La Cour de justice de l’Union européenne (CJUE) a rendu un arrêt jeudi (4 mai) qui précise qu’une « simple violation » des règles européennes en matière de protection des données n’est pas suffisante pour demander réparation, mais échoue à définir en quoi consiste un dommage moral.
L’arrêt porte sur les circonstances pour lesquelles des dommages causés à la suite d’une infraction du règlement général sur la protection des données (RGPD) pourraient être considérés comme suffisamment graves pour qu’un plaignant puisse être indemnisé.
L’affaire a été soulevée par un citoyen autrichien dont les données avaient été traitées par le service postal autrichien (Österreichische Post) pour déterminer ses affinités politiques à des fins publicitaires.
Le traitement, effectué sans son consentement, a conclu qu’il avait « une affinité particulière » avec le FPÖ, parti d’extrême droite.
Le plaignant a été « grave[ment] contrarié » et a demandé réparation pour « préjudice moral » en vertu du régime de responsabilité du RGPD.
La Cour suprême autrichienne a émis des doutes sur l’étendue des droits à réparation pour les dommages matériels et immatériels sous le RGPD et a demandé à la CJUE de se prononcer.
Les États membres ont, pour des cas comparables, statué sur la question de manière différente.
Trois conditions nécessaires
Dans une décision très attendue, la CJUE a d’abord arrêté que « toute violation du RGPD n’ouvre pas, à elle seule, le droit à réparation ».
Au contraire, la Cour a souligné que trois conditions doivent impérativement être remplies pour se voir conférer un droit à réparation : il faut qu’il y ait eu violation du RGPD, que cette violation ait entraîné des dommages matériels ou immatériels, et qu’un lien de causalité puisse être établi entre la violation et les dommages qui en ont découlé.
Suppression du « seuil de gravité »
Le sujet est donc de définir en quoi consiste un dommage dit « moral ».
Pour ce faire, la CJEU a choisi de ne pas suivre l’opinion de l’avocat général, publiée en octobre de l’année dernière, qui préconisait un « seuil de gravité » au-delà duquel les dommages moraux pourraient donner lieu à une indemnisation.
À l’époque, cet avis avait suscité des inquiétudes quant au fait qu’un seuil minimum de préjudice moral, tel que le stress ou la détérioration de la santé mentale, pourrait être particulièrement complexe à définir et risquerait donc de porter atteinte aux droits des plaignants en vertu du RGPD.
Certains préjudices non matériels auraient été jugés « réels », tandis que d’autres auraient été rejetés pour des motifs arbitraires, a indiqué Ursula Pachl, directrice générale adjointe du Bureau européen des Unions de Consommateurs (BEUC), à EURACTIV.
La Cour a au contraire arrêté que la mise en œuvre d’un seuil « de gravité » n’était pas opportune, précisant que tout seuil aurait, en pratique, été susceptible de « fluctuer en fonction de l’appréciation des juges saisis ».
