Violation du RGPD et droit à réparation.

Par Debora Cohen, Avocat.

1881 lectures 1re Parution: 3.67  /5

Explorer : # protection des données personnelles # rgpd # dommages-intérêts # lien de causalité

Le 4 mai 2023, la Cour de justice de l’Union européenne (ci-après, la « CJUE ») a rendu un arrêt dans lequel elle devait se prononcer sur le droit à la réparation d’un dommage moral résultant d’un traitement.

Cependant, la question sur laquelle la CJUE devait se prononcer, était de savoir si effectivement cette violation pourrait ipso facto amener à une réparation.

La CJUE affirme ainsi que, la simple violation du Règlement général sur la protection des données (ci-après, le « RGPD »), ne peut fonder un droit à une réparation.

-

Rappel des faits.

En l’espèce, une société autrichienne, Österreichische Post, collectait et vendait des informations sur les affinités politiques de la population autrichienne.

Il s’avère, qu’à la suite d’un envoi ciblé de publicité, un citoyen autrichien qui n’avait pas consenti au traitement de ses données à caractère personnel, reçut ces publicités en raison d’une affinité élevée avec un certain parti politique autrichien.

Étant offensé par cela, le requérant saisit alors le tribunal régional statuant en matière civile de Vienne.

La juridiction nationale fit un renvoi préjudiciel, amenant la CJUE à se prononcer sur l’interprétation du droit de l’Union.

En effet, il était demandé à la Cour de dire si :

  • Une violation des dispositions du RGPD [1] suffisait déjà en soi pour allouer des dommages-intérêts.
  • À côté des principes d’effectivité et d’équivalence, il existait d’autres exigences du droit de l’Union.
  • Un certain seuil pouvait exister au sein du droit de l’Union aux fins d’obtenir réparation d’un préjudice moral résultant de la violation du RGPD.

Les conditions du droit à réparation.

Dans l’affaire C-300/21 « UI contre Österreichische Post AG », le problème rencontré par la Cour d’Autriche était dû à une imprécision de l’article 82, pour savoir s’il fallait démontrer un dommage et un lien de causalité ou si la seule violation du RGPD suffisait.
À cet égard, la CJUE considère que :

« le RGPD n’opère pas de renvoi au droit des États membres en ce qui concerne le sens et la portée des termes figurant à l’article 82 de ce règlement ».

De ce fait, la CJUE estime que les notions de dommage et de réparation, doivent être interprétées de manière uniforme et autonome dans l’ensemble des États membres.

Au terme de l’article 82 du RGPD [2], la CJUE estime dans son arrêt que :

« l’existence d’un “dommage” ou d’un “préjudice“ ayant été “subi” constitue l’une des conditions du droit à réparation prévu à ladite disposition, tout comme l’existence d’une violation du RGPD et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives ».

Sur l’existence des conditions au droit à réparation.

Le requérant estime que les données à caractère personnel [3] qui ont été conservées par le responsable du traitement « auraient suscité chez lui une grave contrariété, une perte de confiance, ainsi qu’un sentiment d’humiliation ».

Conformément à l’article 82 du RGPD, un requérant qui estime ainsi que ses droits sont lésés, provoquant par ailleurs un dommage moral, peut obtenir du responsable du traitement, une réparation du préjudice subi.

Or, la Cour refuse de considérer que :

« toute violation des dispositions du RGPD ouvre, à elle seule, ledit droit à réparation au profit de la personne concernée ».
En effet, pour obtenir une réparation, cela suppose un dommage, mais qui n’est pas a fortiori consécutif d’une violation du RGPD.

De surcroît, la Cour considère que :

« la réparation d’un dommage moral à un certain seuil de gravité risquerait de nuire à la cohérence du régime instauré par le RGPD », car ce seuil serait en quelque sorte soumis à la libre appréciation des juges nationaux.

Ainsi, pour obtenir des dommages et intérêts, le lien de causalité doit exister entre la violation du RGPD et le dommage subi par la victime.

Par conséquent, à la lumière de cet arrêt, la CJUE conçoit trois conditions cumulatives, à savoir :

  • Une violation du RGPD ;
  • Un dommage matériel ou moral qui résulte de cette violation ;
  • Un lien de causalité entre le dommage et la violation.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé
Mail : debora.cohen chez dcavocat.com
Site : https://www.dcavocat.com/

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

3 votes

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

[1A lire cet article.

[3A lire cet article.

A lire aussi :

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 340 membres, 27875 articles, 127 257 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Assemblées Générales : les solutions 2025.

• Avocats, être visible sur le web : comment valoriser votre expertise ?




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs