y a fort à parier – c’est le cas de le dire – que l’assureur ne pourra pas conserver les primes. Deux choses l’une : soit l’assurance souscrite était de toute évidence un pari, auquel cas il a prêté son concours à la stipulation d’une police irrégulière ; soit l’analyse de l’objet de la garantie ne permet pas d’établir de façon évidente le pari fait par le souscripteur, et la fraude sera bien difficile à établir. La bonne foi est présumée. Il n’est d’ailleurs pas rare qu’une assurance soit souscrite sans intérêt pour son bénéficiaire. Il en va ainsi toutes les fois que le souscripteur conclut une assurance, dans la croyance erronée qu’il y avait un intérêt, se croyant tantôt à tort propriétaire de la chose assurée, tantôt susceptible d’encourir une responsabilité.

On accordera qu’en toute hypothèse, l’assurance-pari est autrement moins praticable que le casino, la loterie nationale ou les jeux d’argent et de hasard en ligne[4] ! Et que la théorie générale du contrat peut être utilement sollicitée via l’erreur (art. 1129 nouv. c.civ. / art. 1110 anc.) ou la fausse cause (art. 1169 nouv. / art. 1131 anc.).

[1] H. Groutel et alii, n° 1196.
[2] Cité par H. Groutel et alii, n° 131.
[3] Ibid., n° 134.
[4] Loi n° 2010-476 du 12 mai 2010 rel. à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne, dont les décrets d’application sont en cours de publication.

RGPD: l’obligation de sécurisation des données à caractère personnel

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations, dont l’obligation de sécurisation des données.

I) La définition de la politique de sécurité

==> Le contenu du dispositif

L’une des exigences du RGPD est que les données à caractère personnel soient traitées de façon à garantir un niveau de sécurité approprié desdites données, et notamment à les protéger contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Cette exigence rejoint celle posée à l’article 34 de la loi informatique et libertés qui énonce que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

A cet égard, l’article 32, 1 du RGPD prévoit que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Ces mesures doivent être prises en considération de :

  • L’état des connaissances
  • Des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement
  • Des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques

Surtout, il est par ailleurs précisé que lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Les mesures techniques et organisationnelles prises par le responsable du traitement peuvent notamment consister en :

  • La pseudonymisation et le chiffrement des données à caractère personnel ;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

==> La finalité du dispositif

D’abord, le considérant 39 du RGPD prévoit que les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Ensuite, il ressort du considérant 87 que, s’il doit être vérifié que toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre, c’est pour établir immédiatement si une violation des données à caractère personnel s’est produite, ce qui déterminera si l’obligation de notification s’applique.

Au fond, l’un des éléments clés de toute politique de sécurité des données est d’être en mesure de prévenir toute violation dans la mesure du possible et, lorsqu’une telle violation se produit malgré tout, d’y réagir dans les meilleurs délais.

==> Méthodologie

L’article 32 du RGPD prévoit, pour rappel, que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Pour la CNIL, une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.

Aussi, afin de permettre aux responsables de traitements de données de définir leur politique de gestion des risques, la CNIL a-t-elle mis au point une métrologie qui repose sur les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

Cette méthodologie consiste en une démarche à suivre qui comporte six étapes :

  • Première étape
    • Elle consiste à recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent :
      • Les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
      • Les logiciels (ex : système d’exploitation, logiciel métier) ;
      • Les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
      • Les supports papier (ex : document imprimé, photocopie).
  • Deuxième étape
    • Elle consiste à identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
      • Accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
      • Modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
      • Disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
  • Troisième étape
    • Elle consiste à identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
  • Quatrième étape
    • Elle consiste à identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :
      • Utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
      • Modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
      • Perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
      • Observés (ex : observation d’un écran dans un train, géolocalisation d’un matériel) ;
      • Détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
      • Surchargés (ex : unité de stockage pleine, attaque par dénis de service).
  • Cinquième étape
    • Elle consiste à déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
  • Sixième étape
    • Elle consiste à estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).

II) La notification des violations de données à caractère personnel

L’un des principaux apports du RGPD est qu’il généralise l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle et aux personnes concernées.

