Violation du RGPD : le préjudice doit être prouvé pour être indemnisé !
- A la uneCJUE, 4 mai 2023, aff. C-300/21, Österreichische Post
Exiger de prouver la réalité du préjudice que l’on revendique peut, de prime abord, paraître une évidence. Cette exigence a toutefois été mise à mal par la jurisprudence dans certaines matières, la seule existence d’une faute suffisant alors à causer un préjudice.
Qu’en est-il d’un manquement aux dispositions du RGPD ? La Cour de justice de l’Union adopte une lecture conforme aux principes civilistes : la violation du RGPD ne suffit pas à créer un droit à indemnisation, le préjudice causé par la faute devant être prouvé.
.
Quel est le contexte de l’affaire ?
La poste autrichienne (Österreichische Post) fournissait à des partis politiques autrichiens des « adresses de groupes cibles », correspondant à des électeurs supposés partager certaines affinités partisanes, extrapolées de données sociaux-démographiques.
C’est ainsi qu’un électeur s’est vu attribuer une « forte » affinité avec un des partis politiques, affinité qu’il ne partageait nullement ! Outre qu’il n’avait jamais consenti à un tel traitement de ses données, l’électeur affirmait s’être senti indigné et blessé par l’affiliation politique qui lui avait été attribuée.
Il s’est donc pourvu en justice, sollicitant l’indemnisation d’un préjudice moral résultant tant de l’absence de recueil de son consentement, que de l’attribution erronée de ses affinités politiques, en application de l’article 82 du RGPD1. Débouté en première instance puis en appel, l’affaire a été portée devant l’Oberster Gerichtshof2 qui a sursis à statuer et saisi la CJUE de questions préjudicielles.
Parmi elles figure la question « la violation des dispositions du RGPD suffit-elle [… ] pour allouer des dommages-intérêts » ? L’enjeu est important, d’autant que la Cour n’avait jamais pris position sur cet article 82.
.
Quelle est la réponse de la Cour de Justice ?
La réponse est sans ambiguïté : le seul constat de la violation des dispositions du RGPD n’ouvre pas automatiquement droit à réparation. Pour cela, encore faut-il justifier d’un dommage et d’un lien de causalité entre ce dernier et la violation.
Après avoir rappelé la nécessité d’une interprétation uniforme du texte, la Cour de justice considère en effet que :
- La lettre de l’article 82 impose la démonstration cumulative et distincte d’une faute, d’un dommage et d’un lien de causalité ;
- Les Considérants3 du Règlement abondent dans le sens qu’une violation du RGPD n’est pas nécessairement source d’un préjudice ;
- L’action en réparation portée devant une juridiction se distingue du recours auprès d’une autorité de contrôle : la première vise à obtenir l’indemnisation d’un dommage individuel, la seconde poursuit une finalité « punitive » ne nécessitant pas de justifier d’un préjudice.
La règle est donc claire et alignée sur le principe de la responsabilité civile en droit français. La Cour précise par ailleurs qu’aucun seuil de gravité ne doit être atteint pour pouvoir demander réparation d’un préjudice moral.
Enfin, sur le montant de la réparation qui peut être exigée, la Cour de justice renvoie au droit national. Ce sont donc les principes dégagés par la jurisprudence française qui permettent, en France, de déterminer quels montants peuvent de manière réaliste être demandés en réparation d’un préjudice moral résultant d’une violation du RGPD.
.