icone de recherche
logo
Accueil/ Actualités - La Quotidienne/ Affaires/ Informatique et libertés

Cyberattaque : quelles obligations pour le responsable d’un traitement ?

La Cour de justice de l’Union européenne précise dans quelle mesure un responsable de traitement doit assurer la sécurité de ses systèmes informatiques et réparer les dommages causés par une fuite de données.

CJUE 14-12-2023 aff. 340/21, VB c/ Natsionalna agentsia za prihodite


quoti-20240228-affaires.jpg

©Gettyimages

L’Agence nationale des recettes publiques bulgare fait l’objet, en 2019, d’un piratage informatique à la suite duquel plus de 6 millions de personnes voient leurs données diffusées sur internet. L’une des personnes concernées demande aux juridictions compétentes que l'Agence soit condamnée à lui verser une indemnité à raison du préjudice moral qu’elle a ainsi subi. 

Saisie dans ce cadre de plusieurs questions préjudicielles, la Cour de justice de l'Union européenne (CJUE) apporte des précisions sur la responsabilité du responsable de traitement.

Elle juge qu'une divulgation non autorisée de données personnelles ou l’accès irrégulier de tiers à de telles données ne suffisent pas à établir que les mesures prises par le responsable de traitement étaient inappropriées. 

Elle se fonde notamment sur les motifs suivants.

Le règlement général sur la protection des données (RGPD) prévoit une obligation générale, pesant sur le responsable du traitement, de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de s’assurer que ce traitement est effectué en conformité avec ce règlement et de pouvoir le démontrer (art. 24). Un certain nombre de critères doivent être pris en compte pour évaluer le caractère approprié de telles mesures, à savoir la nature, la portée, le contexte et les finalités du traitement ainsi que les risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Dans cette perspective, le règlement précise les obligations du responsable du traitement et d’un éventuel sous-traitant quant à la sécurité de ce traitement (art. 32). La référence à un niveau de sécurité adapté au risque ou approprié témoigne de ce que ce règlement instaure ainsi un régime de gestion des risques et qu’il ne prétend nullement éliminer les risques de violation des données à caractère personnel.

Ainsi, juge la Cour de justice, ces dispositions se bornent à imposer au responsable du traitement d’adopter des mesures destinées à éviter, dans la mesure du possible, toute violation de données à caractère personnel, le caractère approprié de ces mesures devant être évalué de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques. Ce contrôle implique que les juges se livrent à un examen de ces mesures sur le fond, précise la CJUE. 

La CJUE précise cependant qu'il appartient au responsable de traitement, poursuivi dans le cadre d'une action en réparation formée par la victime d'une violation de ses données personnelles, de prouver qu’il a pris les mesures de sécurité adéquates. Cette règle se déduit des termes des articles 5, 24 et 32 du RGPD, desquels il résulte de manière générale que le responsable de traitement doit démontrer que le traitement est effectué en conformité avec ce règlement. 

La seule circonstance que le dommage a été provoqué par les agissements de tiers ne l’exonère pas de son obligation de réparer le dommage, l’opérateur devant prouver que ce dommage ne lui est nullement imputable. A cet égard, la Cour expose que lorsqu'une violation de données à caractère personnel a été commise par des cybercriminels, cette violation ne saurait être imputée au responsable du traitement, sauf si celui-ci a rendu possible ladite violation en méconnaissant une obligation prévue par le RGPD. 

Enfin, interrogée sur le point de savoir si la crainte d’un potentiel usage abusif de ses données personnelles par des tiers est susceptible, à elle seule, de constituer un « dommage moral » pour la presonne concernée, la CJUE répond par l'affirmative. 

A noter :

C'est la première fois à notre connaissance que la CJUE se prononce sur ces questions. En pratique, les entreprises doivent procéder à une auto-évaluation de leurs traitements de données avant de définir les mesures techniques et organisationnelles qui s'avèrent nécessaires. La Cnil propose une méthode permettant de « cartographier » les traitements de données personnelles (www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles).

La CJUE innove également en jugeant par ailleurs que la personne, dont les données peuvent être consultées par des tiers, a le droit d’obtenir réparation du préjudice moral résultant de la « crainte » qu’elle éprouve face au risque d’un usage abusif de ces données.

Documents et liens associés : 

CJUE 14-12-2023 aff. 340/21, VB c/ Natsionalna agentsia za prihodite

Retrouvez toute l'actualité en matière de droit des sociétés, droit commercial et de la concurrence dans Navis Droit des Affaires !

Vous êtes abonné ? Accédez à votre Navis Droit des affaires à distance 

Pas encore abonné ? Nous vous offrons un accès au fonds documentaire Navis Droit des Affaires pendant 10 jours.

© Editions Francis Lefebvre - La Quotidienne

Aller plus loin


Navis Droit des affaires
affaires -

Navis Droit des affaires

Votre fonds documentaire en ligne
à partir de 285,42 € HT/mois
Mémento Baux commerciaux 2023/2024
affaires -

Mémento Baux commerciaux 2023/2024

Sécurisez vos baux et gagnez en sérénité
209,00 € TTC