« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi », article 82§1 du Règlement Général sur la Protection des Données (« RGPD »).
Le 4 mai dernier, les juges européens de la Cour de Justice de l’Union Européenne (« CJUE ») ont été invités à se prononcer, pour la première fois, sur l’interprétation dudit article (CJUE, aff. C-300/21, 4 mai 2023, UI c/ Österreichische Post AG).
Rappel des faits
Österreichische Post, société de droit autrichien, collecte de nombreuses informations sur les affinités politiques de la population autrichienne. En prenant en compte divers critères sociaux et démographiques, elle définit des « adresses de groupes cibles » puis revend les données générées à différentes organisation spécialisées dans la publicité ciblée.
Dans le cadre de cette activité, les données collectées ont permis à Österreichische Post d’affilier un individu à un certain parti politique autrichien. Ce dernier a alors formé, devant le tribunal régional statuant en matière civile de Vienne, un recours tendant à ce qu’il soit enjoint à la société autrichienne de cesser le traitement illicite des données à caractère personnel le concernant. En effet, ladite société n’avait pas obtenu le consentement du requérant pour le traitement de ses données personnelles. D’autre part, le requérant demandait à ce qu’Österreichische Post soit condamnée à lui verser la somme de 1 000 euros à titre de réparation du préjudice moral subi. Selon le requérant, le fait que ses données aient été utilisées, à son insu, afin de déterminer ses affinités politiques, aurait suscité chez lui une grave contrariété, une perte de confiance ainsi qu’un sentiment d’humiliation.
L’ensemble des demandes du requérant ont été fondées sur l’article 82§1 du RGPD, tel que précité.
Le recours formé devant les juridictions autrichiennes soulevait de nombreuses interrogations quant à l’interprétation des dispositions du règlement européen :
- L’octroi d’une indemnisation réparatrice est-il subordonné à la preuve d’un préjudice concret, distinct de ladite violation, laquelle n’établirait pas en elle-même l’existence d’un dommage moral ?
- Le principe d’effectivité induit-il que la réparation du préjudice subi soit proportionnée, effective et dissuasive afin de remplir une fonction compensatrice ou doit-elle revêtir un caractère punitif ?
- La réparation du préjudice subi est-elle subordonnée à la démonstration d’un préjudice grave ou, a contrario, la simple démonstration d’un préjudice moral, aussi faible soit-il, ouvre-t-il droit à réparation ?
Questions posées à la CJUE sur les dommages et intérêts en cas de violation du RGPD
Ces différentes interrogations ont amené les juridictions autrichiennes à poser plusieurs questions préjudicielles à la Cour de Justice de l’Union Européenne (« CJUE ») :
- « Pour allouer des dommages-intérêts en vertu de l’article 82 du RGPD […], est-il exigé, à côté d’une violation des dispositions du RGPD, que le requérant ait subi un préjudice ou bien une violation des dispositions du RGPD suffit-elle déjà en soi pour allouer des dommages intérêts ?
- Aux fins de l’évaluation des dommages-intérêts, existe-t-il, à côté des principes d’effectivité et d’équivalence, d’autres exigences du droit de l’Union ?
- La position selon laquelle, pour accorder [la réparation d’]un préjudice moral, la condition est qu’il existe une conséquence ou un effet de la violation du droit ayant au moins un certain poids et allant au-delà du mécontentement suscité par la violation du droit est-elle compatible avec le droit de l’Union ? »
Position de la CJUE
Par son arrêt du 4 mai 2023, les juges européens ont précisé que l’existence d’un « dommage » ayant été « subi » constitue l’une des conditions du droit à réparation prévu par l’article 82 du règlement européen. Autrement dit, trois conditions sont nécessaires pour obtenir réparation du préjudice subit : un traitement de données à caractère personnel effectué en violation des dispositions du RGPD (1), un dommage ou un préjudice subi (2) et un lien de causalité entre ce traitement et ledit dommage (3).
Les juges ont également pris soin de préciser que le RGPD doit être interprété en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral à la condition que le préjudice subi par la personne concernée atteigne un certain degré de gravité.
Ainsi, si l’article 82 du RGPD ouvre droit à réparation en cas de violation des dispositions du règlement européen, la simple violation d’une disposition n’est pas une condition suffisante pour obtenir réparation. Toutefois si les conditions sont réunies, une telle réparation est possible et ce, sans considération faite de la gravité du dommage subi. Cet arrêt a été accueilli positivement par les acteurs concernés. Max Schrems, fondateur de l’association NOYB (« None of Your Business ») a salué la décision et notamment le refus des juges européens de subordonner la réparation du dommage subi à la démonstration d’un préjudice grave : « Nous saluons les éclaircissements de la CJCE. Tout un groupe d’avocats a tenté de réinterpréter le RGPD afin d’éviter de payer des dommages et intérêts aux utilisateurs. La CJUE a maintenant mis fin à cela. Nous sommes très satisfaits du résultat »
Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !