Article 82 RGPD : le droit à indemnisation décrypté

L’article 83 du RGPD sanctionne administrativement les manquements ; l’article 82 ouvre, lui, la voie civile. Et c’est cette voie qui change le plus rapidement le paysage du contentieux des données personnelles. Depuis l’arrêt CJUE C-300/21 Österreichische Post du 4 mai 2023, la Cour de justice a rendu plus d’une dizaine d’arrêts qui structurent le régime indemnitaire — au point que l’Art. 82 est devenu, en pratique, le levier contentieux le plus dynamique du RGPD. Voici son analyse paragraphe par paragraphe, après vingt ans de conseil en droit des données.

Ce que dit l’article 82 du RGPD

L’Art. 82 s’intitule « Droit à réparation et responsabilité ». Il compte six paragraphes qui organisent, dans l’ordre :

• le principe du droit à réparation pour la personne ayant subi un dommage matériel ou moral résultant d’une violation du règlement (Art. 82(1)) ;
• la responsabilité du responsable de traitement pour le dommage causé par tout traitement non conforme (Art. 82(2)) ;
• les causes d’exonération lorsque le responsable ou le sous-traitant prouve qu’aucun fait dommageable ne lui est imputable (Art. 82(3)) ;
• la responsabilité solidaire lorsque plusieurs responsables ou sous-traitants sont impliqués dans un même traitement (Art. 82(4)) ;
• le recours en contribution entre coresponsables après indemnisation (Art. 82(5)) ;
• les règles de compétence juridictionnelle pour les actions en réparation (Art. 82(6)).

Cet article organise une action civile autonome : elle se distingue du régime des amendes administratives de l’Art. 83 (la CNIL prononce, l’État encaisse) et du régime pénal français (Code pénal, Art. 226-16 et s.). Une même violation peut déclencher les trois, simultanément. Pour la lecture combinée Art. 82 / Art. 83, voir la jurisprudence CJUE C-687/21 MediaMarktSaturn du 25 janvier 2024 analysée plus bas.

Art. 82(1) : le principe — dommage matériel ou moral

Le paragraphe 1 pose le principe : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

Trois éléments à retenir.

D’abord, la personne : il s’agit de toute personne physique concernée par le traitement, ce qui inclut salariés, clients, prospects, patients, bénéficiaires d’allocations — tout titulaire de données personnelles au sens de l’Art. 4(1). Les personnes morales sont exclues du bénéfice de l’Art. 82 sauf rares hypothèses où elles sont elles-mêmes concernées (par exemple les données d’entreprises individuelles).

Ensuite, la nature du dommage : matériel ou moral. Le dommage matériel inclut les pertes financières directes (frais bancaires consécutifs à une fraude post-violation, perte de revenus liée à une usurpation d’identité, frais médicaux), tandis que le dommage moral couvre les atteintes à la réputation, à la vie privée, le stress, l’anxiété, la perte de contrôle sur les données. Cette dualité est centrale et le contentieux français en a longtemps sous-estimé la portée — voir la décision du Tribunal judiciaire de Paris, 3e ch., 17 janvier 2024, qui a accordé une réparation de plusieurs milliers d’euros au titre du seul dommage moral consécutif à une fuite de données.

Enfin, la violation du règlement : tout manquement à une disposition du RGPD peut servir de fondement, dès lors qu’il génère un dommage. Cela couvre aussi bien le défaut de base légale (Art. 6), le non-respect du droit d’accès (Art. 15), le défaut de sécurité (Art. 32) ou la violation des règles de transfert international (Art. 44 à 49).

Art. 82(2) : la responsabilité du responsable et du sous-traitant

Le paragraphe 2 organise la chaîne de responsabilité : « Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. »

Deux régimes distincts coexistent.

Le responsable de traitement (Art. 4(7)) est responsable de plein droit dès lors qu’il a participé au traitement non conforme. C’est une responsabilité directe qui s’aligne sur le principe d’accountability de l’Art. 24. Le seul fait d’être responsable de traitement et d’avoir participé à l’opération suffit à engager la responsabilité, sous réserve de la preuve du dommage et du lien de causalité.

