L’effectivité des réglementations sur la protection des données personnelles est un enjeu crucial. Le RGPD en Union Européenne et la LGPD au Brésil prévoient un droit à réparation pour les victimes de traitements illégaux, mais la question se pose de la charge de la preuve, en particulier concernant le préjudice moral.

La Cour de Justice de l’Union Européenne et le Tribunal Supérieur de Justice brésilien, dans deux arrêts récents, ont décidé que la violation seule ne confère pas un droit à réparation, la victime devant prouver l’existence du préjudice et du lien de causalité avec l’acte en cause. Ces arrêts témoignent de la proximité entre les deux systèmes juridiques et d’une vision équilibrée des intérêts en présence.

Assurer un niveau satisfaisant de protection des données personnelles est un enjeu majeur des Etats, des autorités de contrôle et des propres agents économiques, compte tenu du volume de données traitées, des bénéfices pour l’activité économique et des risques pour la société. Les exemples de fuites de données personnelles de grande ampleur (massive data leaks) de part et d’autre de l’Atlantique ne manquent pas, comme le cas d’Experian, où les informations de millions de citoyens de différents pays ont été exposées.

Au-delà des conséquences matérielles directes (comme l’usage frauduleux d’une carte bancaire), ces incidents peuvent avoir des conséquences plus diffuses sur la vie privée, le sentiment de sécurité et le bien-être des individus. Pensons à la prise en compte, par une entreprise, de données obtenues illégalement sur l’orientation politique ou sexuelle d’un individu pour lui offrir certains services, sans que l’intéressé en ait conscience.

En ce sens, le Règlement Général de Protection des Données Personnelles en Union Européenne (Règlement UE 2016/679, ou RGPD) et la Loi Générale de Protection des Données Personnelles au Brésil (Loi n° 13.709/2018, ou LGPD) prévoient un droit à la réparation des préjudices matériel et moral découlant de la violation de leurs dispositions respectives.

L’encadrement légal du droit à réparation.

Le RGPD (article 82) et la LGPD (article 42) énoncent en des termes assez proches que toute personne ayant subi un préjudice matériel ou moral du fait d’une violation de leurs dispositions respectives a le droit d’être indemnisée. Ce droit à réparation est large et doit permettre de compenser l’intégralité du préjudice subi.

La question se pose de la charge de la preuve qui repose sur la victime : une simple violation des conditions légales est-elle suffisante à ouvrir droit à des dommages-intérêts ?

Ou bien est-il nécessaire de prouver l’existence des trois éléments de la responsabilité civile de droit commun, à savoir, une violation de la loi, un préjudice et un lien de causalité entre les deux ?

La question est particulièrement pertinentes concernant le préjudice moral, pour lequel la charge de la preuve peut s’avérer plus difficile encore.

Le préjudice moral se réfère aux souffrances et autres dommages non matériels, telles que l’atteinte à la vie privée, une détresse émotionnelle (comme l’angoisse psychologique), la perte de réputation, une discrimination, etc. Imposer un standard de preuve trop élevé peut constituer un obstacle au droit à réparation effectif du préjudice moral.

L’encadrement jurisprudentiel du droit à réparation.

Les juridictions supérieures de l’UE et du Brésil se sont récemment prononcées sur cette question. Elles ont toutes deux jugé qu’une violation du RGPD ou de la LGPD ne confère pas, à elle seule, un droit à réparation. Le demandeur doit prouver la réalité du préjudice moral et le lien de causalité avec l’acte en cause.

La Cour de Justice de l’Union Européenne (CJUE) dans un arrêt le 4 mai dernier (CJUE, aff. C-300/21, Österreichische Post), répondait à une question préjudicielle de la Cour Suprême autrichienne, dans le cadre d’un litige concernant le traitement non consenti de données personnelles relatives aux affinités politiques.

Pour la CJUE, l’article 82, paragraphe 1, du RGPD distingue clairement les notions de violation et de dommage. Si la seule violation du RGPD suffisait à fonder un droit à réparation, cette distinction serait superflue. Cette affirmation est soutenue par une interprétation systématique du RGPD, selon laquelle le dommage est un risque et non une conséquence automatique d’une violation de ses dispositions (voir notamment les Considérants 75, 85 et 146 du RGPD).

La cour éclaire deux autres points :

• (i) le droit à réparation n’est pas réservé aux dommages moraux atteignant un certain seuil de gravité : « une telle restriction contredirait la conception large des notions de dommage ou de préjudice, retenue par le législateur de l’Union » et « risquerait de nuire à la cohérence du régime instauré par le RGPD ».
• (ii) En l’absence de dispositions relatives à l’évaluation des dommages-intérêts dans le RGPD, il appartient à chaque État membre de fixer les critères permettant de déterminer l’étendue de la réparation, dès lors que ces critères assurent une réparation complète et effective pour le dommage subi.