==> Notion

Le RGPD définit en son article 4, 12 la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Sensiblement dans le même sens, l’article 34 bis de la loi informatique et libertés prévoit que « on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »

Il ressort de ces deux définitions que, pour qu’une violation de données à caractère personnel soit caractérisée, deux éléments doivent être réunis :

  • Un traitement de données à caractère personnel doit avoir été mis en œuvre
  • Les données ont fait l’objet d’une violation laquelle consiste
    • Soit en la destruction, la perte, l’altération, la divulgation non autorisée de données
    • Soit en l’accès non autorisé à ces données

Dans son avis 03/2014 sur la notification des violations, le G29 considérait que les violations pouvaient être classées selon trois principes de sécurité de l’information bien connus :

  • Violation de la confidentialité: la divulgation ou l’accès non autorisés ou accidentels à des données à caractère personnel
  • Violation de l’intégrité: l’altération non autorisée ou accidentelle de données à caractère personnel
  • Violation de la disponibilité: la destruction ou la perte accidentelles ou non autorisées de l’accès15 à des données à caractère personnel

Il convient également de noter qu’en fonction des circonstances, une violation peut concerner à la fois la confidentialité, l’intégrité et la disponibilité de données à caractère personnel ou une combinaison de ces éléments.

S’il est relativement facile de déterminer si une violation de la confidentialité ou de l’intégrité s’est produite, il peut être moins évident de déterminer l’existence d’une violation de la disponibilité. Une violation sera toujours considérée comme une violation de la disponibilité en cas de perte ou de destruction permanente de données à caractère personnel.

==> Enjeux

Comme relevé pour le Groupe de l’article 29, une violation de données à caractère personnel peut potentiellement avoir, pour les personnes concernées, toute une série de conséquences négatives, susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Le RGPD indique que ces dommages et préjudices peuvent inclure une perte de contrôle sur leurs données à caractère personnel, la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation ou une perte de confidentialité de données à caractère personnel protégées par le secret professionnel. Ils peuvent également comprendre tout autre dommage économique ou social important pour les personnes concernées.

Pour ces raisons, le RGPD exige donc du responsable du traitement qu’il notifie toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer le risque que de telles conséquences négatives ne se produisent. Lorsqu’en revanche, ce risque est élevé, le RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Deux sortes de notifications sont ainsi envisagées par le texte :

  • La notification à l’autorité de contrôle
  • La notification aux personnes concernées

A) La notification des violations de données à l’autorité de contrôle

  1. Principe

==> Exigence de notification

L’article 33 du RGPD dispose que en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, soit à la CNIL lorsque la violation intervient sur le territoire français.

Quant au sous-traitant, il a l’obligation de notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Plus encore, en application de l’article 28, 3, f, il doit, aider le responsable du traitement à garantir le respect de l’obligation de notification, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

==> Contenu de la notification

La notification dont est destinataire l’autorité de contrôle doit :

  • Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • Décrire les conséquences probables de la violation de données à caractère personnel ;
  • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Le délai de notification

