Cyberattaque : quelles obligations pour le responsable d’un traitement ?

L’Agence nationale des recettes publiques bulgare fait l’objet, en 2019, d’un piratage informatique à la suite duquel plus de 6 millions de personnes voient leurs données diffusées sur internet. L’une des personnes concernées demande aux juridictions compétentes que l'Agence soit condamnée à lui verser une indemnité à raison du préjudice moral qu’elle a ainsi subi. 

Saisie dans ce cadre de plusieurs questions préjudicielles, la Cour de justice de l'Union européenne (CJUE) apporte des précisions sur la responsabilité du responsable de traitement.

Elle juge qu'une divulgation non autorisée de données personnelles ou l’accès irrégulier de tiers à de telles données ne suffisent pas à établir que les mesures prises par le responsable de traitement étaient inappropriées. 

Elle se fonde notamment sur les motifs suivants.

Le règlement général sur la protection des données (RGPD) prévoit une obligation générale, pesant sur le responsable du traitement, de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de s’assurer que ce traitement est effectué en conformité avec ce règlement et de pouvoir le démontrer (art. 24). Un certain nombre de critères doivent être pris en compte pour évaluer le caractère approprié de telles mesures, à savoir la nature, la portée, le contexte et les finalités du traitement ainsi que les risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Dans cette perspective, le règlement précise les obligations du responsable du traitement et d’un éventuel sous-traitant quant à la sécurité de ce traitement (art. 32). La référence à un niveau de sécurité adapté au risque ou approprié témoigne de ce que ce règlement instaure ainsi un régime de gestion des risques et qu’il ne prétend nullement éliminer les risques de violation des données à caractère personnel.

Ainsi, juge la Cour de justice, ces dispositions se bornent à imposer au responsable du traitement d’adopter des mesures destinées à éviter, dans la mesure du possible, toute violation de données à caractère personnel, le caractère approprié de ces mesures devant être évalué de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques. Ce contrôle implique que les juges se livrent à un examen de ces mesures sur le fond, précise la CJUE. 

La CJUE précise cependant qu'il appartient au responsable de traitement, poursuivi dans le cadre d'une action en réparation formée par la victime d'une violation de ses données personnelles, de prouver qu’il a pris les mesures de sécurité adéquates. Cette règle se déduit des termes des articles 5, 24 et 32 du RGPD, desquels il résulte de manière générale que le responsable de traitement doit démontrer que le traitement est effectué en conformité avec ce règlement. 

La seule circonstance que le dommage a été provoqué par les agissements de tiers ne l’exonère pas de son obligation de réparer le dommage, l’opérateur devant prouver que ce dommage ne lui est nullement imputable. A cet égard, la Cour expose que lorsqu'une violation de données à caractère personnel a été commise par des cybercriminels, cette violation ne saurait être imputée au responsable du traitement, sauf si celui-ci a rendu possible ladite violation en méconnaissant une obligation prévue par le RGPD. 

Enfin, interrogée sur le point de savoir si la crainte d’un potentiel usage abusif de ses données personnelles par des tiers est susceptible, à elle seule, de constituer un « dommage moral » pour la presonne concernée, la CJUE répond par l'affirmative. 

Documents et liens associés : 

CJUE 14-12-2023 aff. 340/21, VB c/ Natsionalna agentsia za prihodite