En décembre 2023 et janvier 2024, la Cour de justice de l’Union européenne a rendu plusieurs arrêts1 qui apportent d’importantes précisions en ce qui concerne le droit à réparation pour le dommage moral subi en raison d’une violation du RGPD, droit consacré à l’article 82 du Règlement général sur la protection des données (règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, JOUE, 4 mai 2016, n°L 119, ci-après le RGPD).
L’article 82 du RGPD et le droit à réparation du dommage
En vertu de l’article 82 du RGPD, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant la réparation du préjudice subi.
Ce droit à réparation implique, comme le rappelle la Cour, la réunion de trois conditions cumulatives, à savoir :
- L’existence d’un dommage ou d’un préjudice matériel ou moral ;
- L’existence d’une violation du RGPD ; et
- Un lien de causalité entre ce dommage et cette violation.
Pas de condition de seuil de minimis
Selon la Cour de justice, il ne peut être imposé d’autres conditions pour bénéficier de ce droit à réparation, telles que des conditions liées au caractère tangible du dommage ou au caractère objectif de l’atteinte. Il s’ensuit que le dommage moral allégué par une personne concernée par une violation du RGPD ne doit pas atteindre un « seuil de minimis » pour que ce dommage puisse être réparé.
La réparation d’un dommage moral au sens de l’article 82 du RGPD ne peut donc pas être subordonnée à la condition que ce préjudice ait atteint un certain degré de gravité pour que celui-ci puisse être réparé ; le dommage le plus minime suffit.
La crainte d’un futur usage abusif de données personnelles publiées suite à une cyber-attaque peut constituer un dommage moral
La Cour a même été plus loin, en jugeant que la crainte liée à un potentiel futur usage abusif par des tiers des données à caractère personnel est susceptible, à elle seule, de constituer un dommage moral ouvrant un droit à réparation au sens de l’article 82 du RGPD. Il reviendra à la juridiction nationale de vérifier in concreto si cette crainte peut être considérée comme étant fondée.
Cependant, dans son arrêt du 25 janvier 2024, la Cour de Justice a jugé que lorsqu’un document contenant des données personnelles a été remis à un tiers non autorisé dont il est établi qu’il n’en a pas pris connaissance, ne constitue pas un dommage moral la simple crainte que ce tiers ait réalisé une copie de ce document pouvant donner lieu à une diffusion, voire un usage abusif, de ces données dans le futur. Un risque purement hypothétique d’usage abusif par un tiers non autorisé ne constitue donc pas, selon la Cour, un dommage moral au sens de l’article 82 du RGPD. Il en est ainsi lorsqu’aucun tiers n’a pris connaissance des données à caractère personnel en cause.
La charge de la preuve du dommage moral
Bien qu’un « seuil de minimis » ne puisse pas être imposé comme condition pour bénéficier du droit à réparation, la simple violation d’une disposition du RGPD ne suffit pas, selon la Cour, à conférer un tel droit. Encore faut-il que la personne concernée démontre qu’elle a effectivement subi un dommage, aussi minime soit-il. Elle est ainsi tenue de démontrer, selon la Cour, que les conséquences de la violation qu’elle prétend avoir subie, sont constitutives d’un préjudice qui est distinct de la seule violation des dispositions du RGPD.
La charge de la preuve de la faute
La personne qui a subi le dommage, doit ainsi prouver la violation du RGPD ainsi que le dommage subi en raison de cette violation, mais elle ne doit pas prouver l’existence de la faute dans le chef du responsable du traitement, celle-ci étant présumée.
La Cour a en effet jugé que l’article 82 du RGPD prévoit un régime de responsabilité pour faute, mais assorti d’un renversement de la charge de la preuve : la charge de prouver la faute pèse non pas sur la personne qui a subi le dommage, mais la charge de la preuve contraire repose sur le responsable du traitement. Pour s’exonérer de sa responsabilité, le responsable du traitement doit donc prouver que le fait qui a provoqué le dommage, ne lui est nullement imputable.
En particulier, le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage du seul fait que celui-ci résulte d’une divulgation non autorisée ou d’un accès non autorisé à des données à caractère personnel par des tiers (par exemple des cyber-criminels). Il ne peut être exonéré que s’il prouve que le fait qui a provoqué le dommage, ne lui est nullement imputable. Pour être tenu responsable, il doit avoir rendu possible la violation commise par un tiers en méconnaissant une obligation prévue par le RGPD, par exemple l’obligation de protection des données. En outre, en cas de violation de données à caractère personnel commise par un tiers, le responsable du traitement peut s’exonérer de sa responsabilité en prouvant qu’il n’y a aucun lien de causalité entre le dommage et son éventuelle violation de l’obligation de protection des données imposée par le RGPD.
En outre, la charge de prouver le caractère approprié des mesures de sécurité mises en œuvre au titre de l’article 32 du RGPD pour s’exonérer de sa responsabilité repose également sur le responsable de traitement.
Caractère compensatoire du droit à réparation
Enfin, selon la Cour, l’article 82 du RGPD ne revêt pas de fonction dissuasive, voire punitive, mais revêt uniquement une fonction compensatoire visant la réparation complète et définitive du dommage subi, aussi minime soit-il. Cela implique :
- Qu’il n’est pas permis d’imposer le versement de dommages-intérêts punitifs sur base de l’article 82 du RGPD ;
- Que l’article 82 du RGPD ne requiert pas que la gravité de la violation soit prise en compte lors de la fixation du montant des dommages-intérêts ;
- Que le montant des dommages-intérêts ne saurait être fixé à un niveau dépassant la compensation complète de ce préjudice.
[1] C.J.U.E., 14 décembre 2023, C-456/22 ; C.J.U.E., 14 décembre 2023, C-340/21 ; C.J.U.E., 21 décembre 2023, C-667/21 ; C.J.U.E., 25 janvier 2024, C-687/21.
Pour toute question ou assistance, veuillez contacter :
Équipe – Propriété Intellectuelle | IP@simontbraun.eu – +32 (0)2 543 70 80
Vous pouvez télécharger une version PDF de cette publication ici.
***
Cet article ne constitue pas un avis ou un conseil juridique. Veuillez-vous adresser au conseil juridique de votre choix avant d’agir sur la base des informations contenues dans cet article.
