icone de recherche
logo
Accueil/ Actualités - La Quotidienne/ Affaires/ Informatique et libertés

De nouvelles précisions sur l'action en responsabilité pour violation du RGPD

La condamnation à présenter des excuses peut constituer une réparation adéquate du préjudice d’une personne concernée par un traitement illicite de ses données ; les motivations du responsable sont sans incidence sur le montant du préjudice, précise la CJUE.

CJUE 4-10-2024 aff. 507/23, A. c/ Pateretaju tiesibu aizsardzibas centrs ; CJUE 4-10-2024 aff. 200/23, Agentsia po vpisvaniyata c/ OL


Par Ekaterina BEREKZINA
quoti-20241202-affaires.jpg

©Getty Images

Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi (Règl. 2016-679 du 27-4-2019, dit « RGPD », art. 82).

La CJUE précise le régime de la réparation prévue par ces dispositions à l’occasion des deux affaires suivantes. Dans la première affaire (aff. 507/23), le centre de protection des consommateurs letton avait publié une vidéo sur les risques liés à l’achat des véhicules d’occasion, qui faisait apparaître un personnage imitant un journaliste spécialisé dans le secteur automobile et connu en Lettonie. N’ayant pas consenti à la diffusion d’une telle vidéo, celui-ci avait demandé la cessation de l’utilisation de ses données personnelles, ainsi que la réparation de son préjudice moral.

Dans la deuxième affaire (aff. 200/23), un associé se plaignait de la publication dans le registre du commerce bulgare de certaines de ses données personnelles non requises par la loi et du refus de l’agence en charge du registre de faire droit à sa demande d’effacement de ces données.

Après avoir rappelé que la violation du RGPD ne constitue pas en soi un préjudice réparable pour la personne concernée, le droit à l’indemnisation étant subordonné à la preuve d’un dommage et d’un lien de causalité entre la violation et le dommage (aff. 200/23 n° 141 s. ; aff. 507/23 n° 24 s.), la CJUE juge que :

- une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel peut suffire pour causer un dommage moral, pour autant que la personne puisse démontrer l’existence d’un tel dommage. La CJUE précise notamment que la démonstration de conséquences négatives tangibles n’est pas requise (aff. 200/23, 7e question). Dans l’affaire en cause, le juge bulgare avait relevé que ce dommage consistait en des expériences psychologiques et négatives de l’associé, à savoir la peur et l’inquiétude face à d’éventuels abus ainsi que l’impuissance et la déception quant à l’impossibilité de protéger ses données à caractère personnel ;

- la condamnation à une présentation d’excuses (telle que prévue par le droit letton) peut constituer une réparation adéquate d’un dommage moral, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage ; il appartient à la juridiction de renvoi de s’assurer qu’une telle mesure répare le dommage intégralement (aff. 507/23, 2e question) ;

- l’attitude et les motivations du responsable de traitement ayant causé un dommage ne peuvent pas être prises en compte pour minorer le montant de la réparation, lequel doit correspondre au montant du préjudice subi dès lors que l’article 82 du RGPD a une fonction indemnitaire et non punitive. Notamment, le juge letton ne pouvait pas prendre en compte, pour déterminer le montant de la réparation, l’absence d’intention de nuire du responsable du traitement, la nécessité d’exécution d’une mission d’intérêt public ou encore des difficultés de compréhension du cadre juridique (aff. 507/23, 3e question) ;

- enfin, le fait qu’un avis de l’autorité de contrôle nationale, émis sur le fondement de l’article 58, 3-b du RGPD, ait indiqué que le responsable du traitement ne disposait pas du pouvoir de limiter le traitement en cause ne suffit pas à exonérer ce dernier de sa responsabilité sur le fondement de l’article 82, qui subordonne cette exonération à la preuve que le fait générateur ne lui soit nullement imputable. En effet, le pouvoir d’émettre des avis conféré à l’autorité nationale de protection des données par le RGPD est un pouvoir consultatif et non un pouvoir d’autorisation et n’est donc pas juridiquement contraignant (aff. 200/23, 8e question).

A noter :

La CJUE apporte ici de nouvelles précisions concernant les conditions de la réparation du préjudice subi par la personne concernée par un traitement illicite de ses données personnelles.

Elle avait déjà jugé, notamment, que la réparation d’un préjudice moral ne peut pas être subordonnée à la gravité de la violation et que la crainte de la personne concernée qu’il soit fait un usage abusif de ses données pouvait suffire à caractériser le dommage (CJUE 4-5-2023 aff. 300/21, Österreichische Post AG : RJDA 11/23 n° 637).

Documents et liens associés : 

CJUE 4-10-2024 aff. 507/23 et CJUE 4-10-2024 aff. 200/23

© Editions Francis Lefebvre - La Quotidienne

Aller plus loin


Navis Droit des affaires
affaires -

Navis Droit des affaires

Votre fonds documentaire en ligne
à partir de 285,42 € HT/mois
Mémento Baux commerciaux 2023/2024
affaires -

Mémento Baux commerciaux 2023/2024

Sécurisez vos baux et gagnez en sérénité
209,00 € TTC