Le sous-traitant (Art. 4(8)), au contraire, n’engage sa responsabilité civile que dans deux hypothèses précises : soit lorsqu’il viole une obligation spécifique aux sous-traitants (essentiellement les obligations de l’Art. 28 et celles de l’Art. 32 qui s’appliquent à lui directement), soit lorsqu’il agit en-dehors ou contre les instructions documentées du responsable de traitement — auquel cas l’Art. 28(10) prévoit qu’il devient lui-même responsable de traitement pour les opérations concernées.

Cette répartition est fondamentale dans le contentieux : un client lésé par une fuite de données chez un hébergeur cloud agit normalement contre son responsable de traitement (la société qui a externalisé), à charge pour ce dernier de se retourner ensuite contre son sous-traitant via le DPA (Art. 28(3) et stipulations contractuelles). Voir mon analyse pratique du contrat de sous-traitance RGPD.

Art. 82(3) : l’exonération — la preuve de l’absence de fait imputable

Le paragraphe 3 organise la cause d’exonération : « Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. »

C’est une exonération étroite que la CJUE a précisée dans l’arrêt C-340/21 NAP du 14 décembre 2023. La Cour distingue clairement les obligations de l’Art. 32 (sécurité — obligation de moyens) et le régime indemnitaire de l’Art. 82 (responsabilité civile). Trois enseignements pratiques :

• la charge de la preuve de l’absence d’imputabilité repose sur le défendeur — c’est-à-dire le responsable ou le sous-traitant ;
• la survenance d’une violation ne suffit pas à elle seule à caractériser un manquement de l’Art. 32 — l’obligation de sécurité reste une obligation de moyens — mais elle ne suffit pas non plus à exonérer si la violation des autres règles est par ailleurs établie ;
• la preuve de mesures de sécurité « appropriées » au sens de l’Art. 32 n’exonère pas automatiquement de la responsabilité de l’Art. 82 dès lors que d’autres manquements sont établis (défaut d’information, base légale invalide, dépassement de finalité).

En pratique, l’exonération joue rarement. La jurisprudence française récente la retient principalement dans deux hypothèses : la fraude d’un tiers totalement imprévisible, et le fait personnel exclusif de la victime (la personne concernée a elle-même publié les données ailleurs).

Art. 82(4) : la responsabilité solidaire

Le paragraphe 4 organise la solidarité : « Lorsque plusieurs responsables du traitement ou sous-traitants, ou un responsable du traitement et un sous-traitant, participent au même traitement, et lorsqu’ils sont (…) responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité, afin de garantir à la personne concernée une réparation effective. »

C’est une règle de protection de la victime : elle peut assigner n’importe lequel des coresponsables pour la totalité du préjudice, sans avoir à diviser ses recours. Cette solidarité s’applique notamment :

• en cas de co-responsabilité de traitement (Art. 26) — par exemple plusieurs sociétés d’un groupe qui partagent un CRM, ou un éditeur de site web et un fournisseur de plug-in d’analyse ;
• en cas de chaîne responsable / sous-traitant lorsque le sous-traitant a manqué à ses propres obligations (Art. 28) ;
• en cas de chaîne de sous-traitants lorsque l’Art. 28(4) impose au sous-traitant initial les mêmes obligations à ses sous-traitants ultérieurs et que la chaîne s’est rompue.

Sur la qualification de coresponsable, la CJUE a posé des critères restrictifs dans C-210/16 Wirtschaftsakademie Schleswig-Holstein (5 juin 2018), C-40/17 Fashion ID (29 juillet 2019) et plus récemment C-604/22 IAB Europe (7 mars 2024) : la coresponsabilité naît d’une influence effective sur les finalités et moyens du traitement, même si elle est partielle. Voir mon analyse de la co-responsabilité RGPD article 26.

