De nouvelles précisions sur l'action en responsabilité pour violation du RGPD

Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi (Règl. 2016-679 du 27-4-2019, dit « RGPD », art. 82).

La CJUE précise le régime de la réparation prévue par ces dispositions à l’occasion des deux affaires suivantes. Dans la première affaire (aff. 507/23), le centre de protection des consommateurs letton avait publié une vidéo sur les risques liés à l’achat des véhicules d’occasion, qui faisait apparaître un personnage imitant un journaliste spécialisé dans le secteur automobile et connu en Lettonie. N’ayant pas consenti à la diffusion d’une telle vidéo, celui-ci avait demandé la cessation de l’utilisation de ses données personnelles, ainsi que la réparation de son préjudice moral.

Dans la deuxième affaire (aff. 200/23), un associé se plaignait de la publication dans le registre du commerce bulgare de certaines de ses données personnelles non requises par la loi et du refus de l’agence en charge du registre de faire droit à sa demande d’effacement de ces données.

Après avoir rappelé que la violation du RGPD ne constitue pas en soi un préjudice réparable pour la personne concernée, le droit à l’indemnisation étant subordonné à la preuve d’un dommage et d’un lien de causalité entre la violation et le dommage (aff. 200/23 n° 141 s. ; aff. 507/23 n° 24 s.), la CJUE juge que :

- une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel peut suffire pour causer un dommage moral, pour autant que la personne puisse démontrer l’existence d’un tel dommage. La CJUE précise notamment que la démonstration de conséquences négatives tangibles n’est pas requise (aff. 200/23, 7^e question). Dans l’affaire en cause, le juge bulgare avait relevé que ce dommage consistait en des expériences psychologiques et négatives de l’associé, à savoir la peur et l’inquiétude face à d’éventuels abus ainsi que l’impuissance et la déception quant à l’impossibilité de protéger ses données à caractère personnel ;

- la condamnation à une présentation d’excuses (telle que prévue par le droit letton) peut constituer une réparation adéquate d’un dommage moral, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage ; il appartient à la juridiction de renvoi de s’assurer qu’une telle mesure répare le dommage intégralement (aff. 507/23, 2^e question) ;

- l’attitude et les motivations du responsable de traitement ayant causé un dommage ne peuvent pas être prises en compte pour minorer le montant de la réparation, lequel doit correspondre au montant du préjudice subi dès lors que l’article 82 du RGPD a une fonction indemnitaire et non punitive. Notamment, le juge letton ne pouvait pas prendre en compte, pour déterminer le montant de la réparation, l’absence d’intention de nuire du responsable du traitement, la nécessité d’exécution d’une mission d’intérêt public ou encore des difficultés de compréhension du cadre juridique (aff. 507/23, 3^e question) ;

- enfin, le fait qu’un avis de l’autorité de contrôle nationale, émis sur le fondement de l’article 58, 3-b du RGPD, ait indiqué que le responsable du traitement ne disposait pas du pouvoir de limiter le traitement en cause ne suffit pas à exonérer ce dernier de sa responsabilité sur le fondement de l’article 82, qui subordonne cette exonération à la preuve que le fait générateur ne lui soit nullement imputable. En effet, le pouvoir d’émettre des avis conféré à l’autorité nationale de protection des données par le RGPD est un pouvoir consultatif et non un pouvoir d’autorisation et n’est donc pas juridiquement contraignant (aff. 200/23, 8^e question).

Documents et liens associés : 

CJUE 4-10-2024 aff. 507/23 et CJUE 4-10-2024 aff. 200/23