La Cour de Justice de l’Union européenne s’est prononcée, par un arrêt du 4 mai 2023, sur la question de savoir si la violation des dispositions du RGPD suffisait à conférer un droit à réparation à la personne concernée par le traitement illicite et si, le cas échéant, le dommage n’était réparable que s’il présentait un certain degré de gravité (CJUE 4-5-2023 aff. 300/21, UI c/ Österreichische Post AG).
Cet arrêt s’inscrit dans le cadre d’un litige opposant une société autrichienne à une personne ayant engagé une action judiciaire devant les juridictions autrichiennes à raison du traitement illicite de ses données à caractère personnel.
Cette décision est intéressante notamment au regard de l’articulation entre le droit de la responsabilité civile et la régulation propre à la protection des données à caractère personnel.
En l’espèce, la société autrichienne Österreichische Post collectait, dans le cadre de son activité, des informations sur les affinités politiques de la population autrichienne, et vendait ces données à différentes organisations pour leur permettre de procéder à des envois ciblés de publicité. À l’aide d’un algorithme prenant en compte divers critères sociaux et démographiques, elle avait alors défini des « adresses de groupes cibles ».
Österreichische Post traitait donc des données qui, par voie d’extrapolation statistique, l’ont amenée à inférer une affinité élevée d’un personne physique, avec un certain parti politique autrichien.
Bien que ces éléments n’aient pas été transmis à des tiers, cette personne, qui n’avait pas consenti au traitement de ses données à caractère personnel, s’est sentie offensée par l’affinité qui lui avait été attribuée avec ce parti politique. Elle considérait que le fait que des données relatives à ses supposées opinions politiques aient été conservées au sein de cette société aurait suscité chez elle une grave contrariété, une perte de confiance, ainsi qu’un sentiment d’humiliation.
Elle introduisait donc un recours devant les juridictions autrichiennes pour qu’il soit enjoint à cette société de cesser le traitement de ses données à caractère personnel et qu’elle soit condamnée à lui verser la somme de 1000 euros en réparation du préjudice moral qu’elle aurait subi.
En première instance, puis en appel, les juridictions autrichiennes enjoignaient la société Österreichische Post de cesser le traitement de ses données à caractère personnel, mais rejetaient la demande d’indemnisation en considérant que la violation du RGPD n’entraînait pas automatiquement un préjudice moral et, qu’en application des règles de la responsabilité civile, le requérant échouait à rapporter la preuve de son préjudice.
Ces juridictions relevaient par ailleurs que le RGPD n’ouvrait droit à réparation que lorsque le préjudice allégué atteignait un certain « seuil de gravité ».
Le requérant formait alors un pourvoi devant la Cour suprême autrichienne, contestant le rejet de sa demande d’indemnisation.
A le suivre, la simple violation du RGPD suffirait pour conférer un droit à réparation du préjudice moral.
La Cour suprême autrichienne saisissait donc la Cour de Justice de l’Union Européenne (CJUE) de plusieurs questions préjudicielles, aux fins notamment de déterminer si :
La violation des dispositions du RGPD ne suffit pas à conférer un droit à réparation à la personne concernée par le traitement illicite : encore faut-il qu’elle prouve un dommage.
Le dommage doit en revanche être réparé même s’il ne présente pas un certain degré de gravité.
En premier lieu, la CJUE précise que pour obtenir réparation, il revient à la personne concernée de rapporter la preuve du préjudice qu’elle prétend avoir subi.
Il ressort en effet clairement du libellé du premier alinéa de l’article 82 du RGPD [1] que l’existence d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation qu’il prévoit, tout comme l’existence d’une violation du RGPD et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives (§ 32).
La Cour de justice ajoute que cette interprétation littérale de l’article 82 est corroborée par d’autres dispositions du RGPD [2], desquelles il ressort notamment que la réalisation d’un dommage en cas de violation du RGPD n’est pas automatique et peut n’être que potentielle.
En second lieu, la CJUE précise que le droit à réparation ne peut pas être subordonné à la condition que le dommage atteigne un certain seuil de gravité, dans la mesure où le RGPD se limite à faire référence au dommage matériel ou moral sans qu’il soit fait mention d’un tel seuil (art. 82) et prévoit que la notion de dommage doit être interprétée largement (considérant 146).
En effet, cette conception large du dommage serait contredite si la notion de « dommage » était circonscrite aux seuls dommages ou préjudices d’une certaine gravité (§ 46).
La CJUE ajoute que cette interprétation ne dispense cependant pas la personne concernée de prouver que ces conséquences sont constitutives d’un dommage moral.
Nous ajoutons que cette décision, par ailleurs conforme au droit de la responsabilité civile, n’empêche pas la saisine de l’autorité nationale compétente (en France, la CNIL) pour que soit prononcées des amendes administratives, sans démonstration d’un dommage individuel.
Par Mélanie Ravoisier-Ranson et Cynthia Picart
[1] « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
[2] Voir les considérants 75, 85 et 146, ainsi que les articles 77, 78, 83 et 84.
09/05/23
