Le 4 mai 2023, la Cour de Justice de l’Union Européenne a rendu un arrêt précisant l’étendue du droit à la réparation en raison d'une atteinte aux données personnelles. Elle rappelle que l’existence d’un dommage ou d’un préjudice est nécessaire pour ouvrir droit à réparation, sans pour autant que ce dommage soit conditionné à un certain degré de gravité.

Un Autrichien a agi contre une société spécialisée en vente d’adresse en réparation de son préjudice moral. Il reproche à la défenderesse d’avoir traité des données relatives aux affinités politiques de personnes résidant en Autriche, et notamment les siennes, sans recueillir leur consentement.

En effet, la société a collecté des informations sur les affinités politiques de la population autrichienne grâce à un algorithme prenant en compte des critères sociaux et démographiques et a ainsi défini des « adresses de groupes cibles ».

Le requérant estime que le traitement de ses données l'a offensé, contrarié et qu’il aurait subi une perte de confiance et un sentiment d’humiliation.

Il a ainsi assigné la société en justice afin de faire cesser le traitement illicite et de demander la réparation de son préjudice.

Un premier jugement a accordé la cessation du traitement, mais a rejeté la demande d’indemnisation formée par le particulier. Cela a été confirmé par un arrêt d’appel. L’Autrichien a ainsi saisi la Cour suprême Autrichienne d’un arrêt interlocutoire, mais la Haute juridiction n’a pas fait droit au recours formé et a posé trois questions préjudicielles à la Cour de Justice de l’Union Européenne (ci-après CJUE) portant sur l’interprétation de l’article 82 du RGPD* :

- « Pour allouer des dommages-intérêts en vertu de l’article 82 du RGPD […] est-il exigé, à côté d’une violation des dispositions du RGPD, que le requérant ait subi un préjudice ou bien une violation des dispositions du RGPD suffit-elle déjà en soi pour allouer des dommages-intérêts ? » ;

- « Aux fins de l’évaluation des dommages-intérêts, existe-t-il, à côté des principes d’effectivité et d’équivalence, d’autres exigences du droit de l’Union ? » ;

- « La position selon laquelle pour accorder [la réparation d’]un préjudice moral, la condition est qu’il existe une conséquence ou un effet de la violation du droit ayant au moins un certain poids et allant au-delà du mécontentement suscité par la violation du droit est-elle compatible avec le droit de l’Union ? ».

1. Sur la première question

La CJUE rappelle d’abord les termes de l’alinéa 1 de l’article 82 prévoyant que : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».

Elle déclare qu’il ressort clairement de cette disposition que l’existence d’un dommage ou d’un préjudice subi constitue l’une des conditions du droit à réparation, au même titre que l’existence d’une violation du RGPD et du lien de causalité entre le dommage et la violation. Elle rappelle que ces trois conditions sont cumulatives.

De ce fait, il ne saurait être considéré que toute « violation » des dispositions du RGPD ouvre, à elle seule, ledit droit à réparation au profit de la personne concernée ».

2. Sur la deuxième question

La Cour de Justice a initialement considéré la deuxième question posée comme « très large » et « trop imprécise » et donc irrecevable. Cependant, en se fondant sur sa jurisprudence antérieure, elle rappelle que « le seul fait que la Cour soit appelée à se prononcer en des termes abstraits et généraux ne saurait avoir pour effet d’entraîner l’irrecevabilité d’une demande de question préjudicielle ». Ainsi, la question est recevable et la CJUE peut y répondre.

La Cour rappelle l’application des principes d’efficacité et d’équivalence :

  • Principe d’effectivité : si un droit est reconnu aux particuliers par le droit de l’Union européenne, les Etats Membres doivent en assurer la protection, notamment par l’existence d’un recours juridictionnel.

  • Principe d’équivalence : les modalités procédurales de mise en œuvre du droit communautaire doivent être similaires aux modalités nationales pour la mise en œuvre d’un droit interne ayant un objet ou une cause semblable.

Au regard du principe d’équivalence, la CJUE rappelle que les États Membres doivent régler les aspects procéduraux des recours en justice à la condition qu’ils ne soient pas « moins favorables que celles régissant des situations similaires soumises au droit interne » et qu’ils ne rendent pas « impossible » ou « excessivement difficile » l’exercice des droit conférés par l’Union.

Au regard du principe d’effectivité, la CJUE déclare que les modalités de fixation des dommages-intérêts reviennent aux droits internes à cette même condition que les modalités « ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union », ici plus spécifiquement par le RGPD.

Ainsi, les juges nationaux appliquent les règles internes afin de fixer le montant des dommages-intérêts tout en respectant les principes d’équivalence et d’effectivité du droit de l’Union.

3. Sur la troisième question

La Cour précise que la réparation d’un dommage causé par une violation du RGPD « n’est pas subordonné à ce que le dommage considéré atteigne un certain seuil de gravité ». Elle justifie cela par le risque de fluctuation relatif à l’appréciation des juges internes.

Ainsi, il en ressort que l’article 82 RGPD s’oppose à toute disposition interne subordonnant la réparation d’un dommage à un certain seuil de gravité.

Les apports :

  • La Cour précise que l'indemnisation d'un traitement de données illicite est nécessairement subordonnée à l'existence d'un préjudice ou d'un dommage.

  • La réparation d'un dommage ou d'un préjudice causé par un traitement illicite de donnés n'est pas subordonnée à une certaine gravité.

  • La fixation du montant des dommages-intérêts par le droit interne des États Membres est subordonnée au respect des principes d'effectivité et d'équivalence.

*Règlement (UE) 2016/619 pris par le Parlement Européen et le Conseil le 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

CJUE UI c. Österreichische Post AG, 3ème chambre, 04/05/2023, C-300/21

#rgpd #CJUE #indemnisation #donnéespersonnelles #traitementillicite