  • La notification à bref délai
    • L’article 33, 1 du RGPD prévoit que la notification de la violation de données doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
    • Cette exigence soulève la question de savoir quand un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation.
    • Le Groupe de l’article 29 considère qu’un responsable du traitement doit être considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel.
    • Au vrai, le moment exact où un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation spécifique dépendra des circonstances de la violation en question.
    • Dans certains cas, il sera relativement clair dès le début qu’une violation s’est produite, tandis que dans d’autres, un certain temps pourrait être nécessaire avant de pouvoir déterminer si des données à caractère personnel ont été compromises.
    • Après avoir pris connaissance d’un incident, le responsable du traitement doit notifier toute violation soumise à l’obligation de notification dans les meilleurs délais, et, si possible, dans les 72 heures.
    • Pendant cette période, il appartient au responsable du traitement d’évaluer le risque probable pour les personnes concernées afin de déterminer si l’obligation de notification s’applique et quelle ou quelles mesures doivent être prises afin de remédier à cette violation.
  • La notification échelonnée
    • En fonction de la nature de la violation, il peut être nécessaire que le responsable du traitement effectue une enquête complémentaire afin d’établir tous les faits pertinents liés à l’incident.
    • Aussi l’article 33, 4, dispose-t-il que « si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. »
    • Cela signifie que le RGPD reconnaît que les responsables du traitement ne disposeront pas toujours de toutes les informations nécessaires concernant une violation dans les 72 heures après en avoir pris connaissance, dès lors que l’ensemble des détails de l’incident peuvent ne pas être systématiquement disponibles au cours de cette période initiale.
    • Il autorise donc une notification échelonnée.
    • Une telle notification interviendra plus probablement dans le cas de violations plus complexes, telles que certains types d’incidents de cybersécurité nécessitant par exemple une enquête approfondie et détaillée afin d’établir pleinement la nature de la violation et la mesure dans laquelle des données à caractère personnel ont été compromises.
    • Dans de nombreux cas, le responsable du traitement devra ainsi poursuivre son enquête et fournir des informations complémentaires à l’autorité de contrôle par la suite.
    • Il y est autorisé à condition de justifier son retard conformément à l’article 33, 1.
    • Le Groupe de l’article 29 recommande que, si le responsable du traitement ne dispose pas encore de toutes les informations nécessaires, il en informe l’autorité de contrôle dans le cadre de sa notification initiale et précise qu’il fournira des informations plus détaillées par la suite.
  • La notification tardive
    • L’article 33, 1 du RGPD prévoit que « lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
    • Cette disposition reconnaît, au même titre que le concept de notification échelonnée, qu’un responsable du traitement peut ne pas toujours être en mesure de notifier une violation dans ce délai, et qu’une notification tardive pourrait être autorisée.
    • Un tel scénario pourrait par exemple se produire lorsqu’un responsable du traitement constate, sur une courte période, plusieurs violations similaires affectant de façon identique de grandes quantités de personnes concernées.
    • Un responsable du traitement pourrait prendre connaissance d’une violation et, en entreprenant son enquête et avant la notification, détecter d’autres violations similaires dont la cause diffère.
    • En fonction des circonstances, il pourrait falloir un certain temps au responsable du traitement pour établir la portée des violations et pour élaborer une notification constructive comprenant différentes violations très similaires, mais aux causes potentiellement différentes, plutôt que de notifier chaque violation individuellement.
    • La notification à l’autorité de contrôle peut par conséquent avoir lieu plus de 72 heures après la prise de connaissance de ces violations par le responsable du traitement.

==> La documentation de la violation

Que la violation de données doive ou non être notifiée à l’autorité de contrôle, le responsable du traitement a l’obligation de documenter toutes les violations, comme exigé à l’article 33, 5 du RGPD.

Le texte prévoit que « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Cette obligation de documentation est liée au principe de responsabilité du RGPD figurant à l’article 5 2.

Cette exigence de tenir des registres des violations, qu’elles soient sujettes à notification ou non, est également liée aux obligations du responsable du traitement au titre de l’article 24, et l’autorité de contrôle peut demander à voir lesdits registres.

Les responsables du traitement sont donc encouragés à établir un registre interne des violations, qu’ils soient tenus de les notifier ou non.

S’il appartient au responsable du traitement de déterminer la méthode et la structure à utiliser pour documenter une violation, certaines informations clés doivent être incluses en toutes circonstances.

Comme requis à l’article 33, 5, le responsable du traitement doit reprendre des informations concernant la violation, y compris les causes, les faits et les données à caractère personnel concernées. Il doit également inclure les effets et les conséquences de la violation ainsi que les mesures prises par le responsable du traitement pour y remédier.

Outre ces informations, le Groupe de l’article 29 recommande que le responsable du traitement documente également le raisonnement justifiant les décisions prises en réaction à la violation.

En particulier, lorsqu’une violation n’est pas notifiée, la justification de cette décision doit être documentée.

Cette justification doit inclure les raisons pour lesquelles le responsable du traitement considère que la violation est peu susceptible d’engendrer un risque pour les droits et libertés des individus.

2. Exception

L’article 33, 1 prévoit clairement qu’une violation qui n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » n’a pas à être notifiée à l’autorité de contrôle.

Tel pourrait par exemple être le cas lorsque les données à caractère personnel sont déjà disponibles pour le public et qu’une divulgation desdites données n’est pas susceptible d’engendrer un risque pour les personnes concernées.

