Toute violation du rgpd n’ouvre pas droit à réparation

[RGPD ; droit de l’Union Européenne ; droit à réparation]

En l’espèce, une société de droit autrichien collecte des informations sur les affinités politiques de la population autrichienne afin de d’obtenir des données qu’elle revend ensuite à différentes organisations, pour procéder à des envois ciblés de publicité.

Le requérant, se sentant offensé par le fait qu’une affinité avec un certain parti politique lui ait été attribué, a intenté une action devant les tribunaux autrichiens afin d’obtenir la cessation du traitement des données à caractère personnel et obtenir la réparation du préjudice moral qu’il affirme avoir subi en raison du traitement par la société défenderesse de données relatives aux affinités politiques de personnes résidant en Autriche, alors qu’il n’avait pas consenti à un tel traitement. Le Landesgericht für Zivilrechtssachen Wien (tribunal régional statuant en matière civile de Vienne, Autriche) a fait droit à la demande de cessation, mais a rejeté la demande d’indemnisation. Saisi en appel, l’Oberlandesgericht Wien (tribunal régional supérieur de Vienne, Autriche) a confirmé, par un arrêt du 9 décembre 2020, la décision rendue en première instance. Saisi par les deux parties au principal, l’Oberster Gerichtshof (Cour suprême, Autriche), par arrêt interlocutoire du 15 avril 2021, n’a pas fait droit au recours en révision que la société a formé contre l’obligation de cessation qui lui avait été imposée, et a posé trois questions préjudicielles à la Cour de justice de l’Union européenne portant sur l’interprétation de l’article 82 du RGPD.

Notamment, la Cour suprême Autrichienne a demandé si pour allouer des dommages-intérêts en vertu de l’article 82 du RGPD, il est exigé, à côté d’une violation des dispositions du RGPD, que le requérant ait subi un préjudice, ou si une violation des dispositions du RGPD suffit en soi.

En effet, l’article 82 litigieux institue, à la charge des responsables du traitement de données et de leurs sous-traitants, une obligation de réparer le « dommage matériel ou moral » causé par une violation du règlement. On le voit, le texte ne précise pas s’il faut démontrer un dommage et un lien de causalité ou si la seule violation du RGPD suffit.

Sur cette première question, la Cour de justice rappelle d’abord que « selon une jurisprudence constante, les termes d’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l’Union, une interprétation autonome et uniforme […]. Or, le RGPD n’opère pas de renvoi au droit des États membres en ce qui concerne le sens et la portée des termes figurant à l’article 82 de ce règlement, en particulier s’agissant des notions de « dommage matériel ou moral » et de « réparation du préjudice subi ». Il en résulte que

ces termes doivent être considérés, aux fins de l’application dudit règlement, comme constituant des notions autonomes du droit de l’Union, qui doivent être interprétées de manière uniforme dans l’ensemble des États membres.».

Puis, la Cour répond que le droit à réparation prévu par le RGPD est subordonné de manière univoque à trois conditions cumulatives : une violation du RGPD, un dommage matériel ou moral résultant de cette violation et un lien de causalité entre le dommage et la violation (point 32 de l’arrêt). Ainsi, toute violation du règlement n’ouvre pas, à elle seule, le droit à réparation offert par l’article 82.

S’agissant des deuxième et troisième questions, la Cour de justice répond que le droit à réparation n’est pas réservé aux dommages moraux atteignant un certain seuil de gravité. En effet, une telle exigence contredirait la conception large des notions de « dommage » ou de « préjudice » retenue par le législateur de l’Union et risquerait de nuire à la cohérence du règlement. Enfin, concernant l’évaluation des dommages-intérêts, la Cour relève que le règlement ne contient pas de telle disposition et répond qu’il appartient donc aux juges nationaux d’appliquer « les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés ». À cet égard, la Cour souligne que le règlement tend à assurer une réparation complète et effective pour le dommage subi.

Pour rappel, le règlement général de protection des données (RGPD), entré en vigueur le 25 mai 2018, est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne. Selon les alinéas 1 et 2 de l’article 1er du règlement, celui-ci « établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données » et « protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ». L’article 2 du règlement prévoit qu’il s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

L’apport essentiel du RGPD est qu’il pose des droits pour les individus concernant leurs données personnelles, et des obligations et sanctions en cas de manquement pour les organisations et entreprises qui traitent ces données.

La Commission nationale de l’informatique et des libertés (CNIL) définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Ainsi, lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles.

Mahau FRENKENBERG