Dans deux arrêts du 20 juin 2024, la Cour revient sur l’application de l’article 82 du RGPD en matière de droit à réparation et de responsabilité.
Dans les affaires ayant donné lieu aux arrêts de la CJUE, les demandeurs se plaignaient de préjudices nés à la suite de violations de leurs données personnelles.
Au fil de son raisonnement, la Cour réitère le fait que la simple violation des dispositions du RGPD ne suffit pas pour conférer un droit à réparation et que la personne qui souhaite obtenir une telle réparation est tenue de prouver l’existence d’un préjudice causé par cette violation, sans toutefois que ce préjudice doive atteindre un certain degré de gravité (CJUE, 4 mai 2023, aff. C‑300/21, Österreichische Post, v. notre article ; CJUE, 20 juin 2024, aff. C-590/22, AT, BT c/ PS GbR et a., points 24, 25 et 26).
Elle confirme également que la crainte éprouvée par une personne que ses données à caractère personnel aient été divulguées à des tiers du fait d’une violation du RGPD peut ouvrir droit à réparation (CJUE, 14 déc. 2023, aff. C‑340/21, Natsionalna agentsia za prihodite, v. notre article ; CJUE, 25 janv. 2024, aff. C‑687/21, MediaMarktSaturn). Il importe peu que l’existence de cette divulgation puisse être établie dès lors que la personne apporte la preuve de sa crainte, avec ses conséquences négatives (CJUE, 20 juin 2024, aff. C-590/22 préc., points 32 et 24).
En application de sa jurisprudence antérieure, elle juge encore, d’une part, que le droit à réparation a une fonction compensatoire et pas dissuasive (aff. jointes C‑182/22 et C-189/22, point 23 ; aff. C-590/22, points 41 et 42) et, d’autre part, que, « à défaut de règles du droit de l’Union en la matière, il appartient à l’ordre juridique de chaque État membre de fixer les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de cet article 82 et, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve du respect des principes d’équivalence et d’effectivité » (CJUE, 4 mai 2023, aff. C‑300/21 préc. ; CJUE, 11 avr. 2024, C‑741/21, juris ; aff. C-590/22 préc., point 40). Elle en conclut donc que les critères énoncés à l’article 83 du RGPD pour déterminer le montant des dommages-intérêts n’ont pas à être appliqués mutatis mutandis (aff. C-590/22 préc., point 43) et rappelle que le degré de gravité et l’éventuel caractère intentionnel de la violation du RGPD commise par le responsable du traitement ne sont pas des facteurs pertinents pour déterminer le montant de la réparation (CJUE, 21 déc. 2023, aff. C‑667/21, Krankenversicherung Nordrhein, v. notre article ; CJUE, 25 janv. 2024, aff. C‑687/21 préc. ; aff. jointes C‑182/22 et C‑189/22, points 28 et 29).
L’affaire C-590/22 est l’occasion pour la CJUE d’affiner sa jurisprudence sur les modalités de détermination du montant des dommages-intérêts dus. Elle précise ainsi que les dispositions de droit national relatives à la protection des données personnelles et qui ne précisent pas les règles du RGPD ne constituent pas « un facteur pertinent aux fins de l’évaluation des dommages‑intérêts alloués sur le fondement de l’article 82, § 1 du RGPD » (point 48). Dès lors, pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu de tenir compte de violations simultanées de telles dispositions nationales et du RGPD (point 50). À cet égard, le juge national peut, sous certaines conditions, accorder à la personne concernée une réparation plus importante que la réparation complète et effective prévue à l’article 82, § 1 du RGPD. Cela est possible quand la réparation n’est pas jugée suffisante ou appropriée au titre de cet article et que le préjudice a également été causé par la violation de dispositions de droit national relatives à la protection des données personnelles et qui ne précisent pas les dispositions du RGPD (point 49).
Quant aux affaires jointes C‑182/22 et C‑189/22, elles permettent à la Cour de préciser que, dans le souci d’apporter une réparation complète et effective du dommage subi, aucune hiérarchie n’existe entre le préjudice moral et le préjudice matériel (point 38) et qu’une compensation minime peut être accordée par un juge national dès lors que le préjudice n’est pas grave et que l’indemnité permet de compenser intégralement le préjudice subi (point 46).
Le dernier point de l’arrêt est intéressant en ce qu’il évoque la notion de vol d’identité. Les juges devaient décider si cette notion impliquait que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers, ou si un tel vol d’identité était caractérisé dès lors que ce tiers disposait de données qui permettent d’identifier la personne concernée (point 53). Plusieurs enseignements peuvent être tirés du raisonnement de la Cour :
- à la lecture du RGPD, il apparaît que les notions de « vol » et d’« usurpation » d’identité sont interchangeables et se caractérisent par le fait qu’elles « donnent lieu à la présomption d’une volonté de s’approprier l’identité d’une personne dont les données à caractère personnel ont, auparavant, été volées » (point 55) ;
- « le vol de données à caractère personnel ne constitue pas, par lui-même, un vol ou une usurpation d’identité » (point 56) ;
- la réparation d’un dommage moral causé par le vol de données à caractère personnel n’est pas limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité (point 58). Un dommage réparable peut donc exister sans qu’une usurpation d’identité puisse être caractérisée.
