Tous ceux qui négocient des contrats impliquant des data savent que les clauses RGPD sont souvent « négociées » de la même manière, avec des guidelines impératives venant d’on ne sait où et des interdictions de négociation frisant parfois le ridicule. En effet, il y a de plus en plus d’entreprises qui refusent catégoriquement de négocier leur clause RGPD, même si celle-ci est incomplète, imparfaite voir fausse. Un parfum de quasi-religieux a ainsi touché le contractuel du RGPD, au premier chef duquel la fameuse impossibilité de limiter la responsabilité de tout ce qui concerne le RGPD.

Or, cette invocation est fausse.

Personne ne sait d’où vient cette théorie générale et absolue qu’on ne peut pas limiter sa responsabilité sur le RGPD. Personne ne sait quel consultant a lancé cela en plein milieu de réunion et qui est, depuis, devenu injonction divine. Le problème est que depuis, plus personne n’ose accepter de discuter ce commandement, de peur d’accusation blasphématoire. Quand on demande pourquoi on ne peut pas limiter sa responsabilité, la seule réponse obtenue est « c’est comme ça, on n’a pas à le discuter ».

Pourtant, les limitations de responsabilité contractuelle ne sont interdites que dans des cas assez précis. Chacun connait l’impossibilité de limiter sa responsabilité contractuelle en cas de faute lourde ou encore le fait qu’elle ne doit pas contrevenir à une obligation essentielle du contrat. Se basant sur les principes généraux du droit français (et le bon sens), il n’est pas possible non plus de limiter sa responsabilité contractuelle à l’égard de son co-contractant (et ce / ceux qu’il représente) pour des préjudices caractérisés sur un terrain pénal. C’est pour cela qu’on indique souvent que la limitation de responsabilité ne s’applique pas en cas de préjudice corporel.

C’est peut-être sur ce terrain que certains ont imaginé pouvoir prétendre interdire toute limitation de responsabilité contractuelle en B2B. Le droit est plus subtil qu’un simple avis lancé en réunion. En matière de RGPD, certains actes et certains préjudices peuvent voir une limitation de responsabilité mise en œuvre, et d’autres pas :

  • d’une part, la limitation de responsabilité contractuelle en B2B ne porte que et uniquement que sur les fautes et préjudices d’ordre contractuel (donc, entre les cocontractants) et dans un cadre commercial. Donc, exit toutes les considérations type « vis-à-vis d’un consommateur on ne peut pas » ou alors « on ne peut pas s’exonérer des amendes prononcées par la CNIL ». Ces considérations sont vraies, mais personne n’a jamais dit le contraire et la limitation de responsabilité contractuelle ne les vise pas.
  • d’autre part, l’article 82 du RGPD précise bien que toute personne (physique) ayant connu un préjudice du fait de la violation du RGPD doit se voir intégralement indemnisée. A nouveau, la limitation contractuelle (donc entre cocontractants) et en B2B (donc entre entreprises) n’a jamais visé à limiter ce principe qui doit s’appliquer.

En fait, la limitation de responsabilité contractuelle en B2B couvre uniquement une violation contractuelle d’une thématique commise par une partie qui a causé directement un préjudice à une partie, sans qu’il y ait d’intervention d’une autorité (la CNIL) ou d’une personne physique (la « personne concernée » au sens du RGPD). Ce cas potentiel de violation contractuelle est le cas visé par une limitation de responsabilité contractuelle qui est, alors, pleinement possible, effective et opposable.