L’article 82.1 du RGPD prévoit que « Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement (du RGPD) a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Il n’était toutefois pas clair jusqu’ici dans quelles circonstances exactes une personne pouvait réclamer un dommage moral du fait d’une violation du RGPD et si il y avait un seuil de gravité à atteindre pour introduire une demande en réparation comme le préconisaient certains états membres dont l’Allemagne.
Ce jeudi, la CJUE dans son arrêt C-300/21 du 4 mai 2023 a tenté d’apporter des réponses assez prudente à ces questions.
Contexte
L’affaire a été soulevée par un citoyen Autrichien dont les données à caractère personnel avaient été traitées (sans son consentement) par le service postal Autrichien (Österreichische Post) dans le but de déterminer ses affinités politiques à des fins publicitaires.
Le plaignant s'était vu attribuer par le service postal Autrichien un intérêt probable pour le "Parti de la liberté" d'extrême droite.
Le plaignant ayant été très contrarié par cette attribution a demandé une indemnisation pour préjudice moral pour un montant de 1000 euros.
Cette affaire est arrivée jusqu’à la Cour suprême Autrichienne qui a renvoyé l'affaire à la CJUE en lui demandant si la simple violation du RGPD suffit pour conférer à une personne concernée un droit de réparation et si la réparation n’est possible qu’au-delà d’un certain degré de gravité du dommage moral subi. La Cour suprême Autrichienne souhaitais aussi savoir quelles sont les exigences du droit de l’Union quant à la fixation du montant des dommages-intérêts
Trois conditions cumulatives sont nécessaires pour établir un droit à la réparation d’un préjudice moral.
La Cour précise, en premier lieu, qu'il est clair que le droit à réparation prévu par le RGPD est soumis à trois conditions cumulatives : une violation du RGPD, un préjudice matériel ou immatériel résultant de cette violation et lien de causalité entre le dommage et la violation.
Ainsi, toute violation du RGPD ne donne pas lieu, à elle seule, à un droit à réparation. Toute autre interprétation irait à l'encontre de la formulation claire du RGPD. (En outre, selon les considérants du RGPD, la violation du RGPD n'entraîne pas nécessairement un dommage, et il doit exister un lien de causalité entre la violation en cause et le préjudice subi pour établir un droit à indemnisation.)
Le droit à la réparation n’est pas limité par un seuil de gravité.
La Cour ne donne pas la définition d’un dommage moral dans le contexte du RGPD et ne suit pas l’opinion de l’avocat général dans cette affaire qui préconisait un seuil de gravité au-delà duquel les dommages moraux pourraient donner lieu à une indemnisation.
En effet, le RGPD ne contient aucune exigence de ce type et la Cour a décidé que la mise en œuvre d’un seuil « de gravité » n’était pas opportune, précisant que tout seuil aurait, en pratique, été susceptible de « fluctuer en fonction de l’appréciation des juges saisis ».
Evaluation du dommage
Enfin, la Cour note que le RGPD ne contient aucune règle régissant l'évaluation des dommages.
Il appartient donc à l'ordre juridique de chaque État membre de prescrire les modalités des actions destinées à sauvegarder les droits que les particuliers tirent à cet égard du RGPD, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve de respecter les principes d’équivalence et d’effectivité.
Conclusion
Les personnes cherchant à obtenir une indemnisation pour dommage moral en lien avec des violations du RGPD peuvent le faire sans devoir prouver qu’un seuil spécifique de “gravité” du préjudice est atteint , mais doivent néanmoins être à même d’établir le lien de causalité entre la violation et le dommage subi.
Mathieu Desmet
https://curia.europa.eu/juris/document/document.jsf?text=&docid=266842&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=4291329