News

Counsel Mathilde Gérot and Associate Inès Aramouni examine the Court of Justice of the European Union’s recent ruling relating to the interpretation of Article 82 of the GDPR on the liability of data controllers and the right to compensation of data subjects.

Mathilde and Inès’ article was published in La Lettre des Juristes d’Affaires, 7 September 2023, and can be found here. 

Dans un contexte de prolifération des cyberattaques visant tant les secteurs privé que public, la Cour de Justice de l’Union Européenne (« CJUE ») s’est récemment prononcée sur l’une des nombreuses questions préjudicielles relatives à l’interprétation de l’article 82 du RGPD[1]  relatif à la responsabilité du responsable du traitement et au droit à réparation des personnes concernées.

Dans un arrêt du 4 mai 2023, la Cour[2] est venue définir les contours de la responsabilité du responsable de traitement à travers deux questions clés : (i) la nature de la responsabilité du responsable du traitement et (ii) le type de dommages susceptibles d’être indemnisés lorsque la responsabilité de ce dernier est établie.

Absence de responsabilité automatique du responsable du traitement

Dans cet arrêt, la CJUE a considéré qu’une violation du RGPD ne suffisait pas à conférer un droit à réparation automatique. Ce faisant, elle élève ce régime de responsabilité au même niveau que celui du droit commun en sollicitant la démonstration du fameux triptyque : manquement, dommage et lien de causalité entre les deux.

L’Avocat Général Giovanni Pitruzzella avait, quelques jours plus tôt, rendu ses conclusions dans une affaire distincte mais également relative à l’interprétation de l’article 82 du RGPD[3]. Aux termes de celles‑ci, l’Avocat Général a considéré que l’accès non-autorisé à des données personnelles par des tiers dans le cadre d’une cyberattaque ne constitue pas, de facto, un manquement de la part du responsable du traitement à son obligation d’assurer la sécurité des données personnelles qu’il traite prévue à l’article 32 du RGPD[4].

Il semblerait dès lors que la CJUE et l’Avocat Général Pitruzzella soient en ligne sur cette question : il n’y a pas de responsabilité automatique du responsable du traitement en cas de violation du RGPD.

L‘Avocat Général a également suggéré que pour se décharger de sa responsabilité, le responsable du traitement doit démontrer que les mesures techniques et organisationnelles en place garantissent une sécurité des données adaptée au risque. A cet égard, l’Avocat Général a cependant précisé que le responsable du traitement ne peut pas s’exonérer de sa responsabilité au motif que le manquement au RGPD découle des agissements d’un tiers, comme lors d’une cyberattaque.

C’est donc un régime de responsabilité pour faute présumée du responsable du traitement que l’Avocat Général suggère d’adopter en la matière.

Précisions quant à l’indemnisation du préjudice moral

Dans l’affaire C-340/21, l’Avocat Général semble exiger la caractérisation d’un certain « critère de gravité » du dommage moral subi pour que le droit à réparation soit ouvert. En effet, il a considéré qu’une personne dont les données personnelles ont été consultées sans autorisation devait prouver avoir « concrètement et spécifiquement » subi un préjudice émotionnel « réel et certain ». A contrario, l’Avocat Général a retenu qu’un « simple mécontentement » ne pouvait caractériser un préjudice moral.

Dans l’affaire C-300/21, la Cour a considéré que l’article 82 du RGPD ne subordonnait pas la réparation d’un dommage moral « à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité »[5], consacrant ainsi une « conception large de la notion de « dommage »[6].

Ces deux approches nous semblent à ce jour difficilement conciliables.

Reste à voir si la Cour confirmera sa position dans l’affaire C-340/21. Dans l’affirmative, les conséquences sur les responsables du traitement seront non négligeables dès lors que leur responsabilité pourra alors être engagée pour des violations du RGPD à l’origine de préjudices mineurs.

Quoi qu’il en soit, la tâche de fixer le montant des dommages-intérêts reviendra aux juridictions nationales qui pourraient décider de n’octroyer que des sommes symboliques en cas de préjudice mineur.

D’autres arrêts préjudiciels relatifs à l’interprétation de l’article 82 du RGPD devraient être prochainement rendus[7].

Si ces arrêts favorisent la mise en cause de la responsabilité des responsables du traitement, on pourrait prochainement être confronté à une hausse significative des actions de groupe en la matière, compte tenu de la réforme en cours menée par le législateur français. A suivre donc.

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – dit Règlement Général sur la Protection des Données (« RGPD »).

[2] Arrêt de la CJUE, affaire C-300/21, 4 mai 2023, UI c/ Österreichische Post AG.

[3] Affaire C-340/21, VB c/ Natsionalna agentsia za prihodite.

[4] Cet article impose au responsable du traitement de mettre en œuvre des mesures techniques et organisationnelles afin d’assurer la sécurité des données personnelles traitées.

[5] Arrêt de la CJUE, affaire C-300/21, 4 mai 2023, UI c/ Österreichische Post AG, § 51.

[6] Arrêt de la CJUE, affaire C-300/21, 4 mai 2023, UI c/ Österreichische Post AG, § 46.

[7] Voir par exemple les affaires C-687/21, C-741/21, C-590/22 et C-456/22.