Rappel des faits.
En l’espèce, une société autrichienne, Österreichische Post, collectait et vendait des informations sur les affinités politiques de la population autrichienne.
Il s’avère, qu’à la suite d’un envoi ciblé de publicité, un citoyen autrichien qui n’avait pas consenti au traitement de ses données à caractère personnel, reçut ces publicités en raison d’une affinité élevée avec un certain parti politique autrichien.
Étant offensé par cela, le requérant saisit alors le tribunal régional statuant en matière civile de Vienne.
La juridiction nationale fit un renvoi préjudiciel, amenant la CJUE à se prononcer sur l’interprétation du droit de l’Union.
En effet, il était demandé à la Cour de dire si :
- Une violation des dispositions du RGPD [1] suffisait déjà en soi pour allouer des dommages-intérêts.
- À côté des principes d’effectivité et d’équivalence, il existait d’autres exigences du droit de l’Union.
- Un certain seuil pouvait exister au sein du droit de l’Union aux fins d’obtenir réparation d’un préjudice moral résultant de la violation du RGPD.
Les conditions du droit à réparation.
Dans l’affaire C-300/21 « UI contre Österreichische Post AG », le problème rencontré par la Cour d’Autriche était dû à une imprécision de l’article 82, pour savoir s’il fallait démontrer un dommage et un lien de causalité ou si la seule violation du RGPD suffisait.
À cet égard, la CJUE considère que :
« le RGPD n’opère pas de renvoi au droit des États membres en ce qui concerne le sens et la portée des termes figurant à l’article 82 de ce règlement ».
De ce fait, la CJUE estime que les notions de dommage et de réparation, doivent être interprétées de manière uniforme et autonome dans l’ensemble des États membres.
Au terme de l’article 82 du RGPD [2], la CJUE estime dans son arrêt que :
« l’existence d’un “dommage” ou d’un “préjudice“ ayant été “subi” constitue l’une des conditions du droit à réparation prévu à ladite disposition, tout comme l’existence d’une violation du RGPD et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives ».
Sur l’existence des conditions au droit à réparation.
Le requérant estime que les données à caractère personnel [3] qui ont été conservées par le responsable du traitement « auraient suscité chez lui une grave contrariété, une perte de confiance, ainsi qu’un sentiment d’humiliation ».
Conformément à l’article 82 du RGPD, un requérant qui estime ainsi que ses droits sont lésés, provoquant par ailleurs un dommage moral, peut obtenir du responsable du traitement, une réparation du préjudice subi.
Or, la Cour refuse de considérer que :
« toute violation des dispositions du RGPD ouvre, à elle seule, ledit droit à réparation au profit de la personne concernée ».
En effet, pour obtenir une réparation, cela suppose un dommage, mais qui n’est pas a fortiori consécutif d’une violation du RGPD.
De surcroît, la Cour considère que :
« la réparation d’un dommage moral à un certain seuil de gravité risquerait de nuire à la cohérence du régime instauré par le RGPD », car ce seuil serait en quelque sorte soumis à la libre appréciation des juges nationaux.
Ainsi, pour obtenir des dommages et intérêts, le lien de causalité doit exister entre la violation du RGPD et le dommage subi par la victime.
Par conséquent, à la lumière de cet arrêt, la CJUE conçoit trois conditions cumulatives, à savoir :
- Une violation du RGPD ;
- Un dommage matériel ou moral qui résulte de cette violation ;
- Un lien de causalité entre le dommage et la violation.