Art. 82(5) : le recours en contribution

Le paragraphe 5 organise le recours en contribution entre coresponsables : « Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, ce responsable du traitement ou ce sous-traitant est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage. »

C’est l’envers de la solidarité : la victime obtient une réparation intégrale auprès d’un seul coresponsable, qui exerce ensuite un recours subrogatoire contre les autres à hauteur de leur part. La répartition des parts se règle d’abord par les stipulations contractuelles (DPA Art. 28, accord Art. 26), à défaut par appréciation judiciaire selon le degré de responsabilité de chacun.

C’est sur ce paragraphe que reposent les clauses de garantie et de limitation de responsabilité que l’on retrouve dans les contrats de sous-traitance et dans les accords de coresponsabilité. Une jurisprudence française stabilisée a admis la validité de ces clauses entre professionnels, sous réserve qu’elles ne privent pas la victime de son droit à réparation effective et qu’elles ne portent pas sur les fautes lourdes ou intentionnelles. Voir mon guide pratique des clauses de sous-traitance RGPD.

Art. 82(6) : la compétence juridictionnelle

Le paragraphe 6 organise la compétence territoriale : « Les actions judiciaires engagées pour exercer le droit d’obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2. »

L’Art. 79(2) — auquel renvoie l’Art. 82(6) — donne compétence soit aux juridictions de l’État membre dans lequel le responsable ou le sous-traitant dispose d’un établissement, soit aux juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle. C’est un régime favorable à la victime, qui peut agir au plus près de chez elle.

En droit français, la compétence interne se règle classiquement par le Code de procédure civile : compétence du tribunal judiciaire (compétence générale en matière civile), avec une option pour le tribunal du lieu du fait dommageable au visa de l’article 46 CPC. Pour les contentieux entre professionnels, le tribunal de commerce reste compétent à raison de la qualité des parties.

Pour l’articulation avec les plaintes CNIL : l’action civile de l’Art. 82 est autonome de la procédure administrative. Une plainte CNIL n’est pas un préalable obligatoire, et le résultat d’une plainte CNIL — qu’elle aboutisse à une sanction ou à un classement — ne lie pas le juge civil. La victime peut donc agir directement en réparation, parallèlement ou indépendamment de la voie administrative. Le juge civil tiendra cependant compte des décisions CNIL comme élément d’appréciation factuel.

Jurisprudence CJUE structurante

Une dizaine d’arrêts de la Cour de justice rendus entre mai 2023 et octobre 2024 ont reconstruit l’architecture du contentieux Art. 82. Voici les six les plus importants à connaître.

CJUE C-300/21 Österreichische Post, 4 mai 2023. Arrêt fondateur. La Cour pose les trois conditions cumulatives du droit à indemnisation : (i) une violation du RGPD ; (ii) un dommage matériel ou moral ; (iii) un lien de causalité entre la violation et le dommage. La Cour rejette deux dérives nationales : la simple violation ne suffit pas à fonder une indemnisation (il faut un dommage caractérisé), et il n’existe aucun seuil de gravité (de minimis) en-dessous duquel le dommage serait écarté. Cet arrêt clôt en partie le débat sur le préjudice « bagatelle » qui agitait la jurisprudence allemande et autrichienne.

CJUE C-340/21 Natsionalna agentsia za prihodite (NAP), 14 décembre 2023. Arrêt structurant pour les violations de sécurité. La Cour précise que la crainte d’un usage frauduleux ultérieur des données peut constituer un dommage moral indemnisable au titre de l’Art. 82, à condition qu’elle soit réelle et fondée. La charge de la preuve des mesures de sécurité « appropriées » au sens de l’Art. 32 pèse sur le responsable de traitement, mais l’absence de mesures n’est pas une condition suffisante de l’indemnisation : il faut toujours démontrer le dommage et le lien de causalité.

CJUE C-456/22 Gemeinde Ummendorf, 14 décembre 2023. Arrêt complémentaire au précédent : la Cour confirme l’absence de seuil de gravité pour le dommage moral. Une simple gêne, une contrariété, un sentiment de perte de contrôle peuvent suffire à fonder l’indemnisation, dès lors qu’ils sont caractérisés. Le montant de la réparation reste néanmoins proportionné au dommage effectivement subi — pas symbolique, mais pas non plus indemnité forfaitaire de principe.

