L’article 82 alinéa 2 du RGPD permet à toute personne concernée ayant subi un dommage matériel ou moral du fait de la violation de ses données à caractère personnel par le responsable de traitement et/ou de son sous-traitant, d’obtenir réparation de son préjudice. Cette possibilité est également rappelée au considérant 146 du RGPD. En ce sens, l’article 82 du RGPD est en accord avec les différents droits nationaux européens qui connaissent la notion de responsabilité délictuelle permettant ainsi à une victime d’être indemnisée par l’auteur du dommage (article 1240 du Code civil ; § 823 Code civil allemand - ci-après BGB).

Ainsi, en vertu de l’adage nemo ex alterius facto praegravari debet, personne ne devrait subir de préjudice du fait d’autrui.

Toutefois, bien que des exemples de dommages réparables sont listés au considérant 85 du RGPD tels une perte de contrôle sur les données à caractère personnel, une perte financière, une discrimination, un vol, une usurpation d’identité ou encore une atteinte à la réputation, le RGPD reste silencieux quant à la définition ou aux critères permettant de définir la notion de dommage et/ou de préjudice.

Le droit positif français ne connaît pas de définition légale de cette notion. Aussi, le dommage a été défini par la doctrine comme « toute atteinte au corps (dommage corporel), aux choses (dommage matériel) ou aux sentiments (dommage moral) » ou encore comme une « atteinte à un état de chose préexistant » [1].

En droit allemand, ce sont les articles 249 à 253 du BGB qui établissent les fondements du droit à la réparation du dommage, sans pour autant en donner une définition légale. A l’instar du droit français, il peut être corporel et résulter d’une atteinte à la personne (Verletzung einer Person, Art. 249 alinéa 2 du BGB), matériel et résulter d’une atteinte à un bien (Beschädigung einer Sache, Art. 249 alinéa 2 du BGB) et moral et résulter « d’une atteinte autre qu’une atteinte à un bien » (ein Schaden, der nicht Vermögensschaden ist, Art. 253 du BGB). La doctrine allemande définit généralement le dommage comme

« toute perte subie par une personne à la suite d’un événement particulier sur les biens de sa vie, tels que l’honneur, la réputation ou la propriété » [2].

Dans tous les cas, il résulte pour la victime du dommage une dégradation plus ou moins importante de sa situation antérieure qui peut notamment se traduire par une perte, un désavantage, un détriment ou encore une incommodité. Le but de la réparation du préjudice est alors de replacer - autant que faire se peut - la victime dans l’état où elle se trouvait avant la survenance du dommage, du moins fictivement, et ce par l’allocation de dommages-intérêts (Schadenersatz) [3].

Le considérant 146 du RGPD indique que la notion de dommage « devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement ». En l’absence d’interprétation uniforme de cette notion au sein de l’Union européenne, il revient aux États-membres de l’UE d’apprécier eux-mêmes, et ce jusqu’à ce que les Juges du Luxembourg la définissent et la considèrent comme « notion autonome », les caractéristiques de la notion de dommage et/ou de préjudice. Toutefois, dans l’appréciation de la survenance ou non d’un dommage, ces derniers doivent tenir compte des objectifs du RGPG, qui visent d’une part à « protéger les libertés et les droits des personnes physiques, et en particulier leur droit à la protection des données personnelles », d’autre part, « garantir la libre circulation de ces mêmes données » [4].

Même si la notion de dommage n’est pas définie, le RGPD apporte des précisions quant à l’étendue du droit à réparation pour le préjudice subi. Sans grande surprise, à l’instar du droit français, cette réparation doit être « effective et complète » [5]. Il s’agit ici d’un rappel du principe de la réparation intégrale du préjudice qui implique que la victime ne doit subir ni perte ni profit.

Si la réparation intégrale d’un dommage matériel est plutôt aisée à mettre en œuvre, il en va néanmoins autrement de la réparation du préjudice moral, qui lui fait référence à la douleur de l’âme, au for intérieur, aux sentiments ou aux sensations éprouvés par la victime.

Alors que le RGPD indique que tout dommage, (quel qu’il soit ?!) subi par la personne concernée doit être « réparé » par le responsable de traitement ou le sous-traitant, les juridictions allemandes ont dans un premier temps décidé d’exclure les dommages dits « minimes » (Bagatellschaden). Ainsi, ce n’est qu’à partir d’un certain « seuil » (Erheblichkeitsschwelle) que les juges ont accepté d’allouer des dommages-intérêts (Schmerzengeld, les dommages-intérêts de la douleur) aux personnes concernées ayant subi un préjudice d’ordre moral.

