News

Mathilde and Inès explore the scope of the data controller’s liability, the nature of the recoverable loss and the future of class actions in personal data matters.

Mathilde and Inès’ article was published in Option Droit & Affaires on 5 July 2023, and can be found here.

Si les sanctions infligées par la CNIL en cas de manquement au RGPD font régulièrement la une des revues spécialisées, les décisions condamnant un responsable du traitement au paiement de dommages-intérêts pour violation du RGPD sont, elles, beaucoup plus rares. Et pour cause, l’article 82 du RGPD n’a pas suscité, à tout le moins en France, l’engouement attendu par le législateur européen. La raison ? Des clarifications relatives à la nature du régime de responsabilité civile du responsable du traitement et du type de dommages réparables étaient attendues de longue date.

Cinq ans après l’entrée en application du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – dit Règlement Général sur la Protection des Données (« RGPD »), la Cour de justice de l’Union européenne (« CJUE ») vient de se lancer dans l’examen d’une longue liste de questions préjudicielles relatives à l’interprétation de l’article 82 du RGPD.

Cet article concerne deux sujets majeurs : (i) la responsabilité du responsable du traitement et (ii) le droit à réparation des personnes dont les données personnelles sont traitées.

Lorsque le RGPD est entré en application, il est apparu évident que son article 82 allait soulever de nombreuses questions d’interprétation. En effet, cet article est susceptible de constituer le fondement d’actions tant individuelles que collectives à visée indemnitaire de la part des personnes concernées en cas, par exemple, d’accès illicite à leurs données.

Il était donc attendu de la CJUE qu’elle clarifie la nature de la responsabilité du responsable du traitement en cas de violation du RGPD et le type de dommages susceptibles d’être indemnisés dans le cas où la responsabilité de ce dernier est établie.

L’arrêt rendu par la CJUE le 4 mai 2023 constitue un premier pas en ce sens (affaire C-300/21, UI c/ Österreichische Post AG).

Nature du régime de responsabilité en cas de violation du RGPD

Le 4 mai dernier, la CJUE a considéré que la simple violation du RGPD ne suffisait pas à conférer un droit à réparation. En effet, la Cour a estimé qu’un droit à réparation n’est ouvert que dans les cas où (i) un manquement a été commis, (ii) un dommage a été causé au demandeur et (iii) il existe un lien de causalité entre le manquement et le dommage.

Cette décision suit de quelques jours les conclusions de l’Avocat Général Giovanni Pitruzzella rendues le 27 avril 2023 dans une affaire distincte portant, elle aussi, sur la question de la réparation à la suite d’une violation du RGPD (affaire C-340/21, VB c/ Natsionalna agentsia za prihodite). Dans cette affaire, l’Avocat Général Pitruzzella, a considéré d’une part que l’accès illicite à des données personnelles par des tiers entraîne une responsabilité pour faute présumée du responsable du traitement et, d’autre part, qu’il peut être à l’origine d’un dommage moral ouvrant droit à réparation.

Plus précisément, une cyberattaque avait permis à des tiers non autorisés d’accéder aux données personnelles de nombreux individus. L’un d’eux se plaignait d’avoir subi un préjudice moral.  L’Avocat Général a considéré que la divulgation illicite de données personnelles ne devrait pas, en tant que telle, constituer une violation du RGPD de la part du responsable du traitement. En d’autres termes, l’accès illégal à des données personnelles par des tiers dans le contexte d’une cyberattaque ne suffit pas pour conclure que les mesures techniques et organisationnelles – qui doivent être mises en œuvre par les responsables du traitement et sous-traitants conformément à l’article 32 du RGPD afin d’assurer la sécurité des données personnelles – ne sont pas appropriées.

Sur ce point, l’Avocat Général Pitruzzella et la Cour semblent donc en ligne puisque cette dernière a entériné, par son arrêt du 4 mai dernier, l’absence de responsabilité automatique du responsable du traitement en cas de violation du RGPD et l’obligation, pour le demandeur, de démontrer l’existence du fameux triptyque : fait générateur (manquement au RGPD) – dommage – lien de causalité.