Le Tribunal Supérieur de Justice brésilien (STJ), dans un arrêt du 7 mars 2023 (STJ, REsp 1.832.291/RS) se prononçait dans le cadre d’un recours spécial de la société de distribution d’énergie électrique Eletropaulo, contre un arrêt du Tribunal de justice de l’Etat de São Paulo qui l’avait condamnée à verser une indemnisation de 5 000 R$ pour préjudice moral suite à la divulgation non autorisée des données d’une cliente.

Selon la demanderesse, ses données personnelles (nom, date de naissance, adresse et numéro d’identification fiscale) ont été consultées par des tiers et ultérieurement partagées avec d’autres personnes moyennant paiement, créant ainsi un risque potentiel de fraude et de harcèlement.

La Deuxième Chambre du STJ a cependant considéré que la simple exposition aux tiers de données personnelles, bien qu’elle puisse être gênante, ne confère pas un droit à être indemnisé. L’existence d’un préjudice moral résultant de la divulgation et de l’accès par des tiers doit être prouvé.

Cette position commune retenue par les deux arrêts commentés est source de sécurité juridique et de praticité pour les acteurs économiques ayant des activités dans les deux régions, à plus forte raison compte tenu de la portée extraterritoriale du RGPD et de la LGPD.

Cet alignement de la CJUE et du STJ témoigne de la proximité entre les systèmes juridiques européen et brésilien en matière de protection des données personnelles, qui s’explique notamment par le fait que la LGPD a été largement inspirée du RGPD.

Similitude n’est cependant pas identité.

Le cas particulier des données sensibles.

Le Tribunal supérieur brésilien fait un parallèle avec les données personnelles dites sensibles. Ces données renvoient aux informations personnelles qui peuvent révéler des aspects intimes ou privés d’une personne. La LGPD les définit comme les

« données personnelles sur l’origine raciale ou ethnique, les convictions religieuses, les opinions politiques, l’appartenance à un syndicat ou à une organisation religieuse, philosophique ou politique, les données relatives à la santé ou à la vie sexuelle, les données génétiques ou biométriques, lorsqu’elles sont liées à une personne physique » (article 5, II).

Dans l’arrêt commenté, le juge-rapporteur indique que la liste de l’ article 5, II, de la LGPD est exhaustive et que les données, en l’espèce, n’entraient pas dans cette catégorie :

« les données en question sont celles que l’on fournit dans n’importe quel formulaire, y compris sur les sites consultés quotidiennement, ne faisant donc l’objet d’aucune confidentialité, et leur divulgation à un tiers ne porterait aucunement atteinte aux droits de la personne concernée ».

Inversement, s’il avait eu à se prononcer sur les faits de l’affaire C-300/21 (Österreichische Post), le STJ brésilien aurait pu considérer que, s’agissant d’informations sur l’orientation politique, les données en cause sont des données sensibles et l’existence d’un préjudice est donc présumée.

Le RGPD réserve également aux données sensibles une protection spécifique (considérant 51) mais s’en remet aux législations nationales :

« Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci-après dénommées « données sensibles ») » (Considérant 10).

Ainsi, bien que les deux juridictions ont eu à se prononcer sur une même question et qu’elles ont affirmé un même principe, le résultat peut varier dans certains cas.

Un régime d’indemnisation adapté aux intérêts en présence.

La réparation du préjudice moral des victimes de violations des règles sur le traitement des données personnelles est un élément-clé de l’effectivité de la réglementation. Les décisions récentes de part et d’autre de l’Atlantique démontrent l’importance accordée à la protection des droits des individus, tout en établissant des conditions strictes pour reconnaître un droit à réparation.

Pour la victime d’une fuite de données personnelles, apporter la preuve de l’existence du préjudice moral se heurte à un obstacle technique évident. L’intéressé - voire même le contrôleur des données - n’est pas toujours en mesure d’établir quelle a été la destination de ses données, qui y a eu accès, et comment elles ont été utilisées. En ce sens, la charge de la preuve qui pèse sur la victime est lourde.

De l’autre côté, cependant, présumer l’existence d’un préjudice moral en cas de fuite de données personnelles pourrait créer des problèmes économiques et financiers pour les organisations et avoir un effet délétère sur l’économie en général. Avec l’accroissement des risques cybernétiques, même les entreprises les plus attentives à la protection des données personnelles ne sont pas à l’abri d’une attaque.

L’exception concernant les données sensibles est cependant la bienvenue. Dans ce cas, la protection des titulaires des données doit l’emporter sur les intérêts légitimes des agents économiques.

Enfin, toute violation du RGPD ou de la LGPD est sujette à des pénalités administratives.

Ces pénalités peuvent être lourdes et ne sont pas conditionnées à la preuve de l’existence d’un préjudice réel. L’exemple récent de la condamnation de Meta Irlande à une amende de 1,2 milliards d’euros par l’autorité de protection des données personnelles irlandaise pour le transfert de données personnelles de citoyens européens vers des serveurs situés aux Etats-Unis est un bon exemple.

Le rôle du juge judiciaire est de réparer l’intégralité du préjudice subi par la victime dans son intégralité. Son rôle n’est pas de sanctionner l’agent économique ou de faire un exemple.

Mickael Viglino, Avocat Barreau de Paris et OAB/RJ, JG Assis de Almeida & Associados