Ainsi dans une décision du 11 juin 2019, l’Oberlandesgericht de Dresde [6] a refusé d’accorder 150 euros de dommages-intérêts au requérant (personne concernée), qui, après avoir posté un post contraire aux conditions générales d’utilisation d’un réseau social (responsable de traitement), a vu son post supprimé et son compte bloqué pour une durée de 48 heures. La personne concernée faisait notamment valoir qu’elle avait subi un préjudice moral du fait de ne plus pouvoir accéder à son compte.

Dans son argumentation, le tribunal a estimé, au point III.2 de sa décision que « toute atteinte aux droits de la personnalité ne donnait pas droit à réparation au titre du préjudice moral » et que cette « atteinte se devait d’être d’une certaine gravité ». Il a ajouté que la gravité du préjudice devait notamment être appréciée au regard des éléments suivants : « l’importance et la portée de l’atteinte, les circonstances et le degré de responsabilité de la victime » [7] (traduction libre). Ainsi, au nom du bien connu principe « de minimis praetor non curat », le juge a décidé de ne point « s’encombrer » de cette affaire dont il qualifie lui-même le blocage du compte pour une durée aussi courte de « bagatelle » (Bagatellcharakter der drei tätigen Sperrung) [8].

La juridiction est allée plus loin en précisant que l’article 82 du RGPD ne devait pas être interprété en ce sens que, « chaque désagrément [de faible intensité] ressenti par la [personne concernée] ne donnait pas droit à réparation au titre du préjudice moral subi, sans qu’il soit auparavant établi une sérieuse atteinte à l’image ou à la réputation [de la personne concernée] » [9] (traduction libre).

Dans une décision antérieure de l’Amtsgericht de Diez en date du 7 novembre 2018 [10], dans une affaire relative à l’envoi d’un courriel à caractère commercial non sollicité pour lequel la personne concernée n’avait pas donné son consentement préalable, le tribunal a, bien que constatant une violation de l’article 6 du RGPD, refusé l’indemniser la personne concernée en faisant valoir que le préjudice devait consister en un « désavantage non négligeable, établi de manière objective, portant une atteinte d’une certaine gravité aux droits de la personnalité » [11] (traduction libre), ce qui n’était pas établi en l’espèce.

Ainsi, au regard de ces deux décisions, il semblerait (et on ne peut que s’en féliciter !) que la seule violation du RGPD n’emporte pas de facto un droit à réparation du préjudice moral allégué. Pour prétendre à l’indemnisation de son préjudice, la personne concernée devrait également être en mesure de prouver qu’elle a effectivement subi un préjudice d’un certain degré du fait même de la violation des dispositions du RGPD par le responsable de traitement ou du sous-traitant. En d’autres termes, une violation des données à caractère personnel, qu’il s’agisse d’une violation de la confidentialité, de la disponibilité ou de l’intégrité de ces mêmes données, devrait non seulement atteindre la personne concernée dans son patrimoine affectif et moral (préjudice moral), mais aussi l’atteindre à un certain degré (seuil dans l’appréciation du préjudice indemnisable), le tort créé ne pouvant alors être caractérisé par une simple gêne, nuisance ou incommodité (exclusion des préjudices minimes). Bien évidemment, il va sans dire qu’il appartient à la personne concernée de prouver son préjudice, le responsable de traitement pouvant alors être exonérer de sa responsabilité en apportant la preuve que le dommage ne lui est pas imputable [12].

Toutefois, certaines décisions récentes semblent aller à l’encontre de la jurisprudence établie.

A titre liminaire, il convient de rappeler dans un premier temps que l’article 82 du RGPD à une fonction réparatrice, et vise donc à permettre aux personnes concernées de voir leur préjudice réparé. A contrario, l’article 83 du RGPD, relatif aux conditions générales pour imposer des amendes administratives, qui offre la possibilité aux autorités de contrôle d’infliger une amende administrative pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, a lui, une fonction punitive. Les amendes infligées au titre de l’article 83 alinéa 4 du RGPD ont donc pour vocation de punir le responsable de traitement ou le sous-traitant. C’est d’ailleurs pour cette raison qu’elles doivent être effectives, proportionnées et surtout dissuasives [13] (wirksam, verhältnismässig und abschreckend).

Par ailleurs, il convient de souligner qu’une amende administrative peut être prononcée du seul fait de la violation aux prescriptions du RGPD, indépendamment du fait que cette dernière ait ou non entraîné un préjudice pour la ou les personnes concernées (par exemple : la non ou mauvaise tenue du registre des traitements, article 30 du RGPD). Par contre, alors que tout préjudice, réel ou hypothétique, découle forcément d’une violation des données à caractère personnel, l’inverse n’est pas vrai. Ainsi, en l’absence de violation des données à caractère personnel par le responsable de traitement, la personne concernée n’est pas en droit d’exiger indemnisation d’un préjudice, le dommage ne s’étant tout simplement pas produit.