L’affaire ayant donné lieu aux conclusions de l’Avocat Général Pitruzzella pourrait apporter d’autres clarifications utiles sur la nature du régime de responsabilité en cas de violation du RGPD. Ce dernier a en effet considéré que pour s’exonérer de sa responsabilité, il appartient au responsable du traitement de démontrer qu’il n’est pas responsable du fait dommageable. Concrètement, le responsable du traitement doit prouver que les mesures organisationnelles et techniques qu’il a mises en œuvre pour assurer la sécurité des données personnelles traitées étaient appropriées. En d’autres termes, le responsable du traitement ne pourra s’exonérer de sa responsabilité qu’à condition de démontrer qu’il n’est en aucun cas responsable de la violation qui a donné lieu au dommage subi par la personne concernée. A cet égard, l’Avocat Général a précisé que le fait que la violation des données résulte d’une cyberattaque, c’est-à-dire d’un tiers, ne constitue pas en tant que telle une cause exonératoire de responsabilité du responsable du traitement.

Si cette position devait être suivie par la Cour, on se dirigerait donc vers un régime de responsabilité pour faute présumée du responsable du traitement.

Dommages-intérêts recouvrables en cas de violation du RGPD

Selon l’Avocat Général Pitruzzella, l’accès illicite à des données personnelles peut constituer un préjudice moral réparable dès lors que la personne concernée démontre qu’elle a « concrètement et spécifiquement » subi « un préjudice émotionnel réel et certain », circonstance qui sera vérifiée au cas par cas par les juridictions nationales saisies[1]. A cet égard, l’Avocat Général précise qu’ « un simple mécontentement » n’est pas indemnisable, tandis que « de véritables dommages moraux » sont, eux, indemnisables, tout en admettant le caractère ténu de la frontière entre les deux[2].

Quelques jours plus tard, dans l’affaire C-300/21, la Cour a considéré que l’article 82 du RGPD ne subordonnait pas la réparation d’un dommage moral « à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité »[3], consacrant ainsi une « conception large de la notion de « dommage » »[4].

La position de la Cour apparait ainsi difficile à concilier avec celle de l’Avocat Général Pitruzzella, qui semble exiger un certain “critère de gravité” du dommage moral subi, sans toutefois qu’un seuil soit déterminé. Si la Cour devait confirmer sa position quant au type de dommage moral réparable, la responsabilité des responsables du traitement serait susceptible d’être engagée pour des violations du RGPD à l’origine de préjudices mineurs pour les personnes concernées.

Quels que soient les contours du préjudice réparable qui seront dessinés par les juges européens, les tribunaux nationaux resteront les arbitres ultimes en ce qui concerne le montant des dommages-intérêts dus au titre du droit à réparation.

D’autres éclaircissements relatifs à l’interprétation de l’article 82 du RGPD sont par ailleurs attendus prochainement[5].

Impact de la réforme de l’action de groupe

La directive (UE) 2020/1828 du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs aurait dû être transposée par les Etats-membres le 25 décembre 2022 au plus tard. Force est de constater que certains d’entre eux ont pris du retard, à l’instar du législateur français qui travaille encore sur une proposition de loi visant à réformer en profondeur le régime actuel de l’action de groupe, même si le principe de l’opt-in devrait être maintenu.

Si l’action de groupe en matière de données personnelles a été introduite en droit français par la loi pour la modernisation de la justice du XXIe siècle[6], c’est la loi du 20 juin 2018[7] ayant transposé le RGPD en droit français qui a consacré sa vocation indemnitaire.

Malgré le régime existant, les actions de groupe en matière de protection des données personnelles n’ont jamais décollé en France. Sur les 32 actions de groupe françaises enregistrées à la fin de l’année 2022, seules deux concernaient des questions de protection des données et n’ont jamais abouti.

Reste à voir si la réforme à venir, qui vise à simplifier le recours au mécanisme de l’action de groupe, à mieux indemniser les victimes et à réduire les délais de jugement, combinée à l’interprétation favorable aux personnes concernées de l’article 82 du RGPD, entraînera la vague d’actions de groupe que certains prédisent.

[1] Conclusions de l’Avocat Général Pitruzzella, affaire C-340/21, VB c/ Natsionalna agentsia za prihodite, § 82.

[2] Conclusions de l’Avocat Général Pitruzzella, affaire C-340/21, VB c/ Natsionalna agentsia za prihodite, § 83.

[3] Arrêt de la Cour de Justice de l’Union Européenne, affaire C-300/21, UI c/ Österreichische Post AG, § 51.

[4] Arrêt de la Cour de Justice de l’Union Européenne, affaire C-300/21, UI c/ Österreichische Post AG, § 46.

[5] Voir par exemple les affaires C-687/21, C-741/21, C-590/22 et C-456/22.

[6] Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[7] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.