CJUE C-687/21 MediaMarktSaturn, 25 janvier 2024. Arrêt-clé pour articuler Art. 82 et Art. 83. La Cour précise que le seuil de gravité du dommage requis pour fonder l’indemnisation civile n’est pas le même que celui requis pour fonder l’amende administrative. Un dommage modeste peut suffire à fonder une indemnisation au titre de l’Art. 82 ; mais ce dommage modeste peut également suffire à motiver une amende dissuasive au titre de l’Art. 83(2)(a). Inversement, un dommage très grave indemnisé civilement n’oblige pas la CNIL à prononcer une amende plafond — les deux régimes restent autonomes.

CJUE C-741/21 Juris GmbH, 11 avril 2024. La Cour rejette la fonction punitive de l’indemnisation Art. 82 : la réparation est exclusivement réparatoire. Cela signifie qu’on ne peut pas demander au juge civil un montant supérieur au préjudice subi au seul motif de dissuader la récidive ou de punir le responsable. La fonction de dissuasion appartient à l’amende administrative (Art. 83), pas à l’indemnisation civile.

CJUE C-200/23 Agentsia po vpisvaniyata, 4 octobre 2024. La Cour confirme que la perte de contrôle sur les données constitue, en elle-même, un dommage moral indemnisable au sens de l’Art. 82(1), même si les données n’ont pas été effectivement utilisées de manière préjudiciable. Pour les contentieux post-violation de données, c’est un levier indemnitaire significatif : la simple divulgation à des tiers non autorisés ouvre droit à réparation, indépendamment de tout usage frauduleux ultérieur.

À côté de ces arrêts, on notera également C-590/22 PS et JS du 20 juin 2024 (lien de causalité), C-182/22 et C-189/22 Scalable Capital du 20 juin 2024 (rejet d’une présomption automatique de dommage), et C-507/23 du 4 octobre 2024 (les excuses peuvent constituer une réparation adéquate dans certains cas, en complément ou à la place d’une indemnité).

Régime français : actions individuelles et actions de groupe

Au-delà du cadre européen, le contentieux français de l’Art. 82 s’organise autour de deux voies.

L’action individuelle, classique : la personne concernée saisit le tribunal judiciaire pour obtenir l’indemnisation de son préjudice matériel et moral. Plusieurs décisions structurantes ont consolidé cette voie depuis 2023. Le Tribunal judiciaire de Paris, 3e ch., 22 mars 2023 n° 21/12492 a accordé une indemnisation au titre du dommage moral consécutif à une fuite de données. Le TJ Paris, 3e ch., 17 janvier 2024 n° 22/02213 a précisé les modalités d’évaluation du préjudice moral en s’appuyant explicitement sur l’arrêt CJUE Österreichische Post.

L’action de groupe, organisée à l’origine par l’article 37 de la loi Informatique et Libertés (dans sa rédaction issue de la loi du 18 novembre 2016), a été profondément refondue par la loi du 30 avril 2024 portant unification des actions de groupe : elle est désormais ouverte à toute association agréée et à tout syndicat, ce qui élargit considérablement les fenêtres d’action. Plusieurs procédures ont été engagées en 2024-2025 par des associations de consommateurs et de défense des droits numériques, notamment dans le sillage de fuites de données massives chez des opérateurs télécoms et des acteurs de la grande distribution. Pour le panorama des sanctions parallèles côté administratif, voir mon analyse des sanctions CNIL 2026.

L’articulation des deux voies obéit à une règle simple : la chose jugée dans une action de groupe ne s’impose qu’aux personnes qui ont accepté d’être représentées (système d’opt-in modifié par la loi de 2024 dans certaines hypothèses). Une personne qui n’a pas adhéré à l’action de groupe conserve son droit d’agir individuellement.

Articulation Art. 82 et Art. 83 : deux régimes complémentaires

Une même violation peut donc déclencher trois sanctions cumulatives :

Régime	Fondement	Décisionnaire	Bénéficiaire	Plafond
Civil	Art. 82 RGPD	Tribunal judiciaire	Personne concernée	Préjudice intégral
Administratif	Art. 83 RGPD	CNIL (formation restreinte)	État	20 M€ ou 4 % CA mondial
Pénal	Art. 226-16 et s. C. pénal	Tribunal correctionnel	État	5 ans, 300 000 € (PP) / 1,5 M€ (PM)

Pour le responsable de traitement, la lecture pratique est la suivante : la sanction administrative de l’Art. 83 est la plus médiatisée et la plus immédiate, mais la sanction civile de l’Art. 82 est désormais structurellement plus coûteuse dès lors que la base de victimes est large. Une fuite de données touchant 500 000 personnes peut fonder, à raison de 200 € par victime, une exposition civile cumulée de 100 millions d’euros — soit l’équivalent du plafond Art. 83(5) pour un grand groupe, sans plafond légal.

C’est l’enseignement majeur de la jurisprudence CJUE 2023-2024 : l’Art. 82 a cessé d’être un complément théorique pour devenir le levier principal de la pression contentieuse sur les responsables de traitement.

Plan opérationnel pour réduire l’exposition à l’Art. 82

Dans mon expérience de conseil, six chantiers réduisent l’exposition civile au titre de l’Art. 82.

Chantier 1 — accountability documentaire. Tenir à jour le registre des activités, les AIPD, la documentation sécurité et la cartographie des sous-traitants. La preuve documentaire renforce la défense au titre de l’Art. 82(3) — exonération pour absence d’imputabilité — et conditionne la solidarité de l’Art. 82(4). Voir l’article 24 RGPD sur l’accountability.

Chantier 2 — gestion proactive des violations. Une notification de violation dans les 72 heures et une communication aux personnes bien menée réduisent significativement le préjudice moral retenu par le juge — la jurisprudence française tient compte de la transparence et de la rapidité dans l’évaluation du dommage. Une violation tardivement révélée majore systématiquement le quantum.

Chantier 3 — clauses contractuelles équilibrées. Auditer les clauses de garantie et de limitation de responsabilité dans les DPA (Art. 28) et les accords de coresponsabilité (Art. 26). Sécuriser le recours subrogatoire de l’Art. 82(5) en clarifiant la répartition des parts de responsabilité — à défaut, le juge tranche en équité, souvent au désavantage du responsable principal.

Chantier 4 — assurance cyber et RGPD. Le marché de l’assurance « atteinte aux données » couvre désormais explicitement l’indemnisation civile au titre de l’Art. 82, les frais de défense, la gestion de crise et la communication. Une police calibrée transforme l’exposition Art. 82 en charge prévisible. Attention aux exclusions classiques : faute intentionnelle, défaut documentaire grave, retard de notification.

Chantier 5 — préparation au contentieux civil. Anticiper la production de la preuve documentaire, formaliser les processus internes de gestion des demandes de droits (Art. 12 à 22), identifier les contrats applicables, conserver les traces des décisions de gouvernance. Une organisation préparée gagne 30 à 50 % sur le quantum d’indemnisation.

Chantier 6 — articulation avec la stratégie CNIL. Coordonner la défense civile et la défense administrative. Une admission devant la CNIL peut être réutilisée par les demandeurs civils ; inversement, une transaction civile rapide peut peser favorablement dans l’appréciation des critères Art. 83(2) — coopération, atténuation du dommage, mesures correctrices. Travailler les deux régimes ensemble, pas séparément.

