Droit des données
le 12/12/2024
Inès MARCENATInès MARCENAT

La Cour de justice de l’Union européenne (CJUE) clarifie le cadre juridique de l’indemnisation des préjudices résultant de la violation de données personnelles

CJUE, 14 décembre 2023, affaire C-340/21

Dans un arrêt rendu le 14 décembre 2023, la Cour de justice de l’Union européenne (CJUE) répond à plusieurs questions préjudicielles posées par la Cour administrative suprême de Bulgarie, et apporte ainsi des précisions sur le régime d’indemnisation applicable en cas de violation de données.

Plus précisément, la CJUE clarifie, d’une part, l’étendue de l’obligation de sécurité qui incombe au responsable du traitement, et, d’autre part, la manière dont doit être appréciée la notion de « dommage moral » pouvant résulter d’une violation de données.

Les questions qui ont été portées à la CJUE sont les suivantes.

  • Les articles 24 et 32 du RGPD permettent-ils de considérer qu’une divulgation non autorisée de données personnelles ou un accès non autorisé à de telles données par des tiers suffit à pouvoir considérer que les mesures de sécurité déployées par le responsable de traitement n’étaient pas appropriées ?

A titre liminaire, notons que les articles 24 et 32 du RGPD imposent au responsable du traitement de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer, et être en mesure de démontrer, que le traitement est effectué conformément au RGPD.

La CJUE répond par la négative à cette première question, en considérant que ces dispositions se bornent à imposer au responsable du traitement d’adopter les mesures de sécurité destinées à éviter, dans la mesure du possible, toute violation de données à caractère personnel.

Ces dispositions du RGPD laissent en outre la possibilité au responsable de traitement de démontrer qu’il a mis en œuvre de telles mesures.

La Cour rappelle que le caractère approprié de ces mesures doit être apprécié de manière concrète.

Partant, les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées.

 

  • Le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable de traitement doit-il être apprécié par les juridictions nationales de manière concrète, notamment en tenant compte des risques liés au traitement concerné ?

La CJUE répond par la positive, en précisant que la juridiction nationale doit se livrer à un examen de ces mesures sur le fond, au regard des circonstances propres au cas d’espèce et des risques liés au traitement concerné.

Elle précise qu’un tel examen nécessite de « procéder à une analyse concrète à la fois de la nature et de la teneur des mesures qui ont été mises en œuvre par le responsable du traitement, de la manière dont ces mesures ont été appliquées et de leurs effets pratiques sur le niveau de sécurité que celui-ci était tenu de garantir, eu égard aux risques inhérents à ce traitement. »

 

  • Dans le cadre d’une action en réparation fondée sur l’article 82 du RGPD, le responsable de traitement doit-il rapporter la preuve du caractère approprié des mesures de sécurité qu’il a mis en œuvre ?

Notons que l’article 82 du RGPD permet à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD d’obtenir du responsable de traitement, ou du sous-traitant, la réparation du préjudice subi.

Pour répondre à la question qui lui est posée, la CJUE rappelle le principe de responsabilité posé par l’article 5 du RPGD, en vertu duquel le responsable de traitement est responsable du respect des principes liés au traitement des données personnelles qu’il met en œuvre. Ce même article prévoit que ledit responsable de traitement doit être en mesure de démontrer que ces principes sont respectés.

La CJUE répond à cette troisième question par la positive et affirme que le responsable de traitement doit prouver le caractère approprié des mesures de sécurité qu’il a mises en œuvre au titre de l’article 32 dudit règlement.

Elle précise à ce titre qu’une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.

  • Le responsable de traitement peut-il être exonéré de son obligation de réparer le dommage subi par une personne au titre de l’article 82 du RGPD du seul fait que ce dommage résulte d’une divulgation non autorisée de données personnelles ou d’un accès non autorisé à de telles données par des tiers ?

La CJUE répond par la négative, en rappelant qu’il revient au responsable de traitement de démontrer que le fait qui a provoqué le dommage concerné ne lui est nullement imputable.

  • La crainte d’un potentiel usage abusif de ses données personnelles par des tiers qu’une personne concernée éprouve à la suite d’une violation de données peut-elle constituer un dommage moral ?

La CJUE répond par la positive, en se fondant notamment sur le considérant 146 du RGPD qui prévoit que la notion de « dommage moral » doit être interprété au sens large.

Elle précise toutefois que la juridiction nationale saisie doit vérifier que cette crainte peut être considérée comme étant fondée, dans les circonstances spécifiques en cause et au regard de la personne concernée.

Cet arrêt offre ainsi des clarifications essentielles, permettant d’éclaircir certains principes posés par le RGPD, tout en soulignant l’importance d’une approche concrète et contextualisée en matière de protection des données.