Si tout dommage moral à la suite d’une violation du RGPD ouvre droit à réparation quelle que soit son intensité, toute violation du RGPD n’est pas pour autant constitutive d’un dommage moral.
Dans cette affaire, la CJUE s’est prononcée sur l’interprétation de la notion de dommage, qui constitue l’une des conditions du droit à la réparation prévu par l’article 82, § 1, du RGPD. Le litige résulte du refus d’une commune de réparer le dommage moral invoqué par les requérants du fait de la publication, sans leur consentement, de documents mentionnant leurs noms et prénoms sur son site internet. Ces documents ont été accessibles sur le site de la commune pendant 3 jours. Les administrés concernés estiment que la divulgation illicite de leurs données constitue un préjudice moral. Or, pour la juridiction de renvoi, la perte de contrôle sur les données à caractère personnel pendant un court laps de temps ne suffit pas à caractériser une « préjudice tangible » et « une atteinte objectivement concevable à des intérêts personnels » (point 10). Par conséquent, elle demande à la CJUE si la caractérisation d’un dommage moral causé par une violation du RGPD suppose le dépassement d’un « seuil de minimis » dans la gravité de ses conséquences.
Reprenant sa jurisprudence antérieure (CJUE, 4 mai 2023, aff. C‑300/21, UI c/ Österreichische Post AG), la Cour rappelle que le droit à réparation prévu à l’article 82, § 1, du RGPD implique la réunion de trois conditions :
- un dommage ;
- une violation du RGPD ;
- un lien de causalité entre ce dommage et cette violation.
Ces trois conditions « cumulatives » sont « nécessaires et suffisantes » (point 14) : une règle ou une pratique nationale ne peut pas subordonner la réparation d’un dommage moral à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité (point 16).
S’appuyant notamment sur l’un des objectifs du RGPD tendant à « assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union » (point 20), la Cour en déduit que le dommage moral allégué par la personne concernée à la suite d’une violation du règlement ne doit pas atteindre un « seuil de minimis » pour qu’il puisse être réparé (point 18).
Cela étant, la Cour prend le soin de préciser que cette absence de seuil ne constitue pas une présomption de dommage : la personne concernée est tenue de démontrer que les conséquences de la violation qu’elle prétend avoir subie sont constitutives d’un préjudice qui se différencie de la simple violation des dispositions du règlement (point 21).
En l’espèce la Cour estime que « si rien ne s’oppose à ce que la publication sur internet de données à caractère personnel et la perte consécutive de contrôle sur celles-ci pendant un court laps de temps puissent causer aux personnes concernées un “dommage moral”, au sens de l’article 82, paragraphe 1, du RGPD, ouvrant droit à réparation, encore faut-il que ces personnes démontrent qu’elles ont effectivement subi un tel dommage, aussi minime fût-il » (point 22).
Ce faisant la Cour établit un juste équilibre entre les droits des personnes concernées et les obligations des responsables de traitement.
![Revue de jurisprudence de droit des affaires](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg"/>)