Ce qu’il faut retenir

• L’Art. 82 RGPD ouvre un droit à réparation civile autonome, distinct de l’amende administrative de l’Art. 83 et des sanctions pénales. Une même violation peut cumuler les trois.
• La CJUE C-300/21 Österreichische Post du 4 mai 2023 pose les trois conditions cumulatives : violation du RGPD, dommage matériel ou moral, lien de causalité — et écarte tout seuil de gravité du dommage.
• Le dommage moral est largement reconnu : crainte d’usage frauduleux (NAP), perte de contrôle sur les données (Agentsia po vpisvaniyata), gêne ou contrariété (Gemeinde Ummendorf). Mais la fonction de l’Art. 82 reste réparatoire et non punitive (Juris GmbH).
• La responsabilité solidaire de l’Art. 82(4) garantit une réparation effective à la victime ; le recours en contribution de l’Art. 82(5) régule la répartition entre coresponsables — d’où l’importance des clauses contractuelles dans les DPA et accords de coresponsabilité.
• Le régime français combine action individuelle devant le tribunal judiciaire et action de groupe refondue par la loi du 30 avril 2024. L’autonomie des régimes civil et administratif rend l’exposition Art. 82 structurellement plus lourde sur les contentieux de masse.
• L’exposition se réduit par six chantiers : accountability documentaire, gestion proactive des violations, clauses contractuelles équilibrées, assurance cyber, préparation au contentieux, articulation avec la stratégie CNIL.

Recevez nos analyses conformité chaque semaine. Notre newsletter décrypte la jurisprudence CJUE, les décisions CNIL et les obligations RGPD avec un angle pratique. Inscription gratuite, désinscription en un clic.

FAQ

Quelles sont les conditions pour obtenir une indemnisation au titre de l’Art. 82 RGPD ?

La CJUE, dans son arrêt C-300/21 Österreichische Post du 4 mai 2023, a fixé trois conditions cumulatives. Il faut établir une violation du RGPD, un dommage matériel ou moral effectivement subi, et un lien de causalité entre la violation et le dommage. La simple violation ne suffit pas ; mais aucun seuil de gravité (de minimis) n’est exigé pour le dommage. Une simple gêne caractérisée, une crainte fondée ou la perte de contrôle sur les données peuvent suffire à fonder l’indemnisation.

Quelle est la différence entre l’Art. 82 et l’Art. 83 RGPD ?

L’Art. 83 organise les amendes administratives prononcées par l’autorité de contrôle (la CNIL en France) : elles sont versées à l’État, plafonnées à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, et ont une fonction de dissuasion. L’Art. 82 organise l’indemnisation civile prononcée par le juge judiciaire au profit de la personne concernée : elle répare le préjudice subi sans plafond légal et a une fonction exclusivement réparatoire. Une même violation peut déclencher les deux régimes simultanément, ainsi que des sanctions pénales.

Le sous-traitant peut-il être directement assigné au titre de l’Art. 82 ?

Oui, mais dans des hypothèses limitées. L’Art. 82(2) précise que le sous-traitant n’engage sa responsabilité civile que s’il a violé une obligation spécifique aux sous-traitants (essentiellement celles de l’Art. 28 et certaines de l’Art. 32) ou s’il a agi en-dehors ou contre les instructions documentées du responsable. Dans les autres cas, la victime doit agir contre le responsable de traitement, qui exercera ensuite un recours subrogatoire contre son sous-traitant via le DPA.

Comment le juge évalue-t-il le préjudice moral au titre de l’Art. 82 ?

Le juge tient compte de la nature de la violation, du volume et de la sensibilité des données concernées, de la durée d’exposition, du caractère public ou non de la divulgation, du dommage subjectif allégué (anxiété, perte de contrôle, atteinte à la réputation) et des mesures correctrices prises par le responsable. La jurisprudence française (TJ Paris 17 janvier 2024) s’aligne sur la grille CJUE et accorde des indemnités moyennes de quelques centaines à quelques milliers d’euros par victime, selon la gravité du préjudice individuel. Aucune indemnité forfaitaire automatique : il faut caractériser le dommage.

Une plainte CNIL est-elle un préalable à l’action civile au titre de l’Art. 82 ?

Non. L’action civile de l’Art. 82 est autonome : elle peut être intentée directement devant le tribunal judiciaire sans plainte CNIL préalable. Inversement, une plainte CNIL n’a pas pour objet d’indemniser la victime — la CNIL ne prononce pas de dommages-intérêts. Les deux voies peuvent être engagées en parallèle. Le juge civil tient compte des décisions CNIL comme élément d’appréciation factuel, sans en être lié quant à la qualification ou au montant de la réparation.