[DONNÉES PERSONNELLES] La réparation du préjudice résultant d’une violation de données à caractère personnel

[DONNÉES PERSONNELLES] La réparation du préjudice résultant d’une violation de données à caractère personnel
30/01/2024 , 11h32 Données personnelles

Dans un arrêt du 25 janvier 2024 (C‑687/21), la Cour de Justice de l’Union européenne (CJUE) a confirmé que la personne concernée est en mesure de solliciter réparation de son préjudice en cas de violation de données à caractère personnel dans les conditions du droit commun de la responsabilité.

Si vous n’avez que 30 secondes

Que retenir de ce nouvel arrêt de la CJUE ?

  • Une simple violation du RGPD est insuffisante à conférer un droit à réparation de la personne concernée ;
  • Il n’y a pas de présomption de manquement du responsable de traitement à son obligation de mettre en œuvre des mesures de sécurité adéquates (articles 24 et 32 du RGPD) du simple fait d’une violation de données à caractère personnel ;
  • Le droit à réparation de la personne concernée (article 82 du RGPD) revêt une fonction compensatoire et non punitive ;
  • Le dommage moral peut être constitué par la crainte de l’usage ultérieur abusif des données par un tiers non autorisé et/ou la perte de contrôle des données à caractère personnel ; toutefois ce risque ne peut être purement hypothétique.  

 

1.     Rappel des faits

 

Le fournisseur d’un produit électroménager, responsable de traitement, a collecté les données à caractère personnel de son client (notamment, nom, prénom, adresse postale, ses revenus ainsi que ses coordonnées bancaires) lors de la conclusion du contrat de vente et de crédit afférent.

Les employés du magasin ont par erreur remis les documents contractuels, incluant les données à caractère personnel du client, à un tiers non autorisé (autre client du fournisseur). Se rendant compte de l’erreur, les employés ont rapidement récupéré les documents pour les remettre à la personne concernée, avant même que l’autre client ait pu a priori prendre connaissance des documents !

Par conséquent, ces circonstances rendaient difficile la démonstration d’un préjudice.

2.     La faute

 

La CJUE rappelle que la réparation d’un préjudice sur le fondement de l’article 82 du RGPD suppose la démonstration d’une faute ayant entraîné une violation des données à caractère personnel.

À retenir (et déjà en ce sens, CJUE, 14 décembre 2023, aff. C-340/21) :

  • Il n’y a pas de présomption de faute du responsable de traitement tirée de la constatation d’une violation de données à caractère personnel : il ne suffit pas qu’il y ait eu une divulgation ou un accès non autorisé aux données à caractère personnel pour obtenir réparation, mais que cette violation résulte de mesures de sécurité inappropriées ;
  •  La charge de prouver que les données à caractère personnel sont traitées de façon à garantir une sécurité appropriée pèse sur le responsable de traitement. Il appartient en conséquence au responsable de traitement de veiller à documenter et tester régulièrement ses mesures de sécurité, notamment en procédant à des audits.

 

3.     Le préjudice

 

La CJUE rappelle que pour obtenir réparation, la personne concernée doit justifier d’un dommage matériel ou moral imputable à une violation de données à caractère personnel, une simple violation du RGPD étant insuffisante à conférer un droit à réparation (déjà en ce sens, CJUE, 4 mai 2023, aff. 300/21).

Comment apporter la preuve d’un préjudice ?

  • La crainte d’un potentiel usage abusif de ses données à caractère personnel par un tiers ou le sentiment de perte de contrôle sur ses données qu’une personne concernée éprouve à la suite d’une violation de données à caractère personnel est susceptible à elle seule de constituer un dommage moral (CJUE, 14 décembre 2023, aff. C-456/22) ;
  • Toutefois, un risque purement hypothétique d’usage abusif par un tiers ne peut donner lieu à réparation, notamment lorsqu’il est établi qu’aucun tiers n’a été en mesure de prendre effectivement connaissance des données à caractère personnel en cause (ce qui peut être le cas si les données sont chiffrées et la clef de chiffrement demeure entre les mains du responsable de traitement).

 

4.     L’absence de prise en compte de la gravité de la faute

 

L’article 82 du RGPD permet la réparation d’un préjudice à titre compensatoire et non punitif.

Ainsi, la gravité de la faute n’a aucune incidence sur l’évaluation des dommages-intérêts qui ont pour seule finalité la réparation intégrale du préjudice, à charge pour les juges nationaux de déterminer le quantum du préjudice en application des règles internes propres à chaque État membre.

La gravité de la faute peut être sanctionnée, le cas échéant, par l’autorité de contrôle lorsqu’elle prononce une amende administrative sur le fondement des articles 83 et 84 du RGPD.