Ceci contraste avec les obligations de notification s’appliquant aux fournisseurs de services de communications électroniques accessibles au public en vertu de la directive 2009/136/CE, qui dispose que toutes les violations pertinentes doivent être notifiées à l’autorité compétente.

A cet égard, dans son avis 03/2014 sur la notification des violations, le Groupe de l’article 29 expliquait qu’une violation de la confidentialité de données à caractère personnel qui ont été cryptées à l’aide d’un algorithme de pointe constitue, malgré tout, une violation de données à caractère personnel, et que celle-ci devait être notifiée.

Néanmoins, si la confidentialité de la clé de cryptage est intacte – soit que la clé n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser –, les données sont en principe incompréhensibles.

La violation n’est donc pas susceptible de porter atteinte aux personnes concernées et n’aurait donc pas besoin de leur être communiquée.

Toutefois, même lorsque les données sont cryptées, une perte ou une altération peut avoir des conséquences négatives pour les personnes concernées lorsque le responsable du traitement ne dispose pas de sauvegardes adéquates.

Dans ce cas de figure, il convient de communiquer la violation aux personnes concernées, même si les données elles-mêmes ont fait l’objet de mesures de cryptage adéquates.

B) La notification des violations de données aux personnes concernées

  1. Principe

==> Exigence de notification

L’article 34 du RGPD dispose que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il ressort de cette disposition que la notification est ainsi exigée dès lorsque que la violation de données « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».

Le seuil à atteindre est par conséquent plus élevé pour la communication aux personnes concernées que pour la notification à l’autorité de contrôle, et toutes les violations ne devront donc pas être communiquées aux personnes concernées, ce qui les protège de notifications excessives et non nécessaires.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé pour les droits et libertés » des personnes.

==> L’appréciation du risque élevé

Le considérant 75 du RGPD indique :

  • D’une part, que, les risques pour les droits et libertés des personnes physiques sont susceptibles de présenter différents degrés de probabilité et de gravité
  • D’autre part, que, des risques pour les droits et libertés des personnes physiques existent en particulier :
    • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important
    • Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
    • Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes
    • Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
    • Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants
    • Lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Le considérant 76 précise qu’il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement.

A cet égard, le risque doit faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Le Groupe de l’article 29 recommande que l’évaluation du risque tienne compte d’un certain nombre de critères :

  • Le type de violation
    • Le type de la violation survenue peut avoir une incidence sur le niveau de risque encouru par les personnes concernées.
    • Par exemple, les conséquences d’une violation de la confidentialité dans le cadre de laquelle des informations médicales ont été divulguées à des parties non autorisées pourraient différer de celles engendrées par une violation dans le cadre de laquelle les informations médicales d’un patient ont été perdues ou ne sont plus disponibles.

