Blog Données personnelles

La Cour de Justice de l’Union Européenne juge qu’une simple violation des dispositions du RGPD ne fonde pas ipso facto un droit à réparation

Le 4 mai 2023, la Cour de Justice de l’Union européenne (« CJUE ») a rendu un arrêt dans l’affaire C-300/21 [1] opposant le requérant UI contre l’Österreichische Post AG, société de droit autrichien pratiquant la vente d’adresses, portant sur la réparation d’un préjudice sur le fondement de l’article 82 du Règlement général sur la protection des données (« RGPD »).

En l’espèce, l’Österreichische Post a collecté des informations sur les affinités politiques de la population autrichienne. Sur la base d’un algorithme prenant en compte divers critères sociaux et démographiques, la société a défini des « adresses de groupes cibles ». Dans le cadre de son activité, les données ainsi collectées ont permis à l’Österreichische Post d’établir que le requérant avait une affinité élevée avec un parti politique autrichien. Les données n’ont pas fait l’objet d’un transfert à des tiers.

Le requérant autrichien, qui n’avait pas consenti au traitement de ses données personnelles affirme avoir ressenti une grave contrariété, une perte de confiance, ainsi qu’un sentiment d’humiliation en raison de l’établissement d’une affinité particulière avec le parti autrichien en question. Au titre de la réparation de son préjudice moral, le requérant réclame un montant de 1 000 euros de dommages-intérêts devant les juridictions autrichiennes.

Saisie par les deux parties au principal (au terme de la procédure nationale), la Cour suprême autrichienne (« Oberster Gerichtshof ») a émis des doutes sur la portée du droit à réparation que le RGPD prévoit en cas de dommage matériel ou moral du fait d’une violation d’une disposition de ce règlement. Par ce fait, la juridiction suprême autrichienne demande à la CJUE :

  • si la simple violation du RGPD suffit à conférer ce droit à réparation ;
  • si la réparation n’est possible qu’au-delà d’un certain seuil de gravité du dommage moral subi ;
  • les exigences du droit de l’Union quant à la fixation du montant des dommages-intérêts

La CJUE rappelle en premier lieu que le droit à réparation prévu par le RGPD est subordonné à trois conditions cumulatives : une violation du RGPD, un dommage matériel ou moral résultant de cette violation, un lien de causalité entre le dommage et la violation. Ainsi, toute violation du RGPD n’ouvre pas, intrinsèquement à elle seule, un droit à réparation. Une telle interprétation irait à l’encontre du texte de l’article 82§1 RGPD, les considérants du RGPD en lien avec le droit à réparation (n°75, 85 et 146) confortant cette interprétation.

La CJUE attire l’attention au considérant 40 de son arrêt sur la distinction à opérer entre l’action en réparation et les autres voies de recours prévues par le RGPD, notamment celles qui permettent d’infliger des amendes administratives, pour lesquelles l’existence d’un dommage individuel n’a pas à être démontrée.

En deuxième lieu, la Cour souligne que « subordonner la réparation d’un dommage moral à un certain seuil de gravité risquerait de nuire à la cohérence du régime instauré par le RGPD », la graduation du seuil étant sujette à fluctuation en fonction de l’appréciation des juges saisis. Le RGPD n’exige pas l’atteinte d’un certain seuil des dommages moraux pour l’exercice du droit à réparation, une telle restriction contredisant la conception large des notions « de dommage » ou de « préjudice » retenue par le législateur de l’Union.

Enfin, la CJUE relève que le RGPD est dénué de dispositions relatives à l’évaluation des dommages-intérêts. En l’absence de règles de l’Union en la matière, il appartient donc à l’ordre juridique interne de chaque État de régler les aspects procéduraux des recours en justice en vertu du principe de l’autonomie procédurale et de fixer les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de l’article 82 RGPD.

Concrètement, il revient à l’État membre de fixer les critères permettant de déterminer l’étendue de la réparation sous réserve de respecter les principes d’équivalence et d’effectivité. Le droit à réparation prévu par le RGPD ayant une fonction compensatoire, la Cour rappelle que ce droit tend à assurer une réparation intégrale (« complète et effective ») pour le préjudice subi.