Dans un deuxième temps, il convient également de rappeler que pour qu’une personne concernée (victime) puisse engager la responsabilité du responsable de traitement ou de son sous-traitant, encore faut-il qu’un fait générateur (une violation des données à caractère personnel) soit à l’origine du dommage (matériel ou moral) et qu’un lien de causalité direct entre le fait générateur d’une part et le dommage ou le préjudice subi d’autre part, soit établi.

C’est à la lumière de ces deux précisions qu’il convient d’analyser un certain nombre de décisions récentes rendues par les juridictions allemandes, qui semblent battre en brèche la conception que l’on peut se faire des conditions à remplir pour pouvoir prétendre à l’indemnisation d’un préjudice moral et des critères pris pour l’évaluation de ce préjudice.

Ainsi, dans une décision de l’Arbeitsgericht [14] de Düsseldorf en date du 5 mars 2020, le tribunal a évalué le préjudice subi par la personne concernée à 5 000 euros. En l’espèce, un employé (personne concernée) avait fait valoir son droit d’accès conformément à l’article 15 du RGPD auprès de son employeur (responsable de traitement). Ce dernier était alors dans l’obligation, dans un délai d’un mois [15] à compter de la réception de la demande de fournir certaines informations relatives aux traitements effectués : finalités du traitement, catégories de données à caractère personnel traitées, durée de conservation [16] etc. Néanmoins c’est avec un retard de 4 mois que l’employeur a exécuté son obligation. Le tribunal a également estimé qu’outre le retard dans la transmission des copies des données à caractère personnel, ces dernières n’étaient « ni claires ni transparentes » en ce sens que l’employeur avait fait référence à une annexe contenant pas moins d’une centaine de pages - ce qui ne permettait pas à la personne concernée de prendre « facilement » connaissance des traitements réalisés [17].

Cette décision, malgré la banalité des faits, mérite notre attention pour au moins deux raisons : la qualification du préjudice d’une part, les raisons et les critères retenus pour estimer le préjudice d’autre part.

Concernant en premier lieu la qualification du préjudice, le tribunal a considéré que le retard dans la transmission des informations - qui a lui seul emporte violation des dispositions du RGPD - avait placé la personne concernée dans une « situation d’incertitude » (Ungewissheit) puisqu’elle n’était pas en mesure de savoir comment ses données étaient traitées et que par conséquent elle n’avait plus le contrôle sur ses données personnelles (Kontrollverlust) [18]. Toutefois, au regard de la notion de « seuil » du préjudice, on pourrait se poser la question de savoir si le sentiment d’incertitude est en lui-même un préjudice réparable et s’il ne relève pas plutôt de la catégorie des préjudices mineurs, préjudices non réparables… En allant plus loin, on pourrait également se poser la question de savoir si, sous couvert de vouloir punir (à tout prix !) le responsable de traitement, les juges n’ont pas adopté une interprétation « trop » large de la notion de préjudice.

Concernant en second lieu les raisons et critères retenus pour estimer le montant du préjudice, le tribunal a fait valoir que, pour permettre un bon respect des règles relatives à la protection des données, les violations devaient être sanctionnées par l’allocation de dommages-intérêts, et que ces derniers devaient avoir un effet dissuasif [19]. En d’autres termes, il préconise de s’attaquer au porte-monnaie du responsable de traitement ! Le juge indique d’ailleurs, que les dommages-intérêts ne doivent pas être évalués au regard du préjudice effectivement subi, mais sur la base notamment de la situation économique du responsable de traitement ! [20].

Pour évaluer le préjudice, le tribunal recommande par ailleurs de s’appuyer sur les critères de l’article 83 du RGPD. Il est vrai que certains d’entre eux peuvent - à défaut de clarification quant à la méthode de calcul des dommages-intérêts - être pris en compte dans l’appréciation du préjudice subi par la personne concernée. Il en va ainsi par exemple de la nature, la gravité et la durée de la violation [21], ou encore du caractère sensible ou non des données à caractère personnel [22]. Toutefois, à trop s’appuyer sur l’article 83 du RGPD, on peut se demander si les juges ne risquent pas de s’adonner à un mélange des genres entre la fonction réparatrice de l’article 82 et la fonction répressive de l’article 83.

C’est, nous semble-t-il, le cas en l’espèce. En effet, dans cet arrêt, l’argumentation des juges laisse penser que les dommages-intérêts alloués au titre de l’article 82 du RGPD ont pour dessein de « punir » le responsable de traitement plutôt que de « réparer » le prétendu préjudice subi. Le risque à terme n’est-il pas que des dommages-intérêts soient alloués, non pas sur la base d’un préjudice réellement éprouvé, mais plutôt sur la seule violation par le responsable du traitement des dispositions du RGPD ? Or, l’évaluation d’un préjudice devrait être appréhendée au regard de l’étendue du préjudice et des conséquences pour la personne concernée et non pas sur la seule faute du responsable de traitement.

Dans une autre décision [23] relative à un poste à pourvoir, le futur employeur (responsable de traitement) avait, par erreur, envoyé un courriel de réponse faisant référence aux prétentions salariales d’un candidat (personne concernée), non pas à ce candidat, mais à l’un de ses concurrents. Il convient de préciser que ces deux candidats se connaissaient et que le destinataire du courriel a immédiatement contacté la personne concernée pour lui faire part de cet incident. Ce n’est qu’à la fin de la procédure de recrutement et après n’avoir finalement pas obtenu le poste tant convoité, que la personne concernée a porté l’affaire en justice, en demandant à être indemnisée pour le préjudice moral subi.

L’Amtsgericht de Darmstadt a ici jugé que la transmission à un tiers - fusse par inadvertance - de données à caractère personnel constituait une violation des dispositions du RGPD et que la « perte de contrôle » sur ces données par la personne concernée lui avait causé un préjudice réparable. Sans s’attarder ni sur la définition de « perte de contrôle » ni sur la certaine mauvaise foi de la personne concernée, l’Amtsgericht a évalué le préjudice subi à hauteur de 1 000 euros. Encore une fois, il semble ici que les juges se soient focalisés sur la faute du responsable de traitement, sans réellement chercher à évaluer dans quelle mesure la personne concernée avait été lésée dans ses droits garantis par le RGPD.

Bien que le RGPD recommande d’adopter une interprétation large de la notion de préjudice, il nous semble qu’une interprétation trop large de cette notion risquerait d’aboutir à des effets contraires aux buts recherchés. Il revient à présent à la CJUE de définir les contours de la notion préjudice indemnisable et d’aiguiller les juges nationaux sur la question de savoir si les préjudices mineurs (Bagatellschaden) sont ou non des préjudices réparables au titre de l’article 82 du RGPD. A ce titre, la Cour devra prendre en considération les effets que pourraient avoir dans la pratique les contentieux relatifs à l’indemnisation de préjudices mineurs et aux possibles dérives qu’une telle ouverture pourrait entraîner.

Il serait plus judicieux de « punir » les responsables de traitement pour les violations aux dispositions du RGPD sur la seule base de l’article 83 du RGPD et de ne limiter l’application de l’article 82 du RGPD qu’aux cas où la violation des dispositions du RGPD aurait pour conséquence une atteinte grave aux droits et libertés fondamentales des personnes concernées.

A trop vouloir ménager la chèvre et le chou, ne risque-t-on pas finalement de semer la confusion ?

• 
  Sans titre, Thomas, 4 avril 2023

  Je pense qu’une erreur d’interprétation s’est glissée dans l’article de Nikola Kadić :
  Il semble avoir confondu une violation de données personnelles avec une violation du RGPD.

  Il indique :
  Par contre, alors que tout préjudice, réel ou hypothétique, découle forcément d’une violation des données à caractère personnel, l’inverse n’est pas vrai. Ainsi, en l’absence de violation des données à caractère personnel par le responsable de traitement, la personne concernée n’est pas en droit d’exiger indemnisation d’un préjudice, le dommage ne s’étant tout simplement pas produit.

  Dans un deuxième temps, il convient également de rappeler que pour qu’une personne concernée (victime) puisse engager la responsabilité du responsable de traitement ou de son sous-traitant, encore faut-il qu’un fait générateur (une violation des données à caractère personnel) soit à l’origine du dommage (matériel ou moral) et qu’un lien de causalité direct entre le fait générateur d’une part et le dommage ou le préjudice subi d’autre part, soit établi.

  Or, l’article 82 indique :
  Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

  Ce n’est pas du tout la même chose.

  En effet, le RGPD définit une violation de données à caractère personnel par :
  « violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

  Une violation du RGPD est toute autre et peut-être, par exemple, l’absence de réponse au droit d’opposition sans communiquer de motif d’inaction.
  Il serait mieux, pour plus de clarté, de parler de manquement au RGPD, comme le fait la CNIL, même si le mot Violation est plus parlant sur les effets du manquement.

  Il me semble important de corriger ces 3 affirmations. L’article 82 a été très peu, voire pas utilisé en France. Votre article est un des rares complets sur le sujet mais il lui fait, en l’état, une bien mauvaise publicité.

  Pourrez-vous me le confirmer ?