  • La nature, le caractère sensible et le volume des données à caractère personnel
    • L’un des facteurs clés dans l’évaluation du risque est le type et le caractère sensible des données à caractère personnel qui ont été compromises par la violation.
    • En général, plus les données sont sensibles, plus le risque de dommage sera élevé pour les personnes concernées, mais il convient également de tenir compte des autres données à caractère personnel qui pourraient déjà être disponibles au sujet de la personne concernée.
    • Par exemple, dans des circonstances normales, la divulgation du nom et de l’adresse d’une personne est peu susceptible d’entraîner un préjudice important.
  • La facilité d’identification des personnes concernées
    • Un facteur important à prendre en compte est la facilité avec laquelle une partie ayant accès à des données à caractère personnel compromises peut identifier des individus spécifiques ou associer les données en question à d’autres informations afin d’identifier ces mêmes individus.
    • Dans certaines circonstances, une identification pourrait être possible directement à partir des données à caractère personnel compromises, sans que des recherches spécifiques ne soient nécessaires pour découvrir l’identité de la personne concernée, tandis que dans d’autres, il pourrait être extrêmement difficile d’attribuer des données à caractère personnel à une personne spécifique, bien que cela puisse toujours être possible dans certaines conditions.
    • Une identification peut être directement ou indirectement possible à partir des données compromises, comme elle peut dépendre des circonstances spécifiques de la violation et de la disponibilité publique de renseignements personnels connexes.
  • La gravité des conséquences pour les personnes concernées
    • En fonction de la nature des données à caractère personnel impliquées dans une violation, par exemple des catégories particulières de données, les dommages potentiels pour les personnes concernées peuvent être particulièrement graves, notamment lorsque la violation pourrait entraîner un vol ou une usurpation d’identité, un préjudice physique, une détresse psychologique, une humiliation ou une atteinte à la réputation.
    • Si la violation concerne des données à caractère personnel de personnes vulnérables, celles-ci pourraient être exposées à un plus grand risque de dommages.
  • Les caractéristiques particulières des personnes concernées
    • Une violation peut toucher des données à caractère personnel concernant des enfants ou d’autres personnes vulnérables, qui pourraient alors être exposés à un risque plus important.
    • D’autres facteurs spécifiques aux personnes concernées pourraient également affecter la gravité des conséquences de la violation pour les personnes en question.
  • Les caractéristiques particulières du responsable du traitement
    • La nature et le rôle du responsable du traitement ainsi que de ses activités peuvent affecter le niveau de risque qu’engendre une violation pour les personnes concernées.
    • Par exemple, dès lors qu’une organisation médicale traite des catégories particulières de données à caractère personnel, le risque pour les personnes concernées sera plus important en cas de violation de données à caractère personnel que s’il s’agissait d’une liste de diffusion d’un journal.
  • Le nombre de personnes concernées
    • Une violation peut toucher uniquement une personne, un nombre restreint de personnes ou des milliers de personnes, voire davantage.
    • En général, plus le nombre de personnes concernées est élevé, plus les conséquences potentielles d’une violation sont nombreuses.
  • Éléments généraux
    • Lorsqu’il évalue le risque susceptible de résulter d’une violation, le responsable du traitement devrait ainsi examiner à la fois la gravité des conséquences potentielles pour les droits et libertés des personnes concernées et la probabilité que ces conséquences se produisent.
    • Il est évident que lorsque les conséquences d’une violation sont potentiellement plus graves, le risque est plus élevé.
    • De même, lorsque la probabilité que celles-ci se produisent est plus importante, le risque s’en verra également renforcé.
    • En cas de doute, le responsable du traitement devrait opter pour la prudence et procéder à une notification.

==> Contenu de la notification

L’article 34, 2 prévoit que la communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d), soit :

  • La communication du nom et des coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Délai de notification

L’article 34, 1 du RGPD prévoit que la notification de la violation doit intervenir dans les plus brefs délais sans autre précision.

Le 4 précise que si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Il appartient donc au responsable du traitement de notifier immédiatement à l’autorité de contrôle, soit à la CNIL, toute violation de données.

2. Exceptions

L’article 34, 3 définit trois conditions dans lesquelles la communication aux personnes concernées n’est pas nécessaire en cas de violation, à savoir :

  • Première condition
    • Le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel préalablement à la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès.
    • Cela pourrait par exemple inclure la protection des données à caractère personnel au moyen d’un chiffrement de pointe ou par tokénisation;
  • Deuxième condition
    • Le responsable du traitement a pris, immédiatement après la violation, des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se concrétiser.
    • Par exemple, en fonction des circonstances du cas d’espèce, le responsable du traitement peut avoir immédiatement déterminé et pris des mesures contre la personne ayant accédé aux données à caractère personnel avant qu’elle n’ait pu les utiliser.
    • Il convient cependant toujours de tenir compte des conséquences potentielles de toute violation de la confidentialité, toujours en fonction de la nature des données concernées.
  • Troisième condition
    • Contacter les personnes concernées exigerait des efforts disproportionnés
    • Par exemple si leurs coordonnées ont été perdues à la suite de la violation ou ne sont tout simplement pas connues.
    • Dans un tel cas, le responsable du traitement doit procéder à une communication publique ou prendre une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
    • En cas d’efforts disproportionnés, des dispositions techniques pourraient également être envisagées afin que les informations concernant la violation soient disponibles sur demande, ce qui pourrait se révéler utile pour les personnes éventuellement affectées par la violation, mais que le responsable du traitement n’est pas en mesure de contacter par un autre biais.