Les responsables de traitement de données personnelles ont l’obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées [1] afin d’assurer la conformité du traitement aux dispositions du règlement général sur la protection des données (RGPD) [2]. Ils sont notamment tenu de garantir un niveau de sécurité des données adapté aux risques du traitement [3].
À défaut, ces derniers peuvent faire l’objet de sanctions pénales sur le fondement des articles 222-26 à 226-24 du Code pénal. Ils peuvent aussi être visés par des sanctions administratives prononcées par la CNIL. La société Ledger a d’ailleurs déjà été sanctionnée par la CNIL, en octobre 2024, par une amende administrative d’un montant de 750 000€ pour défaut de sécurité et violation de la durée de conservation des données à la suite de deux fuites survenues en 2020.
Si cette décision n’a pas été rendue publique par la CNIL, Ledger a toutefois été contrainte d’en communiquer le contenu au juge judiciaire en vertu d’une ordonnance du 9 décembre 2025 prise dans le cadre d’une action indemnitaire intentée par les clients de la société.
En effet, les personnes concernées par une fuite de données peuvent également obtenir réparation de leur préjudice en engageant la responsabilité du responsable de traitement sur le fondement de l’article 82 du RGPD. Cette disposition rarement utilisée révèle tout son potentiel lorsque les fuites concernent des données particulièrement sensibles comme les identités et les coordonnées de détenteurs de crypto-actifs.
Les conditions d’engagement des responsables de traitement sur le fondement de l’article 82 du RGPD.
Pour que le droit à réparation soit ouvert sur ce fondement, la personne concernée doit démontrer la réunion de trois éléments : une violation du RGPD, un dommage et un lien de causalité entre les deux [4].
- Une violation du RGPD.
Dans l’hypothèse des fuites de données personnelles, le reproche souvent formulé aux responsables de traitement est celui d’un manquement à leur obligation de sécurité des données dont ils ont la garde. Le caractère contraignant de cette obligation de sécurité de moyen est modulé en fonction du risque et de la sensibilité que représentent les données traitées. Lorsque le risque est important et le secteur particulièrement sensible, l’obligation de sécurité est maximale : le responsable de traitement doit avoir mis l’ensemble des mesures techniques et organisationnelles possibles, pour lui et ses sous-traitants, au regard des connaissances scientifiques en matière de sécurité informatique existantes au moment du traitement.
En pratique, pour apprécier l’existence et l’étendue d’une violation du RGPD par le responsable de traitement, le juge judiciaire saisi d’une action réparation peut se référer et s’appuyer sur l’appréciation administrative de la CNIL. Tel est notamment le cas dans l’affaire concernant Ledger qui a été sommé en décembre 2025 de communiquer la sanction pourtant non publique qui lui a été infligée par la CNIL aux fins d’appréciation des violations qui lui sont reprochées.
- Un dommage résultant de la violation du RGPD.
Le RGPD prévoit, au sens large [5], la réparation du dommage matériel et du dommage moral dont le degré de gravité est indifférent [6].
La violation des données personnelles peut entraîner un préjudice moral pour la personne concernée, caractérisé par une perte de contrôle ou de confidentialité sur leurs données. Ce préjudice correspond aux « sentiments négatifs » éprouvés par la personne concernée à la suite d’une transmission non autorisée de ses données à un tiers [7]. Plus encore, la simple crainte éprouvée par la personne que ses données soient divulguées à des tiers non autorisés [8] ou qu’elles fassent l’objet d’un potentiel usage abusif [9] suffit à fonder un droit à réparation. Cette crainte peut se matérialiser par un état de stress permanent et une peur constante de subir des violences. Il ne doit en revanche pas s’agir d’un risque purement hypothétique d’usage abusif des données [10].
En matière de crypto-actifs, cette crainte peut être fondée sur la multiplication et la diversification des risques de vols et d’agressions directement reliés aux fuites de données en sus du risque permanent de phishing et de cyberattaque. En effet, il existe désormais de très nombreux exemples d’agressions de détenteurs d’actifs numériques à l’image de celle d’un youtubeur à son domicile en janvier 2022 [11] ou de la séquestration de quatre jeunes en décembre 2017 [12]. De multiples détenteurs de crypto-actifs ainsi que leurs proches ont également été victimes d’enlèvements suivi de séquestrations et dans certains cas de mutilations depuis la fin de l’année 2023 sur le seul territoire français [13].
Ces comportements violents sont particulièrement inquiétants, d’autant plus que les agresseurs semblent agir sans nécessairement connaître la valeur des portefeuilles de leurs victimes. Ces dernières semblent visées simplement parce qu’elles peuvent être perçues comme des détenteurs de crypto-actifs [14].
Un préjudice matériel peut également découler de la violation des données personnelles, le plus souvent matérialisé par une perte financière [15]. Par exemple, en matière de fuite de données, de nombreux détenteurs de crypto-actifs ont pu subir un préjudice matériel résultant de l’exploitation des données issues de la fuite à des fins de hameçonnage (phishing), sous la forme d’appels téléphoniques ou de correspondances frauduleuses, pouvant conduire à une perte d’actifs numériques.
- Un lien de causalité entre la violation et le dommage.
Pour obtenir réparation sur le fondement de l’article 82 du RGPD, la violation du règlement imputable au responsable de traitement doit être à l’origine directe et certaine du dommage.
En pratique, établir cette causalité relève d’un exercice de démonstration précis. Dans le domaine des crypto-actifs, les responsables de traitement à l’origine d’une fuite de données personnelles de leurs clients peuvent tenter d’échapper à leur responsabilité en alléguant que les tiers non autorisés ne pouvaient pas accéder directement aux fonds protégés. Or, il est pourtant clair que seules les fuites de données permettent aux tiers malveillants d’identifier et de localiser les détenteurs d’actifs numériques. Dit autrement, s’il n’y a pas de fuite de données, il n’y a pas d’opérations frauduleuses possibles.
- La réparation pouvant être octroyée sur le fondement de l’article 82 RGPD.
La réparation prévue par l’article 82 du RGPD revêt une fonction compensatoire [16]. Elle est « complète et effective » [17] si elle permet de compenser intégralement le préjudice concrètement subi du fait de la violation [18]. Le préjudice subi doit donc faire l’objet d’une réparation intégrale.
Le RGPD ne prévoit toutefois pas les règles d’évaluation et de fixation des dommages et intérêts au titre de ce droit à réparation. Il appartient dès lors aux juridictions de chaque État membre, lorsqu’elles sont saisies d’une demande en réparation, d’en fixer le montant [19].
Les responsables de traitement ne respectant pas la législation européenne sur la protection des données personnelles s’exposent à des sanctions administratives et pénales mais aussi à l’engagement de leur responsabilité civile. Pour les personnes concernées par une violation de leurs données personnelles, se faire accompagner par un professionnel du droit est souvent déterminant afin d’évaluer les éventuels manquements au RGPD, le préjudice subi et les démarches envisageables.
