L’article 82 alinéa 2 du RGPD permet à toute personne concernée ayant subi un dommage matériel ou moral du fait de la violation de ses données à caractère personnel par le responsable de traitement et/ou de son sous-traitant, d’obtenir réparation de son préjudice.

Toutefois, comme présenté dans un précédent article (RGPD et indemnisation du préjudice : les juridictions allemandes font elles fausse route ?), relatif aux décisions parfois contradictoires des juridictions allemandes, la notion de préjudice réparable est une notion à géométrie variable.

En effet, alors que certains considèrent que l’allocation de dommage-intérêts a non seulement une fonction réparatrice mais aussi une fonction dissuasive et que, par conséquent, tout dommage, soit-il « de minimis » devrait être réparé, d’autres estiment, au contraire, que ce n’est qu’à partir d’un certain « seuil de gravité » qu’une personne concernée devrait pouvoir prétendre à la réparation de son préjudice.

Ce sera finalement à la Cour de justice de l’Union européenne qu’il reviendra de trancher cette question puisqu’elle a été saisie dans le cadre d’un renvoi préjudiciel par la Cour suprême autrichienne (Obergerichtshof).

Dans cette affaire, la Poste autrichienne (Österreichische Post AG) avait collecté les données personnelles de millions de citoyens et avait, par le biais de croisement de données (données sociodémographiques, résultats des élections), créé des profils relatifs aux affinités politiques des citoyens. La victime, après avoir exercé son droit d’accès conformément à l’article 15 du RGPD, avait appris qu’il avait été catégorisé comme un sympathisant du FPÖ, le Parti de la liberté d’Autriche, un parti dit d’extrême droite.

La victime considérait que le traitement de ses données à caractère sensible (Article 9.1 du RGPD : données qui révèlent les opinions politiques) était contraire au RGPD du fait qu’il n’avait été ni informé de ce traitement ni donné son consentement. Se sentant « blessé, humilié, contrarié et ridiculisé » ([…] Beleidigung und beschämend […] Ärgernis […] ein Gefühl der Bloßstellung), la victime a réclamé 1 000 euros de dommages-intérêts en se fondant sur les dispositions de l’article 82 du RGPD.

La Cour suprême autrichienne, hésitant quant à la possibilité d’allouer des dommages-intérêts à la victime pour les sensations négatives éprouvées, a décidé, le 15 avril 2021, de surseoir à statuer et d’interroger la CJUE sur les points suivants [1] :
1) La seule violation d’une des dispositions du RGPD peut-elle suffire à dédommager une personne concernée sur la base de l’article 82 du RGPD ou est-il nécessaire que la violation d’une des dispositions du ait entraîné un préjudice matériel et/ou moral pour la personne concernée ?
2) Le préjudice doit-il être d’une certaine gravité pour pouvoir être indemnisé (exclusion des préjudices mineurs, de minimis) ?

Concernant la première question, nous considérons qu’une demande en réparation de préjudice fondée sur l’article 82 du RGPD ne peut être accueillie qu’à la condition que la violation des dispositions du RGPD ait effectivement engendré un préjudice/un dommage pour la personne concernée.

En effet, l’article 82, contrairement à l’article 83 du RGPD, a une « fonction réparatrice » et non une « fonction punitive ». La réparation doit donc être intégrale et proportionnée au préjudice subi et n’a donc pas pour dessein d’être dissuasive, contrairement aux amendes administratives prononcées par les autorités de contrôle.

Par ailleurs, si tout dommage résulte nécessairement d’une violation des dispositions du RGPD, l’inverse n’est pas vrai. Aussi, il serait malvenu d’octroyer des dommages-intérêts pour des préjudices potentiels, hypothétiques, voire même inexistants.

Concernant la deuxième question, nous considérons que les préjudices mineurs de faible intensité et caractérisés par une simple gêne, nuisance ou incommodité devraient être exclus de la possibilité de réparation offerte par l’article 82 du RGPD.

En effet, au nom du principe « de minimis praetor non curat » nous estimons que seuls les dommages d’une certaine gravité ayant entraîné un désavantage non négligeable et établi de manière objective devraient être indemnisables sur le fondement de l’article 82 du RGPD. A contrario, le risque serait une explosion des contentieux relatifs à l’indemnisation des préjudices mineurs et une crainte, de la part des responsables de traitement, de voir leur responsabilité engagée pour une simple erreur ou négligence. Accepter d’indemniser les préjudices dits mineurs reviendrait aurait également pour conséquence d’entraver de manière durable et pérenne la libre circulation des données à caractère personnel au sein du marché intérieur.

Le délai moyen de réponse à une question préjudicielle par la Cour de justice est aujourd’hui de 15,8 mois.

Affaire à suivre …